1. Notre système vient d’être audité, nous sommes conformes.

L’idée reçue : un audit qui se conclue de façon positive n’est absolument pas synonyme
d’imperméabilité aux attaques, en témoignent toutes les entreprises hackées ces dernières années des
deux côtés de l’Atlantique.
Pourquoi ? Premièrement parce que la plupart des départements informatiques déploient généralement
toute l’énergie nécessaire au moment des audits mais ont tendance à perdre de vue la conformité le
reste de l’année. Ensuite, les auditeurs ne savent pas toujours où rechercher des failles et peuvent tout
à fait être mal aiguillés.

Les pirates ne préviennent pas avant d’attaquer un système et ils ne tomberont certainement pas sur
les failles de sécurité de votre entreprise par hasard. Ils savent généralement exactement ce qu’ils
cherchent et ils le trouveront fort probablement.

La réalité : ne concentrez pas toute votre attention sur l’audit en question. Ayez davantage en mémoire
que la conformité est un travail de tous les instants. Toute faille de sécurité est à étudier et à
solutionner sur le long terme, plutôt qu’un simple « trou » à combler à tout prix.

2. Nos politiques de sécurité prévoient une réinitialisation régulière des mots de passe

L’idée reçue : même si les identifiants des utilisateurs « lambda » sont régulièrement et
automatiquement modifiés, les utilisateurs à privilèges, eux, ne sont pas concernés par ces process en
place et leurs mots de passe sont, par conséquent, très rarement modifiés. Il est inutile de penser que,
parce que les administrateurs changent les mots de passe manuellement, un périmètre de sécurité est
en place. La tâche est tout simplement trop ardue, trop étendue et trop difficile à maintenir dans le
temps.

Une personne se connectant physiquement à des machines ou même via des scripts pour changer les
mots de passe et être en règle avec les normes de conformité rencontrera forcément, au mieux des
difficultés, au pire des complications. Pensez à tous les services (souvent interdépendants) installés sur
des machines accessibles à des utilisateurs à privilèges qui doivent être correctement arrêtés avant
qu’un changement ne soit appliqué, puis redémarrés. C’est une mission difficile, source d’erreurs et très
consommatrice de temps.

La réalité : avant de déployer un nouveau dispositif ou un programme sur votre réseau, assurez-vous
que l’ensemble des mots de passe par défaut a été modifié. Ceci est plus facile à dire qu’à faire : il y a
probablement plus d’identifiants partagés que vous ne l’imaginez.

3. Nos administrateurs système ont chacun leurs identifiants pour les comptes à privilèges. Il n’y a aucun risque.

L’idée reçue : malheureusement, dans ce domaine, la facilité l’emporte sur la sécurité. Combien de
sociétés étaient persuadées que les identifiants des comptes à privilèges étaient uniques mais se sont
rendu compte que ça n’était pas le cas ? On a déjà vu des sociétés mères communiquer les identifiants
aux comptes à privilèges à une filiale sans les modifier par la suite. Ainsi, l’équipe IT de la filiale peut,
en toute liberté, accéder aux données de la société mère sans aucun réel contrôle ni aucune traçabilité.

La réalité : planifiez un changement de mot de passe de vos comptes à privilèges tous les 60 jours,
maximum. N’oubliez pas de choisir des mots de passe uniques et complexes pour chaque compte.

4. Notre département informatique contrôle les accès

Les mots de passe des comptes à hyper privilèges sont souvent intégrés aux applications ou
communiqués à des prestataires externes. Ces identifiants étant partagés, il est absolument impossible
de savoir exactement qui se cache derrière une connexion et ce qui a été fait pendant la session. De la
même façon, ces mots de passe étant assez peu fréquemment modifiés, un employé ayant quitté la
société ou un prestataire externe arrivé à échéance de son contrat pourra tout à fait utiliser ces
crédences et pirater le système.
En ce qui concerne les comptes administratifs, ils sont très nombreux et les identifiants sont également
partagés. Tous les utilisateurs à privilèges utilisant les mêmes identifiants pour accéder à une machine
et intégrer des modifications, on ne sait jamais véritablement qui est l’auteur de ces changements ou
même qui a eu accès à des données sensibles. Enfin, il faut également aborder le problème de la
gestion du turn-over. Certains employés évoluent, changent de poste ou même quittent la société. Si
leur identifiant ne sont pas modifiés après leur évolution ou leur départ, ils auront toujours accès à des
informations qu’ils n’ont pas besoin de connaître ou à des services qui ne leur sont plus utiles.

5. Nous avons mis en place une solution d’IAM, notre réseau est sécurisé

Comme nous l’avons évoqué auparavant, les entreprises n’ont souvent rien mis en place pour contrôler
les comptes à très haut privilèges utilisés pour les urgences ou les accès administratifs plus classiques.
En d’autres termes, aucune solution de sécurité existante comme un firewall ou un logiciel d’IAM ne sait
tracer et contrôler les accès à privilèges ; et à moins de posséder une solution dédiée au contrôle des
utilisateurs privilégiés, ça ne sera jamais le cas.

La réalité : Mettez en place des outils capables de répertorier tous les comptes à privilèges, surveillez
les actions douteuses, auditez l’ensemble des activités et contrôlez leur administration.