Scandale Prism : la NSA a failli dans sa gestion des accès
S’il est une leçon que les entreprises peuvent retenir du scandale Prism, c’est qu’une gestion rigoureuse des comptes à privilèges est essentielle à la sécurité de leurs données.
Edgard Snowden, à l’origine des révélations sur les programmes d’écoute électronique de la NSA, n’a pas eu besoin de se transformer en expert du piratage informatique. C’est du moins ce que révèle Reuters, dans une dépêche, indiquant que Snowden s’est contenté d’utiliser les identifiants de collègues sur une base d’espionnage de Hawaii. Certains d’entre eux ont été identifiés, interrogés, et assignés à d’autres missions.
Selon nos confrères, Edgard Snowden aurait convaincu une vingtaine de collègues de lui fournir leurs identifiants au motif qu’il en avait besoin pour effectuer ses tâches d’administrateur de systèmes. Une illustration supplémentaire de l’importance d’une gestion étroite et rigoureuse des mots de passe, des comptes à privilèges, et des accès qui renvoie à d'autres, à commencer par l'affaire Kerviel ou encore le témoignage de Gwenaël Rouillec, RSIO du groupe Eiffage, lors de l'édition 2010 des Assises de la Sécurité.
Pour mémoire, pour rassurer ses actionnaires, la Société Générale avait, en mai 2008, annoncé réfléchir l’introduction d’un badge unique, mais aussi et surtout à une revision des droits d’accès aux principales applications, au déploiement d’un logiciel permettant aux utilisateurs de stocker de manière sécurisée leurs mots de passe, et enfin d’utiliser un outil d’aide à la détection de fraude, reposant sur une analyse statistique des comportements.
Précédemment, l’incapacité de l’agence de renseignement à déployer un système de prévention des fuites de données développé par Raytheon sur son site d’Hawaii avait été mise en exergue. En la matière, Raytheon propose le logiciel SureView qui permet de superviser l’activité des utilisateurs. Dans le communiqué annonçant sa version 6.7, en mars dernier, l’industriel indiqué que son outil « fournit une attribution irréfutable et sans ambiguité des activités des utilisateurs avec un contexte complet pour rapidement distinguer actions malicieuses et bénignes. » SureView peut s’intégrer à un SIEM. Et sa toute dernière version doit vise à « aider les agences fédérales à respecter les standards de détection de la menace interne. »