Il suffit qu’un seul compte privilégié soit compromis pour qu’une fuite de données soit possible. Des cybercriminels ou des salariés malveillants peuvent exploiter un compte privilégié mal sécurisé pour obtenir un accès admin et ainsi extraire, de façon anonyme, autant de données sensibles qu'ils le souhaitent dans la durée.
Si vous ne pouvez pas identifier les comptes privilégiés sur votre réseau, vous ne pouvez pas les protéger. Mais ce n’est pas parce que vous ignorez où se trouvent vos comptes privilégiés que les personnes mal intentionnées ne les trouveront pas. Ils n'auront plus alors qu'à se servir de ces comptes puissants pour perpétrer des cyberattaques.
Les cybercriminels ont besoin d’avoir accès à des comptes privilégiés pour mener à bien leurs plans : installer des malwares, voler des données ou désactiver des sytèmes. C’est pourquoi les identifiants privilégiés sont aussi prisés des hackers. Selon le Verizon Data Breach Investigations Report, « on retrouve des mots de passe volés et/ou faciles à deviner dans 81% des compromissions et attaques ».
Les comptes privilégiés : un terrain miné
Si ce problème est aussi sérieux, pourquoi ne pas y consacrer quelques ressources IT supplémentaires pour empêcher l’accès à ces comptes ? Cela paraît simple non ? En théorie, oui. En pratique dans la sécurité IT ? Pas vraiment.
Prenons un exemple. Un ordinateur à lui tout seul peut avoir des comptes privilégiés dans des comptes locaux et de domaine, dans des services et des tâches programmées ou encore dans des applications comme COM+ et DCOM, des sites web IIS et des bases de données. Prenez en compte toute la myriade de serveurs, postes de travail et périphériques sur un vaste réseau. Vous allez vite comprendre pourquoi il est difficile de documenter manuellement chaque compte privilégié et ses interdépendances. Et de changer fréquemment le mot de passe de chaque compte.
Et ce n’est pas tout. Le fait d’actualiser un seul mot de passe d’un compte privilégié peut provoquer des perturbations de service et des blocages système tant que les processus et services qui dépendent de cet identifiant ne sont pas actualisés en conséquence.
Ceci s’explique par le fait que les mots de passe des comptes de service sont quasiment impossibles à découvrir et à changer manuellement. Pour y parvenir, il vous faut les droits d’administration du compte de service. Tout d’abord, vous devez identifier l’ensemble des points où le compte de service est utilisé (découverte). Puis, il vous reste à changer le mot de passe partout où il est référencé (propagation).
La situation devient plus complexe encore quand vous ajoutez à l’équation la rotation du personnel, les nouveaux équipements et les opérations telles que les fusions d’entreprises.
Vous voilà au centre d’un champ de mines de comptes privilégiés vulnérables.
La découverte de comptes privilégiés en profondeur
La seule façon de sécuriser vos identifiants privilégiés consiste à :
- Mettre en place des mots de passe pour comptes privilégiés uniques et extrêmement complexes à déchiffrer ;
- Changer automatiquement les identifiants privilégiés après chaque utilisation pour empêcher des attaques du type pass-the-hash ;
- Actualiser les mots de passe fréquemment, toutes les deux heures s’il le faut.
Puis, pour éviter des perturbations IT au moment de changer des mots de passe privilégiés, vous devez propager les nouveaux de mots de passe à destination de tous les emplacements référencés. Pour ce faire, vous devez savoir en temps réel où les comptes privilégiés sont utilisés. Ce n’est qu’avec une technologie de gestion automatisée des identités privilégiées que vous pourrez accompagner continuellement ces changements, à grande échelle.
A quel point vos comptes privilégiés sont-ils sécurisés ?
Vos comptes privilégiés sont-ils vulnérables aux attaques ? Téléchargez l’outil gratuit de découverte BeyondTrust pour obtenir un rapport sur les comptes de service mal sécurisés, les comptes de domaine Active Directory et les comptes admin locaux sur votre réseau.
