Le risque associé à toute forme de violation de données est si important (en ce qui concerne les répercussions juridiques, financières et de réputation) que des organisations comme la vôtre prennent la menace d'une violation très au sérieux. Avec 81% des violations de données impliquant l'utilisation abusive des informations d'identification pour accéder à des données sensibles et précieuses1 (texte en anglais), il parait normal de s'assurer que ces informations d'identification (comptes d'utilisateur) ont seulement les permissions nécessaires pour accomplir les tâches liées au travail.
C'est le principe du moindre privilège - la pratique consistant à limiter les utilisateurs (ainsi que les services, applications et autres processus informatiques) aux seuls ensembles de données, applications et systèmes absolument nécessaires pour mener à bien des activités professionnelles légitimes.
Le principe existe depuis de nombreuses années. Microsoft a écrit ce qui suit en 1999 (texte en anglais) :
“La plupart des cours de formation liés à la sécurité et la documentation parlent de la mise en œuvre d'un principe de moindre privilège, mais les organisations le suivent rarement. Le principe est simple, et l'appliquer correctement augmente considérablement votre sécurité et réduit vos risques. Le principe stipule que tous les utilisateurs doivent se connecter avec un compte d'utilisateur disposant des autorisations minimales absolues nécessaires pour terminer la tâche en cours et rien de plus. Cela assure une protection contre les codes malveillants, entre autres attaques. Ce principe s'applique aux ordinateurs et aux utilisateurs de ces ordinateurs.”2
Et parce que la menace d'attaque aujourd'hui - à la fois par les initiés et les attaquants externes - est encore plus grande, le principe est encore plus pertinent pour la stratégie de sécurité d'une organisation:
- Les attaques externes tirent parti des comptes d'utilisateurs pour prendre le contrôle des terminaux, se déplacer latéralement dans le réseau et, en fin de compte, acquérir un accès ciblé à des données précieuses.
- Les initiés tirent parti de leur propre accès accordé ou d'autres comptes compromis pour exploiter les données et les applications à des fins malveillantes.
Si vous pensez que votre organisation n'a pas besoin de moindres privilèges, considérez les deux statistiques suivantes.
- Près de trois quarts des utilisateurs sont sur-privilégiés, ayant accès à des informations qui n'ont rien à voir avec leur travail3 (texte en anglais).
- La moitié des utilisateurs partagent leurs informations d'identification4 (texte en anglais).
Prenez ces deux concepts ensemble et vous vous rendrez vite compte que sans moindre privilège, les utilisateurs ont plus de privilèges que jamais.
Alors, comment devriez-vous mettre en œuvre le principe de moindre privilège pour réduire les violations et les menaces internes?
Mettre le principe de moindre privilège en place
Implémenter le moindre privilège n'est pas aussi simple que de faire en sorte que tout le monde ne soit pas un administrateur. Bien que ce soit une pièce du puzzle, vous devez d'abord considérer les objectifs primordiaux du moindre privilège:
- Réduire la surface d'attaque – Étant donné que la majorité des utilisateurs de votre organisation sont probablement déjà sur-privilégiés, l'implémentation des moindres privilèges est effectuée pour éliminer tout accès inutile.
- Réduire le potentiel d'infection des logiciels malveillants – Pour être installé, un logiciel malveillant nécessite des droits d'administrateur local. En limitant l'accès aux privilèges au niveau de l'administrateur sur les terminaux et les serveurs, les logiciels malveillants ont moins de chances d'infecter une machine donnée.
- Réduire le mouvement latéral de l'attaquant – Les acteurs de la menace ne sont pas satisfaits d'accéder à un seul point de terminaison; ils désirent plus au sein du réseau, passant de point de terminaison en point de terminaison, jusqu'à atteindre un système avec des données précieuses. Des comptes privilégiés sont nécessaires pour faciliter cet accès. En limitant autant que possible les utilisateurs à un niveau d'accès non privilégié, les pirates ont moins de possibilité pour se déplacer dans le réseau.
- Réduire le potentiel des menaces internes – Les initiés utiliseront les accès que vous leur avez accordés pour accéder à toutes les données accessibles pour l'exfiltration, la corruption ou la destruction.
Ces objectifs doivent être examinés à travers le prisme de ce qui est nécessaire (et d'un niveau de privilège) pour conserver votre entreprise opérationnelle.
Alors, quelles sont les étapes fondamentales que vous devriez suivre?
Étape 1: Séparer les comptes privilégiés et non privilégiés
Cela s'applique aux postes de travail, aux serveurs, aux applications et à d'autres ressources critiques. Par défaut tous les utilisateurs (même IT) doivent avoir un niveau de privilège standard. Envisagez deux itinéraires pour fournir des privilèges en cas de besoin.
Tout d'abord, créez des comptes distincts pour les utilisateurs qui ont besoin de privilèges – un pour effectuer leurs tâches non-administratives (navigation sur le Web, courrier électronique, utilisation de documents Office, etc.) et un pour leurs fonctions administratives.
Si le système à deux comptes ne fonctionne pas dans vos organisations, envisagez de supprimer l'accès root et admin aux points de terminaison, en travaillant à partir de zéro pour fournir aux utilisateurs l’accès à la gestion des parties du point de terminaison nécessaires. Par exemple, vous avez besoin de la capacité à gérer DHCP, faites de l'utilisateur un membre du groupe Administrateurs DHCP et attribuez leur des droits de connexion locale, mais pas plus..
Étape 2: Limiter les privilèges
Cette étape implique une grande quantité de travail. Pour ce faire, les profils des utilisateurs doivent être identifiés (par exemple : vendeur, utilisateur paie, administrateur paie, etc.) avec une définition des autorisations nécessaires pour chacun. Ensuite, un audit doit être effectué pour amener chaque compte utilisateur dans un état de moindre privilège.
Cela s'applique à l'accès aux données, aux imprimantes, aux applications, aux systèmes et au point de terminaison local. Si un utilisateur a vraiment besoin de droits d'administrateur pour effectuer des tâches spécifiques, recherchez des façons d'accorder une élévation de droits spécifique à l'application, plutôt qu'une solution générale consistant simplement à en faire un administrateur. Des solutions tierces existent pour faciliter cela.
Étape 3: Limiter l'accès à l'administrateur
Qu'il s'agisse du compte Admin local sur un poste de travail ou du compte Administrateur dans Active Directory (et tout le reste), réduisez le nombre d'utilisateurs ayant accès à ces types de comptes.
L'utilisation de solutions Privileged Account Management (PAM) (texte en anglais) peut fournir un accès sécurisé à l'administrateur et à d'autres comptes privilégiés.
Étape 4: Surveiller l'utilisation des comptes privilégiés (mais pas seulement)
Chacune des trois étapes précédentes s'articule autour de la création proactive d'un environnement dans lequel les utilisateurs se voient accorder (et peuvent exercer) les autorisations nécessaires. Ces étapes réduiront certainement la majorité des autorisations abusives en cours dans les organisations aujourd'hui.
Mais même avec tout cela en place, l'organisation court le risque que l'abus de compte (même les comptes restreints aux privilèges essentiels de travail) fournisse un accès suffisant pour qu'une action de menace ait lieu.
Par exemple, si vous deviez limiter l'utilisation des comptes d'utilisateur et déterminer que le directeur des comptes fournisseurs doit avoir un accès complet au système des comptes à payer, il existe toujours un risque que le compte soit compromis et que des paiements frauduleux soient effectués pour voler de l'argent à l'organisation.
Voici le problème clé – le principe de moindre privilège ne concerne pas vraiment les privilèges
En réalité, le moindre privilège concerne plutôt l'utilisation compromise (que ce soit par un initié ou un acteur de la menace externe) d'un compte «privilégié». Ainsi, l'un des aspects clés d'une stratégie de moindre privilège doit être de surveiller l'utilisation des comptes privilégiés.
Mais que devriez-vous considérer comme un compte «privilégié»? Compte tenu de la pratique effrénée de l'utilisation abusive des informations d'identification dans le cadre d'attaques externes et internes, votre organisation ne peut pas se permettre de se concentrer uniquement sur les comptes qui sont au niveau «admin». Dans l'exemple précédent du directeur des comptes fournisseurs l'utilisateur n'est certainement pas considéré comme un admin de quoi que ce soit; juste un utilisateur avec plus d'accès à un système donné que d'autres dans l'organisation.
Il faut donc avoir un moyen de surveiller l'utilisation de chaque compte pour s'assurer que les objectifs sous-jacents du moindre privilège sont atteints.
L'utilisation d'une solution PAM mentionnée précédemment est viable pour un sous-ensemble de comptes véritablement privilégiés, mais ne convient pas pour surveiller l'utilisation de chaque utilisateur dans l'organisation.
Il existe un point d'accès essentiel qui fournit aux organisations des indicateurs avancés indiquant qu'un compte est correctement utilisé ou a été compromis: la connexion.
Optimisation de la surveillance des connexions
La connexion est une étape obligatoire, quelle que soit la méthode d'accès ou le niveau de privilège, pour qu'un compte puisse accéder aux ressources. Et c'est cette étape obligatoire qui peut vous donner une visibilité sur l'utilisation des privilèges, quel que soit le niveau. L'activité des menaces internes et externes comprend des signes révélateurs d'une utilisation malveillante dès la connexion:
- Utilisation après les heures d'ouverture – Les utilisateurs ont tendance à se connecter en utilisant un modèle de jour / heure similaire. L'utilisation anormale d'un compte en dehors des heures de travail peut indiquer une utilisation malveillante potentielle.
- Non-correspondance utilisateur / point de terminaison – Les ouvertures de session provenant d'emplacements ou de points de terminaison inhabituels devraient être une source de préoccupation.
- Tentatives d'ouverture de session multiples échouées – Les attaquants externes tentent d'exploiter les informations d'identification sur autant de systèmes que possible pour augmenter leur capacité à se déplacer latéralement. Ce type d'activité est une indication claire d'une utilisation malveillante potentielle.
- Ouvertures de session simultanées multiples – Poursuivant le dernier scénario, un attaquant externe peut exploiter avec succès un compte et accéder à plusieurs systèmes simultanément - une occurrence anormale pour n'importe quel compte.
L'enjeu du contrôle de l'utilisation des comptes via les connexions est que, les environnements Microsoft ne disposent pas de moyens natifs pour centraliser toutes les activités d'ouverture de session, et encore moins pour analyser les comportements d'ouverture de session inhabituels.
Vous pouvez obtenir une partie du chemin avec les abonnements aux événements (une fonctionnalité avec les journaux d'événements où certains journaux peuvent être transférés vers une machine Windows centrale), mais c'est une solution conçue pour un très petit nombre de systèmes. Des solutions de gestion des ouvertures de session tierces existent pour fournir une surveillance complète des connexions sur tous les points de terminaison, analyser l'activité d'ouverture de session et fournir des notifications de toute anomalie.
La surveillance des connexions est la première étape pour aider à limiter le risque associé à tout type d'accès privilégié qui est l'intention même d'une initiative de moindre privilège. La surveillance des connexions augmente la visibilité informatique dans l'utilisation du compte, avant que les actions de menace ne puissent être implémentées.
Les solutions de gestion des connexions fournissent également une mise en application de règles de connexions. Cela garantit que les comptes privilégiés ne peuvent pas être mal utilisés en limitant les connexions par machine, heure et concurrence, et en forçant les déconnexions après les heures approuvées.
La combinaison des deux fonctionnalités aide à maintenir les contrôles de moindre privilège, protégeant davantage l'environnement contre l'utilisation abusive des informations d'identification.
Tirer parti de la gestion des connexions en tant qu’élément clé du principe de moindre privilège
Le principe du moindre privilège vise à créer un environnement qui, tout en offrant un accès élevé, limite encore les risques. Le fait d'isoler les privilèges en fonction des besoins et de ne fournir aux utilisateurs que l'accès dont ils ont besoin est une première étape clé. Mais une fois les comptes créés et les privilèges établis, il existe un écart. Même avec des privilèges limités, les mots de passe peuvent toujours être partagés et les comptes peuvent être compromis avec des logiciels malveillants. Étant donné que l'environnement de moindre privilège le plus restrictif ne peut pas se contrôler pour détecter une utilisation inappropriée, le besoin d'un certain niveau de surveillance et de mise en vigueur est nécessaire.
En incluant la gestion des connexions dans le cadre de votre stratégie de moindre privilège, votre environnement reste dans un état constant de contrôle afin de préserver l'objectif d'accroître la sécurité et de réduire les risques.
1 Verizon, Data Breach Investigations Report (2017)
2 Microsoft, The Administrator Accounts Security Planning Guide (1999)
3 Ponemon, Corporate Data: A Protected Asset or a Ticking Time Bomb? (2014)
4 IS Decisions, Insider Threat Persona Study (2017)