Cet article a été traduit automatiquement.
L'accès des utilisateurs est une épine dans le pied de la plupart des organisations. Dans un paysage de la cybersécurité en constante évolution, où les personnes sont au centre des préoccupations, de simples identifiants de connexion ne suffisent pas à protéger les utilisateurs et les données d'une organisation. En fait, les identifiants d'utilisateurs sont un vecteur de menace important : Forrester Research estime que 80% des tbd impliquent des privilèges identifiants, tels que le certificat, les clés, les tbd et les jetons. Et les effets de cette situation peuvent être dévastateurs.
En 2013, une attaque sur un réseau national de Commerce de détail a été le résultat d'un pirate informatique qui a obtenu un accès non autorisé aux systèmes de l'entreprise en volant des identifiants à un fournisseur tiers - et l'informatique a conduit à la perte de près de 70 millions de clients. Pour éviter ces situations, les entreprises doivent utiliser des méthodologies de gestion des accès telles que l'accès à moindre privilège, en veillant à ce que les utilisateurs et les processus ne disposent que des droits d'accès et d'édition minimaux aux ressources dont ils ont besoin.
Qu'est-ce que l'accès à moindre privilège ?
L'octroi d'un moindre privilège d'accès va au-delà de la codification de l'utilisateur et du groupe dans un système logiciel en établissant également les ressources auxquelles ils peuvent accéder et les fonctions qu'ils peuvent exécuter. En mettant en œuvre ce processus dans le cadre de leur stratégie globale de gestion des identités et des accès, les entreprises peuvent s'assurer que seules les bonnes personnes ont le bon niveau d'accès aux bonnes ressources, dans les bonnes conditions et au bon moment.
À quoi ressemble l'accès à des privilèges moindres dans la pratique ?
Dans un environnement d'entreprise, le principe de l'accès à moindre privilège garantit qu'un utilisateur ou une application ne dispose que des autorisations nécessaires pour remplir son rôle ou sa fonction, et pas plus. Dans ce contexte, en fonction de leur rôle, les utilisateurs n'ont accès qu'à la lecture, à l'écriture ou à l'exécution des fichiers et des applications dont ils ont besoin, sans avoir accès à aucune information sensible en dehors de ces ressources.
Ce principe peut être appliqué au droit d'accès à travers les applications, les terminaux, les processus et les systèmes, et peut dépendre de certains facteurs tels que le lieu ou l'heure de la journée. Le droit d'accès basé sur le rôle peut également être appliqué à des entités spécifiques telles que les ressources humaines, IT, et le marketing.
Comment construire une approche d'accès au moindre privilège ?
Alors que les entreprises cherchent à déployer un accès moins privilégié et à améliorer leurs stratégies d'atténuation des risques, voici quelques pratiques supplémentaires qu'elles peuvent mettre en œuvre.
Privilèges d'audit :
La première étape de la mise en œuvre de l'accès à moindre privilège consiste à vérifier que tous les comptes et identifiants existants disposent de l'autorisation appropriée. Le site audit doit inclure tous les comptes utilisateurs, groupes et tbd. Un audit régulier peut permettre d'éviter que le compte utilisateur et les processus n'accumulent dangereusement des niveaux d'accès au-delà du périmètre approprié des données requises.
La mise entre parenthèses des privilèges :
Les entreprises ne devraient créer un compte administrateur qu'en cas d'absolue nécessité et pour la durée la plus courte possible. En supprimant le droit d'accès de l'administrateur aux serveurs et en réduisant l'accès de chaque utilisateur à standard, vous réduisez la surface d'attaque et vous contribuez à sécuriser les données et les informations les plus sensibles d'une entreprise. C'est l'approche adoptée par la NSA, qui a réduit le nombre d'administrateurs de systèmes de 90% afin de rendre les systèmes informatiques plus sûrs.
Autre élément de la limitation des privilèges, le niveau d'accès par défaut pour tous les nouveaux comptes doit être aussi bas que possible.
Identifiants à usage unique :
Les entreprises peuvent contrôler et tracer les actions des utilisateurs grâce aux identifiants à usage unique. Un bon exemple en est le coffre-fort à mot de passe, où un mot de passe à usage unique est utilisé uniquement pendant la durée de l'activité. Une fois l'opération terminée, le mot de passe utilisé est supprimé.
Expiration de l'accès aux privilèges :
De la même manière que pour les identifiants à usage unique, la définition d'échéances pour l'accès aux privilèges garantit que l'accès de l'utilisateur est limité dans le temps ou lié à l'achèvement d'une tâche ou d'un processus.
en flux tendu (JIT) :
Les privilèges peuvent être augmentés au fur et à mesure qu'ils sont nécessaires pour des applications et des tâches spécifiques, sans nécessiter d'administrateurs identifiants ni exposer tbd.
En fixant des limites strictes à l'accès des utilisateurs, l'accès à moindre privilège est une approche importante pour les entreprises qui cherchent à protéger leurs données et à prévenir les attaques potentielles de l'intérieur. Ces principes offrent une approche plus solide de la sécurité, une stabilité accrue et une surface d'attaque réduite, autant d'éléments qui permettent aux organisations de se concentrer sur leurs activités et leur croissance.
