Dans le Data Breach Investigations Report 2019 de Verizon, il est dit que l’utilisation des identifiants volées et l’abus de privilèges figurent systématiquement parmi les principales menaces, à la fois en termes de nombre d’incidents et de violations flagrantes. Cette tendance est en cours depuis plusieurs années et la communauté de la sécurité le sait. De plus, la prolifération des privilèges et des voies par lesquels un accès privilégié peut être exploité constitue un défi croissant pour l’informatique, affirme William Culbert, directeur EMEA Sud de BeyondTrust. Pourquoi, alors, ne nous concentrons-nous pas davantage sur la gestion des accès privilégiés ? La réponse est… compliquée selon le spécialiste qui la développe dans cet avis d’expert.
De nombreuses organisations entretiennent des croyances de longue date, fermement ancrées, au sujet des outils et des concepts de gestion des accès privilégiés. Ces idées fausses peuvent amener les équipes informatiques à ignorer des moyens faciles et hautement réalisables de réduire les risques, et à faire en sorte que l’organisation utilise des tactiques et des solutions de contournement dangereuses qui ne font qu’augmenter la surface de risque de leur organisation.
Un modèle de sécurité « browse up » risqué
Par exemple, les organisations activent toujours couramment un modèle de sécurité « browse up » risqué, où les tâches et actions administratives peuvent être effectuées à partir de systèmes d’utilisateurs finaux à faible confiance comme les appareils mobiles, les ordinateurs portables, etc. Pour que cela fonctionne et pour maintenir la sécurité, de nombreuses organisations ont essayé d’utiliser des « jump boxes » et des hôtes bastion dédiés qui sont largement verrouillés pour toutes les activités d’administration distante et privilégiées. Bien que cela puisse être une approche efficace qui ait un certain mérite, elle est souvent peu pratique pour les utilisateurs, ce qui conduit par conséquent à des efforts pour contourner complètement ce modèle d’accès (et nous savons où cela peut conduire).
Il ne fait aucun doute qu’il est temps de prioriser la gestion des accès privilégiés (PAM = Privilege Access Management), mais nous devons chercher un modèle et des outils réalistes qui sont opérationnellement durables. Pour surmonter les barrières mentales à l’adoption du PAM, nous devons également lutter contre les mythes et les perceptions erronées l’accompagnant.
On pense depuis longtemps que toute implémentation PAM robuste nécessite l’utilisation de comptes partagés, qui présentent un risque de sécurité à part entière. Certaines organisations ont eu du mal à changer les comportements des admin et autres utilisateurs à privilèges au sujet des comptes partagés, et cette lutte va probablement continuer… mais le PAM ne devrait pas être un facteur technologique contribuant ici.
Au-delà de l’Active Directory
De même, pour certains, le PAM semble impliquer que seuls les comptes et accès privilégiés sont accessibles, mais les outils PAM modernes devraient faciliter tout type de connectivité contrôlée, avec gestion des mots de passe et des sessions, divers éléments d’intégration avec authentification, fédération et autres services de sécurité, ainsi que l’enregistrement, la traçabilité et le suivi de l’activité. Et contrairement à certaines idées, les solutions PAM s’étendent bien au-delà de l’Active Directory. En fait, toute plateforme PAM digne de ce nom devrait également traiter complètement les comptes privilégiés sur Unix et Linux, ainsi que sur les appareils mobiles et les appareils non traditionnels, comme l’IoT.
Les meilleurs outils PAM d’aujourd’hui peuvent vraiment répondre à une liste étendue de cas d’utilisation, tels que l’accès à distance des fournisseurs et d’autres besoins d’accès plus granulaires. Certains ont essayé d’assimiler cela à la mise en œuvre du « zero trust », mais la réalisation d’un modèle de ce genre est extrêmement difficile à réaliser. Bien que le PAM ne soit qu’un aspect de la « limitation et de la surveillance de la confiance », il ne devrait pas être présenté à tort comme fournissant un modèle complet de « zero trust ». Commençons à démystifier les mythes PAM, et non pas à en créer de nouveaux ! Il n’y a pas de meilleur moment pour étudier le PAM, compte tenu le paysage actuel des menaces auquel nous sommes confrontés, et il est préférable de trouver des options qui s’intègrent dans l’environnement sans énormes maux de tête et exigences opérationnelles.