Malgré les milliards de dollars dépensés chaque année dans des produits de sécurité informatique, un nombre incalculable d'entreprises peine à accomplir les tâches de cybersécurité les plus basiques. L’un des fondamentaux de la cybersécurité couramment négligés concerne la gestion des mots de passe : un trop grand nombre d’entreprises ne gèrent pas correctement leurs identifiants, ce qui les expose à de multiples risques.
Alors pourquoi cette gestion semble-t-elle si complexe ? Pourquoi est-elle souvent reléguée au second plan malgré les risques encourus. Bilan et conseils en 5 points clés.
La sécurité à un instant T
Commençons par regarder comment certaines entreprises s’y prennent pour se mettre en conformité avec les réglementations. Le problème dans le cas de nombreux audits est qu’ils ne testent la sécurité qu’à un moment donné.
Par exemple, on peut passer et réussir un audit PCI-DSS un jour, puis quinze jours plus tard, déployer de nouveaux systèmes qui ne figurent pas dans les processus de gestion de mots de passe. L’entreprise est-elle toujours conforme ? Oui… jusqu’à ce qu’un autre auditeur de la sécurité intervienne. L’environnement IT est un écosystème dynamique. Il y a toujours de nouveaux systèmes entrants et de nouveaux employés qui se voient attribuer un accès. La cybersécurité en pâtit si les outils et les processus de gestion des mots de passe privilégiés ne tiennent pas compte des changements.
Merci pour tout et au revoir
Quand des salariés quittent l’entreprise, il est indispensable de changer les mots de passe administratifs pour être sûr qu’ils ne puissent pas s’y connecter de nouveau. On se souvient de l’incident survenu au sein de Peninsula Airlines il y a quelques mois. Une ancienne employée de cette société aérienne, mécontente de la façon dont elle avait été traitée lors de son départ, avait piraté le système de réservation de vols de la compagnie, alors rendu inopérant pendant deux jours.
Les anciens salariés des services IT peuvent représenter de sérieuses menaces pour la sécurité de l’organisation. Ils connaissent les mots de passe les plus secrets ! Et il est probable que ces ex-employés conserveront leur accès longtemps après leur départ. De nombreuses entreprises maintiennent leurs mots de passe administratifs statiques pendant des mois si ce n’est plus, ce qui leur laisse largement le temps de se connecter à leurs anciens systèmes et applications métier.
IAM + PIM : le duo gagnant
De nombreuses entreprises s’appuient sur des solutions IAM (Identity and Access Management) pour assurer le provisioning et deprovisioning d’utilisateurs. C’est une bonne chose, mais ces solutions ne gèrent pas la différence entre les comptes utilisateur et les comptes privilégiés.
Les produits IAM conventionnels sont très bien pour gérer les identités d’utilisateurs individuels. Mais ils ne s’occupent pas des identités privilégiées qui servent à accéder à des systèmes, à exécuter des programmes et à changer des paramètres de configuration.
Pour garder les systèmes critiques sous contrôle, il faut une solution de gestion des identités privilégiées ou Privileged Identity Management (PIM), afin de protéger les mots de passe des comptes privilégiés, en plus d’une solution IAM pour les mots de passe des comptes utilisateur.
L’inertie des comptes privilégiés
Puisque nous venons d’évoquer les comptes privilégiés, explorons plus encore ce sujet.
Les comptes privilégiés sont plus répandus qu’on ne peut l’imaginer. Prenons l’exemple d’une infrastructure de bases de données. Ce sont sûrement des dizaines voire des centaines d’applications qui établissent des connexions avec les bases de données. Ces applications utilisent leurs propres identifiants pour y avoir accès. Si l’entreprise ne dispose pas de solution pour gérer automatiquement et protéger ces identifiants, elle fera face à un véritable cauchemar en termes de sécurité et de conformité. Non seulement n’importe quel ancien salarié qui aurait en sa possession ces identifiants pourrait avoir accès aux entrepôts de données les plus précieux, mais aucun moyen ne permettrait de distinguer si c’est une application qui a accès à la base de données ou un utilisateur autorisé qui y accède au moyen des mêmes identifiants.
Et si ces identifiants changent rarement, il n’y a littéralement aucun moyen de fermer cette boîte de Pandore des mots de passe. Les mots de passe sont dans la nature et nul ne s’obligera à les oublier, à moins d’avoir un produit PIM pour changer en continu les identifiants privilégiés.
Une belle collection de droits d’accès
Sans contrôle de gestion des mots de passe privilégiés, la plupart des employés de longue date collectent les identifiants comme un concierge collecte des clés. C’est ainsi que ça fonctionne. Bob a travaillé à la compta client et a donc eu accès aux systèmes AR (accounts receivable). Puis il est passé à la compta fournisseurs et a eu des accès pour les systèmes AP (accounts payable). Ses identifiants AR n’ont jamais été révoqués, mais maintenant il a en plus accès aux systèmes AP. Quelques années auparavant, Bob avait temporairement été affecté à une équipe de comptabilité polyvalente. Pour ce poste, il avait eu besoin d’identifiants pour accéder à d’autres systèmes spécialisés. Une fois que l’équipe a eu terminé sa mission, Bob a maintenu ses droits d’accès à ces systèmes spéciaux. Résultat : l’entreprise compte un utilisateur disposant d’une combinaison potentiellement explosive de droits d’accès à ses systèmes financiers critiques.
Il est essentiel de mettre en place une politique stricte pour restreindre les accès privilégiés illimités. Même s’il y a de bonnes raisons d’élever des droits d’accès, il devrait toujours y avoir un processus d’approbation pour contrôler les identifiants privilégiés, ainsi qu’une mesure de limitation dans le temps de ces identifiants d’accès. Ainsi, les utilisateurs ont toujours l’accès dont ils ont besoin pour faire leur travail, mais seulement le bon niveau d’accès, adapté et contrôlé, et ceci pendant une période limitée.
Et vous, quels sont vos petits secrets de la gestion des mots de passe dans votre entreprise ?