par Jean-Christophe Vitu, VP Solutions Engineers, EMEA, CyberArk. Alors que la digitalisation des organisations n’est plus un “si” mais un “quand”, et que la plupart d’entre elles ont d’ailleurs déjà complètement adopté cette idée, les spécialistes de la sécurité ne cessent de constater les mauvaises pratiques de toutes parts. En effet, cette transformation s’accompagne d’une augmentation drastique des cyberattaques. Le dernier « Threat Landscape Report » publié par CyberArk révèle d’ailleurs que 61 % des entreprises françaises ne modifient pas leur stratégie de sécurité à la suite d’un piratage. Ne pas mettre en place un plan de cybersécurité et ignorer l’expérience des incidents passés est un réel risque à prendre quant à la protection des données, des infrastructures et des actifs sensibles de ces entreprises.

Dans ce contexte, quel est le rôle des comptes à privilèges ? Pourquoi sont-ils importants ? Le premier réflexe à adopter est donc de protéger ses données. Pour ce faire, il faut savoir quels outils et applications sont utilisés, quelles informations circulent dans l’organisation, qui peut y accéder et comment. Sans ces éléments, la vulnérabilité est inévitable, et la faille de sécurité attendue. La plupart des entreprises ignorent par exemple comment les comptes administrateurs – également appelés comptes à privilèges ou comptes à hauts pouvoirs – sont exploités. Ces derniers, sésames de l’entreprise, permettent l’accès à un réseau, un système ou un poste particulier.

Contrairement aux comptes utilisateurs généralement dédiés à un seul employé, ces comptes particuliers sont utilisés par des administrateurs, des fournisseurs tiers ou de manière complètement robotisée, ce qui les rend, ainsi que les activités qui y sont conduites, plus difficilement traçables et identifiables. Ils deviennent alors une cible de premier choix pour les hackers qui déploient des techniques toujours plus sophistiquées pour s’infiltrer sur le réseau et s’y installer de manière insidieuse, afin de ne pas attirer l’attention et de pouvoir extraire progressivement les données les plus critiques. Dès lors, ils peuvent commencer l’installation de logiciels malveillants, ce qui fait de ces comptes le point de départ de la quasi-totalité des menaces persistantes avancées (Advanced Persistent Threats). Ces intrus sont donc difficiles à repérer sans une surveillance active par les équipes informatiques, et leur présence n’est souvent détectée que lorsque l’organisation s’aperçoit du vol des données, parfois de longs mois après la première intrusion. En outre, une part significative d’entreprises ignorent encore l’importance, voire l’existence, de ces comptes au sein de leur structure, de même que l’usage qui en est fait, et par conséquent, ne les sécurisent pas correctement.

Malgré cela, les organisations continuent d’évoluer pour rester compétitives. Ainsi, pour augmenter leur capacité de développement et accroître leur valeur ajoutée, les plus « traditionnelles » (banques, services publics ou organisations gouvernementales) adoptent les environnements DevOps. Ils consistent à combiner les tâches des développeurs (Dev) à l'exploitation des systèmes (Ops, pour opérations). Or, les solutions de sécurité traditionnelles ne sont pas adaptées aux problématiques actuelles du cloud, des sauvegardes et des DevOps, et renforcent la pression sur les équipes de sécurité ; celles-ci étant en effet confrontées à la prolifération massive de secrets et d'utilisateurs privilégiés dans cet environnement. Un ensemble de bonnes pratiques basées sur la posture de sécurité souhaitée pour ces environnements est donc nécessaire.

Pour autant, le rapport CyberArk rapporte que 79 % des employés français indiquent que leur organisation ne dispose d’aucune stratégie de sécurisation des comptes à privilèges – ou comptes administrateurs – au niveau des DevOps, ce qui multiplie les vulnérabilités susceptibles d’être exploitées par les cybercriminels. C’est pourquoi les équipes sécurité et DevOps doivent travailler main dans la main pour sécuriser les systèmes et uniformiser les déploiements et utilisations de technologies au sein de l’entreprise. De plus, les organisations peuvent s’appuyer sur l’automatisation et doivent évaluer la manière dont elle peut les aider à affronter les changements internes et menaces externes constants.

La sécurité est au final un travail d’équipe qui demande une grande vigilance. Etablir des lignes conductrices claires et mettre en place des mesures adaptées permettront notamment d’éviter toute erreur ou acte malveillant. Mais le succès de n’importe quel plan de sécurité repose finalement sur un élément simple : la collaboration entre tous les membres de l’équipe du CoDir, en passant par les employés, jusqu’aux équipes IT. Car si les outils et processus sont présents mais mal ou non appliqués, cela revient à installer un système d’alarme sur une maison et laisser la porte ouverte.

 

Photo : CyberArk