Les identifiants sont à double tranchant. Ils sont d’une part une base nécessaire qui permet aux employés d’accéder aux ressources nécessaires pour effectuer leur travail. Mais d’un autre côté, ils deviennent un moyen potentiel par lequel un initié malveillant ou un acteur de menace externe obtient ce même accès à des fins malintentionnées.
La réelle menace ici n'est évidemment pas quand un utilisateur fait simplement son travail; c'est lorsque les identifiants en question sont compromis – et utilisés par leur utilisateur attribué, un autre employé, ou un attaqueur externe pour faire le mal.
A quel point les identifiants compromis sont-ils réels ? Et si un identifiant devient compromis, quels sont les risques pour l’organisation ?
La négligence des utilisateurs de votre organisation
Il y a deux parties à la compromission d’identifiants. La première est la négligence des utilisateurs au sein de votre organisation. . La connexion au réseau d’entreprise devient si routinière, et les utilisateurs oublient souvent que leur nom d’utilisateur et leur mot de passe sont des informations sensibles. Malgré cela, 49% des employés partagent leurs identifiants avec leurs collègues, et 52% pensent que cela n’encourt aucun risque pour leur employeur1. Et nous ne parlons pas d’utilisateurs de bas niveau n’ayant que peu d’accès aux informations sensibles; nous parlons ici d’utilisateurs travaillant dans les départements légaux, ressources humaines, informatique, finances, et autres1.
Pire encore, ces ensembles d’identifiants partagés sont tout à fait susceptibles d’accorder bien plus d’accès que strictement nécessaire. Dans une étude récente, 71% des utilisateurs ont déclaré avoir fréquemment ou très fréquemment accédé à des informations auxquelles ils n’auraient pas dû2, rendant la plupart de vos utilisateurs potentiellement sur-privilégiés.
Additionnez tout ceci, et vous observerez un environnement d’utilisateurs ayant trop d'accès et partageant cet accès avec d’autres personnes: ceci peut conduire droit au désastre.
Les actions criminelles des initiés et des acteurs de menaces externes
La mauvaise utilisation des privilèges est la deuxième méthode d'attaque la plus répandue dans les incidents de violation de données réussis3. Ce qui nous amène à la deuxième partie de l'équation des identifiants compromis: les actions criminelles des initiés et des acteurs de menaces externes.
Les menaces internes (correspondant à environ un tiers des violations de données3) sont largement facilitées lorsqu’il vous est possible d’utiliser votre identifiant et l’identifiant d’un collègue pour accéder aux données sensibles et importantes de manière malveillante.
Pareillement, les pirates externes utilisent des identifiants volés pour s’introduire dans une organisation, établir une persistance, se déplacer latéralement au sein du réseau, puis trouver des informations utiles à exfiltrer. Les acteurs externes compromettent les identifiants à l’aide de logiciels malveillants conçus pour enregistrer les frappes sur un clavier (rappelez-vous de tous ces mots de passe partagés), rendant l’accès à vos données sensibles encore plus facile.
Comment pouvez-vous donc identifier le moment auquel se produit l’une des deux parties de la compromission ?
Surveiller vos connexions
En réalité c'est très simple. Cela commence par la surveillance de vos connexions.
En auditant vos connexions, vous pouvez repérer des partages de mot de passe (indiqué par un même utilisateur se connectant à plusieurs machines ou trop de connexions simultanées sur le même compte), des menaces potentielles provenant d’initiés (« pourquoi Sally se connecte-t-elle à 1 heure du matin un jeudi ?»), ainsi que des attaqueurs externes (heures de connexion étranges, tentatives de connexion multiples sur les serveurs, etc.).
Contrôler vos identifiants
L’audit natif de Windows peut vous procurer certains de ces détails, mais les évènements d’audit de connexion sont stockés par systèmes, ce qui complique considérablement l’obtention d’une vue d’ensemble des connexions. Il existe des solutions tierces qui automatisent l’audit centralisé des connexions. Celles-ci fournissent également des notifications supplémentaires concernant les évènements suspects spécifiques, ainsi que des contrôles (basés sur des règles) des connexions (ex : restrictions système, connexions simultanées, etc.).
En gagnant en visibilité sur vos connexions, vous aurez une meilleure idée des risques auquel l'organisation est confrontée quotidiennement. Comprendre si vous avez ou non un problème est définitivement la première étape. Cependant, c'est seulement en mettant également en place des contrôles pour limiter le comportement à risque que votre organisation commencera à améliorer sa position en matière de sécurité et à limiter les risques de compromission.
1 IS Decisions, Insider Threat Persona Study (2017)
2 Ponemon, Corporate Data: A Protected Asset or a Ticking Time Bomb? (2014)
3 Verizon, Data Breach Investigations Report (2017)