Identity Management, Privileged Access Management

Minimiser les risques des accès à privilèges avec l’approche Just-in-Time (JIT).

 

Depuis la fin 2022, des groupes de cybercriminels spécialisés dans l’acquisition et la revente d’accès initiaux ont fait leur apparition. Appelé Initial Access Broker (IAB), ces groupes ciblent prioritairement les accès à privilèges des administrateurs notamment au travers de campagnes de phishing et de spear-phishing sophistiquées permettant de dérober les tokens de session d’authentification MFA. Pour endiguer cette menace et au-delà de seulement restreindre la granularité des droits de l’utilisateur, fournir un accès limité dans le temps permet de minimiser les risques d’usurpation de comptes à privilèges. Une approche appelée Just-in-Time (JIT). Explications.

Une mauvaise gestion des accès à privilèges augmente significativement le risque cyber en entreprise.

Selon le rapport   de la société Verizon publié en 2022, les petites et moyennes entreprises seraient plus susceptibles de subir une violation de sécurité due à la compromission d’un prestataire ou d’un employé que depuis une attaque commanditée par un groupe cybercriminel. Selon le cabinet Gartner, les risques liés à l’utilisation d’accès à privilèges résultent le plus souvent d’erreurs humaines dans l’attribution des droits ou d’élévations de privilèges non autorisées résultant d’une action malveillante. C’est pourquoi, il est essentiel de réduire la surface d’attaques et les capacités d’exfiltration de données et de déplacement latéraux de l’attaquant. En appliquant une politique de sécurité dite du moindre privilège, les utilisateurs et actifs informatiques (Machine-to-machine, IoT) accèdent aux droits et rôles nécessaires à l’exécution de leurs tâches. Même si cette politique de sécurité est une bonne pratique, elle fournit néanmoins un accès à des ressources et des actifs informatiques en cas de compromission. Pour résoudre ce problème, les entreprises peuvent y associer une politique de restriction de durée d’utilisation des accès. Une méthode appelée Just-in-Time (JIT) ou « Juste à temps » en Français.

Qu’est-ce que l’approche Just-in-Time (JIT) ?

L’approche Just-in-time (JIT) est une méthode visant à réduire les risques liés aux autorisations excessives et prolongées que peuvent garder des utilisateurs sans raison valable. Cette approche repose sur le principe de fournir un accès  à privilèges aux utilisateurs uniquement au moment précis où ils en ont le besoin, et cela pour la durée nécessaire à l’exécution de la tâche. Contrairement aux modèles traditionnels de gestion des droits qui accordent des privilèges prolongés voire permanents, l’approche Just-in-time (JIT) met l’accent sur la limitation des autorisations dans le temps dans le but de minimiser les vulnérabilités potentielles. En adoptant cette approche, le nombre d’utilisateurs disposant d’accès à privilèges en continu est ainsi réduit. Les capacités de propagation des attaques se trouvent alors limitées.

Quelles sont les bonnes pratiques d’application de l’approche Just-in-Time (JIT) en entreprise ?

Le cabinet Gartner préconise l’application de l’approche Just-in-Time (JIT) au travers de 8 recommandations.

Utiliser une solution PAM (Privileged Access Management) pour gérer les comptes personnels à privilèges.

Le cabinet Gartner recommande l’utilisation d’une solution PAM dans la gestion des comptes personnels à privilèges avec mots de passe. Le plus souvent ces comptes violent le principe de moindre privilège. Pour endiguer ce problème et comme le propose le produit Wallix PAM4ALL, la solution PAM doit intégrer la capacité d’application de l’approche Just-in-Time (JIT) aux utilisateurs, de manière simple et transparente.

Gérer les comptes partagés avec un coffre-fort numérique.

Les comptes partagés qui accordent un accès à privilèges doivent être protégés et contrôlés par une solution PAM dans un coffre-fort numérique. Ces accès seront ainsi disponibles sur simple demande et uniquement à des fins légitimes.

La solution Wallix PAM4ALL intègre une fonctionnalité de   permettant de stocker en toute sécurité les secrets des utilisateurs humains et non-humains. Pour éviter la prolifération d’accès non autorisés à la suite d’une exfiltration de données, Wallix PAM4ALL protège les mots de passe grâce à une rotation automatique, périodique ou basé sur la connexion / déconnexion des accès utilisateurs.

Adopter une politique d’élévation de privilèges statique.

L’adoption d’une politique d’élévation de privilèges statique permet de définir des règles immuables basées en fonction d’un processus ou d’un programme et non en fonction d’un utilisateur. Avec cette approche, les utilisateurs non-administrateurs peuvent effectuer leurs tâches avec le bon niveau de droits. Au-delà de l’aspect sécuritaire, cette politique apporte un réel gain de productivité à l’entreprise.

 

Attribuer et supprimer automatiquement des privilèges avec un groupe Just-in-Time (JIT).

Associer des utilisateurs à un groupe Just-in-Time permet d’accorder un accès à privilèges pour une durée déterminée et contrôlée. À la suppression de l’utilisateur du groupe, les accès seront révoqués.

Appliquer la politique du Zéro Standing Privileges (ZSP).

Pour le cabinet Gartner, l’octroi temporaire d’un accès à privilèges « ponctuel » pour un ensemble défini de tâches permet une approche plus granulaire et ponctuelle que l’appartenance à un groupe  JIT. Cette application s’avère notamment utile lorsque seuls des privilèges très spécifiques sont requis et ne justifient généralement pas la création d’un groupe JIT distinct.

Créer et supprimer automatiquement des comptes en Just-in-Time (JIT).

L’application de l’approche Just-in-Time (JIT) doit se faire sans friction. Ainsi le cabinet Gartner recommande de configurer votre instance PAM de façon à ce que vous ayez la capacité de créer et de supprimer automatiquement un compte à privilège en fonction d’une période donnée ou d’une tâche spécifique.

Activation et désactivation des comptes administrateurs en Just-in-Time (JIT).

Les comptes administratifs partagés qui existent sur les réseaux ou sur les appareils peuvent être activés juste avant l’utilisation, puis désactivés à nouveau après l’utilisation. Cette démarche permet de fournir un accès Just-in-Time (JIT) stricte et ainsi de réduire les risques d’une utilisation non approuvée par un tiers.

Utiliser des comptes éphémères à usage unique.

Pour le cabinet Gartner, l’utilisation de comptes éphémères à usage unique permet de fournir un accès pour une tâche à un actif informatique ou à une personne physique. À la suite de la première utilisation, le compte sera automatiquement désactivé. Cette approche permet d’éviter de retrouver des comptes utilisateurs ayant des accès à privilèges qui n’auraient pas été supprimés par l’administrateur pour cause d’oubli ou d’erreur humaine.

En conclusion

La gestion des accès à privilèges comporte des risques. Dans le cadre de l’utilisation d’une solution PAM trop permissive, le risque résiduel des utilisateurs utilisant des accès à privilèges permanents est réel. C’est en ce sens que l’approche Just-in-Time (JIT) permet de durcir la sécurité la politique de gestion de ces comptes. Loin d’une simple option, son utilisation réduit considérablement la possibilité de réutilisation des accès à des fins malveillantes. Attention cependant, pour que son application soit simple et transparente, il est conseillé d’utiliser une solution PAM intégrant la fonctionnalité Just-in-Time comme c’est le cas pour la solution Wallix PAM4ALL.

 

Previous
Mainframe & RACF : la sécurité au temps des dinosaures

À découvrir

Mainframe & RACF : la sécurité au temps des dinosaures
Active Directory : connaître la VRAIE date de dernière connexion
Active Directory : LDIF, une extraction pour les gouverner tous

Autres ressources

La Gestion des Accès à Privilèges dans un environnement concurrentiel
Webinaire | Sécurisez et tracez les scans authentifiés de votre...
Webinaire | Evaluez vos risques et préparez votre organisation aux...