Est-ce un iPhone que vous avez dans votre poche ou bien êtes-vous simplement heureux de lire les conséquences de la pratique du BYOD (Bring Your Own Device) en termes de sécurité ? Bienvenue dans l’univers de la gestion des comptes à privilèges 2.0.
Cet article expose en quoi un bastion de gestion des accès à privilèges protège vos données sensibles des risques liés à l’utilisation du BYOD. Le BYOD souvent un besoin organisationnel important, mais il expose l’entreprise à de nouveaux risques qu’il nous faut pallier.
Le BYOD est là, que vous le vouliez ou non
D’après l’étude du cabinet Osterman Research, la pratique du BYOD concerne plus de 75% des salariés des entreprises. L’étude indique également qu’il y a maintenant deux fois plus d’appareils personnels au travail que d’appareils professionnels. Il semble se dessiner un consensus selon lequel interdire les appareils personnels ne fonctionne tout simplement pas. En fait, votre organisation connaît déjà le BYOD même si vous ne l’autorisez pas officiellement.
Les risques de sécurité induits par le BYOD
L’introduction de toute nouvelle technologie au travail modifie les risques informatiques pesant sur l’organisation.
Permettre aux salariés d’amener leurs téléphones personnels et leurs tablettes au travail stimule la productivité et le moral. Auparavant, si le pare-feu fonctionnait, le réseau interne de l’entreprise était relativement bien défendu. Internet a changé la donne en permettant à des hordes d’intrus potentiels d’entrer à l’intérieur du pare-feu. En conséquence, les politiques de sécurité et les solutions de pare-feu mises en place pour protéger le SI contre des vecteurs d’attaque provenant directement d’Internet se sont renforcées. Mais la révolution mobile a ouvert une autre faille.
Imaginez que l’un de vos employés se fasse voler son téléphone portable, toutes les données auxquelles il ou elle avait accès circulent dans le monde de façon totalement non protégée et risquent d’être compromises, divulguées, voire effacées.
Le BYOD génère aussi d’autres menaces de sécurité, dont :
- Un manque de visibilité sur les activités des utilisateurs
- Un manque de contrôle sur les appareils mobiles (accès à distance possible, incapacité de verrouiller les appareils, etc.)
- Un non-respect des réglementations – même accidentel (par exemple, en faisant circuler des données personnelles protégées par le RGPD).
Le rôle des comptes à privilèges dans la sécurité du BYOD
Votre département IT travaille sans doute déjà sur la sécurisation des données sensibles liée au phénomène BYOD en mettant en place un certain nombre de bonnes pratiques, politiques et solutions pour réduire les risques. Il peut s’agir d’un App store d’entreprise, d’un portail mobile, de plateformes de gestion des appareils et des applications, ou de mesures de sécurité spécialement conçues pour contrôler l’accès sur les appareils personnels.
Toutefois, les bonnes pratiques ne sont valables que si les gens qui les mettent en place partagent une culture cybersécurité et veillent à la protection des données, le cas contraire pouvant s’avérer désastreux pour l’organisation. C’est pourquoi l’administration des solutions de sécurité BYOD repose sur une bonne gestion des comptes à privilèges. Un utilisateur à privilèges a un accès root à la partie back-end des systèmes exploités par votre entreprise. Souvent appelé « utilisateur admin. », l’utilisateur à privilèges peut :
- Configurer, modifier ou supprimer :
- Des comptes
- Des paramètres sur les systèmes d’enregistrement
- Des rôles utilisateurs
- S’introduire dans des parties du SI qui lui sont interdites.
Les utilisateurs à privilèges sont généralement des personnes de confiance. Ils représentent toutefois une grande vulnérabilité pour les organisations car ils peuvent être compromis par des hackers usurpant l’identité de l’administrateur pour accéder aux données clés – un cas de figure ayant déjà été source de quelques-unes des pires failles de cybersécurité, créer un risque de sécurité par erreur (par exemple, avec un pare-feu mal configuré), ou encore avoir des intentions malveillantes.
Les utilisateurs à privilèges influent sur la qualité de la sécurité des politiques et technologies régies par le BYOD.
App stores d’entreprise et portails mobiles privés
Les utilisateurs à privilèges contrôlent les versions d’applications qui sont disponibles et qui peut y accéder. Ils contrôlent également le paramétrage et la configuration de l’App store. Ils peuvent intégrer des contrôles d’accès au portail au principal système de gestion d’identité de l’organisation.
Gestion des appareils et gestion des applications
Les systèmes qui gèrent les appareils et les applications sont configurés et administrés par des utilisateurs à privilèges. Les utilisateurs à privilèges peuvent configurer les paramètres de l’appareil mobile et le provisionnement d’applications. Ils peuvent en outre accéder et même modifier les journaux d’audit de ces systèmes.
Journaux de sécurité mobiles
Les journaux sont extrêmement importants pour suivre l’activité de l’appareil mobile. Les utilisateurs à privilèges configurent et gèrent les systèmes qui consignent l’activité du mobile. Les systèmes sont de ce fait vulnérables face à des contournements et autres procédés susceptibles de masquer l’activité malveillante de certains auditeurs.
Jetons de sécurité mobiles
Les technologies telles que l’OAuth – permettant à une application client d’utiliser l’API d’une autre pour obtenir l’accès à un compte utilisateur, sont aussi exposées à des failles de sécurité et tombent là encore sous le contrôle des utilisateurs à privilèges.
Gestion des accès à privilèges
Une solution de « Gestion des accès à privilèges » ou PAM permet de gérer ces super-utilisateurs. Elle protège votre organisation de toute mauvaise utilisation, accidentelle ou délibérée, liée à un ou plusieurs comptes à privilèges. Les solutions de PAM varient selon les risques cybersécurité d’une entreprise mais la majorité d’entre-elles proposent une façon sécurisée et rationalisée d’autoriser et de contrôler tous les utilisateurs à privilèges. Pour le BYOD, la gestion des comptes à privilèges peut :
- Contrôler l’accès aux comptes de gestion mobiles à privilèges en temps réel et signaler ou stopper les activités suspectes
- Accorder des privilèges administrateurs mobiles aux utilisateurs uniquement pour les systèmes auxquels ils ont droit d’accès
- Accorder un accès exceptionnel à un système d’information ou à une ressource et révoquer ce dernier dans un délai imparti
- Gérer de façon centralisée et rapide l’accès à tous les systèmes régissant les politiques BYOD
- Créer une piste d’audit des opérations à privilèges affectant les politiques BYOD
Le fait que le BYOD décuple les cyber-menaces pesant sur votre SI et vos données critiques rend donc la gestion des accès à privilèges indispensable.
Avoir la bonne solution pour gérer les risques liés au BYOD
Dans la mesure où le BYOD introduit de nouvelles plateformes telles que la gestion des appareils mobiles, il est important d’avoir une solution de PAM facile à déployer sur de nombreux appareils et systèmes. Il est bien connu que les solutions de gestion des accès à privilèges sont difficiles à utiliser. Lorsque cela se produit, les utilisateurs à privilèges les ignorent souvent ou les contournent, laissant ainsi votre entreprise exposée à de très gros risques, risques que la solution devrait justement réduire.
WALLIX résout ce problème avec une solution de PAM facile à mettre en place sur divers appareils et plateformes. Simple et efficace grâce à une architecture sans agent, la solution WALLIX ADMINBASTION Suite peut gérer et tracer une multitude des comptes à privilèges y compris ceux requis par les plateformes de gestion les appareils mobiles et analogues.
Contrairement à beaucoup d’autres solutions de PAM, WALLIX ADMINBASTION Suite ne requiert pas d’installation spécifique, ce type de restriction pouvant nuire à l’efficacité de la solution. C’est pour cela que WALLIX vous fournit les outils pour faire du PAM une force durable, omniprésente et constante dans vos efforts de sécurité et de conformité.
Pour plus d’informations sur le bastion WALLIX, contactez-nous ou cliquez ci-dessous :