Le principe du moindre privilège : la gestion de toutes les connexions d'utilisateurs

Dans 81 % des cas, les violations de données impliquent l'utilisation abusive d'informations d'identification pour accéder à des données sensibles et précieuses. Avec de telles statistiques, les responsables informatiques sont extrêmement motivés pour s'assurer que ces identifiants (lire : comptes d'utilisateurs) ne disposent que des autorisations minimales nécessaires à l'exécution des tâches liées au travail.

C'est précisément ce que cherche à faire le principe du moindre privilège. L'application correcte du principe du moindre privilège est essentielle pour réduire les risques de sécurité et constitue la pierre angulaire de l'architecture « zéro confiance ».

Le principe du moindre privilège consiste à limiter les droits d'accès au minimum nécessaire. Appliqué aux personnes, les administrateurs peuvent utiliser le contrôle d'accès basé sur les rôles (RBAC) pour limiter les privilèges d'un utilisateur aux seules données, applications et systèmes dont il a besoin pour faire son travail. Mais le moindre privilège s'applique également aux services, aux applications, aux processus, aux appareils tels que l'IoT et à d'autres processus informatiques.

Le moindre privilège est facile à expliquer, mais plus difficile à mettre en œuvre. Et les organisations s'efforcent de le faire depuis longtemps. En parcourant les archives d'Internet, on trouve cette perle de Microsoft datant de 1999 :

« La plupart des formations et des documents relatifs à la sécurité traitent de la mise en œuvre du principe du moindre privilège, mais les organisations le suivent rarement.

Le principe est simple, et son application correcte augmente considérablement votre sécurité et réduit les risques.

Ce principe stipule que tous les utilisateurs doivent se connecter avec un compte d'utilisateur disposant des autorisations minimales nécessaires pour accomplir la tâche en cours, et rien de plus.

Ce principe offre une protection contre les codes malveillants, entre autres attaques. Ce principe s'applique aux ordinateurs et à leurs utilisateurs ».

Et cela a été écrit il y a plus de 20 ans ! Aujourd'hui, la menace d'une attaque, qu'elle soit interne ou externe, est encore plus grande.

Le principe du moindre privilège est encore plus important aujourd'hui pour une stratégie de cybersécurité solide. Et il est facile de comprendre pourquoi. Par exemple, les attaques externes s'appuient sur les comptes d'utilisateurs pour prendre le contrôle des terminaux :

Les attaques externes s'appuient sur les comptes d'utilisateurs pour prendre le contrôle des terminaux, se déplacer latéralement dans le réseau et, en fin de compte, obtenir un accès ciblé à des données précieuses.

Les initiés utilisent leur propre accès ou d'autres comptes compromis pour exploiter les données et les applications à des fins malveillantes.

Si vous pensez que votre entreprise n'a pas besoin d'un moindre privilège, considérez les deux statistiques suivantes.

Près des trois quarts des utilisateurs ont des privilèges excessifs, c'est-à-dire qu'ils ont accès à des informations qui n'ont rien à voir avec leur travail.

La moitié des utilisateurs partagent leurs informations d'identification.

Si l'on rapproche ces deux concepts, on se rend vite compte qu'en l'absence de moindre privilège, les privilèges en place sont plus nombreux que prévu.

Avant de mettre en œuvre le principe du moindre privilège, il est important d'en examiner les objectifs et les avantages. Lorsqu'il est correctement appliqué, le principe du moindre privilège aide les services informatiques à :

• Réduire la surface d'attaque : Étant donné qu'une majorité d'utilisateurs dans votre organisation ont probablement déjà des privilèges excessifs, la mise en œuvre du principe du moindre privilège permet d'éliminer tout accès inutile.

• Réduire le risque d'infection par des logiciels malveillants : Pour être installés, les logiciels malveillants ont besoin de droits d'administrateur locaux. En limitant l'accès aux privilèges d'administrateur sur les terminaux et les serveurs, les logiciels malveillants (tels que les ransomwares ou les injections SQL) ont moins de chances d'infecter une machine donnée.

• Réduire les mouvements latéraux des attaquants : Les acteurs de la menace ne se contentent pas d'accéder à un seul point d'extrémité ; ils veulent aller plus loin dans le réseau, en sautant d'un point d'extrémité à l'autre, jusqu'à ce qu'ils atteignent un système contenant des données précieuses. Les comptes à privilèges sont nécessaires pour faciliter cet accès. En limitant les utilisateurs à un niveau d'accès aussi peu privilégié que possible, les attaquants ont moins de possibilités de se déplacer au sein du réseau.

• Réduire les risques de menaces internes : Les initiés utiliseront tous les accès que vous leur avez accordés pour accéder à toutes les données accessibles en vue de les exfiltrer, de les corrompre ou de les détruire.

• Respecter et prouver la conformité : Le moindre privilège rend votre environnement moins complexe, ce qui facilite les audits. De nombreuses réglementations de conformité (telles que PCI DSS, FISMA, SOX et HIPAA) imposent des politiques d'accès à moindre privilège pour démontrer le traitement approprié de la sécurité des données et des systèmes.

Ces objectifs doivent être examinés sous l'angle de ce qu'il faut faire (quel niveau de privilège) pour que votre entreprise reste opérationnelle.

Quelles sont donc les mesures fondamentales à prendre ?

Malheureusement, la mise en œuvre du moindre privilège n'est pas aussi simple que de faire en sorte que tout le monde ne soit PAS administrateur.

Cela s'applique aux postes de travail, aux serveurs, aux applications et aux autres ressources critiques. Par défaut, tous les utilisateurs (même les informaticiens) disposent d'un niveau de privilège standard. Envisagez deux solutions pour fournir un accès privilégié en cas de besoin.

Tout d'abord, créez des comptes distincts pour les utilisateurs qui ont besoin de privilèges : un pour exécuter leurs fonctions professionnelles non administratives (navigation sur le web, courrier électronique, travail sur des documents Office, etc.

Si le système à deux comptes ne fonctionne pas dans votre entreprise, envisagez de supprimer l'accès racine et l'accès administrateur aux terminaux, en partant de la base pour donner aux utilisateurs l'accès à la gestion des parties du terminal qui sont nécessaires. Par exemple, si l'utilisateur doit pouvoir gérer le DHCP, il doit être membre du groupe DHCP Admins et avoir le droit de se connecter localement, mais pas plus.

Cette étape implique une quantité de travail assez importante. Pour bien faire, il faut identifier les profils d'utilisateurs (par exemple, vendeur, utilisateur de la paie, administrateur de la paie, etc. Un audit doit ensuite être réalisé afin de ramener chaque compte utilisateur dans un état de moindre privilège.

Cela s'applique à l'accès aux données, aux imprimantes, aux applications, aux systèmes et au point de terminaison local. Si un utilisateur a réellement besoin de droits d'administrateur pour effectuer des tâches spécifiques, il faut chercher des moyens d'élever les droits en fonction de l'application, plutôt que de se contenter d'une solution générale consistant à faire de l'utilisateur un administrateur. Il existe des solutions tierces pour faciliter cette tâche.

Qu'il s'agisse du compte d'administrateur local sur un poste de travail ou du compte d'administrateur dans Active Directory - et de tout ce qui se trouve entre les deux -, il convient de réduire au minimum le nombre d'utilisateurs ayant accès à ces types de comptes.

Les solutions de gestion des comptes privilégiés (PAM) peuvent également fournir un accès sécurisé aux administrateurs et autres comptes privilégiés via un coffre-fort protégé par une politique.

Chacune des trois étapes précédentes s'articule autour de la création proactive d'un environnement dans lequel les administrateurs n'accordent aux utilisateurs que les autorisations nécessaires. Ces étapes permettent de réduire la majorité des sur-autorisations en cours dans les organisations aujourd'hui.

Cependant, même si toutes ces mesures sont en place, l'organisation court le risque qu'une mauvaise utilisation des comptes (même les comptes limités aux privilèges essentiels au travail) fournisse suffisamment d'accès pour qu'une action menaçante puisse avoir lieu.

Par exemple, si vous vous livrez à l'exercice de limitation des comptes d'utilisateur et déterminez que le directeur des comptes fournisseurs a besoin d'un accès complet au système des comptes fournisseurs, il est toujours possible que le compte soit compromis et que des paiements frauduleux soient effectués pour voler l'argent de l'organisation.

Voici le point essentiel : Le moindre privilège n'est pas une question de privilège.

En réalité, le moindre privilège concerne l'utilisation compromise (que ce soit par un initié ou un acteur de menace externe) d'un compte privilégié. L'un des aspects essentiels d'une stratégie de moindre privilège doit donc consister à surveiller l'utilisation des comptes privilégiés.

Compte tenu de l'utilisation abusive des informations d'identification dans le cadre d'attaques externes et internes, votre organisation ne peut pas se permettre de se concentrer uniquement sur les comptes de niveau administrateur. Dans l'exemple précédent de l'AP Director, l'utilisateur n'est certainement pas considéré comme un administrateur de quoi que ce soit ; il s'agit simplement d'un utilisateur qui a plus d'accès à un système donné que les autres membres de l'organisation.

L'objectif est donc de disposer d'un moyen de contrôler l'utilisation de chaque compte afin de s'assurer que les objectifs sous-jacents de moindre privilège sont atteints.

Comme nous l'avons mentionné ci-dessus, l'utilisation d'une solution PAM est viable pour un sous-ensemble de comptes réellement privilégiés (comme l'administrateur dans AD). Mais elle n'est pas adaptée à la surveillance de l'utilisation de chaque compte d'utilisateur dans l'organisation.

Il existe un point d'accès central qui fournit aux organisations des indicateurs avancés sur l'utilisation correcte ou la compromission d'un compte, à savoir l'ouverture de session.

L'ouverture de session est une étape obligatoire, quelle que soit la méthode d'accès ou le niveau de privilège, pour qu'un compte puisse accéder aux ressources. C'est cette étape obligatoire qui peut vous donner une visibilité sur l'utilisation des privilèges, quel que soit leur niveau. Les menaces internes et externes comportent des signes révélateurs d'une mauvaise utilisation dès l'ouverture de la session :

Utilisation en dehors des heures de travail : Les utilisateurs ont tendance à se connecter en suivant le même schéma de jours et d'heures. L'utilisation anormale d'un compte en dehors des heures de travail peut indiquer une utilisation abusive potentielle.

Inadéquation entre l'utilisateur et le point de terminaison : Les connexions à partir d'emplacements ou de points d'extrémité inhabituels doivent être une source d'inquiétude.

Plusieurs tentatives de connexion infructueuses : Les attaquants externes tentent d'exploiter les informations d'identification sur le plus grand nombre de systèmes possible afin d'accroître leur capacité à se déplacer latéralement. Ce type d'activité est une indication claire d'une utilisation abusive potentielle.

Plusieurs connexions simultanées : Dans le prolongement du dernier scénario, un attaquant externe peut réussir à exploiter un compte et à s'introduire simultanément dans plusieurs systèmes, ce qui est anormal pour un compte.

Le défi que pose la surveillance de l'utilisation des comptes par le biais des connexions est que, malgré leur valeur évidente pour mettre en évidence les activités inappropriées, les environnements Microsoft ne disposent pas de moyens natifs pour centraliser toutes les activités de connexion - et encore moins pour fournir des analyses sur les comportements de connexion inhabituels.

Les abonnements aux événements (une fonction des journaux d'événements qui permet de transmettre certains journaux à une machine Windows centrale) permettent d'y parvenir en partie, mais il s'agit d'une solution conçue pour un très petit nombre de systèmes. Il existe des solutions tierces de gestion des ouvertures de session qui permettent une surveillance complète des ouvertures de session sur tous les terminaux, en analysant l'activité des ouvertures de session et en fournissant des notifications en cas d'anomalie.

La surveillance des connexions est la première étape pour aider à limiter le risque associé à tout type d'accès privilégié - l'objectif même d'une initiative de moindre privilège. La surveillance des connexions permet aux services informatiques d'avoir une meilleure visibilité sur l'utilisation des comptes, avant que des mesures de lutte contre les menaces ne puissent être mises en œuvre.

Les solutions de gestion des connexions fournissent également une application basée sur des politiques autour des connexions. Cela permet de s'assurer que les comptes privilégiés ne peuvent pas être utilisés à mauvais escient en limitant les ouvertures de session par machine, temps et concurrence, ainsi qu'en forçant les déconnexions après les heures approuvées.

La combinaison de ces deux fonctionnalités permet de maintenir en place les contrôles de moindre privilège et de sécuriser davantage l'environnement contre l'utilisation abusive des informations d'identification.