Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Nouveau rapport CyberArk sur la réduction rapide des risques liés aux comptes à privilèges

février 2017 par CyberArk

CyberArk dévoile un nouveau rapport d’enquête qui recommande un programme accéléré sur 30 jours afin d’optimiser la protection des comptes à hauts pouvoirs. Il est basé sur des enseignements tirés de piratages majeurs et sur les meilleures pratiques de responsables de la sécurité des systèmes d’information (RSSI) des entreprises du Global 1000.

Le rapport, intitulé « Rapid Risk Reduction : A 30-Day Sprint to Protect Privileged Credentials », s’inscrit dans le cadre du projet CISO View, sponsorisé par CyberArk. Ce projet consiste à effectuer des recherches et à formuler des recommandations entre pairs, dans le but d’aider les équipes à élaborer des programmes de cybersécurité efficaces. Ce rapport est le dernier en date du projet CISO View. Il repose sur la contribution de nombreux partenaires, et notamment des responsables chez ING Bank, CIBC, Rockwell Automation, Lockheed Martin, Starbucks, ANZ, CSX Corporation, Monsanto Company, Carlson Wagonlit Travel, SGX, News UK et McKesson.

Le rapport est également basé sur l’expérience de plusieurs grandes organisations ayant été victimes d’une violation de données. Il contient de plus les recommandations de plusieurs contributeurs invités, comme par exemple des professionnels et des experts de la sécurité ayant joué un rôle clef dans le blocage de cyberattaques.

Limiter et contrôler les comptes à privilèges

Les pirates informatiques continuent de démontrer leur capacité à exploiter des comptes à hauts pouvoirs afin d’atteindre et de dérober des informations sensibles. Dans les incidents analysés pour ce rapport, les hackers ont réussi à subtiliser des identifiants d’administrateurs Windows au niveau du domaine en exploitant des failles récurrentes. C’est pourquoi la sécurisation de ces comptes est l’une des premières actions que prennent les organisations suite à une violation pour restaurer la confiance en leur infrastructure IT.

« Une fois infiltré dans le réseau, la première préoccupation d’un cybercriminel est de renforcer ses privilèges, affirme Jim Connelly, Vice-Président et RSSI chez Lockheed Martin. En l’absence de bonnes pratiques par les employés de l’entreprise, il lui est très facile de parcourir instantanément l’ensemble du réseau. »

L’étude identifie des modèles d’attaque récurrents et des pratiques à adopter en conséquence pour éviter des failles de sécurité.

Le programme 30 jours express

Basé sur des expériences effectives, le rapport recommande une méthode accélérée afin de réduire la profusion de comptes à privilèges dans les environnements Windows. Celle-ci consiste à déployer en priorité des contrôles au niveau des administrateurs réseaux pour obtenir des résultats visibles dès 30 jours :
• Identification rapide des comptes – Localisation des comptes administrateurs dans Windows à l’aide d’Active Directory et des groupes d’administrateurs locaux existants.
• Sécurisation prioritaire des comptes à risques – Mise en place prioritaire de contrôles au niveau des comptes les plus puissants, comme ceux des administrateurs de domaines ou qui ont accès à un grand nombre de terminaux, ainsi que les comptes d’applications qui utilisent les privilèges des administrateurs de domaines.
• Gestion réaliste des nombreux comptes existants – Mise en place rapide de contrôles basiques qui seront renforcés au fil du temps. Par exemple, les comptes créés pour de simples utilisateurs ne devraient avoir aucun privilège d’administration, mais les victimes d’une attaque disent qu’il s’agit là d’une politique très difficile à mettre en place et à respecter, en raison du grand nombre de postes de travail.

Les recommandations incluent notamment une reconfiguration des comptes afin de mieux séparer les tâches, une plus grande sécurisation des mots de passe administrateurs avec un système de chambre forte et une authentification à plusieurs facteurs pour accéder à ces mots de passe. Une suppression des éventuels privilèges administrateurs accordés est aussi conseillée, ainsi que la mise en place d’outils de détection qui pourront déceler tout mouvement latéral ou toute escalade de privilèges en temps réel.

« Le rapport CISO View devrait être lu par les équipes responsables de la sécurité qui souhaitent protéger de façon proactive leur organisation face aux cybermenaces les plus courantes. Selon les informations récoltées sur le terrain et les témoignages des participants, les premiers résultats sont visibles dès 30 jours, déclare Gerrit Lansing, Chief Architect chez CyberArk. La collaboration et la transparence sont deux éléments décisifs dans la lutte contre les cybermenaces, et ce sont les moteurs clés de l’initiative CISO View. Nous ne remercierons jamais assez les experts et responsables de la sécurité qui ont contribué à cette enquête afin d’optimiser les stratégies de sécurité dans les entreprises. »


Le rapport CISO View a été réalisé en collaboration avec un bureau d’étude indépendant, Robinson Insight.

A propos des contributeurs de l’étude
Les contributeurs invités incluent notamment John Gelinne, Directeur exécutif des services d’assistance en cybersécurité chez Deloitte & Touche, et Gerrit Lansing, Architecte principal chez CyberArk, qui ont tous deux contribué à la reprise sur sinistre de nombreuses grandes organisations. Les responsables de la sécurité de plusieurs grandes entreprises victimes de cyberattaques ont également participé. Pour des raisons légales, ces personnes ont contribué à cette étude à titre anonyme.


Voir les articles précédents

    

Voir les articles suivants