Avec un budget d’environ 1 110 milliards de dollars pour 2016, le Ministère de la Santé et des Affaires Sociales des Etats-Unis gère 115 programmes par le biais de ses 11 services. Véritable exemple à suivre en matière d’authentification multifactorielle, le Ministère a récemment publié un rapport présentant sa stratégie d’authentification multifactorielle des super-utilisateurs[1].

Selon le rapport, 99 % des systèmes de l’organisation doivent être protégés par un outil d’authentification multifactorielle et obéissent à plusieurs procédés de contrôle des accès logiciels par les super-utilisateurs. Parmi ces procédés figurent : l’obligation pour chaque utilisateur de disposer d’un compte utilisateur propre, l’application du principe du moindre privilège, le contrôle de l’utilisation des comptes, la vérification annuelle de l’ensemble des comptes, la désactivation des comptes après 60 jours d’inactivité, la mise en place, l’administration et le contrôle des comptes privilégiés en fonction des rôles et la restriction des comptes privilégiés aux seuls utilisateurs spécifiés. Ces procédés s’appliquent à tous les systèmes, les utilisateurs et les super-utilisateurs concernés du ministère.

L’authentification bifactorielle est principalement assurée par Active Directory. Les utilisateurs doivent présenter un badge électronique (carte PIV) et entrer un code PIN pour accéder au réseau. Pour accéder à un système privilégié ou sous haute sécurité, il leur faut également entrer un identifiant et un mot de passe, un code RSA ou un code aléatoire. Le ministère de la Santé a élaboré sa politique et ses procédures selon les normes NIST et attend de ses prestataires et de ses fournisseurs externes qu’ils y adhèrent à leur tour, pour renforcer davantage encore la sécurité de ses systèmes critiques.

Bien que l’authentification multifactorielle réduise les risques d’intrusion par usurpation d’identifiants, certaines organisations, comme le ministère de la Santé, doivent aller plus loin pour protéger l’accès à leurs systèmes, en particulier aux comptes privilégiés.

Car si ces solutions exigent des utilisateurs qu’ils prouvent leur identité, elles ne restreignent pas nécessairement les ressources consultables, les actions réalisables ou la durée de validité des accès. Il est donc préférable d’y associer une politique stricte de gestion des identifiants d’accès, prévoyant notamment le changement régulier des identifiants des super-utilisateurs et le recours à des technologies de contrôle, de gestion et de surveillance des accès directs aux infrastructures sensibles. Ces multiples remparts de sécurité compliqueront considérablement la tâche des utilisateurs malveillants, même s’ils parviennent à subtiliser des identifiants. Car ils supposent non seulement d’utiliser les identifiants dérobés avant le prochain cycle de renouvellement des mots de passe, mais aussi de contourner l’authentification multifactorielle de chaque système visé au sein du réseau.

L’authentification multifactorielle s’inscrit parfaitement dans le cadre d’une stratégie de sécurité informatique renforcée et figure même parmi les exigences d’un nombre croissant de normes et de réglementations, telles que PCI, HIPAA et NIST.

________
William Culbert est Directeur Technique de Bomgar

[1] https://oig.hhs.gov/oas/reports/region18/181630150.pdf