Fondamentaux de la sécurisation des points d’accès pour protéger les privilèges

Il existe deux pratiques fondamentales bien connues des experts en sécurité et qui doivent faire partie intégrante de leur programme pour réduire la surface d’attaque : la première pratique consiste à appliquer des patchs ou correctifs applicatifs, tandis que la seconde repose sur la sécurisation des privilèges au niveau des points d’accès. Le vol des accès à privilèges est au cœur du cycle d’attaques, car les hackers ont besoin des informations d’identification d’administration d’un utilisateur pour se déplacer latéralement dans le réseau, accéder aux serveurs critiques et prendre le contrôle des systèmes.

Les organisations réalisent maintenant que la sécurisation de ces comptes à privilèges est une première étape nécessaire pour se prémunir contre les cyberattaques. Toutefois, ces accès constituent un défi de sécurité pour l’ensemble de l’infrastructure informatique car ils sont présents dans toutes les technologies de l’organisation, du serveur aux bases de données, en passant par les contrôleurs de domaines, hyperviseurs. Ils sont aussi présents sur les endpoints pour lesquels la sécurisation des comptes à privilèges est tout aussi importante que celle des serveurs et des contrôleurs de domaines.

La propriété est un privilège…

S’il existe un certain nombre de raisons pour lesquelles la sécurité des privilèges aux points d’accès est critique, la « propriété des points d’accès » en est la principale. Il s’agit de l’accès privilégié qui donne à l’utilisateur le contrôle total sur le point d’accès, et lui permet également de déterminer les autorisations sur la machine. Si cette dernière est gérée par un administrateur de confiance, l’entreprise la contrôle et en conserve alors la « propriété ». Or, une fois qu’un pirate informatique accède aux identifiants à privilèges, il a alors la mainmise totale sur cette machine dont il devient le propriétaire. Par conséquent, le hacker est à même de valider les droits d’accès aux systèmes, de créer et modifier des comptes d’utilisateurs, ou des paramètres de configuration. Il peut également désactiver ou désinstaller l’antivirus, installer des logiciels malveillants, réinitialiser les mots de passe locaux, accéder aux données confidentielles, etc.

Selon Les 10 règles immuables de sécurité  de Microsoft, il existe plusieurs « lois » sur la nécessité de sécuriser les informations d’identification d’administrateur, mais la règle n°6 est particulièrement intéressante : Un ordinateur est aussi sûr que l’administrateur est digne de confiance – « Chaque ordinateur doit avoir un administrateur : quelqu’un qui peut installer des logiciels, configurer le système d’exploitation, ajouter et gérer des comptes d’utilisateurs, établir des politiques de sécurité et gérer toutes les autres tâches de gestion associées à la mise à jour et à l’exécution d’un ordinateur. Par définition, ces tâches exigent que l’individu ait le contrôle de l’ordinateur. Cela met donc l’administrateur dans une position d’une puissance inégalée. »

Malheureusement, les administrateurs autorisés commettent parfois des erreurs ou peuvent avoir un comportement malveillant, tandis que certains utilisateurs ou logiciels non autorisés utilisent des identifiants d’administration. Partant de ce constat, la raison pour laquelle les organisations continuent d’ajouter des couches de contrôles et de détection aux points d’accès sans sécuriser les comptes admin reste un véritable mystère. Cette étape, la plus basique mais essentielle dans le contrôle de sécurité, est manquante. Pourtant, les organisations ont dépensé des milliards de dollars pour protéger leurs infrastructures contre les cyberattaques. Mais celles-ci continuent de croître et les cybercriminels leur coûteraient en moyenne 15 millions de dollars par an ; la majorité écrasante des attaques provenant d’un point d’accès.

Les attaquants savent en effet que les logins des utilisateurs sont des points d’infiltration beaucoup plus faciles que les exploitations de réseau ou de logiciels. Les organisations tentent de former leurs employés à ne pas cliquer sur un email malveillant, mais les tentatives de phishing persistent et sont de plus en plus sophistiquées. Bien qu’il soit indispensable d’améliorer la sensibilisation et l’éducation des collaborateurs en matière de sécurité, cela ne permet pas de contenir une attaque au point d’accès. Dans ce cas, limiter les droits d’administration pourrait résoudre ce problème.

…qui doit être protégé au niveau des points d’accès

En effet, une récente recherche sur le paysage de la sécurité révèle que 62 % des décideurs informatiques interrogés confirment que les utilisateurs de leur organisation disposent de privilèges administratifs locaux sur leurs terminaux. La suppression de ces droits sur les postes de travail est perçue comme un compromis difficile entre la sécurité et la facilité d’utilisation. En effet, les utilisateurs contactent souvent le support informatique pour les aider sur des tâches banales requérant des droits d’administrateurs, ce qui s’avère chronophage, coûteux et à terme contreproductif pour l’ensemble des équipes. Pour compenser, les entreprises ont donc décidé d’ajouter des couches de sécurité préventives, tels que des antivirus, pare-feu personnels, ainsi que des outils de prévention des intrusions, de contrôle des applications et des périphériques. Ceci n’empêche malheureusement pas les violations de sécurité. C’est pourquoi, les experts de la sécurité doivent revenir aux fondamentaux manquants et passer outre les réticences au déploiement des technologies qui leur permettent de faire ce qu’ils savent être juste ; leurs paramètres pourraient ainsi être beaucoup plus sûrs. Ils peuvent notamment s’appuyer sur la combinaison de la gestion des moindres privilèges au contrôle des applications afin de révoquer les droits d’administrateur local, tout en offrant également une élévation des privilèges pour les applications de confiance lorsque cela est nécessaire. De plus, le contrôle applicatif apporte d’importants avantages supplémentaires. Outre les applications qui sont validées ou mises en quarantaine de manière automatique, il est tout à fait possible d’exécuter des applications inconnues dans un environnement restreint. Cela permettra d’empêcher l’accès aux informations sensibles, aux partages réseau et à internet. Ainsi, si l’application est malveillante, la menace est alors contenue au niveau du point d’accès.

Il y aura toujours une nouvelle « menace du jour ». Il est donc important de mettre en place des mesures pour contenir les dommages d’une violation et atténuer les risques, et de garder en mémoire que le dénominateur commun de la boîte à outils de sécurité d’une entreprise sont les comptes à privilèges ; leur protection doit être une priorité absolue. Ainsi, la mise en place d’une politique du moindre privilège associée au contrôle des applications permettront à une organisation de contenir les attaques au niveau des points d’accès de la manière la plus optimale.