SecurityInsider
Le blog des experts sécurité Wavestone

Les comptes à privilèges, un maillon faible de la sécurité du système d’information


La  multiplication des attaques ces dernières années sur les systèmes d’information, aussi sophistiqués soient-ils, remet la gestion des identités et des accès au cœur de la sécurité des SI. Qui peut accéder à quelle information et quel est son niveau d’accès ? Ce sont des questions primordiales puisque l’administration des SI est le plus souvent confiée aux mains de quelques utilisateurs privilégiés et doit ainsi le rester.
À l’heure de l’externalisation et de l’infogérance, le SI devient plus flexible et plus ouvert et se retrouve par conséquent plus vulnérable aux attaques des pirates. L’objectif de ces attaques est généralement de pénétrer le SI d’une entreprise afin de voler, voire détruire des informations sensibles, sans qu’aucun système de sécurité mis en place ne puisse détecter cette intrusion.
Ainsi, si une telle attaque venait à se produire, la traçabilité et l’historisation des accès permettraient de connaître l’identité des personnes connectées sur le réseau au moment des faits et quelles ressources elles utilisaient. Il est donc essentiel d’assurer le stockage et l’intégrité de ces fichiers, comme le stipulent les différentes réglementations (ISO 27001, CNIL, PCI-DSS, …).

 

D’où proviennent les menaces liées aux comptes à privilèges ?

Les menaces générées par les comptes à privilèges proviennent de trois sources de risques :
  • Menaces d’origine interne : collaborateur malveillant, trop curieux ;
  • Menaces d’origine externe : pirate passionné, militant agissant de manière idéologique ou politique ;
  • Menaces d’origine accidentelle : erreur de configuration, de manipulation lors d’une mise à jour d’un système.

Ainsi, dans le contexte actuel où la majorité des grands comptes sous-traitent l’administration et la surveillance de leurs systèmes, leur objectif est de contrôler les risques issus de ce nouveau contexte.

Quelle approche faut-il donc adopter pour couvrir tous ces risques d’origines variées ?

« Maitriser les risques liés aux comptes à privilèges, c’est avant tout maitriser les droits de ses utilisateurs. »

De ce fait, pour se prémunir contre de telles menaces, il est de bonne pratique de mettre en place :
  1. Un modèle d’habilitation adapté aux métiers : quels utilisateurs sont autorisés à se connecter ?
  2. Un suivi régulier des audits de sécurité : quels utilisateurs se sont connectés ?
  3. Une bonne maitrise des traces du système : quelles ont été les ressources consultées ?
A contrario, le cheminement est inversé lorsque l’attaque a eu lieu. Il convient alors :
  1. D’évaluer les dégâts et de répertorier les actions réalisées sur le SI par l’étude des traces ;
  2. D’identifier la source de l’attaque par une réalisation d’un audit ;
  3. De s’interroger sur la viabilité du modèle d’habilitation mise en place.

 

Choisir sa solution pour tracer et contrôler l'accès à son SI

L’objectif est de mettre en place des solutions pour contrôler les risques liés aux comptes à privilèges, mais par où faut-il commencer ? Une première brique essentielle : le socle central d’accès.

Définition
Le socle central d’accès constitue l’élément central du SI par lequel circulent les flux en provenance des utilisateurs (interne, externe, administrateur) et en direction des environnements de production ; une sorte de relais entre l’utilisateur/administrateur et les données de l’entreprise.

Il devient ainsi très important de faire le choix d’un mécanisme d’accès à ce socle central, élément stratégique et sensible du système d’information. Ce mécanisme d’accès permettra de contrôler l’accès au socle pour administrer les serveurs de production, les équipements réseaux et les flux, ce qui ne va pas sans impacts sur l’architecture du système d’information. La solution choisie doit donc prendre en compte l’environnement technique, les habitudes des administrateurs et des logiciels historiquement utilisés.
Nous constatons une tendance notable chez nos clients quant au choix du mécanisme d'accès au socle central : le "bastion" d'administration. Il peut prendre plusieurs formes :
  • Un accès au socle central via un proxy permet aux comptes à privilèges d’utiliser au choix les outils et protocoles voulus tout en permettant l’analyse du trafic ;
  • Un accès au socle central via un serveur de rebond propose aux administrateurs un accès centralisé via un point d’entrée unique grâce à une palette d’outils d’administration, ce qui permet de maitriser les applications et protocoles utilisés sur le réseau ;
  • Une solution par VPN offre un accès sécurisé au socle central, ne contraint pas les protocoles autorisés mais rendra l’analyse de trafic plus complexe.




Alternativement aux tendances constatées, il existe d’autres types de solutions pour gérer l’accès au socle central, comme la mise en place d’un annuaire centralisé, d’un coffre-fort de mot de passe, d’une authentification renforcée ou encore de renforcer le cloisonnement du réseau.

La bonne question à se poser à présent semble être : quel risque souhaitons-nous maîtriser en priorité au vu des menaces générées par les comptes à privilèges ? Le choix de la solution pour tracer et contrôler l’accès à son SI va dépendre des risques identifiés comme prioritaires ainsi qu’un certain nombre de paramètres comme le périmètre technique et l’impact sur la conduite de changement.

Mettre en œuvre une solution, mais comment ?


La conduite du changement est un facteur clé de la réussite d’un projet de transformation.
 

Nous avons identifié une démarche relative à la gestion des comptes à privilèges qui se décompose en trois étapes :
  1. Définir les besoins et le niveau de preuve : nos processus d’habilitation sont-ils toujours viables ? Quelles données issues des audits sont à prendre en compte pour gérer nos risques ? De quel niveau de finesse avons-nous besoin en termes de traçabilité des accès et des opérations ?
  2. Définir le périmètre technique : sur quel périmètre technique les risques identifiés peuvent-ils s’appliquer ? Quels sont les prérequis pour interfacer la solution sélectionnée avec le système existant ?
  3. Définir le cadre légal et la conduite du changement : identifier la population d’administrateurs impliquée, dialoguer avec les administrateurs, mettre en évidence les risques et les incidents précédents qui ont amené à ce choix de transformation et être le plus transparent possible avec les administrateurs.

La conduite du changement a pour but de permettre à l’administrateur de mieux appréhender sa mission qui consiste à assurer le bon fonctionnement et la sécurité des ressources informatiques placées sous sa responsabilité. Il convient alors pour l’entreprise de se doter d’une « charte administrateur » pour fixer les droits et les devoirs que l’administrateur s’engage à respecter dans le cadre de l’exercice de sa fonction. Le déploiement de cette « charte administrateur » comprend plusieurs aspects :
  • La sensibilisation : communiquer de manière claire et transparente à travers un support adapté (plaquette, triptyque, formation, wiki, etc.) à la typologie de population visée (employés, prestataires, sous-traitants, etc.) sur la volonté commune de renforcer la sécurité du système d’information ;
  • La méthodologie : intégrer la sensibilisation des administrateurs dans les processus existants (arrivée, octroi d’habilitations, etc.) pour assurer un déploiement pérenne ;
  • L’engagement contractuel : impliquer les ressources humaines et les fonctions juridiques afin que l’engagement des administrateurs ne soit pas seulement personnel mais également contractuel. L’administrateur s’engage à respecter la législation en vigueur ainsi que les règles de la « charte administrateur ».

L’importance des dégâts que peut engendrer la compromission d’un compte privilégié impose à toute entreprise d’adopter une stratégie claire, évolutive et efficace afin d’assurer la continuité de son activité dans les meilleurs conditions et d’éviter un impact médiatique négatif sur son image de marque. En effet toute entreprise doit, impérativement, se munir d’un « guide d’hygiène informatique » incluant les dispositions à prendre afin d’éviter, de détecter et de répondre à un incident lié à un compte privilégié.
Pour garantir l’efficacité de la stratégie de sécurité déployée, celle-ci doit être revue continuellement pour accompagner l’évolution des risques qui se multiplient à très grande vitesse. Il faut, aussi, planifier une vérification extérieure à l’entreprise à travers des audits réguliers qui permettront d’apporter un regard indépendant sur la stratégie mise en place, en plus de sa mise à l’épreuve par des intervenants internes expérimentés.

Soufiane TARARI

Aucun commentaire:

Enregistrer un commentaire