#36 : Un jour sans fin (La gestion des accès - IAM) | La cybersécurité expliquée à ma grand-mère

Description

Pour que la gestion des accès ne soit pas aussi pénible qu'un "jour sans fin".

La gestion des accès (IAM) contrôle qui peut accéder à quoi dans les systèmes d'information via l'identification, l'autorisation et la traçabilité, sachant que 80% des violations de données impliquent des identifiants compromis ou mal gérés. Les principes essentiels sont le moindre privilège, la séparation des tâches, la révocation immédiate des accès, l'authentification multifacteur et l'audit régulier, mis en œuvre via des outils comme Active Directory, le Single Sign-On et les solutions PAM pour comptes privilégiés. C'est un processus d'amélioration continue nécessitant automatisation, formation des utilisateurs et équilibre entre sécurité robuste et expérience utilisateur fluide.

Forum Reddit du podcast https://www.reddit.com/r/cybermamie/

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour Mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Le film Un jour sans fin est une comédie fantastique sortie en 1993, réalisée par Harold James et portée par Bill Murray. L'histoire suit Phil Connors, un journaliste météo cynique et égocentrique, envoyé dans une petite ville pour découvrir la fête de la marmotte. Mais il se trouve mystérieusement coincé dans une boucle temporelle Au début, Phil profite de cette situation pour faire tout ce qu'il veut sans conséquence. Puis, il sombre dans la lassitude, et finalement, il décide de changer, d'apprendre et de s'améliorer, d'aider les autres, et devient une meilleure personne. Ce film est à la fois drôle, profond et philosophique, car il pose la question que ferions-nous si nous avions tout le temps du monde pour devenir la meilleure version de nous-mêmes ? Eh bien, il y a une activité en cybersécurité qui est une tâche sans fin et qui ressemble farouchement à ce que Phil Connors vit dans le film. C'est la gestion des accès. Avant de commencer, laissez-moi vous poser une question. Savez-vous exactement qui, dans votre organisation, a accès à vos données les plus sensibles ? Qui peut consulter les fiches de paye ? Et qui peut modifier votre base de données client ? Et surtout, combien d'anciens employés ont encore des comptes actifs dans votre système ? Si vous hésitez à répondre, vous n'êtes pas seul. Une étude récente révèle que 53% des entreprises ne savent pas exactement qui a accès à leur système. C'est un chiffre alarmant quand on sait que 80% des violations de données impliquent des identifiants compromis ou mal gérés. La gestion des accès, c'est cette discipline invisible qui détermine qui peut entrer où, qui peut voir quoi et qui peut faire quoi avec votre écosystème numérique. Et contrairement à ce qu'on pourrait penser, ce n'est pas une affaire de service informatique, c'est une question stratégique qui concerne toute l'organisation. La gestion des excès, qu'on appelle aussi IAM pour Identity and Access Management, c'est l'ensemble des processus et des technologies qui permettent de contrôler qui a accès à quoi dans votre système d'information. Concrètement, il s'agit de répondre à deux questions fondamentales. Première question, qui êtes-vous ? C'est ce qu'on appelle l'identification et l'authentification. Est-ce que vous êtes vraiment la personne que vous prétendez être ? L'identification, c'est simplement l'étape où vous déclarez votre identité. Par exemple, vous vous tapez votre nom utilisateur. Attention, déclarer une identité ne prouve rien. N'importe qui pourrait taper votre nom utilisateur. C'est là qu'intervient l'authentification. C'est le processus qui prouve que vous êtes bien ce que vous prétendez être. Traditionnellement, on utilise un mot de passe. Mais aujourd'hui, on peut utiliser bien d'autres choses, comme une empreinte digitale, la reconnaissance faciale, ou une clé physique comme les Yubiki. Deuxième question, à quoi avez-vous le droit d'accéder ? C'est l'autorisation. Une fois qu'on sait qui vous êtes, Quelles ressources pouvez-vous consulter ou modifier ? Pensez-y comme aux différents niveaux d'accès dans un bâtiment sécurisé. Votre badge vous permet peut-être d'entrer dans l'immeuble, d'accéder à votre étage ou d'ouvrir votre bureau. Mais il ne vous donne pas accès au coffre-fort de la direction, ni au serveur informatique, ni encore au laboratoire de recherche. C'est exactement pareil dans vos systèmes. L'autorisation définit ce que vous pouvez faire, lire un document, le modifier, le supprimer, ou créer un niveau d'utilisateur, accéder aux données financières. Chaque action doit être explicitement autorisée. Ici, on retrouve plusieurs modèles d'autorisation. Le modèle RBAC pour Role Based Access Control, où les autorisations sont attribuées selon votre rôle dans l'entreprise. Le modèle ABAC pour Attribute Based Access Control, où les autorisations dépendent de multiples attributs comme votre département, votre niveau hiérarchique, l'heure de la journée ou votre localisation géographique. Ou encore le modèle DAC pour Discretionary Access Control, où le propriétaire d'une ressource décide qui peut y accéder. Ces deux piliers, identification et authentification et autorisation, forment la base de la gestion des accès efficaces. Mais attention, ils doivent fonctionner ensemble de manière coordonnée. Un système qui authentifie parfaitement les utilisateurs, mais qui donne à tout le monde le même droit d'administrateur n'est pas sûr. Mais pourquoi la gestion des accès est-elle aussi cruciale ? En 2013, Edward Snowden, un consultant externe de la NSA, a pu accéder à des milliers de documents classifiés ultra-secrets. Comment a-t-il fait ? Eh bien, il avait des droits d'accès beaucoup trop étendus pour son rôle réel. En tant qu'administrateur système, il pouvait naviguer à travers des serveurs entiers sans restriction. Mais voici le plus fou. Personne n'a détecté son activité suspecte pendant des mois. Il téléchargeait massivement des documents, les copiait sur des clés USB, et tout ça passait inaperçu. Cette faille monumentale de gestion des accès a provoqué l'une des plus grandes fuites de données de l'histoire, compromettant des programmes de renseignement entiers et créant une crise diplomatique internationale. Et puis il y a le cas de SolarWinds. Découvert fin 2020, des pirates ont compromis la chaîne d'approvisionnement logicielle de SolarWinds et ont réussi à infiltrer des milliers d'organisations, y compris des agences gouvernementales américaines. Comment ? En utilisant des identifiants volés et en créant des comptes avec des privilèges élevés. Une fois à l'intérieur, ils se déplaçaient latéralement dans le réseau, escaladaient leurs privilèges et restaient cachés pendant des mois. Ce cas démontrait l'importance critique non seulement de protéger les identifiants, mais aussi de surveiller en continu l'utilisation des comptes à privilèges. Selon le rapport de Verizon Data Breach Investigation en 2024, plus de 80% des violations de données impliquent des identifiants compromis ou des abus de privilèges. 80%. Ça veut dire que dans la grande majorité des cas, les attaquants n'ont même pas besoin de trouver de failles de sécurité sophistiquées. Il utilise simplement des comptes légitimes avec des mauvais contrôles d'accès. Une autre étude montre que 53% des organisations ont découvert des comptes inactifs ou orphelins au cours de dernières années. Ce sont des comptes d'anciens employés ou des prestataires qui ont quitté l'entreprise, mais dont les accès n'ont jamais été révoqués. C'est comme laisser les clés sous son paillasson avant de déménager. Et tenez-vous bien, il faut en moyenne 45 jours pour désactiver complètement tous les accès d'un employé qui quitte une organisation. 45 jours. Imaginez combien de dégâts un employé malveillant pourrait faire en 45 jours. Vous comprenez peut-être pourquoi votre responsable de la sécurité informatique est parfois aussi pénible avec la gestion des accès. Alors la prochaine fois, soyez indulgent avec lui et faites preuve de compassion. Alors, quels sont précisément les risques auxquels vous vous exposez avec une mauvaise gestion des accès ? D'abord, les accès non autorisés. Des personnes qui n'ont rien à faire dans certains systèmes peuvent y rentrer et voler des données sensibles, les modifier ou les détruire. Et je ne parle pas seulement d'attaquants externes. Les menaces internes, qu'elles soient malveillantes ou accidentelles, sont tout aussi dangereuses. Ensuite, le principe du moindre privilège bafoué. Trop souvent, par facilité ou par méconnaissance, on donne aux utilisateurs plus de droits qu'ils n'en ont besoin. C'est comme donner le passe-partout de tout l'immeuble à quelqu'un qui devrait seulement avoir la clé de son appartement. Et le problème, c'est que plus quelqu'un a de droits, et plus il peut faire de dégâts si son compte est compromis, ou même par simple erreur. Il y a aussi les comptes orphelins. Vous savez, ces comptes d'anciens employés qui restent actifs après leur départ. C'est une porte ouverte aux attaquants. Un ancien employé mécontent pourrait utiliser ces anciens accès pour se venger. Au pire, un attaquant pourrait découvrir ses comptes mal protégés sans servir. Et puis, il y a le problème de la prolifération des privilèges. Au fil du temps, les employés changent de poste, prennent de nouvelles responsabilités, mais gardent leurs anciens accès. Résultat, quelqu'un qui a commencé comme développeur junior il y a 5 ans ... et qui est maintenant chef de projet, peut avoir accumulé des droits sur une dizaine de systèmes d'information dont il n'a plus besoin. C'est ce qu'on appelle l'accumulation des privilèges, et c'est un vrai cauchemar en sécurité. Maintenant que vous comprenez l'enjeu, voyons les grands principes à respecter. Ces principes sont la colonne vertébrale de toute la stratégie de gestion des accès réussis. C'est la règle d'or, le principe fondamental, celui dont tout découle. Chaque utilisateur, chaque application, chaque système, doit avoir accès qu'aux ressources strictement nécessaires à sa fonction, ni plus ni moins. Pourquoi est-ce si important ? Parce que si un compte est compromis, Les dégâts seront limités. Un attaquant qui prend le contrôle d'un compte avec des droits limités ne pourra pas faire grand chose, contrairement à un compte administrateur qui peut tout voir et tout faire. Mais attention, ce principe ne s'applique pas qu'aux humains. Il vaut aussi pour les applications et les services. Une application web qui a besoin de lire une base de données ne devrait pas avoir les droits d'écriture ou de suppression, sauf si c'est absolument nécessaire. Par ailleurs, il y a aussi le principe de la ségrégation des tâches à prendre en compte. Ce principe stipule qu'aucune personne ne devrait avoir le contrôle complet d'un process critique de bout en bout. Par exemple, la personne qui initie un paiement ne devrait pas être la même qui la valide. La personne qui développe du code ne devrait pas être celle qui le dépôt en production. C'est un peu comme dans les films de remarquage, où il faut deux clés différentes pour ouvrir le coffre-fort. Ici, on applique le même concept à nos processus métiers et techniques. Pourquoi ? Pour éviter la fraude et les erreurs. Si une seule personne peut faire tout le processus, Elle peut facilement détourner de l'argent ou commettre des erreurs sans que personne ne s'en aperçoit. Dans le monde du développement logiciel, on parle souvent de principe des quatre yeux. Le code écrit par un développeur doit être relu et approuvé par un autre pour être intégré. C'est la séparation des tâches. Dans le monde financier, c'est encore plus strict. Pour les transactions importantes, on peut avoir besoin de trois ou quatre niveaux d'approbation, chacun par une personne différente avec des privilèges spécifiques. Quand quelqu'un quitte l'entreprise ou change de poste, Ces anciens accès doivent être révoqués immédiatement. Et je dis bien immédiatement, pas demain, pas la semaine prochaine. Tout de suite, le jour même, idéalement dans l'heure qui suit. Une étude a montré que dans beaucoup d'entreprises, il faut en moyenne plusieurs jours, voire plusieurs semaines, pour désactiver tous les accès d'un employé qui part. C'est beaucoup trop long. Pourquoi est-ce critique ? Parce qu'un employé qui part, surtout s'il part en de mauvais termes, pourrait utiliser ces accès pour voler des données, saboter des systèmes ou simplement, par erreur, créer des problèmes. Mais attention, la révocation rapide ne concerne pas seulement les départs, cela concerne aussi les changements de poste. Quelqu'un qui passe d'un service financier au service marketing ne devrait plus avoir accès au système financier. Le processus idéal ? Dès qu'un départ ou changement de poste est annoncé, un workflow automatique doit se déclencher pour identifier tous les accès de la personne et les désactiver ou les modifier. Certaines organisations ont même une politique de révocation préventive où les accès sont automatiquement désactivés la veille du dernier jour de travail, puis réactivez ponctuellement si nécessaire pour une passation. Dernier principe fondamental, la gestion des accès n'est pas une configuration qui est faite une fois et qu'on oublie, c'est un processus continu. Vous devez régulièrement auditer qui a accès à quoi, et vous assurer que c'est toujours justifié et approprié, au minimum une fois par an, mais idéalement tous les trimestres pour les accès sensibles. Ces revues d'accès permettent de détecter et de corriger la dérive des privilèges, de supprimer les comptes orphelins, et de s'assurer que le principe du moindre privilège est toujours respecté. C'est aussi l'occasion de vérifier que tous vos process fonctionnent bien. Est-ce que les accès sont effectivement révoqués rapidement quand quelqu'un part ? Est-ce que la séparation des tâches est respectée ? Est-ce que les logs sont bien conservés et analysés ? Parlons maintenant des outils concrets qui existent pour mettre en œuvre une bonne gestion des accès. Le paysage technologique est vaste. Il peut être difficile de s'y retrouver, alors décomposons tout ça. Au cœur de tout système de gestion des accès, il y a l'annuaire. C'est le référentiel central où toutes les identités sont stockées et gérées. Le plus connu dans le monde de l'entreprise, c'est Active Directory de Microsoft. Créé dans les années 2000, il est devenu un standard de facto pour les environnements Windows. Active Directory stocke les informations sur les utilisateurs, les groupes, les ordinateurs et permet de gérer les authentifications et les autorisations de manière centralisée. Plus récemment, on a vu l'émergence d'annuaires cloud natives comme Azure Active Directory rebaptisé Microsoft Entra-ID ou encore Okta Universal Directory. Ces solutions sont conçues dès le départ pour fonctionner dans le cloud et s'intégrer avec les applications SaaS modernes. L'idée fondamentale derrière un annuaire centralisé, c'est d'éviter la multiplication des bases utilisateurs. Imaginez que chaque application ait sa propre liste d'utilisateurs, avec ses propres mots de passe. Ce serait un cauchemar à gérer. Quand quelqu'un rejoint l'entreprise, il faudrait créer son compte dans 20 applications différentes. Quand il part, il faudrait penser à le supprimer partout. Avec un annuaire centralisé, vous créez un compte une fois, il peut être utilisé partout. Vous le désactivez une fois, et l'accès est bloqué partout. C'est ce qu'on appelle la gestion du cycle de vie d'identité. Le Single Sign-On, ou SSO, c'est ce qui vous permet de vous connecter une seule fois et d'accéder à toutes vos applications sans avoir à vous reconnecter à chaque fois. Vous connaissez probablement ce scénario, vous arrivez le matin, vous vous connectez à votre ordinateur, et puis votre messagerie, puis votre CRM, puis à votre outil de gestion de projet, et ainsi de suite. Avec le Single Sign-On, vous vous connectez une fois et toutes les applications reconnaissent automatiquement votre identité. Le Single Sign-On permet plusieurs avantages. Pour l'utilisateur, c'est évidemment plus pratique, plus besoin de se souvenir de dizaines de mots de passe. Pour la sécurité, c'est aussi mieux, car on peut imposer une authentification forte au moment du Single Sign-On et bénéficier de cette protection pour toutes les applications. Mais attention ! Le Single Sign-On introduit aussi un point de défaillance unique. Si quelqu'un compromet votre session de Single Sign-On, il a accès à tout. C'est pourquoi il faut absolument combiner le Single Sign-On avec une authentification multifacteur forte. Au-delà de l'annuaire et du Single Sign-On, il existe aujourd'hui des plateformes IAM complètes qui gèrent l'ensemble du cycle de vie des identités et des accès. Ces systèmes incluent des fonctionnalités comme le provisionnement automatique ou la création d'un compte déclenche automatiquement la création des accès dans toutes les applications nécessaires. C'est ce qu'on appelle le Joiner, Boover, Lever. Automatiser les processus quand quelqu'un arrive, change de poste ou quitte l'organisation. Elle propose aussi des workflows d'approbation. Par exemple, quand quelqu'un demande l'accès à une application sensible, la demande est envoyée automatiquement à son manager pour validation, puis éventuellement au responsable de la sécurité, et une fois approuvée, l'accès est provisionné automatiquement. Les solutions d'IAM modernes incluent également des fonctionnalités de gouvernance des identités et des accès, qu'on appelle IGA pour Identity, Governance and Administration. Ça comprend les revues des accès périodiques dont on a parlé, La détection des violations de politique, comme quelqu'un qui accumule des privilèges incompatibles, et la génération de rapports pour la conformité réglementaire. Parmi les acteurs majeurs du marché, on trouve Okta, qui s'est spécialisé dans le cloud et le SaaS. Microsoft avec EntraID, qui s'intègre naturellement dans les environnements Microsoft, mais s'ouvre de plus en plus à l'extérieur. Pink Identity, CyberArk ou CellPoint, et bien d'autres, chacun avec ses points forts et ses spécialités. Pour les comptes les plus sensibles, Sous des administrateurs système, des administrateurs base de données et des comptes de service avec privilèges élevés, il existe des solutions spécifiques appelées PAM pour Privilege Access Management. Pourquoi une solution spécifique ? Parce que ces comptes sont des cibles de choix pour les attaquants. Compromettre un compte administrateur, c'est avoir les clés du royaume. Il faut donc des protections supplémentaires. Une solution PAM offre plusieurs fonctionnalités clés. D'abord le coffre-fort d'un mot de passe, où les mots de passe de comptes à privilèges sont stockés de manière sécurisée et chiffrée. Les administrateurs n'ont jamais le mot de passe directement. Ils demandent un accès temporaire au système qui leur est accordé après vérification. Ensuite, la rotation automatique des mots de passe. Les mots de passe des comptes privilégiés sont changés régulièrement, voire après chaque utilisation. Comme ça, même si un mot de passe fuite, il n'est plus valide. Les solutions PAM enregistrent aussi toutes les sessions privilégiées. Quand un administrateur se connecte à un serveur critique, toute sa session est enregistrée en vidéo. En cas d'incident, on peut revoir exactement ce qui a été fait. Et ça a aussi un effet dissuasif. Les administrateurs savent qu'ils sont surveillés et font plus attention. Certaines solutions PAM incluent même l'élévation de privilèges juste à temps. Au lieu de donner des droits administrateurs permanents, on les donne uniquement quand c'est nécessaire, pour une durée limitée et uniquement après approbation. C'est le principe du moindre privilège poussé à l'extrême. Les acteurs majeurs de PAM incluent Cybark, qui domine le marché d'entreprises, BN Threats, Délinaire anciennement Techotic, et des solutions open source comme Hachicorp Vault pour la gestion des secrets. Alors comment faire pour mettre tout ça en place dans votre organisation ? C'est bien beau de parler de théorie et de technologie, mais concrètement, par où commencer ? Étape numéro 1. Faire l'inventaire et comprendre l'existant. Commencez à identifier toutes les ressources à protéger et tous les utilisateurs qui y accèdent. Cela peut sembler basique, mais beaucoup d'entreprises ne savent même pas exactement qui a accès à quoi. C'est surprenant, mais c'est la réalité. Faites un audit complet. Listez toutes vos applications, tous vos systèmes, toutes vos bases de données, tous vos serveurs. N'oubliez pas les applications SaaS, les plateformes cloud, les outils de développement, les systèmes de fichiers partagés, etc. Pour chaque ressource documentée, qui y a accès actuellement ? Quel type d'accès y ont-ils ? Lecture seule, écriture, administration ? Sont-ils des utilisateurs humains ou des comptes de services ? Ces accès sont-ils vraiment nécessaires ? Vous découvrirez probablement des surprises. Des comptes que personne ne connaît, des applications dont plus personne ne se souvient, des employés partis il y a des années qui ont encore des accès actifs. Cette phase d'inventaire peut prendre du temps, surtout dans les grandes organisations, mais est absolument cruciale. Vous ne pouvez pas sécuriser ce que vous ne connaissez pas. Étape 2. Évaluer les risques et définir les priorités. Une fois que vous savez ce que vous avez, évaluez les risques. Toutes les ressources ne sont pas également critiques. Identifiez vos actifs les plus sensibles, lesquels contiennent des données personnelles. des secrets commerciaux, des informations financières, des systèmes dont la défaillance paralyserait l'entreprise. Classez vos ressources par niveau de criticité et de sensibilité. Ça vous aidera à prioriser vos efforts. Vous ne pouvez pas tout sécuriser au niveau maximum immédiatement. Il faut être pragmatique. Par exemple, l'accès à la base de données client avec des informations personnelles et financières, c'est critique. L'accès à l'outil de réservation de la salle de réunion, beaucoup moins. Commencez par sécuriser les ressources les plus critiques. C'est ce qu'on appelle une approche par le risque. Étape numéro 3. Définir les rôles et les profils d'accès. Plutôt que de générer des droits utilisateur par utilisateur, créez des rôles standardisés. C'est la base du RBAC, le Role Based Access Control. Analysez les différents métiers et fonctions dans votre entreprise. Définissez les rôles comme comptable, commercial, manager, développeur, administrateur système, analyste RH, etc. Pour chaque rôle, définissez précisément quelles ressources sont nécessaires Et quel niveau d'accès est requis ? Soyez le plus granulaire possible. Un comptable a-t-il besoin d'accéder à toutes les données financières ou seulement celles de son périmètre ? Un commercial doit-il pouvoir modifier les prix ou juste les consulter ? Documentez tout ça dans une matrice d'accès. C'est un tableau qui montre pour chaque rôle quels accès sont autorisés sur quelles ressources. L'avantage de cette approche, c'est qu'ensuite, vous n'avez plus qu'à assigner les bons rôles avec les bonnes personnes. Quelqu'un rejoue à l'équipe commerciale, vous lui donnez le rôle commercial. et l'hérite automatiquement de tous les accès associés. C'est beaucoup plus simple et moins sujet aux erreurs que de configurer manuellement chaque accès individuellement. Attention cependant à ne pas créer trop de rôles. Si vous avez 500 rôles différents, ça devient ingérable. Cherchez le bon équilibre entre granularité et simplicité. Certaines organisations complètent le AirBac avec l'ABAC, l'attribut de Base Access Control, pour des besoins plus complexes. Par exemple, autoriser l'accès uniquement pendant les heures de bureau, ou uniquement pendant les heures de travail. uniquement depuis certaines localisations géographiques, ou uniquement pour les employés d'un département spécifique. Les attributs permettent cette flexibilité supplémentaire. Étape numéro 4. Mettre en place les outils techniques. C'est maintenant qu'intervient le choix et le déploiement des outils dont on a parlé précédemment. Commencez par centraliser vos identités. Si vous n'avez pas encore d'annuaire centralisé, c'est la première priorité. Pour beaucoup d'entreprises, Active Directory ou EntraID sera le choix naturel. Ensuite, déployez le Single Sign-On pour vos applications principales. Concentrez-vous d'abord sur les applications les plus utilisées et les plus critiques. Chaque application intégrée au Single Sign-On réduit le nombre de mots de passe que vos utilisateurs doivent gérer et renforce la sécurité. Mettez en place l'authentification multifacteur, commencez par les comptes administrateurs et les accès au système critique, puis étendez progressivement à tous les utilisateurs. Vous rencontrerez peut-être de la résistance, certains utilisateurs trouvant ça contraignant.
Speaker #1
Je te demande pardon, tu pourrais répéter ?
Speaker #2
Je suis un dieu.
Speaker #1
Tu es dieu.
Speaker #2
Je suis un dieu, je ne suis pas le dieu. Enfin, je ne crois pas.
Speaker #1
Parce que tu as survécu à un crash ? Je peux prendre la commande ?
Speaker #2
Mais pas fait que survivre à un crash, il ne s'agit pas que de l'explosion d'hier. Je me suis fait écraser, poignarder, empoisonner, congeler, pendre, électrocuter et brûler.
Speaker #1
Ah, vraiment ?
Speaker #2
Et je me réveille tous les matins à l'état neuf, sans une égratignure. Je suis mortel.
Speaker #0
Mais tenez bon, la sécurité en vaut la peine. Pour les comptes privilégiés, implémentez une solution PAM. Identifiez tous vos comptes administrateurs, comptes de services avec privilèges élevés, et mettez-les sous contrôle. C'est un projet en soi, mais c'est un des meilleurs investissements en sécurité que vous puissiez faire. Étape n°5 Automatisez les processus L'arrivée d'un nouvel employé devrait déclencher automatiquement la création de son compte et l'attribution des bons droits en fonction de son poste. Son changement de poste devrait mettre à jour automatiquement ses accès. Son départ devrait déclencher automatiquement la désactivation de tous ses accès. Cette automatisation passe généralement par l'intégration entre votre système RH et votre système IAM. Quand quelqu'un est enregistré dans le système RH avec un certain poste et département, cette information est synchronisée avec le système IAM qui provisionne automatiquement les bons accès. L'automatisation réduit drastiquement les erreurs humaines, finit les oublis, les accès provisionnés trop tard ou les accès non révoqués. Tout se fait automatiquement selon les règles prédéfinies. Et ça accélère aussi les processus. Un nouvel employé peut être opérationnel dès son premier jour, avec tous les accès en place. Plus besoin d'attendre que les services IT créent manuellement ses comptes. Bien sûr, il faut prévoir les processus d'exception. Parfois, quelqu'un a besoin d'un accès temporaire non standard. Mettez en place des workflows d'approbation pour ces cas. La demande doit être justifiée, approuvée par le manager et éventuellement la sécurité. Puis l'accès est accordé pour une durée limitée et automatiquement révoqué après. Étape numéro 6. Former et sensibiliser les utilisateurs. La technologie ne fait pas tout. Vos utilisateurs sont votre première ligne de défense, mais aussi potentiellement votre maillon faible. Ils doivent comprendre pourquoi la gestion des accès est importante, pourquoi ils doivent utiliser des mots de passe forts et uniques, pourquoi ils ne doivent jamais partager leur identifiant, pourquoi ils doivent activer l'authentification multifacteur, pourquoi ils doivent signaler tout comportement suspect. Organiser des sessions de formation régulières, au moment de l'intégration de nouveaux employés bien sûr, Mais aussi des piqûres de rappels périodiques pour tout le monde. Les menaces évoluent, les bonnes pratiques aussi. Faites des campagnes de sensibilisation. Des mails, des posters, des vidéos courtes. Variez le format pour maintenir l'attention. Créez une culture de la sécurité dans votre organisation. La sécurité n'est pas juste la responsabilité du service IT ou du RSSI, c'est l'affaire de tous. Étape numéro 7. Mettre en place la surveillance et la détection. Une fois tout en place, il faut surveiller. La gestion des accès n'est pas statique, c'est dynamique. Mettez en place des outils de surveillance qui analysent en continu les connexions et les accès. Définissez des règles pour détecter les comportements anormaux. Connexion depuis une localisation inhabituelle, connexion en dehors des heures normales, accès à un volume inhabituel de données, tentative de connexion répétée qui échoue, escalade de privilèges suspectes. Ces outils doivent générer des alertes pour l'équipe de sécurité, et ces alertes doivent être triées par priorité. Vous ne voulez pas noyer votre équipe dans de fausses alertes, sinon ils finiront par les ignorer, y compris les vrais. Utilisez si possible l'intelligence artificielle et le machine learning pour améliorer la détection. Ces technologies peuvent apprendre des comportements normaux de chaque utilisateur et détecter plus finement les anomalies. Étape numéro 8. Réviser régulièrement et améliorer en continu. Une fois par an, voire plus souvent, pour les accès sensibles, il faut une revue complète des droits de chacun. Organisez des campagnes de révision d'accès. Chaque manager reçoit la liste des accès de ses équipes et doit valider que chaque accès est toujours justifié et nécessaire. Profitez-en pour chercher les comptes dormants, ces comptes qui n'ont pas été utilisés depuis longtemps. Désactivez-les ou supprimez-les. Identifiez les accumulations de privilèges, ces personnes qui ont changé plusieurs fois de poste et qui ont gardé tous leurs anciens accès. Nettoyez-les. Vérifiez aussi que votre politique et vos procédures sont toujours suivies. Est-ce que les accès sont effectivement révoqués rapidement quand quelqu'un part ? Est-ce que la séparation des tâches est respectée ? Est-ce que les logs sont bien conservés et analysés ? Mesurez vos progrès. Définissez des indicateurs. Temps moyen pour désactiver un compte après un départ. Pourcentage d'utilisateurs avec un multifactor authentication activé. Nombre de comptes orphelins identifiés et supprimés. Taux de conformité lors de la revue des accès. Et surtout... Considérez la gestion des accès comme un processus d'amélioration continue, pas comme un projet ponctuel. Il y aura toujours des choses à améliorer, de nouvelles menaces à contrer, de nouvelles technologies à adopter. C'est un peu comme un jour sans fin. Enfin, un défi souvent sous-estimé, l'expérience utilisateur. Toutes ces mesures de sécurité ne doivent pas rendre la vie impossible aux utilisateurs légitimes. Si vos contrôles de sécurité sont trop contraignants, trop compliqués, trop lents, les utilisateurs vont chercher des moyens à les contourner. Ils vont partager des mots de passe, utiliser des solutions non approuvées, ou trouver d'autres façons de contourner les règles, et au final, vous retrouverez moins sécurisé. Il faut trouver le bon équilibre entre sécurité et utilisation. C'est pour cette raison que les approches comme le Single Sign-On sont si importantes. Elles améliorent la sécurité tout en simplifiant la vie des utilisateurs. L'authentification adaptative dont on a parlé aide aussi. Si vous êtes dans un contexte à faible risque, on ne vous embête pas avec des vérifications supplémentaires. Mais si le risque augmente, on renforce les contrôles. L'utilisateur comprend mieux pourquoi on lui demande un effort supplémentaire dans certaines circonstances. Les interfaces doivent être intuitives, les messages d'erreurs clairs, les processus d'assistance efficaces. Si un utilisateur a un problème avec son authentification et qu'il faut trois jours pour le résoudre, c'est un problème de productivité, mais aussi potentiellement de sécurité, car l'utilisateur pourrait être tenté de trouver des solutions de contournement risquées. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres ou en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vieux de mort, c'est bien plus sérieux que ça.

Description

Pour que la gestion des accès ne soit pas aussi pénible qu'un "jour sans fin".

Forum Reddit du podcast https://www.reddit.com/r/cybermamie/

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour Mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Le film Un jour sans fin est une comédie fantastique sortie en 1993, réalisée par Harold James et portée par Bill Murray. L'histoire suit Phil Connors, un journaliste météo cynique et égocentrique, envoyé dans une petite ville pour découvrir la fête de la marmotte. Mais il se trouve mystérieusement coincé dans une boucle temporelle Au début, Phil profite de cette situation pour faire tout ce qu'il veut sans conséquence. Puis, il sombre dans la lassitude, et finalement, il décide de changer, d'apprendre et de s'améliorer, d'aider les autres, et devient une meilleure personne. Ce film est à la fois drôle, profond et philosophique, car il pose la question que ferions-nous si nous avions tout le temps du monde pour devenir la meilleure version de nous-mêmes ? Eh bien, il y a une activité en cybersécurité qui est une tâche sans fin et qui ressemble farouchement à ce que Phil Connors vit dans le film. C'est la gestion des accès. Avant de commencer, laissez-moi vous poser une question. Savez-vous exactement qui, dans votre organisation, a accès à vos données les plus sensibles ? Qui peut consulter les fiches de paye ? Et qui peut modifier votre base de données client ? Et surtout, combien d'anciens employés ont encore des comptes actifs dans votre système ? Si vous hésitez à répondre, vous n'êtes pas seul. Une étude récente révèle que 53% des entreprises ne savent pas exactement qui a accès à leur système. C'est un chiffre alarmant quand on sait que 80% des violations de données impliquent des identifiants compromis ou mal gérés. La gestion des accès, c'est cette discipline invisible qui détermine qui peut entrer où, qui peut voir quoi et qui peut faire quoi avec votre écosystème numérique. Et contrairement à ce qu'on pourrait penser, ce n'est pas une affaire de service informatique, c'est une question stratégique qui concerne toute l'organisation. La gestion des excès, qu'on appelle aussi IAM pour Identity and Access Management, c'est l'ensemble des processus et des technologies qui permettent de contrôler qui a accès à quoi dans votre système d'information. Concrètement, il s'agit de répondre à deux questions fondamentales. Première question, qui êtes-vous ? C'est ce qu'on appelle l'identification et l'authentification. Est-ce que vous êtes vraiment la personne que vous prétendez être ? L'identification, c'est simplement l'étape où vous déclarez votre identité. Par exemple, vous vous tapez votre nom utilisateur. Attention, déclarer une identité ne prouve rien. N'importe qui pourrait taper votre nom utilisateur. C'est là qu'intervient l'authentification. C'est le processus qui prouve que vous êtes bien ce que vous prétendez être. Traditionnellement, on utilise un mot de passe. Mais aujourd'hui, on peut utiliser bien d'autres choses, comme une empreinte digitale, la reconnaissance faciale, ou une clé physique comme les Yubiki. Deuxième question, à quoi avez-vous le droit d'accéder ? C'est l'autorisation. Une fois qu'on sait qui vous êtes, Quelles ressources pouvez-vous consulter ou modifier ? Pensez-y comme aux différents niveaux d'accès dans un bâtiment sécurisé. Votre badge vous permet peut-être d'entrer dans l'immeuble, d'accéder à votre étage ou d'ouvrir votre bureau. Mais il ne vous donne pas accès au coffre-fort de la direction, ni au serveur informatique, ni encore au laboratoire de recherche. C'est exactement pareil dans vos systèmes. L'autorisation définit ce que vous pouvez faire, lire un document, le modifier, le supprimer, ou créer un niveau d'utilisateur, accéder aux données financières. Chaque action doit être explicitement autorisée. Ici, on retrouve plusieurs modèles d'autorisation. Le modèle RBAC pour Role Based Access Control, où les autorisations sont attribuées selon votre rôle dans l'entreprise. Le modèle ABAC pour Attribute Based Access Control, où les autorisations dépendent de multiples attributs comme votre département, votre niveau hiérarchique, l'heure de la journée ou votre localisation géographique. Ou encore le modèle DAC pour Discretionary Access Control, où le propriétaire d'une ressource décide qui peut y accéder. Ces deux piliers, identification et authentification et autorisation, forment la base de la gestion des accès efficaces. Mais attention, ils doivent fonctionner ensemble de manière coordonnée. Un système qui authentifie parfaitement les utilisateurs, mais qui donne à tout le monde le même droit d'administrateur n'est pas sûr. Mais pourquoi la gestion des accès est-elle aussi cruciale ? En 2013, Edward Snowden, un consultant externe de la NSA, a pu accéder à des milliers de documents classifiés ultra-secrets. Comment a-t-il fait ? Eh bien, il avait des droits d'accès beaucoup trop étendus pour son rôle réel. En tant qu'administrateur système, il pouvait naviguer à travers des serveurs entiers sans restriction. Mais voici le plus fou. Personne n'a détecté son activité suspecte pendant des mois. Il téléchargeait massivement des documents, les copiait sur des clés USB, et tout ça passait inaperçu. Cette faille monumentale de gestion des accès a provoqué l'une des plus grandes fuites de données de l'histoire, compromettant des programmes de renseignement entiers et créant une crise diplomatique internationale. Et puis il y a le cas de SolarWinds. Découvert fin 2020, des pirates ont compromis la chaîne d'approvisionnement logicielle de SolarWinds et ont réussi à infiltrer des milliers d'organisations, y compris des agences gouvernementales américaines. Comment ? En utilisant des identifiants volés et en créant des comptes avec des privilèges élevés. Une fois à l'intérieur, ils se déplaçaient latéralement dans le réseau, escaladaient leurs privilèges et restaient cachés pendant des mois. Ce cas démontrait l'importance critique non seulement de protéger les identifiants, mais aussi de surveiller en continu l'utilisation des comptes à privilèges. Selon le rapport de Verizon Data Breach Investigation en 2024, plus de 80% des violations de données impliquent des identifiants compromis ou des abus de privilèges. 80%. Ça veut dire que dans la grande majorité des cas, les attaquants n'ont même pas besoin de trouver de failles de sécurité sophistiquées. Il utilise simplement des comptes légitimes avec des mauvais contrôles d'accès. Une autre étude montre que 53% des organisations ont découvert des comptes inactifs ou orphelins au cours de dernières années. Ce sont des comptes d'anciens employés ou des prestataires qui ont quitté l'entreprise, mais dont les accès n'ont jamais été révoqués. C'est comme laisser les clés sous son paillasson avant de déménager. Et tenez-vous bien, il faut en moyenne 45 jours pour désactiver complètement tous les accès d'un employé qui quitte une organisation. 45 jours. Imaginez combien de dégâts un employé malveillant pourrait faire en 45 jours. Vous comprenez peut-être pourquoi votre responsable de la sécurité informatique est parfois aussi pénible avec la gestion des accès. Alors la prochaine fois, soyez indulgent avec lui et faites preuve de compassion. Alors, quels sont précisément les risques auxquels vous vous exposez avec une mauvaise gestion des accès ? D'abord, les accès non autorisés. Des personnes qui n'ont rien à faire dans certains systèmes peuvent y rentrer et voler des données sensibles, les modifier ou les détruire. Et je ne parle pas seulement d'attaquants externes. Les menaces internes, qu'elles soient malveillantes ou accidentelles, sont tout aussi dangereuses. Ensuite, le principe du moindre privilège bafoué. Trop souvent, par facilité ou par méconnaissance, on donne aux utilisateurs plus de droits qu'ils n'en ont besoin. C'est comme donner le passe-partout de tout l'immeuble à quelqu'un qui devrait seulement avoir la clé de son appartement. Et le problème, c'est que plus quelqu'un a de droits, et plus il peut faire de dégâts si son compte est compromis, ou même par simple erreur. Il y a aussi les comptes orphelins. Vous savez, ces comptes d'anciens employés qui restent actifs après leur départ. C'est une porte ouverte aux attaquants. Un ancien employé mécontent pourrait utiliser ces anciens accès pour se venger. Au pire, un attaquant pourrait découvrir ses comptes mal protégés sans servir. Et puis, il y a le problème de la prolifération des privilèges. Au fil du temps, les employés changent de poste, prennent de nouvelles responsabilités, mais gardent leurs anciens accès. Résultat, quelqu'un qui a commencé comme développeur junior il y a 5 ans ... et qui est maintenant chef de projet, peut avoir accumulé des droits sur une dizaine de systèmes d'information dont il n'a plus besoin. C'est ce qu'on appelle l'accumulation des privilèges, et c'est un vrai cauchemar en sécurité. Maintenant que vous comprenez l'enjeu, voyons les grands principes à respecter. Ces principes sont la colonne vertébrale de toute la stratégie de gestion des accès réussis. C'est la règle d'or, le principe fondamental, celui dont tout découle. Chaque utilisateur, chaque application, chaque système, doit avoir accès qu'aux ressources strictement nécessaires à sa fonction, ni plus ni moins. Pourquoi est-ce si important ? Parce que si un compte est compromis, Les dégâts seront limités. Un attaquant qui prend le contrôle d'un compte avec des droits limités ne pourra pas faire grand chose, contrairement à un compte administrateur qui peut tout voir et tout faire. Mais attention, ce principe ne s'applique pas qu'aux humains. Il vaut aussi pour les applications et les services. Une application web qui a besoin de lire une base de données ne devrait pas avoir les droits d'écriture ou de suppression, sauf si c'est absolument nécessaire. Par ailleurs, il y a aussi le principe de la ségrégation des tâches à prendre en compte. Ce principe stipule qu'aucune personne ne devrait avoir le contrôle complet d'un process critique de bout en bout. Par exemple, la personne qui initie un paiement ne devrait pas être la même qui la valide. La personne qui développe du code ne devrait pas être celle qui le dépôt en production. C'est un peu comme dans les films de remarquage, où il faut deux clés différentes pour ouvrir le coffre-fort. Ici, on applique le même concept à nos processus métiers et techniques. Pourquoi ? Pour éviter la fraude et les erreurs. Si une seule personne peut faire tout le processus, Elle peut facilement détourner de l'argent ou commettre des erreurs sans que personne ne s'en aperçoit. Dans le monde du développement logiciel, on parle souvent de principe des quatre yeux. Le code écrit par un développeur doit être relu et approuvé par un autre pour être intégré. C'est la séparation des tâches. Dans le monde financier, c'est encore plus strict. Pour les transactions importantes, on peut avoir besoin de trois ou quatre niveaux d'approbation, chacun par une personne différente avec des privilèges spécifiques. Quand quelqu'un quitte l'entreprise ou change de poste, Ces anciens accès doivent être révoqués immédiatement. Et je dis bien immédiatement, pas demain, pas la semaine prochaine. Tout de suite, le jour même, idéalement dans l'heure qui suit. Une étude a montré que dans beaucoup d'entreprises, il faut en moyenne plusieurs jours, voire plusieurs semaines, pour désactiver tous les accès d'un employé qui part. C'est beaucoup trop long. Pourquoi est-ce critique ? Parce qu'un employé qui part, surtout s'il part en de mauvais termes, pourrait utiliser ces accès pour voler des données, saboter des systèmes ou simplement, par erreur, créer des problèmes. Mais attention, la révocation rapide ne concerne pas seulement les départs, cela concerne aussi les changements de poste. Quelqu'un qui passe d'un service financier au service marketing ne devrait plus avoir accès au système financier. Le processus idéal ? Dès qu'un départ ou changement de poste est annoncé, un workflow automatique doit se déclencher pour identifier tous les accès de la personne et les désactiver ou les modifier. Certaines organisations ont même une politique de révocation préventive où les accès sont automatiquement désactivés la veille du dernier jour de travail, puis réactivez ponctuellement si nécessaire pour une passation. Dernier principe fondamental, la gestion des accès n'est pas une configuration qui est faite une fois et qu'on oublie, c'est un processus continu. Vous devez régulièrement auditer qui a accès à quoi, et vous assurer que c'est toujours justifié et approprié, au minimum une fois par an, mais idéalement tous les trimestres pour les accès sensibles. Ces revues d'accès permettent de détecter et de corriger la dérive des privilèges, de supprimer les comptes orphelins, et de s'assurer que le principe du moindre privilège est toujours respecté. C'est aussi l'occasion de vérifier que tous vos process fonctionnent bien. Est-ce que les accès sont effectivement révoqués rapidement quand quelqu'un part ? Est-ce que la séparation des tâches est respectée ? Est-ce que les logs sont bien conservés et analysés ? Parlons maintenant des outils concrets qui existent pour mettre en œuvre une bonne gestion des accès. Le paysage technologique est vaste. Il peut être difficile de s'y retrouver, alors décomposons tout ça. Au cœur de tout système de gestion des accès, il y a l'annuaire. C'est le référentiel central où toutes les identités sont stockées et gérées. Le plus connu dans le monde de l'entreprise, c'est Active Directory de Microsoft. Créé dans les années 2000, il est devenu un standard de facto pour les environnements Windows. Active Directory stocke les informations sur les utilisateurs, les groupes, les ordinateurs et permet de gérer les authentifications et les autorisations de manière centralisée. Plus récemment, on a vu l'émergence d'annuaires cloud natives comme Azure Active Directory rebaptisé Microsoft Entra-ID ou encore Okta Universal Directory. Ces solutions sont conçues dès le départ pour fonctionner dans le cloud et s'intégrer avec les applications SaaS modernes. L'idée fondamentale derrière un annuaire centralisé, c'est d'éviter la multiplication des bases utilisateurs. Imaginez que chaque application ait sa propre liste d'utilisateurs, avec ses propres mots de passe. Ce serait un cauchemar à gérer. Quand quelqu'un rejoint l'entreprise, il faudrait créer son compte dans 20 applications différentes. Quand il part, il faudrait penser à le supprimer partout. Avec un annuaire centralisé, vous créez un compte une fois, il peut être utilisé partout. Vous le désactivez une fois, et l'accès est bloqué partout. C'est ce qu'on appelle la gestion du cycle de vie d'identité. Le Single Sign-On, ou SSO, c'est ce qui vous permet de vous connecter une seule fois et d'accéder à toutes vos applications sans avoir à vous reconnecter à chaque fois. Vous connaissez probablement ce scénario, vous arrivez le matin, vous vous connectez à votre ordinateur, et puis votre messagerie, puis votre CRM, puis à votre outil de gestion de projet, et ainsi de suite. Avec le Single Sign-On, vous vous connectez une fois et toutes les applications reconnaissent automatiquement votre identité. Le Single Sign-On permet plusieurs avantages. Pour l'utilisateur, c'est évidemment plus pratique, plus besoin de se souvenir de dizaines de mots de passe. Pour la sécurité, c'est aussi mieux, car on peut imposer une authentification forte au moment du Single Sign-On et bénéficier de cette protection pour toutes les applications. Mais attention ! Le Single Sign-On introduit aussi un point de défaillance unique. Si quelqu'un compromet votre session de Single Sign-On, il a accès à tout. C'est pourquoi il faut absolument combiner le Single Sign-On avec une authentification multifacteur forte. Au-delà de l'annuaire et du Single Sign-On, il existe aujourd'hui des plateformes IAM complètes qui gèrent l'ensemble du cycle de vie des identités et des accès. Ces systèmes incluent des fonctionnalités comme le provisionnement automatique ou la création d'un compte déclenche automatiquement la création des accès dans toutes les applications nécessaires. C'est ce qu'on appelle le Joiner, Boover, Lever. Automatiser les processus quand quelqu'un arrive, change de poste ou quitte l'organisation. Elle propose aussi des workflows d'approbation. Par exemple, quand quelqu'un demande l'accès à une application sensible, la demande est envoyée automatiquement à son manager pour validation, puis éventuellement au responsable de la sécurité, et une fois approuvée, l'accès est provisionné automatiquement. Les solutions d'IAM modernes incluent également des fonctionnalités de gouvernance des identités et des accès, qu'on appelle IGA pour Identity, Governance and Administration. Ça comprend les revues des accès périodiques dont on a parlé, La détection des violations de politique, comme quelqu'un qui accumule des privilèges incompatibles, et la génération de rapports pour la conformité réglementaire. Parmi les acteurs majeurs du marché, on trouve Okta, qui s'est spécialisé dans le cloud et le SaaS. Microsoft avec EntraID, qui s'intègre naturellement dans les environnements Microsoft, mais s'ouvre de plus en plus à l'extérieur. Pink Identity, CyberArk ou CellPoint, et bien d'autres, chacun avec ses points forts et ses spécialités. Pour les comptes les plus sensibles, Sous des administrateurs système, des administrateurs base de données et des comptes de service avec privilèges élevés, il existe des solutions spécifiques appelées PAM pour Privilege Access Management. Pourquoi une solution spécifique ? Parce que ces comptes sont des cibles de choix pour les attaquants. Compromettre un compte administrateur, c'est avoir les clés du royaume. Il faut donc des protections supplémentaires. Une solution PAM offre plusieurs fonctionnalités clés. D'abord le coffre-fort d'un mot de passe, où les mots de passe de comptes à privilèges sont stockés de manière sécurisée et chiffrée. Les administrateurs n'ont jamais le mot de passe directement. Ils demandent un accès temporaire au système qui leur est accordé après vérification. Ensuite, la rotation automatique des mots de passe. Les mots de passe des comptes privilégiés sont changés régulièrement, voire après chaque utilisation. Comme ça, même si un mot de passe fuite, il n'est plus valide. Les solutions PAM enregistrent aussi toutes les sessions privilégiées. Quand un administrateur se connecte à un serveur critique, toute sa session est enregistrée en vidéo. En cas d'incident, on peut revoir exactement ce qui a été fait. Et ça a aussi un effet dissuasif. Les administrateurs savent qu'ils sont surveillés et font plus attention. Certaines solutions PAM incluent même l'élévation de privilèges juste à temps. Au lieu de donner des droits administrateurs permanents, on les donne uniquement quand c'est nécessaire, pour une durée limitée et uniquement après approbation. C'est le principe du moindre privilège poussé à l'extrême. Les acteurs majeurs de PAM incluent Cybark, qui domine le marché d'entreprises, BN Threats, Délinaire anciennement Techotic, et des solutions open source comme Hachicorp Vault pour la gestion des secrets. Alors comment faire pour mettre tout ça en place dans votre organisation ? C'est bien beau de parler de théorie et de technologie, mais concrètement, par où commencer ? Étape numéro 1. Faire l'inventaire et comprendre l'existant. Commencez à identifier toutes les ressources à protéger et tous les utilisateurs qui y accèdent. Cela peut sembler basique, mais beaucoup d'entreprises ne savent même pas exactement qui a accès à quoi. C'est surprenant, mais c'est la réalité. Faites un audit complet. Listez toutes vos applications, tous vos systèmes, toutes vos bases de données, tous vos serveurs. N'oubliez pas les applications SaaS, les plateformes cloud, les outils de développement, les systèmes de fichiers partagés, etc. Pour chaque ressource documentée, qui y a accès actuellement ? Quel type d'accès y ont-ils ? Lecture seule, écriture, administration ? Sont-ils des utilisateurs humains ou des comptes de services ? Ces accès sont-ils vraiment nécessaires ? Vous découvrirez probablement des surprises. Des comptes que personne ne connaît, des applications dont plus personne ne se souvient, des employés partis il y a des années qui ont encore des accès actifs. Cette phase d'inventaire peut prendre du temps, surtout dans les grandes organisations, mais est absolument cruciale. Vous ne pouvez pas sécuriser ce que vous ne connaissez pas. Étape 2. Évaluer les risques et définir les priorités. Une fois que vous savez ce que vous avez, évaluez les risques. Toutes les ressources ne sont pas également critiques. Identifiez vos actifs les plus sensibles, lesquels contiennent des données personnelles. des secrets commerciaux, des informations financières, des systèmes dont la défaillance paralyserait l'entreprise. Classez vos ressources par niveau de criticité et de sensibilité. Ça vous aidera à prioriser vos efforts. Vous ne pouvez pas tout sécuriser au niveau maximum immédiatement. Il faut être pragmatique. Par exemple, l'accès à la base de données client avec des informations personnelles et financières, c'est critique. L'accès à l'outil de réservation de la salle de réunion, beaucoup moins. Commencez par sécuriser les ressources les plus critiques. C'est ce qu'on appelle une approche par le risque. Étape numéro 3. Définir les rôles et les profils d'accès. Plutôt que de générer des droits utilisateur par utilisateur, créez des rôles standardisés. C'est la base du RBAC, le Role Based Access Control. Analysez les différents métiers et fonctions dans votre entreprise. Définissez les rôles comme comptable, commercial, manager, développeur, administrateur système, analyste RH, etc. Pour chaque rôle, définissez précisément quelles ressources sont nécessaires Et quel niveau d'accès est requis ? Soyez le plus granulaire possible. Un comptable a-t-il besoin d'accéder à toutes les données financières ou seulement celles de son périmètre ? Un commercial doit-il pouvoir modifier les prix ou juste les consulter ? Documentez tout ça dans une matrice d'accès. C'est un tableau qui montre pour chaque rôle quels accès sont autorisés sur quelles ressources. L'avantage de cette approche, c'est qu'ensuite, vous n'avez plus qu'à assigner les bons rôles avec les bonnes personnes. Quelqu'un rejoue à l'équipe commerciale, vous lui donnez le rôle commercial. et l'hérite automatiquement de tous les accès associés. C'est beaucoup plus simple et moins sujet aux erreurs que de configurer manuellement chaque accès individuellement. Attention cependant à ne pas créer trop de rôles. Si vous avez 500 rôles différents, ça devient ingérable. Cherchez le bon équilibre entre granularité et simplicité. Certaines organisations complètent le AirBac avec l'ABAC, l'attribut de Base Access Control, pour des besoins plus complexes. Par exemple, autoriser l'accès uniquement pendant les heures de bureau, ou uniquement pendant les heures de travail. uniquement depuis certaines localisations géographiques, ou uniquement pour les employés d'un département spécifique. Les attributs permettent cette flexibilité supplémentaire. Étape numéro 4. Mettre en place les outils techniques. C'est maintenant qu'intervient le choix et le déploiement des outils dont on a parlé précédemment. Commencez par centraliser vos identités. Si vous n'avez pas encore d'annuaire centralisé, c'est la première priorité. Pour beaucoup d'entreprises, Active Directory ou EntraID sera le choix naturel. Ensuite, déployez le Single Sign-On pour vos applications principales. Concentrez-vous d'abord sur les applications les plus utilisées et les plus critiques. Chaque application intégrée au Single Sign-On réduit le nombre de mots de passe que vos utilisateurs doivent gérer et renforce la sécurité. Mettez en place l'authentification multifacteur, commencez par les comptes administrateurs et les accès au système critique, puis étendez progressivement à tous les utilisateurs. Vous rencontrerez peut-être de la résistance, certains utilisateurs trouvant ça contraignant.
Speaker #1
Je te demande pardon, tu pourrais répéter ?
Speaker #2
Je suis un dieu.
Speaker #1
Tu es dieu.
Speaker #2
Je suis un dieu, je ne suis pas le dieu. Enfin, je ne crois pas.
Speaker #1
Parce que tu as survécu à un crash ? Je peux prendre la commande ?
Speaker #2
Mais pas fait que survivre à un crash, il ne s'agit pas que de l'explosion d'hier. Je me suis fait écraser, poignarder, empoisonner, congeler, pendre, électrocuter et brûler.
Speaker #1
Ah, vraiment ?
Speaker #2
Et je me réveille tous les matins à l'état neuf, sans une égratignure. Je suis mortel.
Speaker #0
Mais tenez bon, la sécurité en vaut la peine. Pour les comptes privilégiés, implémentez une solution PAM. Identifiez tous vos comptes administrateurs, comptes de services avec privilèges élevés, et mettez-les sous contrôle. C'est un projet en soi, mais c'est un des meilleurs investissements en sécurité que vous puissiez faire. Étape n°5 Automatisez les processus L'arrivée d'un nouvel employé devrait déclencher automatiquement la création de son compte et l'attribution des bons droits en fonction de son poste. Son changement de poste devrait mettre à jour automatiquement ses accès. Son départ devrait déclencher automatiquement la désactivation de tous ses accès. Cette automatisation passe généralement par l'intégration entre votre système RH et votre système IAM. Quand quelqu'un est enregistré dans le système RH avec un certain poste et département, cette information est synchronisée avec le système IAM qui provisionne automatiquement les bons accès. L'automatisation réduit drastiquement les erreurs humaines, finit les oublis, les accès provisionnés trop tard ou les accès non révoqués. Tout se fait automatiquement selon les règles prédéfinies. Et ça accélère aussi les processus. Un nouvel employé peut être opérationnel dès son premier jour, avec tous les accès en place. Plus besoin d'attendre que les services IT créent manuellement ses comptes. Bien sûr, il faut prévoir les processus d'exception. Parfois, quelqu'un a besoin d'un accès temporaire non standard. Mettez en place des workflows d'approbation pour ces cas. La demande doit être justifiée, approuvée par le manager et éventuellement la sécurité. Puis l'accès est accordé pour une durée limitée et automatiquement révoqué après. Étape numéro 6. Former et sensibiliser les utilisateurs. La technologie ne fait pas tout. Vos utilisateurs sont votre première ligne de défense, mais aussi potentiellement votre maillon faible. Ils doivent comprendre pourquoi la gestion des accès est importante, pourquoi ils doivent utiliser des mots de passe forts et uniques, pourquoi ils ne doivent jamais partager leur identifiant, pourquoi ils doivent activer l'authentification multifacteur, pourquoi ils doivent signaler tout comportement suspect. Organiser des sessions de formation régulières, au moment de l'intégration de nouveaux employés bien sûr, Mais aussi des piqûres de rappels périodiques pour tout le monde. Les menaces évoluent, les bonnes pratiques aussi. Faites des campagnes de sensibilisation. Des mails, des posters, des vidéos courtes. Variez le format pour maintenir l'attention. Créez une culture de la sécurité dans votre organisation. La sécurité n'est pas juste la responsabilité du service IT ou du RSSI, c'est l'affaire de tous. Étape numéro 7. Mettre en place la surveillance et la détection. Une fois tout en place, il faut surveiller. La gestion des accès n'est pas statique, c'est dynamique. Mettez en place des outils de surveillance qui analysent en continu les connexions et les accès. Définissez des règles pour détecter les comportements anormaux. Connexion depuis une localisation inhabituelle, connexion en dehors des heures normales, accès à un volume inhabituel de données, tentative de connexion répétée qui échoue, escalade de privilèges suspectes. Ces outils doivent générer des alertes pour l'équipe de sécurité, et ces alertes doivent être triées par priorité. Vous ne voulez pas noyer votre équipe dans de fausses alertes, sinon ils finiront par les ignorer, y compris les vrais. Utilisez si possible l'intelligence artificielle et le machine learning pour améliorer la détection. Ces technologies peuvent apprendre des comportements normaux de chaque utilisateur et détecter plus finement les anomalies. Étape numéro 8. Réviser régulièrement et améliorer en continu. Une fois par an, voire plus souvent, pour les accès sensibles, il faut une revue complète des droits de chacun. Organisez des campagnes de révision d'accès. Chaque manager reçoit la liste des accès de ses équipes et doit valider que chaque accès est toujours justifié et nécessaire. Profitez-en pour chercher les comptes dormants, ces comptes qui n'ont pas été utilisés depuis longtemps. Désactivez-les ou supprimez-les. Identifiez les accumulations de privilèges, ces personnes qui ont changé plusieurs fois de poste et qui ont gardé tous leurs anciens accès. Nettoyez-les. Vérifiez aussi que votre politique et vos procédures sont toujours suivies. Est-ce que les accès sont effectivement révoqués rapidement quand quelqu'un part ? Est-ce que la séparation des tâches est respectée ? Est-ce que les logs sont bien conservés et analysés ? Mesurez vos progrès. Définissez des indicateurs. Temps moyen pour désactiver un compte après un départ. Pourcentage d'utilisateurs avec un multifactor authentication activé. Nombre de comptes orphelins identifiés et supprimés. Taux de conformité lors de la revue des accès. Et surtout... Considérez la gestion des accès comme un processus d'amélioration continue, pas comme un projet ponctuel. Il y aura toujours des choses à améliorer, de nouvelles menaces à contrer, de nouvelles technologies à adopter. C'est un peu comme un jour sans fin. Enfin, un défi souvent sous-estimé, l'expérience utilisateur. Toutes ces mesures de sécurité ne doivent pas rendre la vie impossible aux utilisateurs légitimes. Si vos contrôles de sécurité sont trop contraignants, trop compliqués, trop lents, les utilisateurs vont chercher des moyens à les contourner. Ils vont partager des mots de passe, utiliser des solutions non approuvées, ou trouver d'autres façons de contourner les règles, et au final, vous retrouverez moins sécurisé. Il faut trouver le bon équilibre entre sécurité et utilisation. C'est pour cette raison que les approches comme le Single Sign-On sont si importantes. Elles améliorent la sécurité tout en simplifiant la vie des utilisateurs. L'authentification adaptative dont on a parlé aide aussi. Si vous êtes dans un contexte à faible risque, on ne vous embête pas avec des vérifications supplémentaires. Mais si le risque augmente, on renforce les contrôles. L'utilisateur comprend mieux pourquoi on lui demande un effort supplémentaire dans certaines circonstances. Les interfaces doivent être intuitives, les messages d'erreurs clairs, les processus d'assistance efficaces. Si un utilisateur a un problème avec son authentification et qu'il faut trois jours pour le résoudre, c'est un problème de productivité, mais aussi potentiellement de sécurité, car l'utilisateur pourrait être tenté de trouver des solutions de contournement risquées. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres ou en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certains, la cybersécurité est un enjeu de vieux de mort, c'est bien plus sérieux que ça.

Embed