Les cas de compromission de systèmes d’informations d’entreprises par des utilisateurs de comptes à privilèges se multiplient. Comment les entreprises doivent faire face à ces menaces sérieuses ?
«Les utilisateurs privilégiés sont responsables ou, a minima, blâmables dans de plus en plus de cas de piratages de système d’information !», soutient Zoltán Györkő, Président-Directeur Général de BalaBit. Un exemple désormais incontournable, celui d’Edward Snowden, l’ancien Ingénieur et administrateur réseaux à la NSA qui, grâce à sa position d’utilisateur privilégié, a orchestré la plus grande fuite d’informations de tous les temps. Autre cas célèbre, le piratage considérable des données du géant de la distribution américain Target, qui a été mené par des hackers ayant eu accès au réseau grâce à une source interne.
«Beaucoup d’incidents de sécurité informatique commencent au sein même de l’entreprise; la plupart résultent d’un abus de privilèges, estime Zoltán Györkő. Ces incidents peuvent être également avoir été provoqués par des hackers externes à l’entreprise qui ont pour but d’atteindre un accès privilégié à des données sensibles par le biais de noms d’utilisateurs et de mots de passe, souvent le mot de passe root d’ailleurs. Pour les hackers externes, obtenir l’accès aux informations d’identification de ces utilisateurs privilégiés, qu’ils soient administrateurs réseaux ou CEO, peu importe, peut s’avérer clairement très rentable… »
Les chiffres confortent les faits. Selon un rapport de Verizon, 88% des incidents de sécurité touchant le système d’information sont dus à des abus d’accès privilégiés. Il est donc crucial pour les entreprises de mettre en place des solutions pour surveiller les intrusions dans leur système et plus particulièrement pour surveiller… ceux qui surveillent.
«Lorsqu’un incident se produit, les entreprises veulent connaître son origine, constate Zoltán Györkő. Ce qui n’est pas toujours simple puisque cela suppose d’analyser des millions de logs, ce qui requiert souvent le support d’experts externes. Ajouté à cela le fait que plusieurs administrateurs ont un accès commun au même compte à privilèges et partagent le même mot de passe, il devient donc très difficile de déterminer qui est le responsable lorsqu’un incident se produit.»
Gérer de manière optimale ces accès requiert généralement une révision de la manière dont la sécurité est assurée. Plusieurs solutions existantes comme le log management, les firewalls, les SIEM, se concentrent sur la conformité et la surveillance de l’environnement IT sur certains points spécifiques à un instant T. Certes. Mais ceux-ci laissent un angle mort qui offre une possibilité aux utilisateurs de compromettre la sécurité du système d’information de l’intérieur. Les administrateurs du système et les autres utilisateurs privilégiés n’ont quasiment aucune restriction quant aux droits d’accès aux systèmes d’exploitations, aux bases de données et aux applications. «Par l’abus de leurs privilèges sur le serveur, les administrateurs peuvent directement accéder et manipuler les informations sensibles de l’organisation, comme les finances ou les données CRM, les archives du personnel ou encore les codes de cartes bancaires», observe encore Zoltán Györkő.
La clé pour éviter ce type d’incidents est de se concentrer sur le contrôle du comportement des utilisateurs du système plutôt que de rajouter des couches de sécurité informatique supplémentaires. «Les informations sur les habitudes d’usage, comme le temps durant lequel les comptes sont accessibles -ou l’observation des actions sortant des habitudes ou des actions routinières pour trouver des comportements anormaux- peuvent mener vers de potentiels actes criminels.»
Les hommes ont des modèles comportementaux très caractéristiques : ils utilisent les mêmes applications, réalisent les mêmes cycles d’opérations dans leur travail, accèdent à des données similaires, et cetera, analyse Zoltán Györkő. «Ces interactions avec des systèmes IT laissent une empreinte reconnaissable qui peut être détectée et comprise. Ces profils peuvent ensuite être comparés en temps réel avec les activités des utilisateurs pour détecter des anomalies.» Ainsi, si un utilisateur accède uniquement aux applications Office et se met soudainement à utiliser les lignes de commandes pour sonder le réseau, cela peut être le signe que le compte utilisateur a été piraté par un hacker. De la même manière, si un vendeur se connecte uniquement et habituellement à SalesForce, une nouvelle activité de développement sur le serveur par exemple, pourra être détectée comme un problème.
De nouvelles approches de sécurité sont maintenant disponibles pour permettre à l’entreprise d’analyser l’ensemble des activités de ses utilisateurs. Ceci permet aux entreprises de suivre ce qui se passe réellement au sein de son réseau.
La capacité de reconstruire facilement et rapidement ces activités permet de réduire leur temps d’investigations et d’éviter des coûts supplémentaires. «Contrôler les comportements des usagers, c’est la clé pour l’identification des incidents et la solution pour contrer les incidents dès qu’ils se produisent», conclut Zoltán Györkő.