Quest propose trois façons de se protéger contre les problèmes de sécurité liés aux comptes super-utilisateur
décembre 2012 par Quest Software
Alors que les cybermarchands et les banques se préparent à une éventuelle recrudescence des atteintes à la protection des données et à la sécurité, les consommateurs prennent des précautions supplémentaires pour protéger leurs informations personnelles. Chaque jour, des personnes se fient à la sécurité des systèmes informatiques des entreprises et des administrations traitant leurs informations personnelles (numéro de carte de crédit ou de sécurité sociale, déclaration de revenus, etc.), partant du principe qu’ils sont équipés des dispositifs de sécurité appropriés pour assurer la protection de ces informations. La sensibilisation aux problèmes de sécurité potentiels est essentielle pour empêcher les actes malveillants, mais trop souvent, des entités publiques et privées constatent à leurs dépens que les risques augmentent lorsque des privilèges administratifs sont exploités, qu’ils le soient en interne ou par des adversaires externes. Quest Software (filiale de Dell) connaît bien les problèmes auxquels les entreprises sont confrontées lorsqu’elles ne contrôlent pas et n’auditent pas correctement les accès administratifs et les comptes « super-utilisateur ».
Lors d’une enquête réalisée en octobre lors du TEC 2012, congrès annuel réunissant des professionnels de l’informatique du monde entier et co-sponsorisé par Quest et Microsoft, la moitié des participants ont déclaré que leur principal problème de conformité est de garantir que les droits d’accès des utilisateurs (y compris des utilisateurs privilégiés) sont appropriés. Dans le cas de la gestion des comptes privilégiés, ce problème s’intensifie lorsque les administrateurs reçoivent les « clés du royaume » avec des droits d’accès anonymes, partagés et très larges aux systèmes informatiques vitaux.
– Dans le secteur privé, l’incapacité à gérer l’accès à l’information et à respecter les exigences de sécurité peut se traduire par des pertes de chiffre d’affaires, l’échec des audits et une mauvaise image de marque.
– Dans le secteur public, la gestion des droits d’accès des utilisateurs est d’autant plus importante que la sécurité nationale est en jeu. C’est la raison pour laquelle la gestion des comptes privilégiés est mentionnée dans de nombreuses normes de sécurité, y compris les normes ISO 27001 et NIST 800-53.
Le rapport d’une nouvelle étude réalisée par Enterprise Management Associates pour le compte de Quest désigne les contrôles d’accès administratifs inadéquats comme constituant « l’une des lacunes les plus flagrantes en matière de gestion des risques informatiques dans de nombreuses entreprises ».
Intitulé Why You Need to Consider Privileged Access Management (And What You May Not Know About It That You Should), ce rapport examine certaines des raisons les plus fréquemment avancées par les entreprises pour justifier cette négligence. Il explique également comment les méthodes actuelles de gestion des comptes privilégiés et les solutions technologiques correspondantes permettent aux entreprises de combler cette lacune, notamment grâce à une gestion flexible des règles, des workflows automatisés et des rapports complets, pour renforcer leur sécurité, assurer leur conformité et améliorer leur efficacité.
Pour aider les dirigeants à éviter ces problèmes de sécurité potentiels, Quest propose trois mesures pragmatiques :
1. Appliquer le principe de la responsabilité individuelle aux opérations des super-utilisateurs
L’accès administratif partagé et non géré n’est pas seulement une mauvaise idée : c’est le meilleur moyen d’exposer une entreprise à des risques inutiles, d’autant plus que ces comptes super-utilisateur ont généralement des pouvoirs étendus sur les systèmes d’exploitation, applications, bases de données, etc. Avec des comptes partagés, un problème de sécurité ou de conformité ne peut être imputé qu’au compte concerné, et non à l’administrateur qui a utilisé ce compte.
Une bien meilleure approche de la maîtrise des risques consiste à octroyer aux administrateurs des droits d’accès uniquement à ce dont ils ont besoin et lorsqu’ils en ont besoin, ni plus ni moins. Les informations d’identification ne doivent être émises que lorsqu’elles sont nécessaires et doivent être accompagnées d’un historique complet indiquant qui les a utilisées, qui a approuvé leur utilisation, ce qui a été effectué avec elles, comment elles ont été obtenues et pourquoi. De plus, le mot de passe doit être changé immédiatement suite à leur utilisation. L’automatisation et la sécurisation de l’intégralité de ce processus permettent de gérer efficacement les accès administratifs dans l’ensemble de l’entreprise. De même, la gestion des comptes privilégiés est essentielle pour permettre aux instances gouvernementales centrales, régionales et locales, de coopérer. Le partage d’informations et la collaboration à l’échelle d’un gouvernement en dépendent.
2. Appliquer le principe du privilège minimal aux accès administratifs
De nombreux comptes administratifs (root sous UNIX, administrateur Windows ou Active Directory, DBA, etc.) fournissent des autorisations illimitées dans leur champ de contrôle et leur partage ouvre la porte aux actes malveillants. Le problème de sécurité de Fannie Mae, largement médiatisé, en est un bon exemple : un employé a utilisé ce type d’accès super-utilisateur pour implanter une bombe logique qui, si elle n’avait pas été découverte, aurait paralysé l’ensemble de l’entreprise et compromis la sécurité des informations personnelles et financières d’environ 1 100 personnes.
Une approche plus prudente consiste à mettre en place une politique qui définit clairement ce que chaque administrateur (ou rôle administrateur) peut et ne peut pas faire avec son accès. Étant donné que ce processus peut être complexe et difficile à appliquer sur des systèmes différents, Quest recommande l’ajout d’outils de délégation granulaire optimisés pour les plates-formes désignées et intégrés avec d’autres technologies de gestion des comptes privilégiés, telles que des technologies de coffre-fort de privilèges, d’authentification à plusieurs facteurs ou de passerelle Active Directory.
3. Simplifier la gestion des comptes privilégiés
L’un des défis généraux de la gestion des comptes privilégiés réside dans la navigation au sein de divers systèmes informatiques, chacun ayant des fonctionnalités et des exigences spécifiques pour la gestion des comptes privilégiés. Il en résulte souvent l’utilisation d’outils spécialisés, ainsi que des règles et méthodes ad hoc de contrôle des accès des comptes privilégiés. Cette approche complique souvent le processus d’audit au point qu’il est difficile de prouver que tous les accès sont contrôlés et que le principe de la séparation des tâches est en place et appliqué.
En revanche, la consolidation de systèmes disparates dans une structure d’identités commune crée un environnement où une approche globale de la gestion des comptes privilégiés peut être appliquée facilement, de façon plus cohérente et à une échelle beaucoup plus grande au sein d’une entreprise. Une telle approche élimine les erreurs dues à la complexité d’une multiplicité de systèmes tout en réduisant les risques et le coût de la gestion de plusieurs systèmes. En outre, la consolidation des fonctionnalités de gestion des comptes privilégiés dans une interface de gestion et de reporting commune améliore l’efficacité.
Selon le rapport EMA mentionné ci-dessus, les entreprises qui cherchent à atteindre un niveau élevé de discipline dans la gestion des configurations et des modifications obtiennent généralement de meilleurs résultats. Elles constatent non seulement une baisse des incidences d’événements de sécurité perturbateurs, mais également une meilleure fiabilité de l’infrastructure informatique, une réduction des interventions informatiques non planifiées, de meilleurs résultats sur le plan des modifications informatiques, de meilleurs ratios serveurs/administrateurs de système, ainsi qu’une augmentation du nombre de projets terminés à temps et en respectant le budget associé.