#Cloud
#Cybersécurité
19.04.22
#Cybersécurité
#Infrastructure
À des fins de maintenance, il est fréquent pour une entreprise de devoir fournir des accès à des prestataires externes.
Des accès nécessaires mais dont le périmètre est rarement questionné. Le prestataire a-t-il accès à plus de ressources que nécessaire ? Depuis quel équipement, quelle adresse IP et à quelle heure doit-il effectuer son intervention ? Son accès doit-il être révoqué à la fin de la mission ?
Avec l’application à venir de la directive NIS2, ces enjeux deviendront des obligations réglementaires. Les points (85) et (89) du préambule à NIS 2 encouragent respectivement à « traiter les risques découlant de la chaîne d’approvisionnement d’une entité », ainsi qu’à « adopter un large éventail de pratiques élémentaires de cyber hygiène intégrant la gestion des identités et des accès ».
L’encadrement des accès à privilèges devient une nécessité.
C’est pour cela que Rcarré intègre dans ses offres d’infogérance une solution de PAM à l’ensemble de ses clients. Explications dans cet article
La gestion des accès et des privilèges consiste à définir qui peut accéder aux ressources de l’entreprise, avec quels niveaux de droits et dans quelles conditions. Elle concerne les collaborateurs et les fournisseurs externes.
Ainsi, dans une petite et moyenne entreprise, cette gestion commence souvent par les accès utilisateurs. Lorsqu’un collaborateur change de poste, intègre ou quitte l’entreprise, ses droits utilisateurs doivent évoluer, pour refléter son nouveau rôle, ou être coupés. Ses accès aux dossiers partagés et aux applications métiers ne doivent pas lui permettre d’accéder à des documents dont il n’aurait pas besoin pour effectuer ses tâches quotidiennes.
Chez Rcarré, cette logique passe par une organisation autour de profils d’utilisateurs. Les droits des collaborateurs sont associés à des fonctions de l’entreprise, comme la facturation, la comptabilité ou les métiers propres à chaque activité. Ce principe de moindre privilège permet de restreindre le périmètre qui pourrait être compromis tout en bloquant toute tentative d’action malveillante interne, telles que l’exfiltration de données, l’altération ou la suppression intentionnelle de fichiers.
Chaque équipe dispose d’un socle d’accès standard, commun à tous les profils. Lorsque la situation l’exige, des droits complémentaires peuvent être accordés, au cas par cas. Par exemple, en cas d’évolution des missions d’un collaborateur, ou d’une intervention exceptionnelle sur un projet transverse mobilisant plusieurs métiers au sein de l’entreprise. Toutefois, l’attribution de ces privilèges supplémentaires devra toujours être justifiée, tracée et limitée.
Cette vigilance concerne aussi les comptes utilisés par des administrateurs et des fournisseurs externes lorsqu’ils disposent de droits techniques élevés. Un prestataire peut avoir besoin d’intervenir sur un serveur, une application métier ou un équipement réseau pour assurer une maintenance. Cet accès doit toutefois rester limité au périmètre confié et à la durée nécessaire. Qu’il soit utilisé par une équipe interne ou par un fournisseur, un compte à privilèges doit donc être attribué, contrôlé et tracé selon des règles explicites.
Le premier risque vient des droits trop larges. Rcarré constate encore des situations où un compte administrateur de domaine est créé alors que la personne n’a besoin que d’accéder à un seul serveur.
Pour Kevin GUILLAUME, Directeur Technique chez Rcarré : « Il n’est pas rare d’observer la création d’un compte administrateur de domaine sur l’ensemble de l’infrastructure alors que la bonne pratique voudrait que seul le serveur concerné soit accessible. Ce type d’action se fait habituellement par manque de temps. Une mauvaise habitude qui peut avoir de fortes conséquences en cas de compromission. »
Une autre mauvaise habitude observée est celle du partage de comptes utilisateurs. Lorsqu’un mot de passe circule entre plusieurs personnes, l’entreprise perd en visibilité sur les actions réalisées. Elle peut savoir qu’un compte a été utilisé, mais pas toujours par qui, ni dans quel contexte.
Cette perte de visibilité devient problématique après une erreur ou un incident. D’autant que la réglementation NIS 2 impose un niveau de maîtrise suffisant sur la gestion des risques, des incidents et des accès. Sans compte nominatif ni journalisation exploitable, il devient difficile d’attribuer une action, d’analyser l’origine d’un incident et de démontrer que les accès sont correctement encadrés.
Le vol d’identifiants ou leur réutilisation non autorisée reste un risque majeur pour les entreprises. Les identifiants détournés représenteraient 13 % des vecteurs d’accès initial dans les compromissions de données, selon le Data Breach Investigations Report, publié par Verizon Business. Pour les PME et ETI, les identifiants comptent aussi parmi les données les plus exposées, avec 31 % des données compromises.
C’est pour limiter ces risques que Rcarré déploie chez ses clients la solution Passbolt, un coffre-fort de mots de passe sécurisé, conçu pour les usages collaboratifs. Cette solution luxembourgeoise, open source et souveraine permet de partager les identifiants avec un ou plusieurs collaborateurs, tout en définissant des rôles et des droits propres à chacun. Les accès et les actions associées à chaque profil peuvent ainsi être tracées, pour plus de maîtrise et de sécurité.
Nous traitons la gestion des accès comme une composante centrale de la sécurité de votre informatique d’entreprise. Pour ce faire, nous avons noué depuis de nombreuses années un partenariat avec l’éditeur de logiciel souverain et européen Wallix autour de sa solution de Privileged Access Management (PAM).
Cette solution nous permet d’appliquer des profils et des rôles, de restreindre les droits des utilisateurs aux stricts besoins de leur fonction, ou encore d’ouvrir un accès à un prestataire pour une durée limitée et prédéfinie selon le principe du « Just-in-Time ».
Chaque client de Rcarré bénéficie de notre technologie PAM. Ainsi, lorsqu’un fournisseur demande à accéder à une ressource, sa requête sera automatiquement approuvée ou rejetée, en fonction de son rôle et du périmètre associé à ses missions.
En encadrant les horaires, la localisation ou encore le type d’équipement habilité à se connecter, le PAM réduit encore le périmètre exploitable par un attaquant. En cas de compromission d’un compte, l’individu malveillant n’aura qu’un champ d’action très limité.
Associé à l’authentification à multiples facteurs (MFA), et à l’application de contrôles d’accès basés sur les rôles (RBAC), il prévient les accès illégitimes aux machines, empêchant l’attaquant d’explorer à sa guise sur le réseau interne de votre entreprise.
Enfin, la traçabilité des actions joue un rôle déterminant. Lorsque survient une erreur ou une suspicion de compromission, vous devez être en capacité d’établir les actions réalisées, d’identifier le compte utilisé et de comprendre le contexte de l’intervention.
C’est pour cela que nos équipes techniques enregistrent les sessions de connexion aux serveurs, réalisées via le PAM. Conservés pendant six mois, ces éléments permettent de reconstituer précisément les manipulations effectuées, de faciliter l’analyse post-incident et d’ajuster si besoin les droits ou les procédures existantes.
Chez Rcarré, cette gestion rigoureuse des identités et des accès est appliquée par défaut à l’ensemble des environnements clients que nous gérons. Elle fait partie d’un socle de bonnes pratiques appliquées en continu pour renforcer notre posture globale de cybersécurité.
La sécurisation des accès à privilège repose sur une règle simple : chaque compte doit disposer des droits nécessaires, au bon moment, pour une action clairement identifiée. Cette approche limite les accès trop larges, réduit les risques liés aux comptes partagés et améliore la traçabilité des interventions.
En intégrant le PAM (Privileged Access Management) de WALLIX à ses offres d’infogérance, Rcarré applique ces mécanismes de contrôle par défaut. Les droits sont attribués selon les profils, les accès fournisseurs peuvent être ouverts pour une durée limitée et les actions sensibles sont systématiquement tracées.
Cette démarche prépare aussi les futurs usages liés aux agents IA (intelligence artificielle). À mesure que ces agents seront connectés à des applications métier, des documents internes ou des environnements techniques, leur capacité d’action devra être encadrée par des règles d’accès précises.
Rcarré anticipe déjà ces évolutions en structurant la gestion des identités, des rôles et des droits autour de principes applicables aux utilisateurs humains comme aux futurs agents numériques.
Maîtrisez vos privilèges