BYOD, BYOD, BYOD... Looking for a good PAM?

Est-ce un iPhone que vous avez dans votre poche ou bien êtes-vous simplement heureux de lire les conséquences de la pratique du BYOD (Bring Your Own Device) en termes de sécurité ? Bienvenue dans l’univers de la gestion des comptes à privilèges 2.0.

Cet article expose en quoi un bastion de gestion des accès à privilèges protège vos données sensibles des risques liés à l’utilisation du BYOD. Le BYOD souvent un besoin organisationnel important, mais il expose l’entreprise à de nouveaux risques qu’il nous faut pallier.

Le BYOD est là, que vous le vouliez ou non

D’après l’étude du cabinet Osterman Research, la pratique du BYOD concerne plus de 75% des salariés des entreprises. L’étude indique également qu’il y a maintenant deux fois plus d’appareils personnels au travail que d’appareils professionnels. Il semble se dessiner un consensus selon lequel interdire les appareils personnels ne fonctionne tout simplement pas. En fait, votre organisation connaît déjà le BYOD même si vous ne l’autorisez pas officiellement.

Les risques de sécurité induits par le BYOD

L’introduction de toute nouvelle technologie au travail modifie les risques informatiques pesant sur l’organisation.

Permettre aux salariés d’amener leurs téléphones personnels et leurs tablettes au travail stimule la productivité et le moral. Auparavant, si le pare-feu fonctionnait, le réseau interne de l’entreprise était relativement bien défendu. Internet a changé la donne en permettant à des hordes d’intrus potentiels d’entrer à l’intérieur du pare-feu. En conséquence, les politiques de sécurité et les solutions de pare-feu mises en place pour protéger le SI contre des vecteurs d’attaque provenant directement d’Internet se sont renforcées. Mais la révolution mobile a ouvert une autre faille.

Imaginez que l’un de vos employés se fasse voler son téléphone portable, toutes les données auxquelles il ou elle avait accès circulent dans le monde de façon totalement non protégée et risquent d’être compromises, divulguées, voire effacées.

Le BYOD génère aussi d’autres menaces de sécurité, dont :

Un manque de visibilité sur les activités des utilisateurs
Un manque de contrôle sur les appareils mobiles (accès à distance possible, incapacité de verrouiller les appareils, etc.)
Un non-respect des réglementations – même accidentel (par exemple, en faisant circuler des données personnelles protégées par le RGPD).

Le rôle des comptes à privilèges dans la sécurité du BYOD

Votre département IT travaille sans doute déjà sur la sécurisation des données sensibles liée au phénomène BYOD en mettant en place un certain nombre de bonnes pratiques, politiques et solutions pour réduire les risques. Il peut s’agir d’un App store d’entreprise, d’un portail mobile, de plateformes de gestion des appareils et des applications, ou de mesures de sécurité spécialement conçues pour contrôler l’accès sur les appareils personnels.

Toutefois, les bonnes pratiques ne sont valables que si les gens qui les mettent en place partagent une culture cybersécurité et veillent à la protection des données, le cas contraire pouvant s’avérer désastreux pour l’organisation. C’est pourquoi l’administration des solutions de sécurité BYOD repose sur une bonne gestion des comptes à privilèges. Un utilisateur à privilèges a un accès root à la partie back-end des systèmes exploités par votre entreprise. Souvent appelé « utilisateur admin. », l’utilisateur à privilèges peut :

Configurer, modifier ou supprimer :
- Des comptes
- Des paramètres sur les systèmes d’enregistrement
- Des rôles utilisateurs
S’introduire dans des parties du SI qui lui sont interdites.

Les utilisateurs à privilèges sont généralement des personnes de confiance. Ils représentent toutefois une grande vulnérabilité pour les organisations car ils peuvent être compromis par des hackers usurpant l’identité de l’administrateur pour accéder aux données clés – un cas de figure ayant déjà été source de quelques-unes des pires failles de cybersécurité, créer un risque de sécurité par erreur (par exemple, avec un pare-feu mal configuré), ou encore avoir des intentions malveillantes.

Les utilisateurs à privilèges influent sur la qualité de la sécurité des politiques et technologies régies par le BYOD.

App stores d’entreprise et portails mobiles privés

Les utilisateurs à privilèges contrôlent les versions d’applications qui sont disponibles et qui peut y accéder. Ils contrôlent également le paramétrage et la configuration de l’App store. Ils peuvent intégrer des contrôles d’accès au portail au principal système de gestion d’identité de l’organisation.

Gestion des appareils et gestion des applications

Les systèmes qui gèrent les appareils et les applications sont configurés et administrés par des utilisateurs à privilèges. Les utilisateurs à privilèges peuvent configurer les paramètres de l’appareil mobile et le provisionnement d’applications. Ils peuvent en outre accéder et même modifier les journaux d’audit de ces systèmes.

Journaux de sécurité mobiles

Les journaux sont extrêmement importants pour suivre l’activité de l’appareil mobile. Les utilisateurs à privilèges configurent et gèrent les systèmes qui consignent l’activité du mobile. Les systèmes sont de ce fait vulnérables face à des contournements et autres procédés susceptibles de masquer l’activité malveillante de certains auditeurs.

Jetons de sécurité mobiles

Les technologies telles que l’OAuth – permettant à une application client d’utiliser l’API d’une autre pour obtenir l’accès à un compte utilisateur, sont aussi exposées à des failles de sécurité et tombent là encore sous le contrôle des utilisateurs à privilèges.

Gestion des accès à privilèges

Une solution de « Gestion des accès à privilèges » ou PAM permet de gérer ces super-utilisateurs. Elle protège votre organisation de toute mauvaise utilisation, accidentelle ou délibérée, liée à un ou plusieurs comptes à privilèges. Les solutions de PAM varient selon les risques cybersécurité d’une entreprise mais la majorité d’entre-elles proposent une façon sécurisée et rationalisée d’autoriser et de contrôler tous les utilisateurs à privilèges. Pour le BYOD, la gestion des comptes à privilèges peut :

Contrôler l’accès aux comptes de gestion mobiles à privilèges en temps réel et signaler ou stopper les activités suspectes
Accorder des privilèges administrateurs mobiles aux utilisateurs uniquement pour les systèmes auxquels ils ont droit d’accès
Accorder un accès exceptionnel à un système d’information ou à une ressource et révoquer ce dernier dans un délai imparti
Gérer de façon centralisée et rapide l’accès à tous les systèmes régissant les politiques BYOD
Créer une piste d’audit des opérations à privilèges affectant les politiques BYOD

Le fait que le BYOD décuple les cyber-menaces pesant sur votre SI et vos données critiques rend donc la gestion des accès à privilèges indispensable.

Avoir la bonne solution pour gérer les risques liés au BYOD

Dans la mesure où le BYOD introduit de nouvelles plateformes telles que la gestion des appareils mobiles, il est important d’avoir une solution de PAM facile à déployer sur de nombreux appareils et systèmes. Il est bien connu que les solutions de gestion des accès à privilèges sont difficiles à utiliser. Lorsque cela se produit, les utilisateurs à privilèges les ignorent souvent ou les contournent, laissant ainsi votre entreprise exposée à de très gros risques, risques que la solution devrait justement réduire.

WALLIX résout ce problème avec une solution de PAM facile à mettre en place sur divers appareils et plateformes. Simple et efficace grâce à une architecture sans agent, la solution WALLIX ADMINBASTION Suite peut gérer et tracer une multitude des comptes à privilèges y compris ceux requis par les plateformes de gestion les appareils mobiles et analogues.

Contrairement à beaucoup d’autres solutions de PAM, WALLIX ADMINBASTION Suite ne requiert pas d’installation spécifique, ce type de restriction pouvant nuire à l’efficacité de la solution. C’est pour cela que WALLIX vous fournit les outils pour faire du PAM une force durable, omniprésente et constante dans vos efforts de sécurité et de conformité.

Pour plus d’informations sur le bastion WALLIX, contactez-nous ou cliquez ci-dessous :

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description