Le ZSP est un aspect crucial du modèle de sécurité Zero Trust et l’objectif final des contrôles de gestion de l’accès privilégié (PAM), comme l’accès juste-à-temps, l’authentification adaptative, le principe du privilège minimum,et les workflows de contrôle d'accès.
Il s’agit en général de privilèges d’accès administratif durables que l’on peut utiliser pour obtenir un accès permanent à des systèmes vitaux. Voici de bons exemples de privilèges permanents :
Dans nombre d'entreprises, ceux chargés de gérer les ressources informatiques sensibles, comme les serveurs, les bases de données et les applications, reçoivent normalement des privilèges élevés. En effet, leurs rôles exigent souvent un accès instantané, continu, à ces systèmes pour des opérations courantes et des tâches de maintenance.
Les outils PAM standards offrent des options pour partager ces privilèges avec des utilisateurs, mais en général de façon permanente. De plus, on octroie souvent l’accès en mode tout ou rien, selon les besoins du rôle global ou du service, et pas au niveau de l’individu réel. Si ces privilèges sont exposés ou détournés par des employés ou d’autres acteurs malveillants, l’organisation court un grand risque.
Les outils PAM doivent idéalement offrir des contrôles précis qui permettent aux administrateurs de ne donner accès aux ressources sensibles qu’au cas-par-cas.
L’essor du travail hybride a étendu la surface d’attaque et on note aussi un afflux de nouveaux vecteurs d'attaque. Néanmoins, les privilèges permanents restent une cible payante pour les cybercriminels, car un seul identifiant faible ou compromis suffit à paralyser une entreprise, comme dans le cas de la plupart des violations récentes.
Lorsqu’un acteur malveillant infiltre le périmètre de sécurité d’une organisation, il peut exploiter des privilèges permanents pour se déplacer latéralement dans le réseau sans laisser de trace. Le rapport d’enquête 2022 de Verizon sur les violations de données révèle que le facteur humain continue à les engendrer. Cette année, 82 % des violations ont impliqué le facteur humain. Qu’il s’agisse de l’utilisation d’identifiants volés, de phishing, de détournement ou d’une simple erreur, l’individu joue toujours un grand rôle dans les incidents et les violations.
Des privilèges permanents en de mauvaises mains ouvrent la voie au désastre, car un attaquant peut les exploiter via des tentatives d’élévation de privilèges si les identifiants d’un employé sont compromis. Cela permet à un pirate d’avoir un accès illimité, indécelable, à des données et des systèmes classés.
De plus, l’exploitation de ces privilèges s’avère difficile à identifier, l’attaquant usurpant techniquement l’identité d’un utilisateur fantôme avec les droits administratifs élevés que donnent ces privilèges. Les privilèges permanents permettent à l’utilisateur d’accéder à plusieurs ressources informatiques et appareils, en faisant une cible de choix des attaquants.
Le problème principal inhérent aux privilèges permanents vient du fait qu’ils ne sont pas gérés ou mis régulièrement à jour, plusieurs utilisateurs, équipes ou processus métier les employant simultanément. Leur modification sans planification ou notification préalable risque donc de paralyser des processus métier ou des workflows cruciaux.
Considérons l’exemple des identifiants intégrés. Ces identifiants sont codés en dur dans des scripts et des fichiers texte. Plusieurs acteurs les utilisent en général dans des pipelines CI/CD, des processus RPA ou des workflows techniques. Si on modifie des identifiants intégrés sans notification préalable, cela peut entraîner l’échec simultané de divers processus clés. De plus, même si ces identifiants sont exposés par hasard, quiconque ayant une intention malveillante peut les exploiter pour violer les systèmes d’information cruciaux d’une organisation.
Pour prévenir les risques de sécurité liés aux privilèges permanents, l’organisation doit adopter le principe du privilège minimum, consistant à n’accorder aux utilisateurs que des privilèges d’accès suffisants pour exécuter leurs tâches courantes. L’affectation d’un accès juste-à-temps applique ce principe en octroyant aux utilisateurs un accès exclusif à durée limitée à des ressources sensibles partagées. On crée à cet effet des comptes d’administrateur temporaires qui expirent dès la période d’accès finie.
On peut automatiser tout ce processus avec un outil PAM intégrant un moyen d’élévation de privilèges juste-à-temps. Un bon outil PAM doit aussi offrir des contrôles d’accès basés sur des stratégies et le rôle, facilitant l’affectation de privilèges d’accès par défaut aux utilisateurs qui correspondent à leurs fonctions. Un tel outil permet de déclencher dynamiquement des stratégies d’accès avec des actions de suivi pour chaque demande d’accès formulée.
Lorsqu’un utilisateur requiert un accès administratif à des terminaux, on peut lui fournir un accès élevé JIT et le révoquer en sécurité une fois la demande fermée. De plus, les identifiants de ces terminaux sensibles doivent subir une rotation automatique pour veiller à les renouveler et éviter qu’ils ne deviennent des privilèges permanents, cible d’attaques.
En établissant des contrôles d’accès à privilège minimum, l’organisation prouve aisément sa conformité avec des normes réglementaires comme HIPAA, le RGPD, SOX, PCI DSS, la CCPA et ISO. En outre, pour bénéficier d’une couverture de cyber-assurance, elle doit établir un accès à privilège minimum et retirer les droits d’administrateur pour renforcer ses protocoles de sécurité.
Les workflows JIT, intégrés à des outils ITSM, renforcent aussi nettement la sécurité en obligeant les utilisateurs à présenter un ID de ticket précisant leurs besoins d’accès, et approuvant ou refusant instantanément leurs demandes. Les workflows JIT limitent donc l’accès privilégié administratif à la durée nécessaire, qui peut n’être que de cinq minutes, d’où une notable réduction de la surface d'attaque.
Environ 75 % des attaques internes sont le fait d’ex-employés. Ces ex-employés, par soif de revanche ou arrogance, exploitent des identifiants dont ils disposent toujours pour mener une activité malveillante, comme la génération de rapports sensibles, le téléchargement de données client ou l’accès à des fichiers cruciaux.
Lorsqu’un employé quitte une organisation, il faut un mécanisme qui révoque ses privilèges d’accès avant de le supprimer de l’environnement d’annuaire. La DSI peut ainsi s’assurer du retrait de ses privilèges, comme les mots de passe et les comptes sensibles auxquels il a accès.
Une solution PAM complète déclenche des workflows personnalisés pour révoquer automatiquement tous les privilèges liés aux utilisateurs et les transférer facilement à d’autres privilégiés de l’organisation. L’organisation veille ainsi à ce que l’employé partant n’emporte pas de données ou d’identifiants sensibles exploitables avec lui.
Les leaders du secteur appellent à éliminer les privilèges permanents comme un objectif de l’entreprise. Cependant, la prolifération des identités de machine et les workflows métier complexes rendent difficile une atteinte complète de cet objectif. L’organisation doit, toutefois, appliquer le principe du privilège minimum comme contrôle de sécurité minimal pour réduire sa surface d’attaque.
En phase de démarrage, elle peut y parvenir en partie avec des comptes éphémères. Voici quelques bonnes pratiques ZSP que les DSI doivent suivre dans leur stratégie de gestion de l’accès :
La meilleure voie vers le ZSP consiste à déployer une solution PAM qui intègre et automatise toutes ces bonnes pratiques. Les outils PAM aident à démarrer l’adoption du ZSP en recensant et ajoutant automatiquement les comptes privilégiés, veillant ainsi à ne laisser aucun compte non géré ou non contrôlé. Ces outils offrent des workflows de contrôle d'accès précis, un accès JIT et des contrôles du privilège minimum pour aider à bien examiner les pratiques d’accès privilégié et réserver les droits aux administrateurs.
Les outils PAM continuant à évoluer avec le cyber-contexte, l’organisation progressera naturellement dans l’atteinte du ZSP total.
PAM360 est une solution PAM complète qui aide l’entreprise à sécuriser, analyser, vérifier et réguler ses pratiques d’accès privilégié. PAM360 intègre des fonctions Zero Trust permettant à la DSI d’établir un accès à privilège minimum et JIT, des contrôles d’application et de commande et une affectation d’accès basé sur des stratégies. Elle s’assure ainsi que les bons utilisateurs disposent d’un accès administratif aux ressources sensibles.
De plus, PAM360 intègre un moteur de gestion des sessions qui offre un accès direct d’un clic à des terminaux distants sans exposer les mots de passe. On peut analyser, vérifier et enregistrer toutes les sessions lancées via la console PAM360, ou les arrêter lorsque l’utilisateur se livre à une activité suspecte.
PAM360 offre une intégration facile à des outils informatiques d’entreprise et des applications métier pour étendre la sécurité de l’accès privilégié à tous les workflows et renforcer le niveau de protection.