L'ennemi intérieur : menaces internes via l'abus d'accès aux autorisations privilégiées. L'absence de mesures pour contrôler et restreindre de manière granulaire les droits d'accès des employés représente un risque important pour la sécurité de l'entreprise. La solution : mettre en œuvre une approche de moindre privilège.
Craquer le code, vaincre un boss ou retrouver une clé perdue sont autant de moyens de monter de niveau dans les jeux vidéo. Les joueurs ont alors accès à de nouveaux outils, pouvoirs ou autres composants qui les aideront finalement à remporter la victoire. À bien des égards, l'infrastructure réseau ressemble à un jeu vidéo. Les employés ont accès à différents niveaux d'informations et reçoivent des autorisations spécifiques en fonction de leur rôle, de leur ancienneté ou d'autres facteurs. En règle générale, les informations sensibles et les systèmes critiques sont réservés aux utilisateurs privilégiés tels que les administrateurs informatiques et réseau. L'objectif de la sécurité d'entreprise est de limiter les opportunités pour les employés réguliers et les attaquants externes de passer au « niveau suivant ».
Cependant, l'absence de mesures pour contrôler et restreindre de manière granulaire les droits d'accès des employés présente un risque important pour la sécurité de l'entreprise.Ce qui suit est un aperçu des quatre principales causes d'abus des droits privilégiés et des meilleures pratiques de protection.
Absence de restrictions d'accès aux données et systèmes sensibles
L'une des causes les plus courantes d'une violation de données est l'incapacité des organisations à restreindre l'accès aux informations ou aux systèmes sensibles. Plus les employés accèdent aux actifs critiques de l'entreprise, plus le risque de fuite de données est grand. Par exemple, sans contrôles appropriés, un employé ignorant pourrait télécharger un document contenant des informations sensibles à partir du serveur et le partager avec d'autres membres de l'équipe, des clients, des partenaires externes ou, dans le pire des cas, un attaquant lors d'une attaque de spear phishing.
Menaces internes d'employés mécontents
Les employés mécontents qui ont été licenciés ou qui se sont vu refuser une augmentation présentent également un risque élevé si les entreprises ne surveillent pas ou ne limitent pas leurs identités numériques et les autorisations associées. Si des initiés malveillants ont accès à des données, des applications et des systèmes critiques, ils peuvent voler des informations sensibles sans se faire remarquer et les revendre à la concurrence ou mettre à la disposition du public des connaissances d'initiés explosives.
Mauvaise hygiène des mots de passe
Des initiés malveillants peuvent également profiter de mots de passe faibles. Selon le dernier rapport sur les mots de passe de NordPass, plus de 2,5 millions d'utilisateurs utilisent encore "123456" comme mot de passe. Par rapport aux attaquants externes, les initiés ont souvent une connaissance personnelle approfondie de leur cible afin de casser les informations d'identification d'un compte privilégié et d'usurper l'identité d'un utilisateur légitime.
Abus de comptes privilégiés par des attaquants externes
Les cybercriminels recherchent toujours des moyens d'accéder à des informations et des systèmes confidentiels ou de manipuler des employés vulnérables. Par le biais de campagnes de phishing, de techniques d'ingénierie sociale, de scanners numériques, de renifleurs de mots de passe ou de toute combinaison de ces méthodes, les pirates peuvent accéder aux informations d'identification d'un employé et se faire passer pour un utilisateur légitime. Une fois qu'un attaquant y a accès, il explore son environnement, cherchant des moyens d'augmenter ses privilèges d'accès pour extraire des données ou utiliser des logiciels malveillants pour saboter des processus métier critiques.
Game over en mettant en œuvre une approche de moindre privilège
Qu'il s'agisse d'un utilisateur inconscient, d'un initié malveillant ou d'un attaquant externe qui accède à des informations sensibles, les conséquences peuvent être dévastatrices pour les entreprises.
Pour empêcher les employés d'avoir trop accès aux systèmes et informations sensibles, les entreprises doivent d'abord identifier les comptes administratifs partagés et les conserver dans un coffre-fort de mots de passe. Tous les autres utilisateurs privilégiés doivent bénéficier de contrôles basés sur le principe du moindre privilège. Un système doit être mis en place pour vérifier qui demande l'accès, pour quelle raison, et pour déterminer le risque de sécurité de l'environnement à partir duquel chaque employé tente de se connecter. Par conséquent, pour mettre fin aux augmentations de privilèges inappropriées, les entreprises devraient mettre en œuvre les mesures suivantes :
1. Établissement du moindre privilège
Özkan Topal, directeur des ventes chez Thycotic Centrify
Chaque employé peut potentiellement être victime d'une cyberattaque ou devenir lui-même un attaquant. L'architecture de sécurité doit donc être structurée en conséquence. Les organisations doivent s'efforcer d'obtenir des privilèges permanents zéro, ce qui signifie fermer l'accès privilégié aux employés dès qu'une tâche est terminée afin qu'ils ne soient pas ouverts aux acteurs de la menace.
2. Contrôle granulaire des ressources via les zones d'accès
Dans le cas de processus et de tâches sensibles en particulier, il convient de s'assurer que personne n'a plus de droits d'accès que ce qui est absolument nécessaire pour son travail. Les organisations peuvent utiliser des zones d'accès d'identité pour lier les droits d'un utilisateur aux ressources dont il a besoin au quotidien, en fonction de son rôle.
3. Mise en place de workflows de demande d'accès et d'approbation
Les organisations doivent contrôler l'élévation des privilèges par le biais d'un processus de demande d'accès et d'approbation dans lequel les employés fournissent la raison de l'élévation temporaire des privilèges souhaitée. Cela permet de tracer qui a approuvé l'accès et le contexte associé à la demande.
Une approche de sécurité traditionnelle, purement basée sur le périmètre, n'est plus suffisante aujourd'hui, car il faut toujours partir du principe que les acteurs de la menace sont déjà à l'intérieur du réseau de l'entreprise. En adoptant une approche de moindre privilège, des contrôles granulaires sur les ressources via des zones d'accès et en mettant en œuvre des workflows de demande d'accès et d'approbation, les organisations peuvent réduire considérablement les abus de privilèges.
Plus sur Centrify.com
À propos de Thycotic Centrify ThycoticCentrify est l'un des principaux fournisseurs de solutions de sécurité des identités dans le cloud qui permettent la transformation numérique à grande échelle. Les solutions de gestion des accès privilégiés (PAM) de ThycoticCentrify, leaders du secteur, réduisent les risques, la complexité et les coûts tout en protégeant les données, les appareils et le code de l'entreprise dans les environnements cloud, sur site et hybrides. ThycoticCentrify bénéficie de la confiance de plus de 14.000 100 entreprises leaders dans le monde, dont plus de la moitié du Fortune XNUMX. Les clients comprennent les plus grandes institutions financières, agences de renseignement et sociétés d'infrastructures critiques du monde. Qu'il soit humain ou machine, dans le cloud ou sur site - avec ThycoticCentrify, l'accès privilégié est sécurisé.