Découvrez l’édition du mois de mai de notre Bulletin Cyber, un condensé des dernières attaques par ransomware et les différents aspects de sécurisation des actions utilisateur.
De nos jours, la diversification du patrimoine SI (cloud, on-premise et hybride) et l’ouverture de son administration vers des nouveaux acteurs - infogérants, partenaires, sous-traitants, administrateurs cloud - ont complexifié considérablement la maîtrise des flux d’administration. L’apparition de nouveaux cas d’usage (IoT, IA, DevOps, OT) a engendré la prolifération de nouveaux automates nécessitant des accès à privilèges non interactifs comme des iBot, services, scripts ou playbooks DevOps.
Cette prolifération des acteurs à privilèges élargit fortement la surface d’attaque. En effet, les cyberattaquants ciblent de plus en plus ces comptes privilégiés afin d’obtenir un accès étendu aux actifs les plus importants. Malheureusement, ces comptes sont souvent protégés par des politiques de sécurité faillibles : complexité de mot de passe simple, secrets partagés par plusieurs acteurs, absence de rotation de mot de passe, traçabilité limitée des activités privilégiées, etc.
Qu’est-ce qu’un accès privilégié ?
À l’apparition des solutions de gestion d’accès à privilèges (PAM), il était convenu que ces derniers ne désignent essentiellement que les comptes d’administrations techniques (root, administrateur) qui servent à opérer l’infrastructure IT des entreprises, tels que les serveurs, les équipements réseaux, les bases de données et les composants de sécurité.
Cette approche qui consiste à cerner les accès à privilèges dans un périmètre d’infrastructure technique n’est aujourd’hui plus d’actualité. Avec l’expansion des services SaaS, des réseaux sociaux et des environnements cloud, la nature des accès à privilèges s’étend désormais vers de nouvelles dimensions :
- L’accès d’un Community Manager aux différents réseaux sociaux de l’entreprise, qui sont désormais considérés comme des accès à privilèges. Un hacktiviste, en compromettant ce type de compte, peut publier des messages en contradiction avec les valeurs de l’entreprise et entacher son image et sa e-réputation.
- L’accès à la propriété intellectuelle et aux données sensibles (p. ex., formules, modèles, données sur les clients, IPI) pourrait avoir une incidence importante sur les états financiers et perpétrer des fraudes.
- Un accès privilégié aux ressources et aux services métiers (CRM, ERP, etc.) pourrait tenter un administrateur malveillant de contourner les contrôles, mettre à jour les informations bancaires des fournisseurs ou inverser les transactions.
- Le compte de service utilisé par une plateforme DevOps pour l’instanciation à la volée d’une VM, plateforme ou service.
- Les accès distants d’opérateur industriels pour assurer le support et la maintenance des machines.
Quels sont les principaux risques associés aux accès à privilèges ?
La prolifération des privilégiés et le manque de visibilité et de contrôle de ces comptes augmentent considérablement la surface d'attaque pour les personnes malveillantes internes ou externes. Les entreprises et les clients qui ne renforcent pas la sécurité de ces accès à privilèges sont confrontés à trois risques majeurs :
Quel sont les facteurs clés de succès des projets PAM ?
Le projet de sécurisation des accès à privilèges ne devrait pas être adressé uniquement à travers la mise en place technique d‘une solution PAM, mais doit s’inscrire dans un projet de gouvernance et de revue des processus d’accès à privilèges de bout en bout, depuis les postes d’administrations jusqu’aux ressources cibles. Il est important de construire une roadmap projet basée sur des quick-wins et qui précise à chaque étape du projet notre niveau d’atténuation des risques précédents.
A travers nos retours d’expérience, nous partageons avec vous quelques facteurs clés de succès de ce type de projet :
- Percevoir le projet PAM comme étant un projet d’organisation et non seulement la mise en place d’une solution technique.
- Inscrire la solution PAM dans une approche d’identité numérique à 360° en l’intégrant avec les autres composants de l’écosystème d’identité : solution de gouvernance des identités (IGA), gestion des accès (AM), SIEM, ITSM et la CMDB.
- Cartographier et prioriser les accès à privilèges et les actifs critiques.
- Analyser les habitudes d’administration des différentes populations et proposer des cas d’usage qui renforcent la sécurité des accès à privilèges et en même temps ne dégradant aucunement l’expérience utilisateur.
- Définir une stratégie d’accompagnement au changement adaptée à chaque population afin de valoriser les apports de la solution PAM.
- Définir une stratégie de déploiement scalable & itérative reposant sur les populations, leurs actifs et les fonctionnalités PAM.
- Concevoir une procédure “Bris de glace » pragmatique qui sera déclenchée en cas d’indisponibilité de la plateforme PAM pour se prémunir d’une situation de black-out.
- Mettre en place une organisation et une gouvernance du RUN et évaluer la charge nécessaire au maintien en conditions opérationnelles de la plateforme, permettant d’éviter un décalage dans la durée entre les attentes des administrateurs et les services offerts par la solution PAM.
Pour aller plus loin
Les dirigeants, les conseils d'administration et les responsables de la cybersécurité ne sont pas toujours informés des menaces que suscitent les nouvelles formes émergentes de cybercriminalité. Ce bulletin propose une vision claire de ces menaces, qu’elles soient sectorielles, informatiques ou mobiles. Il présente les dernières tendances ainsi qu’une version synthétique des rapports proposés chaque semaine à nos clients. N’hésitez pas à nous contacter pour plus d’informations
Nos atouts
- Le Lab : 600m2 dédiés à la recherche et au développement à l’innovation et à la transformation numérique.
- War Room : Un environnement hautement sécurisé exploitant des solutions collaboratives et des technologies propriétaires innovantes.
- Cyber Teams : L’équipe EY France cybersécurité est composée d’experts pluridisciplinaires, proposant des solutions nouvelles pour résoudre des problématiques stratégiques pour nos clients.
- CyberEye : Une solution leader de Cyber Threat Intelligence solution, apportant une connaissance précise des cybermenaces pouvant toucher les entreprises.
- ASC and CTI : Nos 63 Advanced Security Centers, situés dans de nombreux pays, partagent des renseignements opérationnels et centrés vers les entreprises pour notre Cyber Threat Intelligence.
Ce qu’il faut retenir :
De nos jours, la prolifération des acteurs à privilèges élargit fortement la surface d’attaque. En effet, les cyberattaquants ciblent de plus en plus ces comptes privilégiés – dont les politiques de sécurité sont souvent faillibles – afin d’obtenir un accès étendu aux actifs les plus importants. Dans cette nouvelle édition du Bulletin Cyber, les experts EY partagent les facteurs clés de succès des projets PAM, destinés à la meilleure sécurisation des accès à privilèges.
Inscrivez-vous à notre newsletter
Ne manquez pas les prochaines éditions du Bulletin Cyber, inscrivez-vous à notre newsletter mensuelle.