Les cas de compromission de systèmes d’information d’entreprises par des utilisateurs de comptes à privilèges se multiplient. Pour les entreprises, ces accès privilégiés (dont disposent par exemple les administrateurs réseaux, les consultants IT, les télé mainteneurs, etc.) constituent une réelle menace, qu’elle soit d’origine interne ou externe, puisqu’ils offrent un accès direct au cœur de l’entreprise, à ses ressources, à ses données clés, etc. Comment ces menaces se traduisent elles, comment les repérer, comment se prémunir de la menace interne ? Autant de questions que les entreprises doivent aujourd’hui se poser pour se prémunir de graves atteintes à leurs ressources.
Les utilisateurs privilégiés sont responsables, ou a minima blâmables, dans de plus en plus de cas de piratages de SI. Un exemple désormais incontournable, celui du dénonciateur Edward Snowden, l’ancien Ingénieur et administrateur réseaux à l’Agence Nationale de la Sécurité (NSA), qui grâce à sa position d’utilisateur privilégié a orchestré la plus grande fuite d’informations de tous les temps.
Autre cas célèbre, le piratage considérable des données du géant de la distribution américain Target, qui a été mené par des hackers ayant eu accès au réseau grâce à une source interne.
Beaucoup d’incidents de sécurité informatique commencent au sein même de l’entreprise, et résultent d’un abus de privilèges. Ces incidents peuvent être le fruit d’activités malveillantes de salariés, mais également de hackers externes à l’entreprise qui ont pour but d’atteindre un accès privilégié à des données sensibles par le biais de noms d’utilisateurs et de mots de passe, souvent le mot de passe root. Pour les hackers externes, obtenir l’accès aux informations d’identifications de ces utilisateurs privilégiés, qu’ils soient administrateurs réseaux, PDG, etc. peut s’avérer clairement très rentable.
Dans ce contexte, la menace liée aux personnes ayant accès à des renseignements confidentiels et très sensibles, ne cesse de croitre. Et les chiffres confortent les faits puisque selon un rapport de Verizon, 88% des incidents de sécurité touchant le SI sont dus à des abus d’accès privilégiés.
Il est donc crucial pour les entreprises de mettre en place des solutions pour surveiller les intrusions dans leur système et plus particulièrement pour surveiller ceux qui surveillent… Alors que se passe-t-il lorsque survient un incident causé par une personne supposée protéger le réseau contre les attaques ?
Découvrir l’origine de l’incident
Lorsqu’un incident se produit, les entreprises veulent connaître son origine. Ce qui n’est pas toujours simple puisque cela suppose d’analyser des millions de logs, ce qui requiert souvent le support d’experts externes.
Ajouté à cela le fait que plusieurs administrateurs ont un accès commun au même compte à privilèges et partagent le même mot de passe, il devient donc très difficile de déterminer qui est le responsable lorsqu’un incident se produit.
Gérer de manière optimale ces accès requiert généralement une révision de la manière dont la sécurité est assurée. Plusieurs solutions existantes comme le log management, les firewalls, les SIEM, se concentrent sur la conformité et la surveillance de l’environnement IT sur certains points spécifiques à un instant T. Cependant, ceux-ci laissent un angle mort qui offre une possibilité aux utilisateurs de compromettre la sécurité du SI de l’intérieur.
Les administrateurs du système et les autres utilisateurs privilégiés n’ont quasiment aucune restriction quant aux droits d’accès aux systèmes d’exploitations, aux bases de données et aux applications. Par l’abus de leurs privilèges sur le serveur, les administrateurs peuvent directement accéder et manipuler les informations sensibles de l’organisation, comme les finances ou les données CRM, les archives du personnel ou encore les codes de cartes bancaires.
Surmonter ces complexités
La clé pour éviter ce type d’incidents est de se concentrer sur le contrôle du comportement des utilisateurs du système plutôt que de rajouter des couches de sécurité informatique supplémentaires. Les informations sur les habitudes d’usage, comme le temps durant lequel les comptes sont accessibles – ou l’observation des actions sortant des habitudes ou des actions routinières pour trouver des comportements anormaux, peuvent mener vers de potentiels actes criminels.
Les hommes ont des modèles comportementaux très caractéristiques : ils utilisent les mêmes applications, réalisent les mêmes cycles d’opérations dans leur travail, accèdent à des données similaires, etc. Ces interactions avec des systèmes IT laissent une empreinte reconnaissable qui peut être détectée et comprise.
Ces profils peuvent ensuite être comparés en temps réel avec les activités des utilisateurs pour détecter des anomalies. Par exemple si un utilisateur accède uniquement aux applications Office, et se met soudainement à utiliser les lignes de commandes pour sonder le réseau, cela peut être le signe que le compte utilisateur a été piraté par un hacker. De la même manière, si un vendeur se connecte uniquement et habituellement à SalesForce, une nouvelle activité de développement sur le serveur par exemple, pourra être détectée comme un problème.
De nouvelles approches de sécurité sont maintenant disponibles pour permettre à l’entreprise d’analyser l’ensemble des activités de ses utilisateurs, y compris de déceler les événements malveillants, au sein de son système IT. Ceci permet aux entreprises de suivre et visualiser les activités de ses utilisateurs en temps réel pour avoir une meilleure compréhension de ce qui se passe réellement au sein de son réseau.
La capacité de reconstruire facilement et rapidement ces activités permet de réduire leur temps d’investigations et d’éviter des coûts supplémentaires. Avec un nombre incroyable d’incidents de sécurité perpétrés par des utilisateurs privilégiés ou avec leurs accréditations volées comme un nom d’utilisateur ou un mot de passe, il est temps de trouver d’autres approches. Contrôler les comportements des usagers, plutôt que de mettre des couches additionnelles de contrôles informatiques, c’est la clé pour l’identification des incidents et la solution pour contrer les incidents dès qu’ils se produisent.
__________
Györko Zoltan est Président-Directeur Général de BalaBit IT Security