Comment mettre en place le PAM dans un périmètre post-Covid ?
La gestion des accès à privilèges, ou PAM (Privileged Access Management), est l’une des clés assurant la sécurité du réseau. Les professionnels en charge manquent souvent de temps pour mener cet exercice essentiel, rendu complexe par l’essor du télétravail et l’adoption croissante du modèle hybride.
À l’ère post-covid, ils doivent faire face à un nouveau défi : mettre en place une sécurité résiliente pour les comptes utilisateurs ayant accès à des ressources de grande valeur à l’heure où le périmètre réseau traditionnel se dissout.
Si nous appliquons le même concept à une situation plus courante, sa nature critique saute aux yeux. Combien de personnes ont une clé de votre maison ? Vous-même, votre conjoint, un parent, peut-être même un voisin digne de confiance ? Mais seriez-vous prêt à donner, sans méfiance, à des inconnus un accès illimité à votre domicile ? Si vous répondez non à cette dernière question, agissez de même dans le cas de votre réseau. En effet, accorder des privilèges en standard à tous les comptes utilisateurs pour leur donner accès aux zones les plus confidentielles du réseau revient à leur distribuer les clés de chez vous.
L’an dernier, le passage à un modèle de travail hybride nous a montré que les solutions classiques de gestion d’accès ne sont plus efficaces. Il est donc temps pour les entreprises de les réévaluer.
Quels sont les risques actuels ?
Le principal objectif d’un acteur malveillant est d’obtenir un accès en piratant des comptes utilisateurs de bas niveau, puis d’acquérir des privilèges de plus en plus élevés par tous les moyens nécessaires. Des mesures de sécurité faible ne font que lui faciliter la tâche. Alors même que ces risques sont bien connus, des millions de fichiers de données sont vulnérables en raison de mots de passe réutilisés et de privilèges attribués sans restriction.
Si les mots de passe suffisent généralement à sécuriser les comptes de messagerie, un niveau d’autorisation bien plus élevé doit barrer l’accès à des infrastructures critiques ou à des données clients confidentielles, par exemple. C’est cette autorisation qu’il convient de surveiller soigneusement et de vérifier continuellement.
L’an dernier, nous avons été témoins de certaines cyberattaques les plus dommageables, résultant pour la plupart d’un vol d’identifiants. Ceux-ci peuvent donner à des criminels un accès privilégié à des zones sensibles du réseau d’une entreprise, pour la simple raison que les autorisations d’accès ne sont pas réservées aux employés qui en ont véritablement besoin. La gestion de ces permissions n’a cessé de prendre de l’importance, en particulier étant donné les changements qui touchent ce que nous considérons désormais comme la frontière du réseau.
Comment définir ce nouveau périmètre ?
La transformation numérique et le télétravail ont fait voler en éclats ce que nous avions coutume de considérer comme un périmètre réseau. L’un des principaux défis pour les entreprises consiste à comprendre où commence et où s’arrête leur nouveau périmètre réseau et de sécurité. Les firewalls et les terminaux sont souvent encore vus comme des postes-frontières mais cette perception dépassée ne tient pas compte de la sphère sociale de l’utilisateur : la société qui nous entoure.
Alors qu’une grande majorité d’employeurs opte pour un modèle de travail hybride indéfiniment, la sécurité offerte entre les quatre murs d’un bureau n’est plus de mise et ce sont les identités et les autorisations qui délimitent dorénavant la frontière.
En outre, afin d’assurer la sécurité de chaque employé travaillant à son domicile, les entreprises doivent également englober son environnement social respectif. Le déploiement d’un logiciel antivirus sur chaque poste de travail de l’entreprise, par exemple, n’aura qu’une efficacité limitée pour réduire les risques. Si la machine est connectée à un réseau domestique, aux côtés de plusieurs autres appareils moins bien protégés, l’entreprise demeurera en danger et aura beaucoup moins de visibilité sur l’évolution des menaces. Les employés ayant à présent leur bureau chez eux, doivent se voir dotés des outils nécessaires pour la réduction des risques.
Afin de reprendre la main sur l’ensemble du réseau, les équipes de sécurité doivent revoir les permissions accordées aux différentes applications, et veiller à ce que toutes les autorisations futures reposent sur le principe de moindre privilège. L’identité devient le nouveau périmètre et l’accès le principal contrôle de sécurité, c’est pourquoi les procédures de sécurité doivent être établies à l’aune du nouvel environnement.
Revoir votre stratégie
Un cadre de sécurité complet fonctionnant en symbiose avec la productivité et l’expérience des utilisateurs s’articule selon trois axes : interopérabilité, automatisation et orchestration. En matière de gestion des accès à privilèges, les équipes ne peuvent pas se permettre de lésiner.
Ces 3 axes sont tous cruciaux pour la mise en place d’un modèle PAM efficace. La gestion des comptes à privilèges est une tâche considérable. Certaines entreprises comptent des milliers d’identifiants sur leur réseau et disposent de très peu de processus pour leur venir en aide. Chaque entreprise étant différente, il n’existe pas de solution universelle : les équipes doivent commencer par évaluer le degré d’intégration et d’interopérabilité de leurs diverses lignes de défense.
L’automatisation joue un rôle majeur dans la gestion des accès, a fortiori dans le monde moderne où des machines possédant leur propre identité communiquent entre elles à la vitesse de l’éclair. Compte tenu du nombre d’identifiants à privilèges à contrôler, la tâche prendrait énormément de temps s’il fallait l’accomplir manuellement. Toute mesure de sécurité qui bride la productivité des utilisateurs va à l’encontre de l’objectif global de l’entreprise. La gestion des authentifications et des autres processus d’accès sécurisé peut être guidée par des règles automatisées qui opèrent 24 heures sur 24, 7 jours sur 7 en tâche de fond et en conjonction avec les autres niveaux de la pile de sécurité.
L’application du principe de moindre privilège pour la gestion des accès est le meilleur moyen pour les entreprises de réduire le risque de piratage d’identifiants. Si un seul d’entre eux peut causer la perte d’un réseau d’entreprise, alors il est essentiel de les contrôler tous au maximum.
Pour reprendre l’analogie avec votre maison, l’existence d’un passe-partout permettant d’ouvrir chaque porte ou fenêtre représente un risque majeur pour la sécurité. Par conséquent, il est nécessaire de contrôler étroitement et de restreindre toutes les autorisations. Un accès limité dans le temps et l’espace réduit les risques. L’élimination des privilèges persistants au profit d’accès à la demande vérifiés continuellement peut nettement limiter les risques de cyberattaques.