Alert icon Keyboard navigation enabled.
Alert icon TAB or Shift+TAB to navigate across. Down ↓ to open menu. ESC to close menu.
Alert icon Down ↓ to select section. Right → to activate. Up ↑ / Down ↓ / Tab to traverse all. ESC to exit.
BeyondTrust
Skip to content Use space or enter to skip.

Comment pouvons-nous vous aider aujourd’hui ?

Résultats instantanés
  • Résultats du site web
  • Documentation technique

Filtres disponibles

Affinez votre recherche

Filtrage par

Vos recherches récentes :

  • English
  • Deutsch
  • français
  • español
  • 한국어
  • português
  • Home
  • Ressources
  • Blog
  • Que cache votre gestion des mots de passe ? current page
Link copied

Que cache votre gestion des mots de passe ?

29 nov. 2018
Blog banner default
Que cache votre gestion des mots de passe ?

Malgré les milliards de dollars dépensés chaque année dans des produits de sécurité informatique, un nombre incalculable d'entreprises peine à accomplir les tâches de cybersécurité les plus basiques. L’un des fondamentaux de la cybersécurité couramment négligés concerne la gestion des mots de passe : un trop grand nombre d’entreprises ne gèrent pas correctement leurs identifiants, ce qui les expose à de multiples risques.

Alors pourquoi cette gestion semble-t-elle si complexe ? Pourquoi est-elle souvent reléguée au second plan malgré les risques encourus. Bilan et conseils en 5 points clés.

La sécurité à un instant T

Commençons par regarder comment certaines entreprises s’y prennent pour se mettre en conformité avec les réglementations. Le problème dans le cas de nombreux audits est qu’ils ne testent la sécurité qu’à un moment donné.

Par exemple, on peut passer et réussir un audit PCI-DSS un jour, puis quinze jours plus tard, déployer de nouveaux systèmes qui ne figurent pas dans les processus de gestion de mots de passe. L’entreprise est-elle toujours conforme ? Oui… jusqu’à ce qu’un autre auditeur de la sécurité intervienne. L’environnement IT est un écosystème dynamique. Il y a toujours de nouveaux systèmes entrants et de nouveaux employés qui se voient attribuer un accès. La cybersécurité en pâtit si les outils et les processus de gestion des mots de passe privilégiés ne tiennent pas compte des changements.

Merci pour tout et au revoir

Quand des salariés quittent l’entreprise, il est indispensable de changer les mots de passe administratifs pour être sûr qu’ils ne puissent pas s’y connecter de nouveau. On se souvient de l’incident survenu au sein de Peninsula Airlines il y a quelques mois. Une ancienne employée de cette société aérienne, mécontente de la façon dont elle avait été traitée lors de son départ, avait piraté le système de réservation de vols de la compagnie, alors rendu inopérant pendant deux jours.

Les anciens salariés des services IT peuvent représenter de sérieuses menaces pour la sécurité de l’organisation. Ils connaissent les mots de passe les plus secrets ! Et il est probable que ces ex-employés conserveront leur accès longtemps après leur départ. De nombreuses entreprises maintiennent leurs mots de passe administratifs statiques pendant des mois si ce n’est plus, ce qui leur laisse largement le temps de se connecter à leurs anciens systèmes et applications métier.

IAM + PIM : le duo gagnant

De nombreuses entreprises s’appuient sur des solutions IAM (Identity and Access Management) pour assurer le provisioning et deprovisioning d’utilisateurs. C’est une bonne chose, mais ces solutions ne gèrent pas la différence entre les comptes utilisateur et les comptes privilégiés.

Les produits IAM conventionnels sont très bien pour gérer les identités d’utilisateurs individuels. Mais ils ne s’occupent pas des identités privilégiées qui servent à accéder à des systèmes, à exécuter des programmes et à changer des paramètres de configuration.

Pour garder les systèmes critiques sous contrôle, il faut une solution de gestion des identités privilégiées ou Privileged Identity Management (PIM), afin de protéger les mots de passe des comptes privilégiés, en plus d’une solution IAM pour les mots de passe des comptes utilisateur.

L’inertie des comptes privilégiés

Puisque nous venons d’évoquer les comptes privilégiés, explorons plus encore ce sujet.

Les comptes privilégiés sont plus répandus qu’on ne peut l’imaginer. Prenons l’exemple d’une infrastructure de bases de données. Ce sont sûrement des dizaines voire des centaines d’applications qui établissent des connexions avec les bases de données. Ces applications utilisent leurs propres identifiants pour y avoir accès. Si l’entreprise ne dispose pas de solution pour gérer automatiquement et protéger ces identifiants, elle fera face à un véritable cauchemar en termes de sécurité et de conformité. Non seulement n’importe quel ancien salarié qui aurait en sa possession ces identifiants pourrait avoir accès aux entrepôts de données les plus précieux, mais aucun moyen ne permettrait de distinguer si c’est une application qui a accès à la base de données ou un utilisateur autorisé qui y accède au moyen des mêmes identifiants.

Et si ces identifiants changent rarement, il n’y a littéralement aucun moyen de fermer cette boîte de Pandore des mots de passe. Les mots de passe sont dans la nature et nul ne s’obligera à les oublier, à moins d’avoir un produit PIM pour changer en continu les identifiants privilégiés.

Une belle collection de droits d’accès

Sans contrôle de gestion des mots de passe privilégiés, la plupart des employés de longue date collectent les identifiants comme un concierge collecte des clés. C’est ainsi que ça fonctionne. Bob a travaillé à la compta client et a donc eu accès aux systèmes AR (accounts receivable). Puis il est passé à la compta fournisseurs et a eu des accès pour les systèmes AP (accounts payable). Ses identifiants AR n’ont jamais été révoqués, mais maintenant il a en plus accès aux systèmes AP. Quelques années auparavant, Bob avait temporairement été affecté à une équipe de comptabilité polyvalente. Pour ce poste, il avait eu besoin d’identifiants pour accéder à d’autres systèmes spécialisés. Une fois que l’équipe a eu terminé sa mission, Bob a maintenu ses droits d’accès à ces systèmes spéciaux. Résultat : l’entreprise compte un utilisateur disposant d’une combinaison potentiellement explosive de droits d’accès à ses systèmes financiers critiques.

Il est essentiel de mettre en place une politique stricte pour restreindre les accès privilégiés illimités. Même s’il y a de bonnes raisons d’élever des droits d’accès, il devrait toujours y avoir un processus d’approbation pour contrôler les identifiants privilégiés, ainsi qu’une mesure de limitation dans le temps de ces identifiants d’accès. Ainsi, les utilisateurs ont toujours l’accès dont ils ont besoin pour faire leur travail, mais seulement le bon niveau d’accès, adapté et contrôlé, et ceci pendant une période limitée.

Et vous, quels sont vos petits secrets de la gestion des mots de passe dans votre entreprise ?

Derniers articles
  • Témoignage détaillé de BeyondTrust sur l’attaque d’Okta
    oct. 23, 2023 Témoignage détaillé de BeyondTrust sur l’attaque d’Okta
    Blog
    1m
  • BeyondTrust est élu Leader par le Magic Quadrant™ for Privileged Access Management 2023 de Gartner®
    sept. 5, 2023 BeyondTrust est élu Leader par le Magic Quadrant™ for Privileged Access Management 2023 de Gartner®
    Blog
    1m
  • Qu’en est-il de la sécurité des identités aujourd’hui ?
    févr. 15, 2023 Qu’en est-il de la sécurité des identités aujourd’hui ?
    Blog
    1m
  • Les prouesses des hackers de Lapsus$ révèlent les faiblesses des services de support et le risque de corruption des employés
    avr. 5, 2022 Les prouesses des hackers de Lapsus$ révèlent les faiblesses des services de support et le risque de corruption des employés
    Blog
    1m
  • Le Gartner Peer InsightsTM reconnait BeyondTrust comme LE choix des clients 2021 pour le PAM
    janv. 24, 2022 Le Gartner Peer InsightsTM reconnait BeyondTrust comme LE choix des clients 2021 pour le PAM
    Blog
    1m
En lien avec
  • Comment le principe du moindre privilège peut protéger les organisations contre les acteurs malveillants ?
    juil. 10, 2020 Comment le principe du moindre privilège peut protéger les organisations contre les acteurs malveillants ?
    Blog
    1m
  • 3 risques de sécurité IT à gérer pour protéger les ressources IT des télétravailleurs sans impacter leur productivité
    avr. 13, 2019 3 risques de sécurité IT à gérer pour protéger les ressources IT des télétravailleurs sans impacter leur productivité
    Blog
    1m
Partager cet article
  • Link
Rester informé
Recevez les dernières nouvelles, idées et astuces de BeyondTrust. Vous pouvez vous désabonner à tout moment.

Restez informé

Service client Contacter BeyondTrust
  • LinkedIn
  • X
  • Facebook
  • Instagram
  • Add BeyondTrust as a preferred source on Google
  • Confidentialite
  • Sécurité
  • Gérer les cookies
  • Do Not Sell My Data
  • WEEE Compliance

Copyright © 2003 — 2023 BeyondTrust Corporation. All rights reserved. Other trademarks identified on this page are owned by their respective owners. BeyondTrust Corporation is not a chartered bank or trust company, or depository institution. It is not authorized to accept deposits or trust accounts and is not licensed or regulated by any state or federal banking authority.

Prefers reduced motion setting detected. Animations will now be reduced as a result.