Le Bulletin Cyber – Mai 2021

Thématiques associées Cybersécurité EY Consulting

Découvrez l’édition du mois de mai de notre Bulletin Cyber, un condensé des dernières attaques par ransomware et les différents aspects de sécurisation des actions utilisateur. 

De nos jours, la diversification du patrimoine SI (cloud, on-premise et hybride) et l’ouverture de son administration vers des nouveaux acteurs - infogérants, partenaires, sous-traitants, administrateurs cloud - ont complexifié considérablement la maîtrise des flux d’administration. L’apparition de nouveaux cas d’usage (IoT, IA, DevOps, OT) a engendré la prolifération de nouveaux automates nécessitant des accès à privilèges non interactifs comme des iBot, services, scripts ou playbooks DevOps.

Cette prolifération des acteurs à privilèges élargit fortement la surface d’attaque. En effet, les cyberattaquants ciblent de plus en plus ces comptes privilégiés afin d’obtenir un accès étendu aux actifs les plus importants. Malheureusement, ces comptes sont souvent protégés par des politiques de sécurité faillibles : complexité de mot de passe simple, secrets partagés par plusieurs acteurs, absence de rotation de mot de passe, traçabilité limitée des activités privilégiées, etc.

Qu’est-ce qu’un accès privilégié ?

À l’apparition des solutions de gestion d’accès à privilèges (PAM), il était convenu que ces derniers ne désignent essentiellement que les comptes d’administrations techniques (root, administrateur) qui servent à opérer l’infrastructure IT des entreprises, tels que les serveurs, les équipements réseaux, les bases de données et les composants de sécurité. 

Cette approche qui consiste à cerner les accès à privilèges dans un périmètre d’infrastructure technique n’est aujourd’hui plus d’actualité. Avec l’expansion des services SaaS, des réseaux sociaux et des environnements cloud, la nature des accès à privilèges s’étend désormais vers de nouvelles dimensions : 

  • L’accès d’un Community Manager aux différents réseaux sociaux de l’entreprise, qui sont désormais considérés comme des accès à privilèges. Un hacktiviste, en compromettant ce type de compte, peut publier des messages en contradiction avec les valeurs de l’entreprise et entacher son image et sa e-réputation.
  • L’accès à la propriété intellectuelle et aux données sensibles (p. ex., formules, modèles, données sur les clients, IPI) pourrait avoir une incidence importante sur les états financiers et perpétrer des fraudes.
  • Un accès privilégié aux ressources et aux services métiers (CRM, ERP, etc.) pourrait tenter un administrateur malveillant de contourner les contrôles, mettre à jour les informations bancaires des fournisseurs ou inverser les transactions.
  • Le compte de service utilisé par une plateforme DevOps pour l’instanciation à la volée d’une VM, plateforme ou service.
  • Les accès distants d’opérateur industriels pour assurer le support et la maintenance des machines.

Quels sont les principaux risques associés aux accès à privilèges ?

La prolifération des privilégiés et le manque de visibilité et de contrôle de ces comptes augmentent considérablement la surface d'attaque pour les personnes malveillantes internes ou externes. Les entreprises et les clients qui ne renforcent pas la sécurité de ces accès à privilèges sont confrontés à trois risques majeurs :

  • Vol de secret d’authentification des accès à privilèges

    Pour s’emparer des identifiants individuels, les cyber attaquants s’appuient sur de l’ingénierie sociale, des Keyloggers (enregistreurs de frappes) ou le vol d’identifiants depuis la mémoire (processus LSASS de Windows par exemple). Pour les accès applicatifs ou machines, les pirates ciblent prioritairement les identifiants codés en dur dans les référentiels de code sources tel que GitHub, les fichiers de stockage des secrets cloud utilisés par interface CLI (AWS CLI) et également les fichiers de configuration d’outils d’automatisation CI/CD tels que Jenkins (Cf. notre Bulletin Cyber du mois d’avril).

    Fonctionnalités PAM permettant d’atténuer ce risque :

    • Centralisation des comptes à privilèges dans le coffre-fort
    • Isolation des sessions et rupture protocolaire
    • Suppression des secret codés en dur : sécurisation des secrets présents dans des scripts, playbook DevOps dans le module App-to-App
    • Raccordement aux solutions de MFA à travers des protocoles d’authentification (SAML, Radius, etc.)
    • Blocage des vols d’informations d’identification (solution EPM - Endpoint Privilege Management)

  • Mouvement latéral et vertical

    Avec des informations d’identification en main, un cyber attaquant cherchera souvent à pivoter et se déplacer depuis des systèmes moins intéressants vers ceux qui contiennent des informations sensibles. Cela peut prendre deux formes : soit via un déplacement latéral de poste de travail vers un autre dans l’espoir de compromettre une machine d’administrateur avec plus de privilèges, ou bien à travers un déplacement vertical (de postes de travail vers des serveurs) pour se rapprocher de plus en plus des secrets du super administrateur.

    Fonctionnalités PAM permettant d’atténuer ce risque :

    • Rotation automatique des mots de passe et clés SSH
    • Assignation des accès à privilèges au seul besoin identifié et uniquement quand cela est nécessaire (Just in time)
    • Mise en place de la matrice d’autorisation et principe du moindre privilège
    • ·Assignation des droits au besoin (Just in time)
    • Réduction de la surface d’attaque en limitant le périmètre des comptes cibles.

  • Elévation de privilèges

    L’escalade des privilèges est l’étape essentielle et la plus critique dans le scénario d’attaque. Elle consiste à compromettre un compte d’administration qui dispose de plus de droits que celui en possession de l’attaquant. La gestion faillible, le manque de gouvernance et de traçabilité de ces accès à privilèges facilitent le déroulement de cette étape.

    Fonctionnalités PAM permettant d’atténuer ce risque :

    • Mise en place d’une matrice d’autorisation et principes du moindre privilèges
    • Assignation des droits au seuls besoins identifiés (Just in time)
    • Sécurisation des postes de travail avec la solution EPM
    • Enregistrement de session et consolidation des traces dans les systèmes SIEM

Quel sont les facteurs clés de succès des projets PAM ?

Le projet de sécurisation des accès à privilèges ne devrait pas être adressé uniquement à travers la mise en place technique d‘une solution PAM, mais doit s’inscrire dans un projet de gouvernance et de revue des processus d’accès à privilèges de bout en bout, depuis les postes d’administrations jusqu’aux ressources cibles.  Il est important de construire une roadmap projet basée sur des quick-wins et qui précise à chaque étape du projet notre niveau d’atténuation des risques précédents.

A travers nos retours d’expérience, nous partageons avec vous quelques facteurs clés de succès de ce type de projet :

  1. Percevoir le projet PAM comme étant un projet d’organisation et non seulement la mise en place d’une solution technique.
  2. Inscrire la solution PAM dans une approche d’identité numérique à 360° en l’intégrant avec les autres composants de l’écosystème d’identité :  solution de gouvernance des identités (IGA), gestion des accès (AM), SIEM, ITSM et la CMDB.
  3. Cartographier et prioriser les accès à privilèges et les actifs critiques.
  4. Analyser les habitudes d’administration des différentes populations et proposer des cas d’usage qui renforcent la sécurité des accès à privilèges et en même temps ne dégradant aucunement l’expérience utilisateur.
  5. Définir une stratégie d’accompagnement au changement adaptée à chaque population afin de valoriser les apports de la solution PAM.
  6. Définir une stratégie de déploiement scalable & itérative reposant sur les populations, leurs actifs et les fonctionnalités PAM.
  7. Concevoir une procédure “Bris de glace » pragmatique qui sera déclenchée en cas d’indisponibilité de la plateforme PAM pour se prémunir d’une situation de black-out.
  8. Mettre en place une organisation et une gouvernance du RUN et évaluer la charge nécessaire au maintien en conditions opérationnelles de la plateforme, permettant d’éviter un décalage dans la durée entre les attentes des administrateurs et les services offerts par la solution PAM.

Pour aller plus loin

Les dirigeants, les conseils d'administration et les responsables de la cybersécurité ne sont pas toujours informés des menaces que suscitent les nouvelles formes émergentes de cybercriminalité. Ce bulletin propose une vision claire de ces menaces, qu’elles soient sectorielles, informatiques ou mobiles. Il présente les dernières tendances ainsi qu’une version synthétique des rapports proposés chaque semaine à nos clients. N’hésitez pas à nous contacter pour plus d’informations

Nos atouts

  • Le Lab : 600m2 dédiés à la recherche et au développement à l’innovation et à la transformation numérique.
  • War Room : Un environnement hautement sécurisé exploitant des solutions collaboratives et des technologies propriétaires innovantes.
  • Cyber Teams : L’équipe EY France cybersécurité est composée d’experts pluridisciplinaires, proposant des solutions nouvelles pour résoudre des problématiques stratégiques pour nos clients.
  • CyberEye : Une solution leader de Cyber Threat Intelligence solution, apportant une connaissance précise des cybermenaces pouvant toucher les entreprises.
  • ASC and CTI : Nos 63 Advanced Security Centers, situés dans de nombreux pays, partagent des renseignements opérationnels et centrés vers les entreprises pour notre Cyber Threat Intelligence.

Ce qu’il faut retenir :

De nos jours, la prolifération des acteurs à privilèges élargit fortement la surface d’attaque. En effet, les cyberattaquants ciblent de plus en plus ces comptes privilégiés – dont les politiques de sécurité sont souvent faillibles – afin d’obtenir un accès étendu aux actifs les plus importants. Dans cette nouvelle édition du Bulletin Cyber, les experts EY partagent les facteurs clés de succès des projets PAM, destinés à la meilleure sécurisation des accès à privilèges.

Inscrivez-vous à notre newsletter

Ne manquez pas les prochaines éditions du Bulletin Cyber, inscrivez-vous à notre newsletter mensuelle. 

Je m'inscris