Ce principe de cybersécurité établit un cadre de sécurité informatique visant à fournir aux utilisateurs le niveau d’accès ou d’autorisations le plus bas qu’exige l’exécution de leurs tâches. La sécurité informatique, dans l’ensemble, est un domaine multiforme complexe, le privilège minimum étant devenu l’une des bonnes pratiques de cybersécurité essentielles pour protéger l’accès aux ressources d’entreprise stratégiques. Le privilège minimum ne se limite pas à l’accès humain. Il couvre aussi les applications, les outils d’automatisation et les appareils connectés (comme les terminaux IoT) qui doivent accéder à des systèmes privilégiés dans le réseau d’entreprise.
Supposons un manager de banque ayant trois subordonnés ; un rédacteur, un employé et un conseiller juridique. Le rédacteur reçoit un accès à la salle des imprimantes pour pouvoir imprimer des contrats, des documents connexes et autres importants. L’employé reçoit un accès au système de classement et la salle des imprimantes. Le conseiller juridique reçoit probablement un accès au système de classement et la salle des imprimantes, mais est aussi autorisé à pénétrer dans le bureau du manager sur demande. Au fond, le manager a affecté le niveau de privilèges le plus bas nécessaire au collaborateur jouant un rôle précis, lui seul pouvant accéder au coffre de la banque. Ce concept d’affecter les privilèges les plus bas aux utilisateurs selon les besoins de leur rôle s’appelle principe du privilège minimum.
L’instauration du privilège minimum consiste simplement à affecter le minimum de privilèges requis pour remplir une fonction. Pour bien adopter le privilège minimum, on établit un mécanisme de contrôle d’accès centralisé et précis dans tout le réseau d’entreprise. Il concilie les exigences de cybersécurité et de conformité tout en veillant à répondre aux besoins opérationnels courants des utilisateurs.
Le privilège minimum, à la base, vise à réduire la surface d’attaque d’une organisation en limitant le nombre de voies pour accéder à des systèmes privilégiés. Un méthode usuelle adoptée pour freiner les privilèges excessifs consiste à révoquer l’accès administratif des opérationnels. Toutefois, la DSI doit souvent ré-octroyer des privilèges à des utilisateurs dont les tâches courantes impliquent d’accéder à des systèmes privilégiés. Dans ce cas, on ré-octroie des privilèges et les révoque rarement, entraînant un cumul graduel de droits d’accès, au-delà du besoin. Cette pratique se répand dans l’organisation parmi les divers niveaux d’utilisateurs, d’où un état de sécurité appelé dérive des privilèges qui risque d’aggraver le problème de l’accès non autorisé. Si l’entreprise néglige ce cumul de privilèges délicat, elle peut exposer ses comptes sensibles au détournement.
La dérive consiste en la prolifération de privilèges au-delà du niveau d’accès d’un utilisateur. Elle arrive souvent lorsque les administrateurs attribuent généreusement des privilèges aux utilisateurs pour éviter la bureaucratie du support informatique. Une autre raison possible et courante réside dans l’oubli par une équipe de supprimer les privilèges d’utilisateurs anciens ou temporaires.
Voici des exemples types de dérive des privilèges : la description de poste d’un individu évolue et on ne révoque pas ses anciens privilèges même après la période de transition, un individu exige d’autres privilèges temporaires pour exécuter une tâche en dehors de sa fonction normale et l’organisation ne lui retire pas une fois la tâche achevée.
On peut prévenir les dangers de cette dérive en appliquant le privilège minimum à tout le personnel de l’entreprise. Une fois la tâche réalisée, l’accès est immédiatement révoqué, évitant le risque de vulnérabilités et de privilèges permanents. En bref, l’instauration du principe du privilège minimum repose sur le modèle de sécurité Zero Trust. L’idée est que chaque utilisateur, peu importe sa localisation, risque d’être la victime d’acteurs malveillants, voire d’en devenir un lui-même.
Revenons à l’exemple précédent de la banque. Pourquoi le manager n’établirait-il pas au départ le privilège minimum ? Tout le personnel n’a pas besoin d’accéder à chaque lieu, surtout ceux importants comme le coffre, qui contient les données client et les actifs. Ensuite, le manager fait confiance aux subordonnés pour exécuter les tâches relevant de leur rôle, mais a aussi besoin de vérifier à l’occasion s’ils doivent en effectuer qui exigent un accès au-delà de celui par défaut.
De même, grâce à une solution PAM qui intègre le Zero Trust et le principe du privilège minimum, les administrateurs peuvent établir des restrictions d’accès pour limiter les privilèges des utilisateurs selon les besoins de leur rôle. Le mode opératoire d’une solution PAM repose sur le principe de cybersécurité du privilège minimum. Une solution PAM offre des paramètres pour que les administrateurs configurent leurs propres restrictions et associent le privilège minimum aux utilisateurs selon leurs rôles.
Voici, en synthèse, comment le Zero Trust amène à appliquer le principe du privilège minimum, via le contrôle d’accès basé sur le rôle.
Supposons un membre d’une DSI utilisant des ressources sensibles. Il est censé envoyer des demandes d’accès chaque fois qu’il se connecte au système. L’administrateur approuve ensuite la demande. Une fois sa tâche du jour achevée, il se déconnecte du système, et il est censé formuler une autre demande s’il doit y ré-accéder.
Un autre exemple possible concerne différentes équipes de collaborateurs devant accéder à une ressource sensible. Toutefois, un seul membre de chaque équipe reçoit un accès à la ressource, évitant d’exposer plusieurs identités et prévenant donc le risque d’accès non autorisé.
Dans un scénario d'entreprise, les attaques par élévation de privilèges prennent le contrôle progressif des fonctionnalités d'accès au système des manières suivantes :
le modèle du privilège minimum élimine l’accès administratif et les privilèges permanents, d’où une nette réduction du nombre de voies d’accès à des ressources sensibles, limitant la surface d’attaque globale.
l’exécution de malware demandant des privilèges élevés, l’application du privilège minimum aux terminaux freine la propagation de programmes malveillants. Même si une attaque survient, le malware ne peut pas s’exécuter sans privilèges d’administrateur, atténuant beaucoup les éventuels dommages.
en retirant l’accès administratif aux utilisateurs et déployant un accès privilégié juste-à-temps (JIT), basé sur une stratégie, l’organisation fluidifie les workflows, gagne en productivité et maîtrise les appels d’assistance tout en limitant les menaces issues de privilèges excessifs.
l’application du privilège minimum permet à l’organisation d’assurer la transparence des conditions d’accès (qui, quoi et quand), facilitant l’audit. Cela aide aussi à remplir diverses exigences réglementaires ou sectorielles qui obligent l’entreprise à établir des stratégies strictes de contrôle d’accès pour renforcer la gouvernance des données et la sécurité système, de type HIPAA, PCI DSS, SOX, RGPD et CCPA.
Voici quelques raisons pour lesquelles l’entreprise doit intégrer la gestion des mots de passe privilégiés au cadre de sa stratégie de sécurité informatique. On peut ajouter les bonnes pratiques suivantes à tout modèle de sécurité opérationnel existant via une solution PAM.
Menez d’abord un audit complet des privilèges pour vérifier tous les comptes privilégiés actuellement utilisés et le type d’accès fourni. Cela inclut tous les comptes d’administrateur local ou de domaine, les mots de passe privilégiés, les clés SSH, les comptes de service et les identifiants codés en dur dans des pipelines DevOps pour les entités humaines et non humaines.
Supprimez les privilèges d’administrateur local sur des terminaux et ceux standards par défaut de tous les utilisateurs, mais incluez des clauses pour prévoir un accès élevé à certaines applications selon les rôles d’utilisateur. Supprimez les droits d’accès administratif à tous les serveurs du réseau et affectez à chaque utilisateur un statut standard par défaut.
Isolez les privilèges des utilisateurs et ceux des applications, des systèmes et des processus et n’octroyez que le minimum requis à tous les types d’utilisateur. Cela permet de limiter l’accès non autorisé et d’éviter le mouvement latéral.
Affectez des contrôles JIT aux comptes locaux ou de domaine et étendez des privilèges élevés temporaires sur demande des utilisateurs. Révoquez automatiquement les autorisations après une période fixée. Les identifiants réels ne sont pas exposés à l’utilisateur et un accès suffisant est fourni pendant le laps de temps nécessaire pour exécuter la tâche.
Atténuez le risque d’abus de privilèges en éliminant les identifiants intégrés des pipelines DevOps, des systèmes RPA et d’autres appareils connectés et les remplaçant par des API qui permettent d’en extraire des coffres de mots de passe avec des workflows de demande-octroi. Faites immédiatement tourner les mots de passe privilégiés et les clés après chaque accès pour désactiver les identifiants que des enregistreurs de frappe ont pu enregistrer.
Veillez à ce que les stratégies de privilège minimum dépassent le cadre physique pour englober le cloud, les télétravailleurs, les prestataires, les fournisseurs et toutes les sessions d’accès à distance lancées.
Examinez toute l’activité des utilisateurs et enregistrez une vidéo des sessions privilégiées pour une responsabilité claire. Ajoutez des notes de confiance pour détecter les anomalies en temps réel et arrêtez toute action suspecte des utilisateurs.
PAM360 est l’aboutissement de notre suite de solutions PAM.
PAM360 offre divers services comme les workflows de demande-octroi de mots de passe, les privilèges JIT et le contrôle d’accès basé sur le rôle.
Comme dans notre exemple, PAM360 permet de définir des workflows de demande-octroi avec des paramètres personnalisables qui indiquent comment un utilisateur privilégié peut accéder à une ressource sensible. Ces workflows imposent un double contrôle sur le processus d’approbation des demandes de mot de passe.
Dans PAM360, l’affectation de privilèges JIT permet d’accorder un accès temporaire à des utilisateurs via des contrôles d’accès. L’élévation de privilèges temporaire relève du PEDM (élévation de privilèges et gestion des délégations).
Ce contrôle d’accès consiste à limiter les privilèges des utilisateurs selon le rôle qu’ils jouent dans l’organisation. Les divers rôles personnalisables qu’offre PAM360 servent à séparer les utilisateurs en administrateurs et non-administrateurs. On peut limiter davantage l’étendue des privilèges et choisir quel utilisateur doit recevoir quel droit.
Contactez nos experts pour comprendre comment déployer le principe de cybersécurité du privilège minimum dans les workflows et les pratiques de sécurité de l’organisation avec PAM360.