Le nombre d’identités humaines et non humaines dans les organisations augmente rapidement et, tôt ou tard, chacune de ces identités aura besoin d’accéder à des ressources critiques. Cela les rend extrêmement attractifs pour les cybercriminels.
L’époque où seuls quelques administrateurs disposaient d’autorisations étendues sur les infrastructures informatiques des entreprises est révolue depuis longtemps. La plupart des employés, applications et appareils ont désormais également besoin de tels droits pour accéder aux ressources critiques dont ils ont besoin dans leur travail quotidien. La définition classique des identités privilégiées ne s’applique donc plus, car en fin de compte toute identité peut être privilégiée et nécessite une protection particulière. Pour protéger de manière fiable toutes les identités sur toutes les infrastructures, systèmes et applications, les entreprises ont besoin des cinq contrôles d'autorisation intelligents suivants :
Privilèges zéro statut (ZSP) et accès juste à temps (JIT)
De nombreuses entreprises accordent en permanence aux utilisateurs des autorisations étendues, même s’ils n’en ont que rarement ou jamais besoin. Les identités ne sont pas gérées de manière cohérente sur l'ensemble de leur cycle de vie et les autorisations ne sont donc pas révoquées si elles ne sont pas utilisées. Il est préférable d'attribuer des droits d'accès privilégiés juste à temps, afin que les utilisateurs ne bénéficient d'autorisations étendues que lorsqu'ils en ont réellement besoin pour une tâche spécifique. Le défi consiste à accorder des autorisations uniquement pour une période de temps définie, puis à les supprimer à nouveau. Dans le cas contraire, les droits s’accumuleront, ce qui transformera les utilisateurs en « super utilisateurs » au fil du temps. La manière la plus moderne d'attribuer des autorisations consiste à fournir aux utilisateurs des privilèges nuls par défaut, de sorte qu'ils ne disposent d'aucune autorisation dans les applications cibles. À l'aide de politiques de contrôle d'accès basées sur les attributs (ABAC), des autorisations étendues sont attribuées lors de l'accès utilisateur au moment de l'exécution et automatiquement supprimées après la session.
isolement de session
L'isolation de session protège les accès privilégiés en acheminant le trafic entre l'appareil de l'utilisateur et les ressources critiques auxquelles il accède via un serveur proxy. Cela signifie qu'il n'y a pas de connexion directe et qu'en cas d'attaque contre l'utilisateur, le risque que le système distant soit également compromis est réduit.
Protection et enregistrement des sessions
Le serveur proxy peut servir de point de contrôle supplémentaire qui surveille et enregistre la session. Toutes les activités sont enregistrées, jusqu'aux clics de souris individuels dans une application Web ou sur un serveur. Les activités peuvent être analysées automatiquement pour détecter les activités inhabituelles indiquant une menace. Dans un tel cas, la séance sera immédiatement interrompue.
Contrôle des applications sur le point final
Un contrôle complet des applications basé sur des règles permet de protéger les points finaux et de créer un environnement de travail sécurisé pour chaque groupe d'utilisateurs. Il applique les principes du moindre privilège sur les points finaux et prend en compte le contexte de l'application et divers paramètres pour décider d'autoriser ou de bloquer l'exécution d'applications, de scripts et d'autres activités.
Gestion des informations d'identification et des secrets
Des informations d'identification telles que des noms d'utilisateur et des mots de passe sont nécessaires pour identifier les identités de manière fiable. La gestion des informations d'identification gère non seulement les mots de passe, les clés et autres informations d'identification, mais surveille également le respect des directives en matière de mots de passe et alterne les mots de passe ou les clés selon des spécifications définies, telles qu'un calendrier ou certains événements. La gestion des secrets permet d'appliquer des politiques de sécurité similaires pour les identités non humaines, telles que celles utilisées dans les robots, les scripts, les applications cloud et les appareils IoT.
« Les cyberattaques contre tous types d'identités ne cessent de se multiplier et de devenir de plus en plus sophistiquées », souligne Fabian Hotarek, Solutions Engineering Manager chez CyberArk. « C’est pourquoi les organisations ont besoin d’une stratégie réfléchie de sécurité des identités avec des contrôles d’autorisation intelligents pour protéger les identités humaines et non humaines et minimiser les risques associés au vol d’identifiants et à l’abus de privilèges. »
Plus sur Cyberark.com
À propos de CyberArk CyberArk est le leader mondial de la sécurité des identités. Avec Privileged Access Management comme composant central, CyberArk fournit une sécurité complète pour toute identité - humaine ou non humaine - dans les applications métier, les environnements de travail distribués, les charges de travail cloud hybrides et les cycles de vie DevOps. Les plus grandes entreprises mondiales font confiance à CyberArk pour sécuriser leurs données, infrastructures et applications les plus critiques. Environ un tiers des entreprises du DAX 30 et 20 des entreprises de l'Euro Stoxx 50 utilisent les solutions de CyberArk.
Articles liés au sujet