Mettre à profit la gestion des comptes à privilèges pour assurer la conformité NIS2
Le PAM (Privileged Access Management) joue un rôle essentiel pour permettre aux organisations de se conformer aux nouvelles exigences tout en renforçant leur cyber-résilience sur le long terme.
« Les comptes à privilèges, les comptes administratifs ou les comptes avec des droits importants figurent toujours parmi les principales cibles des attaquants et sont souvent à l’origine de brèches de sécurité majeures », assure Rob Otto, Field CTO EMEA, Ping Identity. Au cours de la dernière All Cyber School de l’année à La ferme Mont-Saint-Jean à Waterloo, ce spécialiste est venu témoigner de l’importance du PAM comme élément critique de la conformité à la directive NIS2.
Le PAM fait partie du système IAM et se concentre sur la protection de l’accès des utilisateurs disposant de droits étendus -les utilisateurs dits privilégiés- qui sont souvent la cible de cyberattaques en raison de l’étendue, justement, de leur accès et donc de leur capacité de contrôle.
Les privilèges sont omniprésents
Si la gestion des accès à privilèges est, de loin, la plus sensible, elle repose sur les mêmes risques. Les humains sont encore et toujours le maillon faible, rappelle Christophe Hohl, Technical Advisor, Cyber Security Management. « La gestion des accès à privilèges aide les organisations à s’assurer que les personnes disposent uniquement du niveau d’accès nécessaire pour faire leur travail. La gestion des accès à privilèges aide aussi les équipes de sécurité à identifier les activités malveillantes liées à l’utilisation abusive des privilèges et à prendre des mesures rapides pour neutraliser le risque. »
Ne nous leurrons pas. Dans les entreprises numériques, les privilèges sont omniprésents. Les systèmes doivent être capables d’accéder et de communiquer les uns avec les autres pour travailler ensemble. « Force est de constater que le nombre de machines et d’applications qui requièrent un accès à privilèges augmente et, par conséquent, étend la surface d’attaque. Ces entités non humaines sont en général beaucoup plus nombreuses que les employés et elles sont plus difficiles à superviser et à gérer, voire, tout simplement, à identifier. »
Chaque terminal renferme par défaut des privilèges
Si, en parlant d’IAM et de PAM, on songe d’emblée à l’IT, on néglige trop souvent l’OT, à savoir les environnements opérationnels. Dans différents secteurs, comme dans les aéroports ou les hôpitaux, l’OT est partout, fonctionnant parfois sur des systèmes d’exploitation obsolètes, non-sécurisés « by design ». Le problème de la gouvernance de la sécurité des réseaux OT est rarement pris en compte, estime Rob Otto. « Qui est responsable de la sécurité OT ? Si tant est qu’il y ait une équipe sécurité OT, comment la faire collaborer avec les responsables de la sécurité IT ? Une stratégie robuste de gestion des accès à privilèges tient compte de tous les privilèges, où qu’ils ‘vivent’, autrement dit sur site, dans le cloud ou dans les environnements hybrides ; elle détecte les activités anormales dès leur apparition ! »
Dans n’importe quelle organisation, chaque terminal renferme par défaut des privilèges. Les comptes administrateurs intégrés permettent aux équipes informatiques de résoudre les problèmes localement, tout en constituant une source de risque importante. « Les attaquants peuvent exploiter les comptes administrateur, puis passer d’une station de travail à l’autre, volant au passage des identifiants supplémentaires, pour élever leurs privilèges et se déplacer latéralement sur le réseau jusqu’à atteindre ce qu’ils sont venus chercher », prévient Christophe Hohl. Un programme proactif de gestion des accès à privilèges doit inclure la suppression complète des droits d’administrateur local sur chaque station de travail afin de réduire le risque.
Enregistrer et consigner
Enfin, la gestion des accès à privilèges est essentielle pour atteindre la conformité… qui est la finalité de NIS2. « La directive oblige les organisations à prouver que les exigences de base en matière de sécurité ont bien été mises en place et qu’elles utilisent les bons outils, notamment pour signaler tout éventuel incident de sécurité, rappelle Stanislas Van Oost, GRC Executive Advisor, consultant pour Cyber Security Management. Grâce à la sécurité des identités, il est plus facile pour les entreprises de concevoir des processus et des contrôles qu’elles pourront auditer, s’assurant ainsi de la conformité avec les normes réglementaires et permettant de signaler précisément les failles de sécurité. »
De façon pratique, la mise en œuvre de la gestion des accès à privilèges dans le cadre d’une stratégie complète de sécurité et de gestion du risque permet aux organisations d’enregistrer et consigner toutes les activités liées à l’infrastructure informatique critique et aux informations sensibles, ce qui simplifie les procédures d’audit et les exigences de conformité.
PAM… pour faciliter les audits et les enquêtes
Dans le cadre de NIS2, ce dernier aspect est important, insiste encore Stanislas Van Oost. « Si la sécurité des identités permet aux organisations d’apporter une réponse rapide et d’atténuer la menace, elle fournit aussi une vue d’ensemble et centralisée sur les activités, permettant aux organisations de contrôler et suivre les comportements des utilisateurs. Cette fonctionnalité renforce l’obligation qu’ont les entreprises de devoir rendre des comptes ; elle facilite les audits et les enquêtes. Ceci en complément des exigences de transparence posées par la directive NIS2. »
En mettant en place des mécanismes d’authentification forte, des contrôles d’accès basés sur les fonctions de chacun et des principes de moindre privilège, les organisations vont réduire significativement les risques d’accès non autorisés et de menaces internes, conclut Rob Otto. « Les organisations qui accordent la priorité aux programmes de gestion des accès à privilèges dans le cadre de leur stratégie globale de cybersécurité y trouvent de nombreux avantages : atténuation des risques de sécurité, réduction de la surface d’attaque globale, diminution des coûts opérationnels et de la complexité, amélioration de la visibilité et de la connaissance du contexte dans toute l’entreprise, ou encore amélioration de la conformité réglementaire. »
