Magazine Information sécurité n° 16 : des privilèges trop précieux pour n’être pas gardés
Les comptes à privilèges ne sont ni plus ni moins que les clés du royaume. Ceux dont le détournement ou le mauvais usage peut mener à la catastrophe. Et leur nombre ne diminue pas avec l’adoption de nouvelles architectures, loin s’en faut.
Le numéro 16 de notre e-zine Information Sécurité dédié aux comptes à privilèges, est sorti. Le premier compte à privilèges auquel on peut être tenté de penser, c’est ce compte root sur son poste de travail Unix/Linux, un serveur ou un autre équipement d’infrastructure. Mais bien sûr, cela ne s’arrête pas là. Cela vaut pour tous les comptes permettant d’aller administrer les actifs du système d’information.
Le contrôle de ces comptes et des accès associés est essentiel, pour comprendre ce qui s’est passé lorsque tout est parti à vau-l’eau, et encore plus pour l’éviter. Après tout, les cyberdélinquants faisant leurs choux gras sur les ransomwares commencent bien par essayer d’élever leurs privilèges locaux et, in fine, prendre la main sur les contrôleurs de domaine avant de déployer leur charge létale… À la manière de menaces avancées persistantes (APT), mais avec une finalité différente.
Les éditeurs spécialistes des solutions de gestion des accès et comptes à privilèges (PAM) l’ont bien compris, à l’instar d’un Thycotic avec son outil Privilege Manager, ou d’un CyberArk, avec Endpoint Privilege Manager qui, tous deux, peuvent aider à mettre en œuvre une stratégie de moindre privilège.
Il faut dit que l’éventail des risques possibles est vaste : destruction des sauvegardes, mise à l’arrêt de systèmes métiers critiques, vol de propriété intellectuelle… Et la multiplication des systèmes n’aide pas. Il peut n’y avoir qu’un compte d’administrateur système sur une machine virtuelle déployée dans un cloud public. Mais quid des comptes administrateurs plus hauts dans la pile logicielle déployée sur cette même machine virtuelle ? Et tous doivent être étroitement protégés.
Sans une stratégie rigoureuse de gestion des comptes à privilèges, la posture de sécurité de l’organisation est invariablement abaissée. Tout autant, voire même plus, que sans approche solide de la gestion des correctifs.
C’est dans ce contexte que nous avons décidé de consacrer le numéro 16 de notre e-zine Information Sécurité à la gestion des comptes à privilèges avec, au sommaire notamment, les pratiques de référence, un panorama de l’offre, le témoignage du créateur d’arômes et de parfums Mane, ou un entretien avec Todd Miller, l’un des principaux développeurs de l’incontournable Sudo.
Télécharger gratuitement le numéro 16 de « Information Sécurité »