Dans toute organisation, certains comptes sont désignés comme étant privilégiés. Ces comptes privilégiés diffèrent des comptes d’utilisateur standard en ce sens qu’ils sont autorisés à effectuer des actions qui vont au-delà de ce que les utilisateurs standard peuvent faire. Les actions varient en fonction de la nature du compte, mais peuvent inclure n’importe quoi, de la configuration de nouveaux comptes d’utilisateurs à l’arrêt de systèmes critiques.
Les comptes privilégiés sont des outils indispensables. Sans ces comptes, le personnel informatique serait incapable de faire son travail. Dans le même temps, les comptes privilégiés peuvent constituer une menace sérieuse pour la sécurité d’une organisation.
Risque supplémentaire d’un compte privilégié
Imaginez un instant qu’un pirate parvienne à voler le mot de passe d’un utilisateur standard et soit capable de se connecter en tant que cet utilisateur. Même si le pirate aurait accès à certaines ressources à ce stade, il serait limité par les privilèges de l’utilisateur (ou leur absence). En d’autres termes, le pirate serait capable de naviguer sur Internet, d’ouvrir certaines applications et d’accéder au courrier électronique de l’utilisateur, mais c’est à peu près tout.
De toute évidence, le compte d’un utilisateur compromis est un gros problème, mais il y a une limite à ce qu’un pirate peut faire en utilisant ce compte. Cependant, on ne peut pas en dire autant d’une situation dans laquelle un pirate accède à un compte privilégié. Un pirate ayant accès à un compte privilégié contrôle les ressources informatiques de la victime.
Cela présente un dilemme pour ceux qui sont chargés de sécuriser les ressources informatiques d’une organisation. D’une part, les comptes privilégiés sont nécessaires pour effectuer les tâches administratives quotidiennes. D’autre part, ces mêmes comptes représentent une menace existentielle pour la sécurité de l’organisation.
Débarrasser votre organisation des comptes privilégiés
L’une des façons dont les organisations s’efforcent d’éliminer les dangers associés aux comptes privilégiés consiste à adopter la sécurité Zero Trust. La sécurité Zero Trust est une philosophie qui stipule essentiellement que rien sur un réseau ne doit être digne de confiance à moins qu’il ne soit prouvé qu’il est digne de confiance.
Cette philosophie va également de pair avec une autre philosophie informatique appelée Least User Access (LUA). LUA fait référence à l’idée qu’un utilisateur ne devrait avoir que les privilèges minimaux requis pour faire son travail. Cette même philosophie s’applique également aux professionnels de l’informatique.
Le contrôle d’accès basé sur les rôles est souvent utilisé pour limiter les comptes privilégiés à la capacité d’exécuter une fonction privilégiée très spécifique plutôt que d’avoir un accès complet et illimité à l’ensemble de l’organisation.
Options de gestion des accès privilégiés
Les organisations limitent également les comptes privilégiés en adoptant une solution de gestion des accès privilégiés. Gestion des accès privilégiésou PAM comme on l’appelle souvent, est conçu pour empêcher l’exploitation des comptes privilégiés par les cybercriminels.
Il existe plusieurs fournisseurs de technologies différents qui proposent des solutions PAM, et ils fonctionnent tous un peu différemment. Souvent, cependant, les comptes qui seraient normalement privilégiés sont restreints d’une manière qui les amène à se comporter comme un compte d’utilisateur standard. Si un administrateur doit effectuer une opération privilégiée (une tâche nécessitant des privilèges élevés), l’administrateur doit demander ces privilèges au système PAM. Ce faisant, un accès privilégié est accordé, mais pour une durée très limitée et l’accès n’est suffisant que pour effectuer la tâche demandée.
Même si PAM restreint les comptes privilégiés d’une manière qui réduit les risques d’abus de ces comptes, il est toujours important de protéger tout compte privilégié pour éviter qu’il ne soit compromis.
Apporter une couche de sécurité supplémentaire
Que vous mettiez en œuvre la confiance zéro ou réduisiez les risques d’abus pour les comptes privilégiés, votre service d’assistance est un point de terminaison risqué qui nécessite une couche de sécurité supplémentaire. Une façon d’y parvenir est d’adopter Specops Secure Service Desk, qui est conçu pour empêcher un pirate informatique de contacter le service d’assistance et de demander une réinitialisation du mot de passe sur un compte privilégié (ou tout autre compte) comme moyen d’accéder à ce compte.
Secure Service Desk permet aux utilisateurs de réinitialiser leurs propres mots de passe, mais si quelqu’un contacte le service d’assistance pour une réinitialisation de mot de passe, le logiciel Secure Service Desk exigera que l’identité de l’appelant soit définitivement prouvée avant qu’une réinitialisation de mot de passe ne soit autorisée. En fait, le technicien du service d’assistance ne peut même pas réinitialiser le mot de passe de l’appelant tant que le processus de vérification d’identité n’est pas terminé.
Ce processus implique que le technicien du support technique envoie un code à usage unique à un appareil mobile associé au compte. Lorsque l’appelant reçoit ce code, il le relit au technicien du service d’assistance, qui le saisit dans le système. Si le code est correct, le technicien a la possibilité de réinitialiser le mot de passe du compte.
Il convient également de noter que Specops Secure Service Desk s’aligne parfaitement sur les initiatives de confiance zéro puisque les appelants du service d’assistance qui demandent une réinitialisation de mot de passe sont traités comme non fiables jusqu’à ce que leur identité soit confirmée. Vous pouvez tester gratuitement Specops Secure Service Desk dans votre Active Directory ici.