QUELS SONT LES RISQUES VIS-À-VIS DES COMPTES À PRIVILÈGES ?

Des études montrent qu’à partir du moment ou un attaquant parvient à prendre le contrôle d’un des comptes à privilèges, deux semaines en moyenne sont suffisantes pour qu’il prenne le contrôle total du SI.
Ce peut-être des référentiels de comptes comme Active Directory ou Azure, qui permettent l’accès à pléthore d’applications ou données non structurées. Leur compromission peut entrainer l’exfiltration de données, l’impossibilité d’accéder à la quasi-totalité du SI ou la suppression pure et simple de leur contenu ce qui force la DSI à rebâtir un référentiel complet, les backups pouvant également être compromis. Provoquant ainsi l’indisponibilité du SI pendant plusieurs heures, voire plusieurs jours.
Sont concernés également les accès à des applications ou serveurs, dans le cloud ou en environnement physique, mais aussi les ressources utilisées aussi par les équipes DevOps qui sont souvent négligées, comme AWS, Jenkins, GitHub, Docker etc…

LES SOLUTIONS DE PAM PLÉBISCITÉES FACE À CES RISQUES NE SONT PAS SUFFISANTES

Pour répondre à ces risques, les entreprises se tournent donc vers des solutions de PAM, Privileged Access Management, comme CyberArk ou Wallix. Des solutions puissantes nécessaires qui permettent de gérer les comptes à privilèges en mettant en place un coffre-fort numérique pour les mots de passe et des systèmes de traçabilité, avec des mécanismes avancés, comme la rotation automatique des mots de passe, l’enregistrement des sessions ouvertes à des fins d’audit post mortem, l’analyse comportementale des utilisateurs.
Bien trop souvent, les entreprises pensent résoudre tous les problèmes liés à la gestion des comptes à privilèges en s’équipant d’une solution PAM, sans se préoccuper de la gestion des utilisateurs accédant à ces solutions.
Mais malheureusement, si la gestion des comptes à privilèges et de leurs accès est parfaitement couverte par ces solutions, le risque initial présent au niveau des comptes à privilèges est déplacé finalement au niveau du compte utilisateur de ces solutions PAM. Ce compte utilisateur devient en effet critique. Qui l’utilise dans l’entreprise ? Est-ce légitime ? Ce compte est-il géré correctement et attribué à bon escient ?
Et même si les capacités de traçabilité et d’analyses comportementales des solutions PAM peuvent être importantes, elles ne permettent que de réagir et non d’être pro-actif. Il est alors souvent trop tard et l’attaquant a pu obtenir ce qu’il attendait en compromettant le compte utilisateur.
Par exemple la gestion des comptes utilisateurs des solutions PAM et des groupes est souvent déléguée à des solutions LDAP tiers comme Active Directory, ce qui fait que le simple ajout d’un compte dans un groupe lui permet d’accéder à des comptes à privilèges. Une erreur de gestion à ce niveau peut être fatale.

L’AUTOMATISATION DE LA REVUE DES ACCÈS ET DES CONTRÔLES DEVIENT INDISPENSABLE

L’automatisation des contrôles devient donc indispensable afin de s’assurer que les bonnes personnes, les personnes légitimes, accèdent aux ressources critiques avec des privilèges élevés, et ce en tenant compte du contexte des identités, du contexte RH.

Voici une liste non exhaustive des contrôles que l’on retrouve fréquemment pour de tels environnements :
• Y-a-t-il des personnes qui ne font pas partie de la DSI et qui ont des accès à privilèges ? Lesquels ? Quelles ressources sont concernées et est-ce légitime ?
• Y-a-t-il des personnes de la R&D qui accèdent en production à des comptes à privilège ?
• Qui peut administrer les groupes AD donnant accès à des comptes à privilèges ?
• Y-a-t-il des personnes qui peuvent à la fois sauvegarder et restaurer un même périmètre, ce qui leur permettrait de frauder ?
• Quels sont les personnes qui ont changé de métier, d’organisation, ou quitté l’entreprise et qui ont toujours accès à des comptes à privilèges ?

Il faut garder en tête que l’entreprise vit – des personnes partent, de nouveaux postes sont créés, des services sont réorganisés – et que le système d’information évolue à grande vitesse via la transformation digitale – explosion des applications cloud, transfert des données non structurées sur des systèmes cloud comme Office 365, mise en place d’infrastructure cloud comme AWS – il est indispensable de pouvoir répondre à ces questions de manière fréquente afin de limiter les risques de compromission.

Grâce à la puissance de son moteur d’analyse et à son modèle de données breveté maintes fois récompensé, Brainwave GRC permet de répondre à ces questions en automatisant ces contrôles de manière continue comme vous pouvez le découvrir au sein de nos webinars, ainsi qu’en automatisant la revue et la re-certification des comptes à privilèges au sein de votre organisation.
De cette façon, les entreprises peuvent s’assurer auprès des personnes responsables de chaque silo technologique que ces accès à privilèges sont légitimes, et le prouver aux auditeurs.

Le sujet vous intéresse ? Inscrivez-vous à nos prochains webinars sur ce sujet sur notre site web https://www.brainwavegrc.com :
– Le 06 Février 17h - Enjeux de la gouvernance des Comptes à privilèges et bonnes pratiques
Lien d’inscription : https://attendee.gotowebinar.com/register/4080657490168115725
– Le 05 Mars 17h - Méthodes et retours d’expérience client sur la gouvernance des comptes à privilèges
Lien d’inscription : https://attendee.gotowebinar.com/register/2956696022325291277