En matière de cybersécurité, la confiance n’exclut pas la vigilance
Les cybercriminels conçoivent les comptes à privilèges comme la clé qui mène vers le trésor.
Lorsqu’ils réussissent à prendre le contrôle d’un de ses comptes, leurs mouvements et actions au sein d’un système informatique ou un réseau s’en trouvent faciliter. Ils peuvent alors l’explorer, le crypter voire lui dérober des informations, et cela à volonté. C’est sûrement au vue d’une telle situation, qu’il a été observé que 80 % des failles de sécurité, étaient liées aux activités à privilège selon la ferme à d’analyse à Forrester. Du côté des Gartner, le plus important dans la gestion d’un projet de cybersécurité et de mettre la protection des accès à privilèges en premier plan.
Cet article va aussi vous intéresser : Le manque de confiance entre entreprise et prestataire de service de sécurité est une vulnérabilité pour un système potentiellement compromis
Toutefois, la pratique a malheureusement démontré que la majorité des entreprises ne savent pas jusqu’à présent comment utiliser leur accès à privilège. Ce qui est véritablement dangereux. Car sous un point de vue technique, elles auront du mal ne pourront pas identifier efficacement les différents facteurs de risques, les plus importants surtout. Parmi lesquels il est au courant de parler des intrusions d’hôtes indésirables. Un véritable angle mort qui profites nettement au pirates informatiques.
« Pour remédier au problème, les équipes de sécurité doivent disposer d’informations exploitables obtenues grâce à la surveillance des environnements Cloud natifs et hybrides. » notait Christophe Jolly, Directeur France de Vectra AI. Dans le cas contraire, les organisations, en particulier les entreprises s’exposent grandement à des cyberattaques telle que celle subie par la banque américaine Capital One, l’un des plus grands fournisseurs de carte de crédit au monde, ce qui a mis en danger les informations personnelles de près de 100 millions de clients.
Par ailleurs, il faut noter une montée en puissance des incidents informatiques liés aux accès à privilège. Christophe Jolly soulignait : « Les anomalies en matière d’accès à privilèges sont plus fréquentes que la plupart des entreprises ne l’imaginent. Récemment, nous avons mené une étude sur le sujet, qui estimait à 57 le nombre d’anomalies liées aux accès à privilèges observées pour 10 000 hôtes au cours du second semestre 2019 – près de la moitié d’entre elles touchant les secteurs de la finance, de la santé, de l’éducation et de la fabrication. ». En analysant de plus près les données recueillies lors de précédentes enquêtes, on se rendra compte que près des trois quarts des incidents informatiques étaient liés au compte à privilège, et cela depuis un utilisateur inhabituel. Une grande partie des incidents liés « à des hôtes inhabituels trouvent bien souvent une explication tout à fait innocente, comme l’accès au système à partir d’un hôte différent ou nouveau. ». De quelle situation peuvent mettre en évidence une situation de piratage de compte. Par conséquent, ces accès se muent en des comptes à risque pour les entreprises, s’ils ne sont pas correctement administrés.
En se fondant sur le problème qu’a connu la banque américaine Capital One, le rôle d’un hôte inhabituel est à mettre en évidence, par ricochet à craindre. Lors de la cyberattaque, une personne qui n’était pas autorisée à accéder au système, a réussi, grâce à une mauvaise configuration des paramètres de sécurité du pare-feu censé protéger les serveurs des applications web, à se procurer des données d’accès temporaires. Ce qu’il y a permis, de mener les actions normalement impossibles, pour son statut, tel qu’envoyer des requêtes au serveur interne depuis un terminal externe inconnu. Il ne lui a pas été assez difficile par la suite d’avoir accès facilement au système complet du serveur Web. Une fois en possession des accès. Le pirate informatique à tout simplement mené les actions qui lui permettrait d’exfiltrer plus de 700 dossiers comportant des informations personnelles des clients de la banque, on parle notamment de la commande « AWS Simple Storage Service (S3) list-bucket » couplé à une commande de synchronisation. Christophe Jolly commentait cette cyberattaque : « Ce type d’attaques est difficile à repérer car les activités du cybercriminel s’inscrivent dans le cadre des opérations d’administration habituellement considérées comme normales. En l’absence de malware et de comportement suspect, aucune alerte n’a été donnée. Toutefois, l’exécution de commandes à l’aide d’identifiants à privilèges depuis un hôte inhabituel aurait dû soulever des questions. ». Le problème alors proviendrait de ce mode de responsabilité partagée quant à la sécurité des informations contenues sur un réseau cloud qui généralement se partage entre le fournisseur de services et le client. C’est d’ailleurs pour cette raison, que les responsables de sécurité ne devraient pas avoir une confiance aveugle aux comptes de privilège.
Accédez maintenant à un nombre illimité de mot de passe :