BeyondTrust
Skip to content
  • Skip to content
Contacter BeyondTrust

What can we help you with?

  • English
  • Deutsch
  • français
  • español
  • 한국어
  • português
Envoyer Échanger avec un commercial Obtenir de l'aide

Que cache votre gestion des mots de passe ?

novembre 29, 2018

  • Blog
  • Archiver
  • Contacts
  1. Home
  2. Blog
  3. Que cache votre gestion des mots de passe ?

Malgré les milliards de dollars dépensés chaque année dans des produits de sécurité informatique, un nombre incalculable d'entreprises peine à accomplir les tâches de cybersécurité les plus basiques. L’un des fondamentaux de la cybersécurité couramment négligés concerne la gestion des mots de passe : un trop grand nombre d’entreprises ne gèrent pas correctement leurs identifiants, ce qui les expose à de multiples risques.

Alors pourquoi cette gestion semble-t-elle si complexe ? Pourquoi est-elle souvent reléguée au second plan malgré les risques encourus. Bilan et conseils en 5 points clés.

La sécurité à un instant T

Commençons par regarder comment certaines entreprises s’y prennent pour se mettre en conformité avec les réglementations. Le problème dans le cas de nombreux audits est qu’ils ne testent la sécurité qu’à un moment donné.

Par exemple, on peut passer et réussir un audit PCI-DSS un jour, puis quinze jours plus tard, déployer de nouveaux systèmes qui ne figurent pas dans les processus de gestion de mots de passe. L’entreprise est-elle toujours conforme ? Oui… jusqu’à ce qu’un autre auditeur de la sécurité intervienne. L’environnement IT est un écosystème dynamique. Il y a toujours de nouveaux systèmes entrants et de nouveaux employés qui se voient attribuer un accès. La cybersécurité en pâtit si les outils et les processus de gestion des mots de passe privilégiés ne tiennent pas compte des changements.

Merci pour tout et au revoir

Quand des salariés quittent l’entreprise, il est indispensable de changer les mots de passe administratifs pour être sûr qu’ils ne puissent pas s’y connecter de nouveau. On se souvient de l’incident survenu au sein de Peninsula Airlines il y a quelques mois. Une ancienne employée de cette société aérienne, mécontente de la façon dont elle avait été traitée lors de son départ, avait piraté le système de réservation de vols de la compagnie, alors rendu inopérant pendant deux jours.

Les anciens salariés des services IT peuvent représenter de sérieuses menaces pour la sécurité de l’organisation. Ils connaissent les mots de passe les plus secrets ! Et il est probable que ces ex-employés conserveront leur accès longtemps après leur départ. De nombreuses entreprises maintiennent leurs mots de passe administratifs statiques pendant des mois si ce n’est plus, ce qui leur laisse largement le temps de se connecter à leurs anciens systèmes et applications métier.

IAM + PIM : le duo gagnant

De nombreuses entreprises s’appuient sur des solutions IAM (Identity and Access Management) pour assurer le provisioning et deprovisioning d’utilisateurs. C’est une bonne chose, mais ces solutions ne gèrent pas la différence entre les comptes utilisateur et les comptes privilégiés.

Les produits IAM conventionnels sont très bien pour gérer les identités d’utilisateurs individuels. Mais ils ne s’occupent pas des identités privilégiées qui servent à accéder à des systèmes, à exécuter des programmes et à changer des paramètres de configuration.

Pour garder les systèmes critiques sous contrôle, il faut une solution de gestion des identités privilégiées ou Privileged Identity Management (PIM), afin de protéger les mots de passe des comptes privilégiés, en plus d’une solution IAM pour les mots de passe des comptes utilisateur.

L’inertie des comptes privilégiés

Puisque nous venons d’évoquer les comptes privilégiés, explorons plus encore ce sujet.

Les comptes privilégiés sont plus répandus qu’on ne peut l’imaginer. Prenons l’exemple d’une infrastructure de bases de données. Ce sont sûrement des dizaines voire des centaines d’applications qui établissent des connexions avec les bases de données. Ces applications utilisent leurs propres identifiants pour y avoir accès. Si l’entreprise ne dispose pas de solution pour gérer automatiquement et protéger ces identifiants, elle fera face à un véritable cauchemar en termes de sécurité et de conformité. Non seulement n’importe quel ancien salarié qui aurait en sa possession ces identifiants pourrait avoir accès aux entrepôts de données les plus précieux, mais aucun moyen ne permettrait de distinguer si c’est une application qui a accès à la base de données ou un utilisateur autorisé qui y accède au moyen des mêmes identifiants.

Et si ces identifiants changent rarement, il n’y a littéralement aucun moyen de fermer cette boîte de Pandore des mots de passe. Les mots de passe sont dans la nature et nul ne s’obligera à les oublier, à moins d’avoir un produit PIM pour changer en continu les identifiants privilégiés.

Une belle collection de droits d’accès

Sans contrôle de gestion des mots de passe privilégiés, la plupart des employés de longue date collectent les identifiants comme un concierge collecte des clés. C’est ainsi que ça fonctionne. Bob a travaillé à la compta client et a donc eu accès aux systèmes AR (accounts receivable). Puis il est passé à la compta fournisseurs et a eu des accès pour les systèmes AP (accounts payable). Ses identifiants AR n’ont jamais été révoqués, mais maintenant il a en plus accès aux systèmes AP. Quelques années auparavant, Bob avait temporairement été affecté à une équipe de comptabilité polyvalente. Pour ce poste, il avait eu besoin d’identifiants pour accéder à d’autres systèmes spécialisés. Une fois que l’équipe a eu terminé sa mission, Bob a maintenu ses droits d’accès à ces systèmes spéciaux. Résultat : l’entreprise compte un utilisateur disposant d’une combinaison potentiellement explosive de droits d’accès à ses systèmes financiers critiques.

Il est essentiel de mettre en place une politique stricte pour restreindre les accès privilégiés illimités. Même s’il y a de bonnes raisons d’élever des droits d’accès, il devrait toujours y avoir un processus d’approbation pour contrôler les identifiants privilégiés, ainsi qu’une mesure de limitation dans le temps de ces identifiants d’accès. Ainsi, les utilisateurs ont toujours l’accès dont ils ont besoin pour faire leur travail, mais seulement le bon niveau d’accès, adapté et contrôlé, et ceci pendant une période limitée.

Et vous, quels sont vos petits secrets de la gestion des mots de passe dans votre entreprise ?

Restez informé

Recevez les dernières informations et actualités de BeyondTrust.. Vous pouvez vous désinscrire à n'importe quel moment.

Je donne mon accord pour recevoir les communications concernant les produits BeyondTrust, tel que cela est détaillé dans la Politique de Confidentialité BeyondTrust et je comprends que je pourrai modifier mes abonnements ou retirer mon consentement à tout moment.

Up next

From 16 octobre, 2018:
Comment résister aux cyberattaques
From 17 décembre, 2018:
Gestion des privilèges : les 5 grandes erreurs en matière de cybersécurité

You May Also Be Interested In:

Guide d'Achat Privileged Access Management (PAM)

Whitepapers

Guide d'Achat Privileged Access Management (PAM)

Checklist des assurances de cybersécurité

Whitepapers

Checklist des assurances de cybersécurité

Tout ce que vous devez savoir sur le PAM Just-In-Time

Whitepapers

Tout ce que vous devez savoir sur le PAM Just-In-Time

Restez informé

Je donne mon accord pour recevoir les communications concernant les produits BeyondTrust, tel que cela est détaillé dans la Politique de Confidentialité BeyondTrust et je comprends que je pourrai modifier mes abonnements ou retirer mon consentement à tout moment.

  • LinkedIn
  • Twitter
  • Facebook
  • Instagram
Service client Contacter BeyondTrust
  • Confidentialite
  • Sécurité
  • Gérer les cookies
  • WEEE Compliance

Copyright © 2003 — 2023 BeyondTrust Corporation. All rights reserved. Other trademarks identified on this page are owned by their respective owners. BeyondTrust Corporation is not a chartered bank or trust company, or depository institution. It is not authorized to accept deposits or trust accounts and is not licensed or regulated by any state or federal banking authority.