Lors de son récent Security and Risk Management Summit, Gartner a présenté les 10 principaux sujets de sécurité sur lesquels les responsables de la sécurité de l'information (RSSI) devraient se concentrer en 2018, parmi lesquels la gestion privilégiée des comptes (PAM) était en tête. En fait, Gartner n'est pas le seul à affirmer l'importance de la gestion des comptes privilégiés ; le web regorge de plusieurs autres sociétés et experts en sécurité qui font du lobbying pour PAM.
Les comptes privilégiés, bien qu'ils fassent partie intégrante du réseau d'une entreprise, restent mal protégés et la plupart du temps ignorés par les équipes informatiques, ce qui en fait des cibles faciles pour les cybercriminels.En gardant cela à l'esprit, voici un ensemble de mesures indispensables que le RSSI de chaque entreprise devrait mettre en œuvre pour mettre en place un solide programme de protection des comptes privilégiés.
Neuf choses à faire pour une stratégie PAM parfaite.
1. Suivre et consolider tous les comptes privilégiés — anciens et nouveaux — grâce à un mécanisme de découverte automatisé.
La première étape pour sécuriser et gérer les comptes privilégiés de votre société est de découvrir tous les ressources critiques de votre réseau d'entreprise, ainsi que les comptes et identifiants associés. Au fur et à mesure que votre société se développe et étend son infrastructure, vous devez vous assurer que votre équipe informatique est équipée d'un mécanisme de découverte solide pour s'attaquer à la prolifération des comptes privilégiés et en assurer le suivi. L'exécution d'un programme entièrement automatisé qui analyse régulièrement votre réseau, détecte les nouveaux comptes et les ajoute à une base de données centrale est la meilleure façon d'établir une base solide pour votre stratégie PAM.
2. Stocker les comptes privilégiés dans un coffre-fort centralisé et sécurisé.
Supprimez les bases de données localisées et cloisonnées qui sont souvent maintenues par différentes équipes. Plus important encore, assurez-vous que les employés cessent d'écrire des mots de passe sur des notes autocollantes ou de stocker les mots de passe dans des fichiers texte en clair. Ces pratiques sont dangereuses et entraînent une augmentation du nombre de mots de passe périmés et des problèmes de coordination, ce qui entraîne une inefficacité opérationnelle. Au lieu de cela, les comptes privilégiés et les identifiants appartenant à tous les départements devraient être catalogués dans un référentiel centralisé. De plus, protégez vos comptes privilégiés stockés avec des algorithmes de chiffrement bien connus tels que AES-256 pour vous protéger contre les accès non désirés.
3. Établir des rôles plus clairs avec des privilèges d'accès limités.
Une fois que les comptes privilégiés de votre entreprise sont verrouillés en toute sécurité dans un coffre-fort, il est temps de décider qui devrait avoir les clés. Vous pouvez le faire en définissant des rôles clairs pour les membres de votre équipe informatique et en vous assurant que le rôle de chaque membre ne leur donne que le minimum de privilèges d'accès requis. Un concept bien défini de contrôle d'accès basé sur les rôles peut grandement contribuer à garantir que toutes les activités des employés autorisés autour de la chambre forte soient traçables.
4. Exiger une authentification multifactorielle pour les employés et les tiers.
Selon le rapport 2016 de Symantec sur les menaces de sécurité Internet, 80 % des brèches peuvent être évitées en utilisant l'authentification multifactorielle. La mise en œuvre de l'authentification à deux ou plusieurs facteurs pour les administrateurs PAM et les utilisateurs finaux garantira que seules les bonnes personnes ont accès aux ressources sensibles.
5. Partager des comptes privilégiées sans les révéler en clair.
Au-delà de l'élimination des vulnérabilités de sécurité liées à une définition floue des rôles, il est également important de mettre en œuvre des pratiques de partage sécurisées. Pour une protection ultime, l'administrateur PAM de votre entreprise devrait être en mesure de fournir aux employés ou aux sous-traitants l'accès aux équipements informatiques sans divulguer les identifiants dans le texte en clair. Les utilisateurs devraient plutôt être autorisés à lancer des connexions en un seul clic vers les périphériques cibles à partir de l'interface de l'outil PAM, sans afficher ou entrer manuellement les informations d'identification.
6. Imposer des politiques strictes pour la réinitialisation automatique des mots de passe.
Aussi pratique que cela puisse être pour les équipes informatiques d'utiliser le même mot de passe pour tous les comptes privilégiés du réseau, il s'agit d'une pratique peu saine qui favorise en fin de compte un environnement peu sécurisé. La gestion sécurisée des comptes privilégiés nécessite l'utilisation de mots de passe forts et uniques qui sont périodiquement réinitialisés. Vous devriez faire de la réinitialisation automatique des mots de passe une partie intégrante de votre stratégie PAM afin de vous débarrasser des mots de passe inchangés et de protéger les ressources sensibles contre tout accès non autorisé.
7. Affiner la politique d'accès en ajoutant des contrôles pour la récupération du mot de passe.
Établissez une politique qui oblige les utilisateurs à envoyer une demande à l'administrateur PAM de votre entreprise chaque fois qu'ils ont besoin des informations d'identification de comptes spécifiques pour accéder à un système distant. Pour renforcer encore davantage le contrôle, ne fournir aux utilisateurs qu'un accès temporaire et temporel à ces informations d'identification, avec des options intégrées pour révoquer l'accès et vérifier de force les mots de passe à l'expiration du délai stipulé. Pour plus de sécurité, vous pouvez également réinitialiser automatiquement les mots de passe une fois que les utilisateurs les ont vérifiés.
8. Cesser d'intégrer des identifiants dans les fichiers script.
De nombreuses applications nécessitent un accès fréquent aux bases de données et à d'autres applications pour interroger des informations métiers. Les entreprises automatisent souvent ce processus de communication en intégrant les identifiants de l'application en texte clair dans les fichiers de configuration et les scripts, mais il est difficile pour les administrateurs d'identifier, de modifier et de gérer ces mots de passe intégrés. Par conséquent, les identifiants sont simplement laissés inchangés pour ne pas nuire à la productivité de l'entreprise. Le codage en dur de ces identifiants peut faciliter le travail des techniciens, mais c'est aussi un point de départ facile pour les pirates qui cherchent à se frayer un chemin dans le réseau d'une entreprise. Votre équipe informatique peut également utiliser des API sécurisées pour permettre aux applications d'interroger directement votre outil PAM lorsqu'elles ont besoin de récupérer des comptes privilégiés pour une autre application ou une ressource distante.
9. S'assurer que tout est audité.
En fin de compte, les rapports d'audit détaillés, les alertes en temps réel et les notifications sont vraiment ce qui rend la vie plus facile. Saisissez toutes les opérations de chaque utilisateur et établissez la responsabilité et la transparence pour toutes les actions liées au PAM. Une intégration avec un outil gestion des logs et des événements peut également aider en consolidant les activités PAM avec d'autres événements du reste de votre organisation et en fournissant des conseils intelligents sur les activités inhabituelles. Cela s'avère extrêmement utile pour obtenir une vue d'ensemble complète des événements de sécurité et pour détecter les infractions ou les exploits internes.
La mise en œuvre de ces mesures indispensables ne sera pas une solution globale à la sécurité - il y a toujours plus à faire. Selon le rapport d'enquête sur les atteintes à la protection des données 2018 de Verizon, 201 des 2 216 atteintes à la protection des données confirmées en 2017 étaient attribuables à un abus de privilège. Une telle statistique exige que les entreprises enregistrent et surveillent les sessions privilégiées afin de rester vigilant et de détecter les accès inhabituels. Votre société devrait s'appuyer sur un solide plan de gestion de comptes privilégiés pour construire une stratégie de gestion des identités et des accès encore plus avancée qui établit des frontières plus larges et crée une défense impénétrable.