Chaque couche superposée d’un mille-feuille offre une expérience inoubliable. C’est aussi le cas pour l’informatique d’entreprise, une infrastructure diversifiée et conçue sur mesure où chaque application doit pouvoir fonctionner sur le serveur, la machine virtuelle (VM), le conteneur ou la base de données, selon la tâche souhaitée.
À l’instar d’un mille-feuille, l’infrastructure d’entreprise moderne est multicouche. Sa fondation est constituée par les serveurs Linux et Windows, toujours indispensables pour l’exécution locale de diverses applications et qui ont fait leurs preuves. Il existe aussi une couche constituée des VM hébergées dans le cloud, où les entreprises transfèrent les applications par souci d’efficacité opérationnelle, puis celle des applications SaaS, qui donnent aux équipes les moyens de travailler dans de bonnes conditions et celle des conteneurs et des fonctions sans serveur exploitées par les applications cloud natives d’une entreprise. Enfin, il y a la couche de gestion du cloud, qui est à la fois la plus riche en options et la plus risquée, puisque c’est celle où les ingénieurs et les administrateurs lancent ou modifient des configurations via une console ou une interface de ligne de commande (CLI).
Ainsi, sécuriser les identités qui disposent d’un accès à hauts risques à chacune de ces couches nécessite des contrôles adaptés, un système de protection spécifique ainsi que des programmes de gestion des accès à privilèges.
Les entreprises, pour protéger leurs ressources les plus sensibles, doivent se doter de solutions sur mesure pour chaque couche de l’infrastructure informatique moderne. De fait, la gestion des accès à privilèges peut contribuer à sécuriser l’entièreté de ce « mille-feuille » informatique.
Sécuriser les workloads sur les serveurs
Peu importe la saveur d’une pâtisserie, si cette dernière ne repose pas sur des bases solides. De nombreuses entreprises gèrent toujours directement une grande partie des infrastructure Linux et Windows, des bases de données et même des mainframes dont dépendent des applications qui ont fait leurs preuves. C’est particulièrement vrai dans les secteurs hautement réglementés et les métiers où l’informatique à faible latence est essentielle, comme la finance, l’énergie et l’industrie manufacturière. Même lorsque les entreprises transfèrent ces systèmes établis vers le cloud, pour réaliser des économies opérationnelles, beaucoup d’entre elles adoptent une approche « lift-and-shift » consistant à les réhéberger sans modifications significatives. En effet, ces systèmes donnant toujours satisfaction, il n’est pas nécessaire de les reconstruire et leur déplacement de serveurs locaux vers des machines virtuelles hébergées dans le cloud peut suffire.
Les meilleures pratiques de gestion des accès à privilèges, telles que la rotation automatisée des identifiants et le principe du moindre privilège, permettent de réduire le risque de vol d’identifiants, mais aussi d’assurer la conformité de la sécurité informatique ou de bénéficier d’une couverture d’assurance. C’est pourquoi, à l’instar d’un savoureux mille-feuille, un bon programme de sécurité des identités doit comporter plusieurs couches. Outre la protection des identifiants, il est essentiel d’appliquer également d’autres bonnes pratiques de la gestion des accès à privilèges, telles que leur supervision et leur isolation. Ceci permet ainsi de déjouer certaines menaces internes, tout en bloquant les ransomwares et autres logiciels malveillants ciblant les machines virtuelles.
La gestion des accès à privilèges pour les workloads VM
La plupart des machines virtuelles sont éphémères, ainsi les entreprises peuvent exécuter leurs workloads sans avoir à consacrer du temps et de l’argent à la maintenance de l’infrastructure. Bien qu’il soit parfois nécessaire de prévoir une administration à « haut risque », peu d’organisations créent des comptes dédiés au niveau du système, avec les risques associés, pour l’accès à ces machines éphémères. C’est pour cette raison que les programmes de gestion des accès à privilèges jouent un rôle important dans la sécurisation de l’accès à ces infrastructures.
Lorsqu’un accès à des systèmes spécifiques autogérés est nécessaire, l’accès à privilèges opérationnels peut être élevé selon la modalité « juste à temps » (JIT) pour réduire le risque de vol d’identifiants. Ceci contribue à réduire le nombre de privilèges permanents. Ainsi, les utilisateurs finaux auront la possibilité de se connecter exclusivement aux ressources appropriées. En outre, comme les mots de passe des utilisateurs ne sont pas liés à des privilèges permanents, le risque de vol d’identifiants s’en trouve considérablement réduit. Toutefois, l’absence d’identifiant à dérober n’équivaut pas à l’absence de confiance. Afin d’adopter une approche Zero Trust pour l’accès au cloud, les bonnes pratiques de gestion des accès à privilèges consistent à réduire le niveau de confiance en vérifiant en permanence et en appliquant les principes de moindre privilège et de l’isolation des sessions.
La protection des services cloud dans le cloud
Puisqu’ « un grand pouvoir implique de grandes responsabilités », il est essentiel de protéger les accès les plus stratégiques dans le cloud public. Dans ce cas, l’approche JIT peut contribuer à réduire le risque de vol d’identifiants. Or, une fois l’accès élevé, les équipes de développement disposent de droits illimités pour activer ou supprimer les systèmes de leurs choix. C’est pourquoi de nombreuses entreprises adoptent un nouveau concept de sécurité appelé « zéro privilèges permanents » (ZSP) pour protéger leurs équipes de développement sans les ralentir. Dans ce modèle, les ingénieurs peuvent élever l’accès JIT exclusivement aux rôles dotés des autorisations requises pour les tâches désignées.
Ainsi, les risques sont réduits de manière significative, selon une logique de défense en profondeur. Tout d’abord, les développeurs ne disposent pas d’identifiants avec un accès permanent, ils ne peuvent donc pas être volés. Deuxièmement, même si les développeurs deviennent des acteurs malveillants en interne ou si leur accès est compromis, leurs autorisations sont limitées, ce qui réduit le rayon d’action de toute attaque de leur part.
Accès aux applications SaaS à hauts risques
Toutefois, les risques ne se limitent pas aux environnements d’infrastructure et de logiciels. Ils existent également dans les applications web hébergées dans le cloud et utilisées par chaque membre du personnel, et, un tel accès présente un réel danger, puisqu’il peut être exploité par des hackers ciblant des données sensibles. Les entreprises peuvent superviser cette dernière couche d’accès à haut risque dans le cloud, grâce à la protection des sessions du navigateur web et à des contrôles de supervision. Protéger les sessions permet en effet de se défendre contre leurs détournements et les attaques par vol de cookies. Tout comme pour l’accès à l’infrastructure, cette supervision peut fournir une piste d’audit complète de l’activité de l’utilisateur, afin de satisfaire aux exigences de conformité et décourager toute utilisation abusive en interne.
La gestion des secrets
Les humains ne sont pas les seuls nécessitant des accès à privilèges en environnements multicloud. C’est aussi le cas des identités machines, telles que les comptes d’applications et les bots RPA, qui utilisent également des identifiants pour authentifier certains processus autonomes. Les entreprises doivent donc gérer les secrets d’application de façon concertée pour réduire le risque que des hackers compromettent les identifiants codés en dur. La centralisation de la gouvernance et de la rotation des identifiants au sein d’une plateforme unique, indépendante du cloud, peut contribuer à réduire ce risque.
L’informatique, comme la pâtisserie, requièrent des ingrédients vitaux, tels que les contrôles intelligents de privilèges, essentiels à chaque couche d’un environnement multicloud. Avec une approche stratifiée de la sécurisation des accès à privilèges, les entreprises peuvent ainsi obtenir un résultat appétissant ; à savoir, une sécurité conviviale qui ne ralentit pas l’activité des ingénieurs. Si cela ne soulève pas le même type d’enthousiasme que peut le faire la perspective de déguster un mille-feuille, cela évite tout de même le goût amer que peuvent laisser certaines mauvaises surprises.
____________________________
Par Jean-Christophe Vitu, VP Solutions Engineer chez CyberArk
puis