Pourquoi les utilisateurs privilégiés représentent-ils un risque majeur pour la sécurité ?

Les utilisateurs privilégiés disposent d’un accès supplémentaire aux ressources de l’entreprise et aux systèmes informatiques ; ces comptes peuvent faire l’objet d’abus, de mésaventures et d’exploitation, et constituent un type de menace interne.

Ces droits d’accès supplémentaires ont eu pour conséquence qu’une récente enquête de Bitglass intitulée « Spies in the Enterprise » a identifié les utilisateurs privilégiés comme la plus grande source de risque au sein d’une organisation.

Un rapport de Gurucul va dans le même sens, puisque 63 % des entreprises estiment que les utilisateurs informatiques privilégiés représentent la plus grande menace interne.

Ces deux rapports ne sont pas les premiers à constater que les utilisateurs privilégiés sont une source de risque pour la sécurité et ne seront certainement pas les derniers. Mais pourquoi ce groupe d’utilisateurs laisse-t-il une organisation exposée à des menaces de sécurité et que peut-on faire pour atténuer le risque lié à un utilisateur privilégié ?

L’utilisateur privilégié de la machine

L’indice des menaces de sécurité posées par les utilisateurs privilégiés se trouve dans le nom – privilégié.

L’accès privilégié est accordé à certains types de rôles ou à certains groupes au sein d’une organisation. Les personnes qui détiennent un accès privilégié ont besoin de droits d’accès supplémentaires par rapport aux utilisateurs standard parce qu’elles gèrent l’infrastructure informatique ou ont besoin d’accéder à des ressources sensibles de l’entreprise, etc.

Malheureusement, une fois l’accès privilégié attribué, ces utilisateurs détiennent les clés du royaume de votre entreprise.

Le problème avec les privilèges est qu’ils créent une arme à double tranchant. D’une part, ces utilisateurs ont besoin de droits supplémentaires pour accéder à des zones sécurisées et sensibles, mais ces droits peuvent être utilisés de manière abusive ou détournée.

La manière de résoudre ce problème est l’un des domaines les plus difficiles à gérer pour un service informatique. Voici quelques-uns des problèmes que posent les utilisateurs à accès privilégié :

Les utilisateurs ayant un accès privilégié sont une cible pour les cybercriminels

Les personnes qui détiennent la clé des données sont des cibles de choix. Les cybercriminels se concentrent sur certains rôles et groupes au sein d’une organisation pour tirer parti de leurs droits d’accès. Si un cybercriminel parvient à s’emparer de ces droits d’accès, il peut se déplacer dans l’organisation et pénétrer dans les zones sensibles d’un réseau sans être détecté.

C’est pourquoi les utilisateurs privilégiés deviennent la cible d’attaques de spear-phishing. Les pirates qui créent des campagnes de spear-phishing connaissent bien leur cible. Ils passent du temps à comprendre qui elle est et à quels éléments déclencheurs elle réagira.

Les départements tels que les comptes fournisseurs, par exemple, sont souvent victimes d’attaques de spear-phishing, car ils peuvent potentiellement accéder à des comptes financiers et transférer de l’argent. Pour mettre les choses en perspective, un rapport de 2019 de Symantec a révélé que les courriels de spear-phishing étaient utilisés par 65 % de tous les groupes connus menant des cyberattaques ciblées.

Gestion et contrôle de la conformité

Les utilisateurs privilégiés ont souvent accès aux autorisations et aux contrôles de sécurité. L’accès s’accompagne d’un contrôle. Si un utilisateur privilégié modifie, même par inadvertance, une autorisation ou un paramètre de sécurité, l’organisation risque de ne plus être en conformité avec des réglementations telles que le GDPR britannique, le DPA2018, le PCI, etc.

Les privilèges changent et évoluent

Les utilisateurs privilégiés se déplacent souvent au sein d’une organisation. Dans ce contexte, il peut être nécessaire de modifier leurs droits d’accès. Cependant, ce changement peut s’avérer compliqué s’il n’est pas soigneusement contrôlé.

En outre, les personnes qui quittent l’entreprise et qui disposent d’un accès privilégié peuvent souvent passer à travers les mailles du filet de sécurité, en quittant l’entreprise tout en conservant des droits d’accès privilégiés. Un rapport du Hague Delta a révélé que les personnes quittant une entreprise représentaient la plus grande menace interne d’exposition aux données. Le rapport a également révélé que 89 % des personnes quittant l’entreprise avaient encore accès à des données après avoir quitté l’organisation.

Moyens de prévenir les abus et les accidents des utilisateurs privilégiés

Il existe plusieurs façons de réduire les risques liés aux menaces d’initiés associées aux utilisateurs privilégiés. Voici quelques-unes des plus efficaces :

Gérer les privilèges

Il existe un principe connu sous le nom de « moindre privilège » qui est un principe fondamental de contrôle dans une organisation. Ce principe est le suivant : ne donnez à vos employés que les autorisations nécessaires à l’accomplissement de leur travail, et pas plus.

Pour y parvenir, il est possible de définir les autorisations de manière granulaire. Par exemple, demandez des autorisations par application plutôt que globales et définissez les droits d’accès en fonction d’un utilisateur plutôt que d’un groupe entier d’utilisateurs. Plus vous donnez de droits à quelqu’un, plus le risque est élevé.

Former les utilisateurs privilégiés à l’ingénierie sociale

Les utilisateurs privilégiés étant sous le feu des projecteurs des cybercriminels, ils font souvent l’objet d’attaques par ingénierie sociale. Les cybercriminels utilisent généralement la collecte de renseignements et la surveillance, en ciblant les utilisateurs privilégiés, pour préparer une attaque ou une escroquerie, ou pour informer une campagne de spear-phishing.

Sensibilisez vos utilisateurs privilégiés au risque accru associé à leurs droits d’accès et à la manière de repérer les signes révélateurs de l’ingénierie sociale utilisée pour cibler les utilisateurs privilégiés.

Sensibilisez les utilisateurs privilégiés aux astuces et tactiques d’hameçonnage

Les campagnes de spear-phishing qui ciblent les utilisateurs privilégiés peuvent être extrêmement difficiles à repérer. Cependant, si vous adaptez les modèles de simulation de phishing pour refléter les signes les plus subtils d’un message de spear-phishing, vous pouvez donner à vos utilisateurs privilégiés les outils nécessaires pour les aider à identifier les messages suspects.

Ces simulations de spear-phishing doivent être utilisées en combinaison avec une formation de sensibilisation à l’ingénierie sociale.

Processus et politique

Créez des politiques formelles concernant l’attribution de comptes d’accès privilégiés. Ces politiques doivent être conçues pour renforcer la responsabilité. Elles doivent également refléter le principe du moindre privilège et fournir des orientations sur la manière dont les contrôles des comptes privilégiés sont déterminés, à l’aide d’examens et d’approbations formels au sein d’une hiérarchie de parties prenantes.

Les politiques et les processus de gestion, de formation et de contrôle des utilisateurs privilégiés doivent constituer un élément fondamental de votre stratégie de sécurité.

Des références solides

Appliquez une politique d’authentification solide, multifactorielle et basée sur les risques à votre stratégie de sécurité globale. Cette mesure s’inscrit dans le cadre d’une stratégie globale d’atténuation des menaces externes fondées sur la prise de contrôle de comptes d’initiés privilégiés.

Les utilisateurs privilégiés constituent le maillon faible d’une organisation en raison de leur accès à des données et à des systèmes informatiques sensibles. Cependant, les utilisateurs privilégiés sont nécessaires au bon fonctionnement d’une organisation. En appliquant les meilleures pratiques aux utilisateurs privilégiés, notamment en matière de formation, de processus et d’application des politiques, une organisation peut réduire les risques liés à ce type de compte important.