Selon le dernier baromètre annuel de l’assureur Hiscox, la France est le second pays le plus touché par les cyberattaques en Europe, avec 52 % d’entreprise ayant subi au moins une attaque l’année passée. Ces campagnes malveillantes sont souvent causées par des ransomwares ou des vols de données, et les cybercriminels se montrent chaque jour plus habiles. Leurs méthodes consistent principalement à obtenir un accès initial à l’environnement IT, à escalader les privilèges ainsi qu’à se déplacer latéralement pour atteindre les actifs critiques. Il est donc essentiel de contenir les potentiels mouvements latéraux, afin de limiter les manœuvres des cybercriminels.
Les hackers utilisent un ensemble de techniques pour évoluer progressivement dans l’environnement IT. Pour ce faire, tout commence par l’obtention d’un accès initial, par exemple grâce à un e-mail de phishing et aux droits d’accès ainsi obtenus ; aussi appelé privilèges.
Les comptes à privilèges et les risques associés
En fonction de leurs objectifs, les cybercriminels naviguent sur le réseau pour repérer les cibles, souvent en effectuant de multiples sauts entre différents systèmes. Ces mouvements latéraux peuvent se révéler particulièrement dangereux, car difficile à détecter ; les attaquants tirant parti d’accès à privilèges existants, ces actions peuvent sembler légitime. Ces sauts sont en outre souvent effectués de manière opportune, sans savoir forcément vers où ils mènent, ce qui les rend difficile à prédire.
Aucune solution miracle ne peut empêcher les mouvements latéraux malveillants tout en protégeant l’activité légitime des utilisateurs. Les organisations ont donc recours à une combinaison de méthodes d’atténuation pour mettre en place une défense multicouche ; telles que le renforcement des configurations, la segmentation du réseau, ou encore l’authentification multifacteur. L’un des éléments importants de cette stratégie de défense holistique est la gestion des comptes à privilèges (ou PAM, pour Privileged Access Management).
De la gestion des comptes à privilèges…
Le concept traditionnel du PAM s’articule autour d’une chambre forte, qui renouvelle les comptes d’utilisateurs et les identifiants conformément à la politique en place. Dans le cadre de cette approche, les mots de passe sont modifiés dès que les utilisateurs ont terminé leur session. Le concept de PAM consiste également à supprimer les privilèges élevés des comptes d’utilisateurs ordinaires. Cette approche réduit les chances de réussite d’un mouvement latéral en cas de compromission d’un compte utilisateur sans privilège. Seulement, les organisations conservent parfois des dizaines, voire des centaines, de comptes à privilèges pour effectuer des tâches administratives essentielles dans l’écosystème IT.
Dans la mesure où les cybercriminels adoptent actuellement des tactiques de plus en plus sophistiquées, ces identifiants à privilèges font par conséquent peser de graves cyber-risques sur les entreprises. Ils peuvent en effet être détournées par des attaquants ou utilisées à mauvais escient par des employés, de manière accidentelle ou malveillante. Au fil du temps, la gestion des comptes à privilèges s’est donc muée en gestion des accès à privilèges, qui incorpore des proxies de session, améliorant ainsi la segmentation et la sécurité du réseau, et offre la possibilité d’enregistrer ce qui se passe au sein du réseau, tandis que les comptes eux-mêmes sont conservés dans la chambre forte.
… à la gestion des activités à privilèges
Le concept traditionnel de PAM a donné à beaucoup un (faux) sentiment de sécurité tout en établissant des « privilèges permanents ». Or, dans la plupart des environnements, les attaquants ne s’intéressent pas aux coffres-forts ou aux mots de passe en tant que tels ; ils recherchent, dans un réseau, des actifs qui peuvent être exploités pour accéder à un compte à privilèges et se déplacer latéralement sans être remarqués. L’ensemble des comptes admin que les organisations utilisent au quotidien ont tendance à être dotés de privilèges élevés. Et comme ces comptes conservent généralement leurs privilèges après avoir été utilisés, plus le nombre de comptes à privilèges est élevé, plus les attaquants disposent d’une surface d’attaque étendue, et plus ils ont la possibilité de se déplacer latéralement sur le réseau.
Dans ce contexte, la gestion des activités à privilèges — une évolution du concept traditionnel de PAM — est apparue comme un moyen efficace de réduire les surfaces d’attaque en ligne et de sécuriser les données ainsi que les réseaux contre les mouvements latéraux des cybercriminels. L’objectif est de résoudre le problème des privilèges permanents en ne créant des privilèges que lorsque les utilisateurs en ont besoin.
La meilleure pratique consiste à maintenir l’environnement dans un état aussi proche que possible du zéro privilège permanent, ce qui signifie qu’aucun privilège n’est attribué aux comptes lorsqu’ils ne sont pas utilisés directement. Ces comptes ne présentent alors plus de risque et ne peuvent pas être exploités par des cybercriminels. On parle alors de « privilèges à la demande ». Cette approche permet non seulement de supprimer un moyen de déplacement latéral à disposition d’un attaquant potentiel, mais aussi de se plier aux contraintes de conformité auxquelles les organisations sont soumises.
À l’heure où les cybercriminels perfectionnent de plus en plus leurs méthodes d’attaque, il est indispensable que les organisations soient préparées au mieux. Afin de préserver la sécurité de leurs données, elles doivent rester sur leurs gardes. Il est urgent d’abandonner l’approche conventionnelle du PAM, et de privilégier un accès tout juste suffisant pour effectuer une tâche spécifique et seulement pour la durée nécessaire à l’exécution de cette activité. En effet, il est alors possible de réduire au minimum les risques associés aux différents droits d’accès et plateformes. Les organisations peuvent réduire leur surface d’attaque et ôter aux cybercriminels toute possibilité d’infiltrer les systèmes de sécurité, tout en réduisant considérablement les frais généraux de gestion dans le processus.
___________________
Par Anthony Moillic, Director Solutions Engineering EMEA et APAC chez Netwrix
puis