Gérer et protéger les accès privilégiés pour les domaines Windows Active Directory
Comment établir un niveau de privilège et comment sécuriser les accès à ses comptes ? C’est à ces questions que François Amigorena, fondateur et PDG de la société IS Decisions répond dans cet article. En quoi un outil de gestion des accès privilégiés est-il une bonne solution ?
Les accès privilégiés doivent être sécurisés à tout moment car ils amènent de nombreux risques au sein d’une organisation. Ces risques peuvent provenir d’attaques externes ou d’employés malveillants.
La majorité des organisations voient la gestion des accès privilégiés (PAM – Privileged Access Management) comme une méthode utilisée pour sécuriser les comptes les plus privilégiés (tels que les comptes d’administrateur local Windows, comptes d’administrateur de domaine, comptes de service Active Directory et tout ce qui règne sur la majeure partie de l’environnement réseau). Pourtant, la vraie valeur de PAM consiste à protéger tous les comptes disposant d’un accès aux données, applications et systèmes critiques. En effet, dès lors qu’un compte dispose d’un accès à des données sensibles, privilégiées, protégées ou utiles, il devrait être contrôlé d’une manière ou d’une autre et, dans certains cas, l’accès devrait être refusé si certaines conditions ne sont pas remplies.
1. Protéger tous les utilisateurs privilégiés
Quand on y pense, tous les utilisateurs sont privilégiés. En effet, ils ont tous des droits d'accès et des privilèges particuliers. Prenons par exemple le responsable des ventes : il ne semble pas particulièrement être un utilisateur «privilégié», mais il détient tout de même d'un accès complet à la base de données des clients.
Néanmoins, étendre l’utilisation d’une solution PAM à tous les comptes utilisateurs «non privilégiés» ajouterait une charge supplémentaire, tant à l'utilisateur qu’au service informatique, en rajoutant une étape de sécurité. C’est pourquoi ce n’est pas une option.
Une autre option serait de garantir qu’aucun compte ne peut être utilisé de façon malveillante. C’est ce que fait la Gestion des Connexions en permettant aux services informatiques de «sécuriser, gérer et surveiller» un accès «non privilégié» sans surcharger l'utilisateur.
La gestion des connexions permet d’améliorer la sécurité des accès non privilégiés en :
- Limitant la connexion à un compte grâce à des restrictions d’accès ;
- Notifiant le service informatique lorsque des comptes non privilégiés sont utilisés ;
- Répondant automatiquement à des alertes concernant une activité jugée malveillante.
2. Mieux sécuriser les comptes utilisateurs les plus privilégiés (comptes Système / Admin)
PAM repose sur trois points clairs:
- «Fournir un accès privilégié» ;
- «Satisfaire aux exigences de conformité» ;
- «Sécuriser, gérer et surveiller les comptes et les accès privilégiés».
Chacune de ces exigences repose sur un facteur unique qui ne se trouve pas dans PAM - l'utilisateur doit en premier s'authentifier.
Donc, pour assurer l’efficacité de PAM, il faut dans un premier temps sécuriser la connexion.
Une PAM sécurisée commence par la connexion
Si la solution PAM que vous avez en place croit que vous êtes qui vous prétendez être, vous avez un problème. Dans les deux scénarios suivants, un compte interne est mal utilisé:
- Un employé malveillant utilise les identifiants d'un autre utilisateur. Près de la moitié des employés partagent leurs identifiants avec leurs collègues.
- Un pirate externe compromet les identifiants d'un utilisateur. Près de la moitié des violations de données implique un piratage.
En bref, si l’accès à un compte privilégié est uniquement basé sur le fait qu’il s’agit du compte utilisateur correct, votre PAM n’est pas sécurisée.
Sécuriser PAM grâce à la gestion des connexions
En alliant PAM à la gestion des connexions, vous apportez au service informatique une couche de visibilité nécessaire pour établir si une connexion est appropriée ou non, avant de pouvoir accéder aux comptes privilégiés.
La gestion des connexions permet d’aider PAM de deux façons:
1) Restriction qui ne se trouve pas dans PAM
L’objectif des restrictions est de réduire les risques et la menace. Plus on est près d'un véritable état de moindre privilège, plus le risque d’utilisation malveillante des comptes utilisateurs privilégiés est moindre.
- Limiter l'utilisation des comptes de bas niveau – limiter les ordinateurs, les adresses IP et les types de session auxquels un compte peut se connecter, ainsi que restreindre le nombre de sessions simultanées.
- Restreindre l'utilisation des comptes privilégiés – les connexions par des comptes privilégiés sur des machines Windows peuvent être soumises à leur propre ensemble de restrictions qui s'ajoutent aux restrictions imposées par PAM.
2) Protection contre les informations d’identification compromises
Il peut être utile de surveiller l'activité de connexion pour identifier une activité de compte privilégiée anormale en dehors de celle d'une solution PAM et, éventuellement, de prendre des mesures si une activité malveillante est détectée.
- Surveillance de toutes les activités de connexion – Identification des connexions inhabituelles d’un compte privilégié et notification au personnel informatique.
- Réponse à l'utilisation abusive des identifiants privilégiées – Examen de l'activité des utilisateurs, verrouillage de la session, fermeture du compte et même blocage du compte à se connecter à quoi que ce soit.
La gestion des connexions pour améliorer la sécurité de PAM
Les accès privilégiés représentent une passerelle vers les données les plus importantes d’une entreprise. C’est pourquoi, avec les attaques externes, les escroqueries par phishing et les infections de logiciels malveillants, les entreprises sont à la recherche de moyens pour protéger ces accès.
Utiliser un outil de gestion des connexions facilite la tâche du service informatique dans le but de «sécuriser, gérer et surveiller» les accès non privilégiés sans surcharger l'utilisateur. Cela permet d’améliorer simultanément la sécurité mise en place par PAM en augmentant la capacité du service informatique à restreindre l'utilisation du compte privilégié et à y répondre.
Par conséquent, que vous soyez en train de planifier une future implémentation de PAM, ou en train de chercher des moyens d’améliorer la sécurité de la solution PAM que vous possédez - et vous souhaitez étendre la sécurité aussi loin que possible dans le chemin «non privilégié» -, pensez à sécuriser vos connexions en utilisant la gestion des connexions.
François Amigorena est le fondateur et PDG de IS Decisions, et un commentateur expert sur les questions de cybersécurité