Dans le cadre d’une stratégie de gestion des identités et des accès (IAM), il est important de respecter le principe de « Need to Know » (besoin d’en connaître) consistant à aligner les besoins aux privilèges instaurés. Ce n’est pas parce qu’un utilisateur est admin IT qu’il doit avoir accès à des informations métiers par exemple, même s’il peut avoir le pouvoir de s’accorder les droits. Il faut s’assurer dans sa politique IAM que personne n’ait de droits qui outrepassent sa fonction.
On ne peut sécuriser des réseaux, des serveurs ou des machines dont on ignore l’existence. Effectivement, beaucoup d’audit ou de pentests révèlent des machines avec des protocoles legacy obsolètes. Par exemple, il peut s’agir d’une machine Test1234 créé par un développement ou un utilisateur admin à l’époque, qui n’a jamais été supprimée et qui disposent de certains accès.
Il est essentiel de maîtriser son parc de bout en bout, ce qui peut être très difficile chez des grands comptes qui disposent de machines masterisées ou décommissionnées tous les jours. Cela constitue un très gros vecteur de risque.
Souvent, quand on réalise des projets de move-to-cloud ou de move-to-another-datacenter, on peut mener un audit et découvrir l’existence de matériels oubliés qu’on ne soupçonnait plus, mais qui sont une porte d’entrée ouverte vers son SI.
Le « privilege creep » (ou « accumulation des privilèges ») se caractérise par l’accumulation progressive et non contrôlée de privilèges ou de droits d’accès par des utilisateurs au fil du temps, dus à :
Les conséquences du « privilege creep » peuvent être sérieuses. Cela peut entraîner des risques de sécurité importants, comme un accès non autorisé à des informations sensibles ou des systèmes critiques, augmentant ainsi la surface d’attaque pour des acteurs malveillants internes ou externes. De plus, cela complique la gestion des accès et la conformité avec les régulations de sécurité.
Il est important de réaliser de l’audit et de la veille régulière afin de s’assurer d’être à l’état de l’art en matière de gestion des identités et des accès et de cybersécurité.
Nous sommes dans un secteur qui évolue très rapidement, tant en termes d’outils que d’attaques et de nouvelles failles peuvent être décelées quotidiennement.
Que vous soyez un grand compte ou même une entreprise plus petite avec un SOC externe, il est important de disposer d’équipes de cyberdéfense qui vont analyser les potentielles attaques et faiblesses :
Les Cloud Service Provider (CSP) proposent de nombreux outils pour gérer les identités et les accès. Les outils, presque trop nombreux, doivent être explorés par les organisations car ils proposent des solutions clé en main pour améliorer la sécurité. D’où le fait de s’assurer d’être à l’état de l’art du marché pour exploiter les outils adaptés à son périmètre, ses contraintes réglementaires et son secteur d’activité (si l’entreprise fait du paiement pour du PCI DSS, du HDS pour des données de santé, etc.)
Il est important de garder une « hygiène cyber » au sein de son entreprise et réaliser très régulièrement des campagnes de communication et de fishing pour sensibiliser les utilisateurs aux risques cyber.
La sensibilisation est un point essentiel, notamment dans une époque où de plus en plus d’utilisateurs peuvent être amenés à se servir d’appareils professionnels pour réaliser des tâches personnelles, ou l’inverse.
Ces campagnes de sensibilisation et de fishing sont également un levier pour faire prendre confiance aux utilisateurs des risques et des impacts en matière de cyber, notamment en regard à la recrudescence de cyberattaques. À titre d’exemple, un téléchargement malheureux d’une pièce jointe non vérifiée peut possiblement faire perdre leur emploi à des centaines ou des milliers de personnes dans les cas les plus graves.