Les entreprises peinent à maîtriser les droits des utilisateurs
Le principle du moindre privilège est une pratique de référence régulièrement prêchée par les experts du contrôle d’accès. Mais, selon une étude récente, de nombreuses entreprises peinent encore à contrôler et à superviser les droits d’accès des utilisateurs.
Dans le cadre de sa récente étude « Privilege Gone Wild », BeyondTrust a interrogé 265 responsables de la sécurité et ingénieurs systèmes/réseau au sujet de la gestion des privilèges et des droits d’accès accordés aux utilisateurs dans leurs entreprises. Les résultats ont monté que de nombreux employés disposent de droits d’accès dépassant ceux dont ils ont effectivement besoin dans le cadre de leurs missions, exposant ainsi l’entreprise à une multitude de risques superflus.
De fait, lorsqu'on leur demande si des employés au sein de leur organisation disposent de droits d’accès dont ils n’ont pas besoin, 45 % des professionnels de l’IT sondés répondent « oui ». Et plus de 80 % des répondants pensent que les utilisateurs sont plus ou moins susceptibles d’accéder à des informations sensibles par simple curiosité. Plus inquiétant, 65 % des sondés expliquent que leur organisation a mis en place des contrôles pour superviser les droits d’accès. Mais plus de la moitié d’entre eux affirment qu’ils sont en mesure - ainsi que d’autres, dans l’entreprise - de contourner ces contrôles.
Marc Maiffret, directeur technique de BeyondTrust, a été choqué par ces résultats. Il relève que les professionnels de la sécurité prêchent l’importance d’une gestion active des droits des utilisateurs depuis 15 ans et qu’il avait tendance à penser que les organisations le faisaient effectivement. Las, les résultats de l’étude suggèrent que de nombreuses entreprises échouent encore à administrer correctement les privilèges des utilisateurs. « Cela m’a ouvert les yeux : les entreprises ne font pas autant que, honnêtement, je l’aurais imaginé », résume Maiffret.
Il est en particulier déçu que le concept largement discuté du moindre privilège - selon lequel un utilisateur ne devrait pas avoir plus de droits d’accès que le strict minimum nécessaire à la réalisation des tâches qui lui incombent - ne soit pas adopté par plus d’organisations. Deux tiers des professionnels sondés admettent que leurs organisations sont au moins susceptibles de fournir aux utilisateurs des droits d’accès dépassant le périmètre de leur rôle en son sein.
Pour Maiffret, cette situation est souvent le résultat d’applications qui ont besoin de fonctionner avec des autorisations élevées. Et dans ce cas, les DSI accordent généralement aux utilisateurs des droits d’administration locale sur leur portable ou leur station de travail, ce qui rend la machine plus vulnérable à d’éventuels logiciels malveillants, et risque de fournir à un attaquant des privilèges supplémentaires qu’il pourrait utiliser pour se déplacer sur le réseau de manière furtive.
Toutefois, Maiffret a concédé que les versions de Microsoft Windows en configuration d’origine ne fournissaient pas aux administrateurs les contrôles granulaires nécessaires pour permettre aux utilisateurs de lancer des applications précises avec des autorisations élevées, limitant ainsi la capacité des organisations concernées à apporter une solution à la situation sans pénaliser la productivité des utilisateurs.
L’audit des privilèges est un autre domaine problématique de la gestion des droits d’accès pour de nombreuses organisations. Maiffret évoque ainsi un récent client de BeyondTrust doté d’un environnement majoritairement Windows avec quelques systèmes Linux qui étaient administrés comme des serveurs individuels hors du cadre de l’annuaire Active Directory (AD). Ce client avait fourni à un employé des autorisations spéciales sur ces serveurs. Mais un an après, l’employé en question a quitté l’entreprise et le client a découvert que son compte était encore actif, quoique non utilisé.
Maiffret relève que de nombreuses organisations échouent à suivre les autorisations spéciales et autres comptes à usage spécifique, par exemple sur des serveurs de fichiers appartenant à des domaines différents. Il recommande tout particulièrement que les entreprises examinent attentivement les privilèges donnés à tout utilisateur lors de son départ de l’organisation. Si les entreprises sont suffisamment conscientes du risque pour désactiver le compte principal d’un ancien employé dans l’annuaire AD, certains comptes spécifiques et isolés sont souvent oubliés. Tous ces comptes, gérés hors de l’annuaire, constituent des cibles tentantes pour les attaquants : ils ne sont pas soumis aux mécanismes d’application des politiques relatives aux mots de passe et peuvent être faciles à pirater.
Enfin, Maiffret espère que le sondage de BeyondTrust permettra d’accélérer la prise de conscience auprès des professionnels de l’IT : « les experts de la sécurité rappellent régulièrement l’importance des utilisateurs et de ce à quoi ils accèdent, avec quels droits, et celle de ne pas faire fonctionner les postes de travail et les applications avec des droits d’administrateur. Mais il y a là une déconnexion : tout le monde en parle, mais dans la plupart des cas, ce n’est pas appliqué. »
Adapté de l’anglais par la rédaction