Le manque d’informations peut avoir de graves conséquencesAujourd’hui, les utilisateurs ont besoin de pou­voir accéder facilement, à tout moment et depuis n’importe où aux informations et aux services qui leur permettent de faire leur travail. Cependant, les technologies nécessaires pour répondre à ce besoin de simplicité sont de plus en plus complexes, et quelqu’un doit se charger de leur bonne exécution. Ces administrateurs (ou supe­rutilisateurs) ont besoin d’un accès « privilégié » à tout ce qui se trouve dans le système afin de pouvoir le dépanner, résoudre les problèmes et maintenir ce niveau d’accès immédiat.

Cet accès privilégié est nécessaire, mais il peut poser de sérieux problèmes. Aujourd’hui, la ges­tion des environnements de plus en plus com­plexes mobilise de nombreux administrateurs, des utilisateurs disposant d’un accès de niveau racine aux administrateurs Active Directory, en passant par les systèmes clés. Et si vous êtes dans la même situation que la plupart des entreprises, vous comptez certainement plus

d’utilisateurs privilégiés dans vos rangs que vous ne le pensez.

Quatre étapes pour réduire les risques de violation :

Limiter la portée et le nombre des droits d’accès accordés

Surveiller les changements et l’accès aux systèmes et données qui importent le plus

Utiliser les identités afin de déterminer si les activités des utilisateurs entrent dans le cadre de leur travail

Établir une base de référence de comportements « normaux »

Livre blanc Flash PointApplication du contrôle d’accès

Les utilisateurs privilégiés : problème et solution

Lorsqu’un utilisateur privilégié se connecte, comment savez-vous qu’il s’agit vraiment de lui et pas d’un pirate qui a dérobé des références ?

Livre blanc Flash PointLes utilisateurs privilégiés : problème et solution

2

D’après le Ponemon Institute, la plupart des violations et incidents de sécurité sont liés aux activités des utilisateurs de l’entreprise. Les utilisateurs privilégiés ne sont pas forcément malveillants et ce n’est pas le seul problème. Avec le niveau d’accès qu’ont les utilisateurs privilégiés, même des actions accidentelles ou non intentionnelles peuvent exposer votre entreprise à des risques importants. Bien que le nombre de violations et d’incidents internes ne soit pas négligeable, la véritable portée d’une « attaque interne » augmente considérable­ment lorsque l’on tient compte des dommages causés par les pirates qui s’attaquent à l’entre­prise via des comptes privilégiés. Ces pirates agissent comme des utilisateurs internes, mais n’en sont pas.

Les pirates informatiques connaissent au­jourd’hui l’importance de l’acquisition des droits d’accès des utilisateurs privilégiés (ou de tout utilisateur ayant des droits d’accès étendus). Vos données sont un bien précieux, et il y a de fortes chances que quelqu’un veuille y accé­der, que ce soit des données personnelles, des informations de carte de crédit, des secrets ou même des droits d’accès partagés avec d’autres entreprises. Les pirates ont perfectionné leurs méthodes pour obtenir les références de ces

utilisateurs privilégiés et infiltrer les systèmes. Une fois qu’ils sont à l’intérieur, le problème n’est plus « s’ils » peuvent accéder aux don­nées mais « quand » ils auront accès à toutes les données.

La question que vous devez vous poser est la suivante : lorsqu’un utilisateur privilégié se con­necte, comment savez­vous qu’il s’agit vraiment de lui et pas d’un pirate qui a dérobé des réfé­ rences ?

Vous ne pouvez pas éliminer les utilisateurs privilégiés, mais vous pouvez réduire les risquesLa réponse est en fait assez simple : il faut adopter une approche axée sur les risques. Tout d’abord, identifiez les projets prioritaires et alignez vos ressources en conséquence. Au sein de ces projets clés, placez la meilleure protection possible sur vos données et sys­tèmes les plus importants. Puis, faites attention à ce qui se passe autour des données. Parce que le problème n’est pas que les pirates ont accès aux données sensibles, c’est qu’ils vont utiliser cet accès pour faire quelque chose avec vos données qui n’est pas souhaitable pour votre entreprise.

Une fois que les pirates sont à l’intérieur, le problème n’est plus « s’ils » peuvent accéder aux données mais « quand » ils auront accès à toutes les données.

Remarque : tous le types de violations étaient inclus, il y avait donc plusieurs réponses possibles.

Source : Ponemon Institute, « Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data », (6e étude annuelle sur la

confidentialité et la sécurité des données médicales) mai 2016.

3www.netiq.com

Les principes d’une approche axée sur les risques

1. Le premier principe est tout sim-plement de limiter le niveau d’ac-

cès accordé aux utilisateurs privilégiés dans l’ensemble du cycle de vie des em-ployés. Dans de nombreuses organisations, les utilisateurs privilégiés disposent non seule­ment des privilèges d’administrateur, mais les privilèges qu’ils ont sont trop étendus. Et une fois que ces droits d’accès ont été accordés, ils ne sont souvent pas retirés au moment oppor­tun. Cela se produit parce qu’il est difficile ou chronophage d’accorder des droits d’accès granulaires, et parce que les administrateurs n’ont pas le temps ou oublient de désactiver l’accès une fois qu’il n’est plus nécessaire.

2. Deuxièmement, scrutez les don-nées et systèmes qui comptent le

plus pour votre organisation. Assurez­vous que vous avez une solution qui peut vous

alerter lorsque certaines données ou certains systèmes ont été consultés ou modifiés. Et idéalement, vous devriez être en mesure d’iden­tifier l’auteur de la modification, le moment et l’emplacement. Mais le simple fait de savoir qui a apporté le changement ne suffit pas : des mo­difications sont apportées en continu et vous passeriez tout votre temps à courir après ces fausses alarmes. Malheureusement, c’est l’état par défaut de la plupart des équipes de sécurité.

3. La troisième clé de la gestion des utilisateurs privilégiés est les iden-

tités. L’identité de l’utilisateur ne se réduit pas à de simples références. Elle offre un contexte supplémentaire tel que le rôle métier et l’empla­cement de l’utilisateur. Lorsque vous intégrez cette identité aux données de monitoring de la sécurité, vous obtenez un véritable système de sécurité intelligent qui vous aide à mieux com­prendre si l’activité de l’utilisateur est appropriée (oui, Paul doit bien accéder au serveur depuis nos bureaux à 15h00) ou si elle est suspecte

et doit être étudiée (non, Paul ne devrait proba­blement pas accéder au serveur depuis l’autre bout du monde à 3h00 en pleine nuit).

Et cela nous amène au dernier point à prendre en compte pour la gestion des utilisateurs privi­légiés : le monitoring des comportements. Vous devez être en mesure de surveiller le compor­tement d’un utilisateur et de le lier à l’identité correspondant au compte utilisateur. Pour sur­veiller le comportement de façon significative, vous devez établir une base de référence de comportements « normaux » auxquels vous pou­vez comparer le comportement. C’est important, même quand les choses tournent mal par acci­dent. Les utilisateurs ayant un accès au niveau racine peuvent modifier les paramètres système par erreur et entraîner l’arrêt complet de tout le réseau. Si vous ne pouvez pas identifier la cause du problème, celui­ci est beaucoup plus difficile à corriger. Mais si vous êtes en mesure de reproduire l’erreur, vous pouvez déterminer où le problème est survenu et le résoudre.

Quel est le plus gros défaut de votre organisation en matière de gestion des identités privilégiées ?

Dans le cadre de la gestion des utilisateurs privilégiés, suivez les comportements et évaluez les menaces en vous posant les questions suivantes :

Les données sont­elles sensibles ? (oui/non)

L’utilisateur devrait­il accéder à ces données étant donné son rôle ? (oui/non)

Devrait­il faire ce qu’il fait avec les données ? (oui/non)

Source : « 2015 Privileged Access Management Study » (Étude sur la gestion des accès privilégiés en 2015), Information Security Media Group, automne 2015

Nous ne parvenons pas à appliquer les

bonnes politiques que nous avons mises en place

23 %

Il nous manque les bons outils technologiques

22 %

Nous n’avons pas le personnel

formé pour gérer correcte­ment les outils

17 %

L’organisation ne reconnaît

pas cela comme

un objectif critique13 %

Nous manquons de ressources

financières pour investir dans des outils et du personnel

9 %

Il nous manque

les bonnes

politiques7 %

Livre blanc Flash PointLes utilisateurs privilégiés : problème et solution

4

Plus important encore, le monitoring des com­portements permet d’évaluer les menaces : les données sont­elles sensibles ? (oui/non) L’utilisateur devrait­il accéder à ces données étant donné son rôle ? (oui/non) Devrait­il faire ce qu’il fait avec les données ? (oui/non)

Garantir un accès sécurisé sans conséquence sur l’activitéLes pannes imprévues peuvent causer de gros problèmes, surtout quand il s’agit de services cloud. Par exemple, le géant des réseaux so­ciaux Facebook, avec 1,5 milliard d’utilisateurs par mois dans le monde, est utilisé par les consommateurs pour rester en contact avec famille et amis, et par les entreprises pour sou­tenir leurs applications ou leurs campagnes marketing sur les médias sociaux. Au cours du mois de septembre 2015, Facebook a connu une série de trois pannes à l’échelle du monde, pour un total de plus de 2,5 heures de temps d’arrêt. Ces pannes sont le résultat non pas d’attaques malveillantes, mais d’erreurs dans sa configuration système. Seulement quelques mois plus tôt, Facebook a connu une panne mondiale considérable et a admis qu’elle avait

été causée par des ingénieurs qui ont accédé à des valeurs de configuration critiques et ont « joué avec ». On estime la perte de Facebook en matière de recette publicitaires par heure à entre 0,8 million et 1,7 million de dollars. Après la panne de septembre 2015, les actions de Facebook ont chuté de près de 4 %, ce qui traduit bien la déception du marché.

Admettons­le : la seule véritable solution sé­curisée serait de ne pas accorder d’accès du tout. Mais on ne peut pas faire cela, donc la meilleure approche est de s’assurer que vous octroyez uniquement le bon niveau d’accès et ensuite de surveiller ce que font les utilisateurs avec les droits qui leur ont été accordés.

L’avantage de ce type d’approche est qu’elle n’empêche pas les administrateurs qui doivent avoir accès aux données de faire leur travail. Ils peuvent continuer comme avant. Et parce que la réponse à des événements surveillés peut être automatisée, cette approche permet de limiter la consultation manuelle des journaux d’incidents pour l’équipe chargée de la sécurité.

En outre, grâce à l’intégration des données sur les comportements et les identités aux don­nées de monitoring de la sécurité, les équipes chargées de la sécurité peuvent même détec­ter les éventuelles menaces plus rapidement et intervenir tout aussi vite.

Comment choisir la solution de gestion des privilèges qui vous convientIl existe plusieurs manières de résoudre ces problèmes avec des solutions de gestion des événements et informations de sécurité (SIEM), de gestion des identités, de gestion du changement et d’automatisation. Cependant, lorsque vous évaluez les options qui s’offrent à vous, assurez­vous de bien choisir celle qui :

S’intègre de façon transparente. Bien que chacun des systèmes serve un but unique, ils sont en fait complémentaires. Idéalement, ils doivent être en mesure de communiquer et d’échanger des informations. Si ce n’est pas le cas, vous ne réglez pas vraiment le problème.

Permet d’automatiser de nombreuses tâches. Nous nous attendons à ce que beaucoup de choses se produisent. Si une intervention manuelle ou une vaste expertise est nécessaire, la solution n’est pas très pratique. Et l’objectif de cette entreprise est d’essayer de simplifier pour votre équipe la distinction entre les menaces réelles et les événements accidentels.

Permet de mettre en place un monitoring basé sur des règles. L’enrichissement du monitoring de la sécurité avec les données d’identité n’est pas vraiment utile si vous ne pouvez pas créer un ensemble de règles et de politiques autour de scénarios métiers spécifiques. C’est la pièce qui permet d’assembler la solution finale.

Est abordable à long terme. Ne vous arrêtez pas au prix d’achat et pensez plutôt au coût à long terme. La solution est­elle facile à utiliser ? Va­t­elle fonctionner avec les systèmes déjà en place ? Combien de temps de gestion supplémentaire

Au cours du mois de septembre 2015, Facebook a connu une série de trois pannes à l’échelle du monde, pour un total de plus de 2,5 heures de temps d’arrêt. Ces pannes sont le résultat non pas d’attaques malveillantes, mais d’erreurs dans sa configuration système.

5www.netiq.com

nécessite­t­elle ? Aurez­vous besoin de suivre une formation complémentaire ?

Au moment de choisir la solution la mieux adap­tée à vos besoins, intéressez­vous aux solutions de sécurité Identity­Powered de NetIQ. Nos so­lutions de gestion de la sécurité, des accès et des identités s’intègrent en toute transparence pour aider les entreprises à réduire le nombre total d’utilisateurs ayant un accès privilégié, à s’assurer que les bonnes personnes ont les bons droit d’accès lorsqu’elles en ont besoin, ainsi qu’à surveiller ce que les utilisateurs, en particulier les utilisateurs disposant de privi­lèges étendus, sont en train de faire avec les droits qui leur ont été accordés. En tirant parti de la gestion intelligente des identités, vous pouvez équilibrer l’accès requis pour la pro­ductivité et la nécessité de réduire les risques en matière de sécurité qui découlent de notre monde hyperconnecté.

La solution NetIQ® Change Guardian fournit toutes les informations sur l’activité de l’utilisateur dans l’entreprise (qui ?, quoi ?, quand ?, où ?), que ce soit des changements de configuration ou l’accès à des fichiers sensibles (monitoring de l’intégrité du fichier). La solution vous apporte la security intelligence dont vous avez besoin pour identifier rapidement les activités des utilisateurs privilégiés suscep­tibles d’indiquer l’existence de violations de données ou de provoquer des failles de conformité, et y remédier rapidement.

NetIQ Sentinel™ est une solution SIEM complète. Elle simplifie le déploiement, la gestion et l’utilisation quotidienne de la solution SIEM. Elle s’adapte facilement aux environnements d’entreprise dynamiques et procure les informations véritablement exploitables dont les professionnels de la sécurité ont besoin pour évaluer rapide­ment leur dispositif de protection contre les menaces et hiérarchiser les actions à entreprendre.

NetIQ Identity Manager est une solution complète et abordable qui permet de contrôler qui a accès à quoi au sein de l’entreprise, à l’intérieur du pare­feu et dans le cloud. Grâce à cette solution, vous pouvez mettre en place un accès pratique et

sécurisé aux informations essentielles pour les utilisateurs métiers, et en même temps respecter les exigences de conformité.

La solution NetIQ Directory and Resource Administrator™ offre des fonctionnalités intelligentes d’administration d’Active Directory (AD) comme la délégation granulaire des droits d’administration et le contrôle de l’accès administratif. Elle facilite la délégation des pouvoirs administratifs appropriés dans Microsoft Active Directory, Exchange Server et Exchange Online hébergé sur Office 365.

La solution NetIQ Privileged Account Manager permet aux administrateurs de travailler sur les systèmes sans devoir dévoiler les mots de passe administrateurs ou superviseurs, ni les références des comptes racine. Elle gère, contrôle et enregistre les activités des comptes privilégiés pour tous les systèmes utilisant des références, notamment les applications, les bases de données, les services cloud et les serveurs virtuels. Elle prend également en charge l’authenti fication multifacteur et l’authentification unique pour améliorer la sécurité de l’accès.

Découvrez les prochaines étapes à suivre en visitant le site www.netiq.com.

L’automatisation des systèmes permet d’éviter des problèmes :

1. Provisioning/déprovisioning/reprovisioning automatisés des droits et privilèges d’accès des utilisateurs

2. Source RH centralisée pour la création, la suppression ou la mise à jour des droits

Ceci est particulièrement utile lorsque de grands groupes d’utilisateurs qui ont besoin d’un accès privilégié (tels que les sous­traitants ou les employés temporaires) voient leur contrat se terminer. Ne leur laissez pas la porte ouverte !

ASSUREZ-VOUS QUE LA SOLUTION :

s’intègre de façon transparente ;

permet d’automatiser de nombreuses tâches ;

permet de mettre en place un monitoring basé sur des règles ;

est abordable à long terme.

Nos solutions de gestion des privilèges aident les entreprises à réduire le nombre total d’utilisateurs ayant un

accès privilégié, à s’assurer que les bonnes personnes ont les bons droit d’accès lorsqu’elles en ont besoin,

ainsi qu’à surveiller ce que les utilisateurs, en particulier les utilisateurs disposant de privilèges étendus, sont en train

de faire avec les droits qui leur ont été accordés.

584­FR0014­003 | Q | 05/17 | © 2017 NetIQ Corporation et ses filiales. Tous droits réservés. NetIQ, le logo NetIQ, Directory and Resource Administrator et Sentinel sont des marques commerciales ou des marques déposées de NetIQ Corporation aux États­Unis. Tous les autres noms de produits et d’entreprises peuvent être des marques commerciales appartenant à leur propriétaire respectif.

NetIQFranceTel: +33 (0) 1 55 70 30 13

Siège social au Royaume-UniRoyaume­UniTel: +44 (0) 1635 565200

contact­fr@netiq.comwww.netiq.com/communitieswww.netiq.com

Pour obtenir la liste complète de nos bureaux d’Amérique du Nord, d’Europe, du Moyen­Orient, d’Afrique, d’Asie­Pacifique et d’Amérique latine, visitez la page : www.netiq.com/contacts.

www.netiq.com

www.netiq.com