makspogonii - Fotolia
La gestion des comptes à privilèges reste minée par le manque de rigueur
Deux études récentes soulignent les lacunes dans la gestion de ces comptes particulièrement sensibles. Et cela commence par des approches encore largement artisanales.
Certaines bonnes pratiques de gestion des accès, à commencer par celle du moindre privilège, doivent encore être martelées, assurait récemment, Elizabeth Lawler, vice-présidente de CyberArk. Deux études viennent le confirmer.
La première a été conduite par Dimensional Research, en juillet dernier, pour Venafi, auprès de 410 spécialistes de la sécurité informatique. Selon l’éditeur, elle « révèle l’absence généralisée de contrôle de sécurité des accès SSH » : 61 % des sondés reconnaissent ainsi n’appliquer ni surveillance, ni limitation du nombre d’administrateurs SSH ; 90 % assurent n’avoir pas d’inventaire complet de toutes leurs clés SSH. En outre, plus de la moitié des sondés indiquent ne pas recourir au transfert de port pour leurs services SSH, et autant ne pas restreindre les adresses IP à partir desquelles peuvent être ouvertes des sessions.
One Identity a fait appel au même cabinet, mais avec un éventail de plus de 900 professionnels de la sécurité. Et le bilan n’est guère plus honorable. Certes, 54 % des sondés utilisent un gestionnaire de mots de passe pour administrer leurs comptes administratifs et à privilèges. Mais ils sont 36 % à utiliser un tableur, et même 18 % à s’appuyer sur des supports papier… En France, le premier cas vaut pour 38 % des sondés, et le second pour 18 %.
Et cela ne s’arrête pas là. La découverte des comptes disposant de privilèges trop élevés apparaît encore largement artisanale : pour 43 % des sondés, elle survient à l’occasion d’audits réguliers ; et pour 14 %, « lorsque l’on les cherche ». Seuls 14 % des sondés indiquent disposer d’outils de suivi en continu des privilèges. Et sur les systèmes critiques, 2 % des sondés indiquent ne jamais changer les mots de passe d’administration ou de comptes à privilèges, 22 % moins d’une fois tous les mois ou deux, et 9 % uniquement « dans le cas d’une menace potentielle »… Pire, 40 % des sondés assurent que les mots de passe d’administration sur des matériels et des logiciels « ne sont pas systématiquement changés ».