En ce début d’année, a eu lieu la Data Privacy Week, une version internationale et allongée de la Journée européenne de la protection des données. Celle-ci vise à sensibiliser les utilisateurs et les entreprises sur les risques en ligne, mais aussi à leur fournir des stratégies efficaces pour mieux protéger leurs données. Cependant, cette sensibilisation est nécessaire toute l’année, et les équipes IT et cybersécurité doivent rester vigilantes.
En effet, dès les premières semaines de 2024, déjà 18 attaques par ransowmare étaient revendiquées. Alors, malgré les résultats significatifs de ces campagnes, l’actualité souvent très chargée dans le domaine des attaques en ligne montre que les systèmes de protection disponibles ne sont pas encore tout à fait satisfaisants.
Comprendre le principe du moindre privilège
Ce principe est à la base de tout système de sécurité des données. En bref, tout individu, service ou application ne doit recevoir que les autorisations nécessaires à son rôle, et ceci, quels que soient l’expertise technique, la réputation ou le niveau hiérarchique des personnes concernées.
Pour illustrer, les banques sécurisent leurs fonds et actifs en en limitant strictement l’accès. Ainsi, la majorité de leurs employés peuvent uniquement accéder aux zones publiques, tandis que les agents de guichet n’ont accès qu’aux caisses dont la responsabilité leur est confiée. Les conseillers peuvent consulter l’historique de crédit et les revenus en cas de demande de prêt. L’accès à la salle des coffres, qui peut quant à lui contenir des lingots d’or ou d’autres actifs de grande valeur, est réservé à un groupe très restreint, comme certains directeurs d’agence.
Par ailleurs, les données sensibles en entreprise sont gérées comme les fonds en banque, avec des accès différenciés selon les rôles. Les équipes informatiques n’ont pas besoin d’accéder aux bases de données clients, pas plus que les représentants commerciaux n’ont besoin d’accès aux référentiels de logiciels. Les données stratégiques, propriété intellectuelle des dirigeants, sont accessibles à un petit groupe sélectionné avec soin.
Champ d’application et fondamentaux
Alors, toute négligence dans l’application du principe fondamental du moindre privilège met en péril la confidentialité des données de multiples façons. Un utilisateur peut très bien, par exemple, consulter ou modifier un contenu auquel il n’aurait jamais dû avoir accès, que ce soit de façon accidentelle ou délibérée. Le risque est encore plus grand lorsqu’un hacker prend le contrôle d’un compte d’employé, car il peut alors exploiter tous les droits et privilèges associés à ce compte.
De plus, la menace ne se limite pas aux acteurs humains. En effet, les logiciels malveillants héritent des privilèges du compte utilisateur qui les a téléchargés. Par exemple, un ransomware peut chiffrer automatiquement toutes les données modifiables depuis un compte donné, que l’utilisateur ait eu besoin ou non des droits d’accès en question. Selon la même logique, les applications doivent être limitées aux seules fonctionnalités essentielles à leur fonctionnement afin de minimiser les risques d’utilisation abusive.
Une supervision permanente et nécessaire
Il serait désormais inimaginable d’accorder aux utilisateurs des droits d’administration généraux sur leurs appareils, applications et autres lecteurs du réseau. Mais il ne suffit pas pour autant de limiter ces autorisations d’accès. Les entreprises doivent aussi surveiller attentivement ce que font leurs employés, leurs sous-traitants, leurs applications et les autres identités dans l’ensemble de leur environnement, afin de détecter à temps toute activité suspecte et de prévenir ainsi des violations de données, des temps d’arrêt ou d’autres dommages aux conséquences coûteuses.
À l’heure où les écosystèmes informatiques sont en pleine effervescence, il est essentiel de savoir reconnaître ce qui relève ou non de l’activité normale des utilisateurs. La capacité d’une équipe IT à faire cette distinction lui évitera de perdre du temps sur de fausses alertes.
Une approche à plusieurs niveaux
L’application du principe de moindre privilège ne relève pas d’une simple décision ponctuelle, puisqu’elle nécessite la mise en place de plusieurs niveaux de gestion.
Premièrement, la gouvernance des identités et de l’administration consiste à superviser l’intégralité du cycle de vie des identités, notamment en veillant à ce que chaque utilisateur ne dispose que des accès nécessaires pour son rôle. Cette gouvernance est complétée par la gouvernance de l’accès aux données, qui élargit le contrôle aux données elles-mêmes, en déterminant qui peut accéder à quelles informations dans quelles conditions, tout en garantissant la protection adéquate des données sensibles conformément aux politiques et réglementations en vigueur. En parallèle, la gestion des accès privilégiés accorde une attention particulière aux comptes disposant d’un accès élevé aux systèmes et aux données, car ils présentent un risque élevé de compromission ou d’utilisation abusive pouvant affecter la confidentialité des données, la sécurité et la continuité d’une activité.
Ensemble, ces éléments forment un cadre complet permettant de contrôler strictement l’accès aux systèmes et aux données afin de renforcer le dispositif de sécurité d’une organisation.
En somme, la confidentialité des données nécessite une culture de sécurité à tous les niveaux. En appliquant le principe du moindre privilège et une gestion efficace des accès, les entreprises assurent la confidentialité, renforcent la confiance des clients et évitent les incidents coûteux, tout en se conformant aux réglementations. Ceci leur permettra de consacrer moins de temps aux menaces de cybersécurité et davantage à l’optimisation de leur potentiel opérationnel.
____________________________
Par Anthony Moillic, Field CISO, EMEA & APAC chez Netwrix