Les identifiants privilégiés ont toujours constitué la cible de choix des pirates pour mener des cyberattaques, mais les mesures prises par les entreprises pour les protéger restent minimes. Des incidents comme la cyberattaque de Saudi Aramco en 2012 [1] et la violation de données CashApp de 2022 [2] rappellent brutalement que l’accès à une identité privilégiée ouvre la voie d’une infrastructure réseau, démontrant l’impératif de les sécuriser. Bien que ces attaques aient eu lieu à 10 ans d’intervalle, le modus operandi ne change pas : accès à des identifiants privilégiés.
Pour comprendre les identifiants privilégiés, il faut d’abord définir le concept d’identité. Toute forme d’authentification unique dont dispose un administrateur pour vérifier l’authenticité d’un utilisateur membre d’un réseau est une identité. Cela englobe les noms d’utilisateur, les mots de passe, les ID d’employé, les numéros de mobile, les réponses de sécurité, etc.
On stocke en général ces identités dans des annuaires comme Active Directory et les gère avec des protocoles comme LDAP (Lightweight Directory Access Protocol), affectant dans les deux cas certains niveaux d’accès aux données du réseau. L’annuaire sert à vérifier l’identité qu’indique l’utilisateur.
Les identités ne sont pas toutes identiques. Les utilisateurs disposant d’une identité privilégiée ont accès à des contrôles cruciaux comme les paramètres de sécurité système, les fonctions d’administration, de gestion des identifiants ou de gestion des centres de données, les configurations d’urgence, etc.
On appelle identifiants privilégiés les identités de ces utilisateurs privilégiés. En termes simples, un identifiant privilégié désigne une identité appartenant à un utilisateur dont le rôle mérite un accès privilégié aux données du réseau. Voici des exemples d’identifiants privilégiés : mots de passe, clés SSH, certificats SSL, jetons d’authentification, mots de passe à usage unique (OTP), etc.
Une banque utilise des tâches cron automatisées qui sauvegardent régulièrement des données client vitales et des états financiers. On peut considérer les mots de passe des comptes d’utilisateur ayant accès à ces scripts de tâche comme des identifiants privilégiés. En cas de mauvaise gestion de ces mots de passe, on risque une perte massive de données, en faisant un cas d’usage type.
Un autre exemple résiderait dans un compte de service qui exécute des services d’annuaire dans divers domaines. Les mots de passe de ces comptes de service sont en général stockés dans le registre local. Si les mots de passe de ces comptes de service sont modifiés ou mal gérés, cela perturbe tous les services que le compte doit assurer sur de nombreux appareils du réseau.
Les mots de passe indiqués dans ces exemples illustrent bien la nature d’un identifiant privilégié. Il importe d’analyser et de régir l’accès aux identifiants privilégiés, car ils donnent les clés pour disposer de données vulnérables aux violations. La gestion des protocoles de sécurité les plus stricts laisserait le réseau à la merci d’une attaque menée sous le couvert d’un utilisateur privilégié. Les identités privilégiées constituent donc une menace en des mains non autorisées.
Nombre d’entreprises utilisent encore des tableaux, des fichiers texte locaux et d’autres moyens non chiffrés pour conserver les identités privilégiées. On les transmet ensuite à des utilisateurs à la demande. Cela prête à d’innombrables façons dont les identités privilégiées peuvent fuiter de la hiérarchie de l’organisation et entraîner un accès non autorisé au réseau.
Les identités privilégiées d’entreprise comme les mots de passe forment la majorité des cas d’usage concrets. Pour réduire la lourdeur de stocker et réinitialiser manuellement des centaines de mots de passe de comptes d’utilisateur, la DSI peut imposer des bonnes pratiques à un niveau organisationnel. Cela diminue nettement les failles par lesquelles on peut exploiter les règles de mots de passe.
Voici quelques-unes de ces pratiques :
Recherche et enregistrement des identifiants privilégiés dans un coffre sécurisé.
Automatisation régulière des procédures de réinitialisation de mots de passe.
Association de stratégies de mots de passe à des groupes de ressources.
Établissement d’une autorisation multiniveau pour les demandes de mot de passe à distance.
Ces pratiques forment un cadre dans lequel conceptualiser la gestion des identités privilégiées (PIM). La PIM définit des pratiques imposant de sécuriser, vérifier et régir les identités privilégiées d’un réseau.
La PIM invite l’organisation à déterminer qui peut accéder à des données précises et quand. Elle préconise des pratiques comme l’analyse de l’activité de tous les utilisateurs privilégiés du réseau via l’enregistrement des sessions et la consignation des cas de comportement anormal.
La mise en place de stratégies de gestion des identités privilégiées aide à réduire nettement les vulnérabilités aux cyberattaques et prévenir les menaces avec des procédures de réponse en cas d’incidents. Cela oblige l’organisation à établir une authentification multifacteur, une réinitialisation régulée et un respect par le personnel des stratégies de mots de passe.
Si l’on examine les violations de données liées à des abus d’identités privilégiées ou une autre cyberattaque, le vrai problème réside dans une mauvaise gestion des utilisateurs et des ressources. Bien que les cas d’usage cités présentent la gestion des identités privilégiées comme la solution ultime, cela reste superficiel. La gestion des utilisateurs et des ressources incarne le domaine clé auquel appliquer une stratégie de gestion des identités privilégiées.
On peut intégrer des pratiques de gestion des identités privilégiées à toute l’entreprise avec une solution PIM. Cette solution automatise et améliore les stratégies de gestion des identités privilégiées dans les cas pratiques suivants :
Lorsqu’on envisage une solution PIM, les points ci-dessus constituent le strict minimum de fonctionnalités requises.
ManageEngine PAM360 est une solution complète de gestion de l’accès privilégié d’entreprise qui permet aux DSI de bien définir et piloter un accès automatique à des identités privilégiées. PAM360 intègre une analyse comportementale des utilisateurs privilégiés (PUBA) pour que l’organisation puisse vérifier l’activité de ces utilisateurs et détecter les anomalies en temps réel. ManageEngine PAM360 assure une sécurité complète des identités privilégiées d’entreprise.