Un compte privilégié est un compte qui possède plus de privilèges qu’un utilisateur ordinaire. Par exemple, il peut lire et modifier la sécurité d’un système, exécuter des fonctions qui peuvent affecter de nombreux utilisateurs, etc… Ces comptes sont donc les préférés des attaquants (75 % des organisations ont subi une attaque impliquant un compte privilégié) et nécessitent un niveau de sécurité maximal.

Ce webinaire s’est concentré sur la sécurisation de l’accès aux ressources informatiques telles que les serveurs. Cependant, il est important de comprendre qu’un accès sécurisé est également nécessaire pour de nombreux autres éléments (tels que les applications) et qu’il existe différents types d’accès privilégiés, ce qui fait que la sécurité n’est pas une solution unique et doit être adaptée à chaque situation.

Les approches de sécurité traditionnelles utilisées par les organisations, y compris la solution PASM traditionnelle, ne suffisent pas à protéger les accès privilégiés contre les attaquants car elles ne répondent pas aux cinq questions clés nécessaires pour une sécurité solide, étant :

• Comment déployer l’authentification forte ?
• Comment sécuriser les superadministrateurs intégrés ?
• Comment contrôler les permissions effectives ?
• Comment gérer un grand nombre de serveurs ?
• Comment surveiller de près les opérations ?

Pour résoudre ce problème, les entreprises peuvent améliorer la solution PASM afin de la rendre plus efficace dans la sécurisation des accès privilégiés. Pour ce faire, elles peuvent :

1. Automatiser les autorisations autant que possible : Les serveurs sont nombreux et évoluent constamment, et les utilisateurs aussi. La normalisation et l’automatisation des autorisations leur permettront de suivre ce rythme.
2. Prise en compte d’autres cas d’utilisation au-delà de l’administration interactive : Il s’agit de prendre en compte d’autres besoins pour éviter que les utilisateurs ne contournent le PASM. On peut citer comme exemple les scripts utilisant des identifiants d’administrateur et les DevOps / machine-to-machine.
3. Concevoir votre modèle de compte en suivant le principe du moindre privilège (least privilege) : Par exemple, en concevant un seul compte nominatif centralisé par utilisateur pour simplifier la gestion, bien que cela n’entraîne pas de propagation latérale. Un compte générique local serait plus favorable dans ce cas précis, bien qu’il soit plus difficile à mettre en œuvre pour une organisation et qu’il pose question sur la responsabilité des comptes locaux, rendant la gouvernance plus complexe.

Le PASM présente-t-il des risques ?

Lors de la phase de projet, les administrateurs peuvent rejeter le PASM si la gestion du changement n’a pas été suffisante pour les former à ce dernier. Pour éviter cela, il est essentiel d’intégrer et de former les administrateurs à la solution PASM dès le début. De plus, la difficulté du déploiement et le coût peuvent être un obstacle aux solutions PASM pour les organisations. Ainsi, plus le modèle d’accès est simple, plus la solution sera facile à déployer et moins elle prendra de temps, ce qui permettra de réduire les coûts. Enfin, une solution PASM locale risque d’être très lourde et coûteuse en termes d’architecture, d’où l’intérêt de définir une solution SaaS. Bien qu’il s’agisse d’une solution de sécurité complète, les solutions PASM seules ne sont peut-être pas l’avenir des solutions de sécurité, avec l’émergence des stratégies ZSP…

Zero-standing Privilege(ZSP) est une stratégie de sécurité alternative qui vise à remplacer les comptes et privilèges persistants par un système « juste à temps » et « juste assez » pouvant être appliqué à la fois pour l’utilisateur et pour le serveur.

Pour l’utilisateur :

• Zero Standing Privilege : Les utilisateurs ont droit à un ensemble de privilèges préapprouvés, mais ces privilèges ne sont pas activés par défaut
• Juste assez : Lorsqu’ils doivent effectuer une opération, ils peuvent activer les privilèges minimaux nécessaires à la réalisation de leur tâche…
• Juste à temps : … pendant la période requise, suite à laquelle les privilèges sont automatiquement révoqués.

La ZSP appliquée au niveau de l’utilisateur permet de sensibiliser les utilisateurs, d’améliorer la traçabilité des opérations des organisations et de limiter le risque de « fat-finger ».

Pour le serveur :

• Zero standing privilege : Les comptes ne restent pas sur les serveurs, ou ils n’ont pas d’autorisation.
• Juste assez : Lorsqu’un utilisateur a besoin d’accéder au serveur, un compte est créé à la volée sur le serveur ciblé…
• Juste à temps : …uniquement pour la durée de la session.

La ZSP appliquée au niveau du serveur évite la compromission d’un compte en cas de violation, évite le contournement des outils PAM et évite les écarts entre les solutions théoriques et les solutions effectives.

La ZSP est-elle l’avenir de la gestion des accès privilégiés ?

La ZSP est conçue pour l’avenir des technologies de l’information, où de nombreux utilisateurs ont accès à de nombreuses ressources en constante évolution, et elle permet d’utiliser efficacement les principes du Zéro Trust. Cependant, la ZSP ne répond pas à tous les cas d’utilisation (comme machine-to-machine) et son développement n’est pas abouti, ce qui signifie que l’on manque d’expérience sur le terrain.

Ainsi, le conseil de Wavestone sur la stratégie à adopter est de définir d’abord votre stratégie PAM globale, puis une solution PASM solide pour sécuriser efficacement les accès à vos serveurs, avant d’envisager l’introduction d’un peu de ZSP. Par exemple, au niveau de l’utilisateur pour les privilèges élevés ou pour les utilisateurs ayant des besoins occasionnels et au niveau du serveur pour le cloud.

Webinar accessible à ce lien : https://www.thesasig.com/calendar/event/23-10-11-networks/

Cet article La sécurisation des accès privilégiés – Approches pour relever des défis multiples est apparu en premier sur RiskInsight.