Endpoint Management

Sécurité Just-In-Time (JIT) : la sécurité par rapport à la commodité ?

Novembre 2022

Avec l’essor du travail en remote, avoir accès aux bonnes ressources organisationnelles de manière rapide et efficace devient un avantage majeur.

Les employés veulent être responsabilisés et soutenus afin de travailler de la meilleure façon possible, ce qui inclut un accès facile aux données de l’entreprise à partir de plusieurs appareils et depuis différents endroits. La force de travail aujourd’hui est agile et flexible et elle apporte avec elle une série d’avantages en termes de productivité et de talents.

Mais cela signifie également que les entreprises doivent être en mesure de définir les bons droits d’administration et de veiller à ce que le personnel soit autorisé à accéder aux données dont il a besoin, quand il en a besoin.

Le principe de la sécurité d’accès Just-In-time, ou « juste à temps », a ainsi gagné en popularité depuis quelques années. Il permet aux utilisateurs de se voir accorder des accès à privilèges à un système ou à une ressource pour effectuer une tâche spécifique au fur et à mesure que le besoin s’en fait sentir.

Pourquoi le Just-In-Time ?

La sécurité en Just-In-Time doit être considérée comme une pratique fondamentale. Elle est conçue pour aider à renforcer la sécurité et à maintenir la conformité tout en offrant aux employés l’accès aux données dont ils ont besoin.

Les employés doivent pouvoir travailler à partir de plusieurs devices et accéder aux données depuis n’importe quel endroit. Au cours des derniers mois, nous avons assisté à une plus grande évolution vers le travail hybride, et aujourd’hui la plupart des organisations dans presque tous les secteurs l’adoptent sous différentes formes.

L’inconvénient lorsque les accès Just-In-Time ne sont pas disponibles, c’est que les employés travaillent en dehors des paramètres recommandés pour la protection optimal informatique. Ils peuvent pourtant considérer que choisir de faire attention à la sécurité informatique c’est délaisser le confort, la commodité et l’efficacité au profit de la sureté. Les entreprises doivent donc s’attaquer à ce problème et veiller à ce que les employés aient pleinement conscience des cyber-risques.

Il est nécessaire que les organisations restreignent l’accès aux données sensibles. Que ce soit à distance ou au bureau, aucune entreprise ne devrait autoriser un accès total aux informations sensibles. En accordant des accès à privilèges à un trop grand nombre d’utilisateurs, l’organisation s’expose à un risque beaucoup plus élevé de vol de données et de cyberattaques. Accorder des privilèges élevés uniquement en cas de besoin – ni plus ni moins – limite l’exposition à un minimum tout en permettant aux utilisateurs de travailler efficacement.

Dans une étude récente d’Oracle et de KPMG, 59 % des entreprises interrogées ont subi une cyberattaque suite au partage ou au vol d’informations importantes. Les chances ne sont donc pas en faveur de l’organisation lorsqu’il s’agit d’accorder des privilèges excessifs à tous les utilisateurs. Or, la plupart des entreprises accordent généralement aux utilisateurs trop de privilèges ou trop de ressources, dans le cadre d’une politique généraliste. Cela peut sembler logique d’un point de vue opérationnel, mais est en fait très risqué en termes de sécurité.

Cependant la restriction des privilèges peut aussi entraver le travail quotidien et avoir un impact sur la productivité des employés, si elle n’est pas faite avec soin.

C’est pourquoi la sécurité des accès avec le Just-In-Time est une pratique fondamentale pour aider à réduire les accès superflus, et un outil clé dans la mise en œuvre du principe du moindre privilège et des modèles de sécurité de confiance zéro. En tant que politique, la sécurité Just-in-Time vise à minimiser le risque de privilèges permanents afin de limiter le risque et l’exposition à une cyberattaque potentielle.

Cette approche, à la base, tient compte de trois principaux facteurs d’accès : le lieu, le moment et les actions. Depuis quel endroit un utilisateur tente-t-il d’accéder ? Est-il autorisé à travailler pendant ce laps de temps et combien de temps devra-t-il conserver son accès ? Que tente-t-il exactement de faire avec son accès ?

Les utilisateurs qui ne font pas partis des équipes IT peuvent également être protégés par des solutions de sécurité Just-in-Time. Les postes de travail sont une source constante de vulnérabilité en raison des escroqueries par hameçonnage et de la « password fatigue » (fatigue des mots de passe) des utilisateurs, qui ont trop d’identifiants de connexion pour trop de systèmes différents. Cependant, la suppression des comptes d’administrateur peut causer des problèmes aux utilisateurs. Le Endpoint Privilege Management (EPM) permet aux utilisateurs d’élever de manière transparente les privilèges pour une application ou un processus spécifique sans élever les privilèges de session ou d’utilisateur. Cela élimine efficacement les droits d’administration vulnérables des points finaux.

Pour résumé, l’objectif de la sécurité Just-In-Time est de réduire – à un minimum absolu – le nombre d’utilisateurs disposant d’accès à privilèges, la quantité de privilèges qu’ils détiennent chacun et la durée pendant laquelle ils sont accordés.

Les étapes pour implémenter la sécurité Just-In-Time

La première étape consiste à vérifier tous les privilèges d’accès des utilisateurs, à l’échelle de l’entreprise, afin de déterminer la portée et l’ampleur du problème. Combien d’utilisateurs y a-t-il ? Quels sont leurs profils, et à quelles applications et systèmes ont-ils généralement besoin d’accéder ? Combien de comptes utilisateurs sont inactifs ? Et combien de privilèges élevés sont rarement ou jamais utilisés ?

Sur la base des réponses obtenues, l’étape suivante consiste à établir une politique interne pour définir les conditions d’accès des utilisateurs aux systèmes cibles : Quels rôles et quelles équipes, dans quelles conditions et pour combien de temps l’accès doit-il être autorisé ? Vous devrez également reprendre le contrôle de tous les mots de passe et identifiants des systèmes cibles. La centralisation de la gestion et de la rotation des mots de passe pour les applications et les actifs informatiques est essentielle pour assurer une gestion complète des risques et des vulnérabilités.

Une solution de gestion des accès privilégiés est une première étape importante pour protéger les « joyaux de la couronne » de l’infrastructure informatique.

Ce type de solution centralise et rationalise l’accès sécurisé aux actifs informatiques critiques tels que les serveurs de production. Cela élimine l’utilisation partagée des mots de passe root, verrouillant ainsi les accès sensibles. L’élévation temporaire des privilèges peut être demandée selon les besoins pour permettre aux utilisateurs humains et aux machines d’effectuer des tâches occasionnelles ou d’exécuter des commandes privilégiées. Il suffit à l’utilisateur de soumettre une demande de ticket pour élever les privilèges pour une action et une durée déterminées grâce à la gestion de l’élévation et de la délégation des privilèges. Lorsqu’il se connecte par le biais d’une solution de gestion des accès privilégiés, l’expérience de l’utilisateur est transparente, ce qui facilite la productivité et l’efficacité tout en vérifiant entièrement l’autorisation de se connecter au serveur sur la base des principes du juste-à-temps définis dans la solution.

Profiter maintenant des avantages

Une fois entièrement mise en œuvre, la gestion des accès « Just-In-Time » limite strictement la durée pendant laquelle un compte possède des privilèges et des droits d’accès élevés afin de réduire le risque et la surface d’attaque. Les comptes privilégiés ne sont utilisés que pendant le temps nécessaire à la réalisation de la tâche ou de l’activité – les utilisateurs, les comptes et les sessions ne conservent pas de « privilèges permanents » une fois la tâche terminée. Avec les solutions de sécurité d’accès appropriées, le Just-In-Time est simplifié grâce à l’élévation dynamique des privilèges qui garantit que seules les bonnes identités disposent des privilèges appropriés lorsque cela est nécessaire, et durant la durée adéquate.

Lire l’article sur The Intelligent CISO.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Sécurité Just-In-Time (JIT) : la sécurité par rapport à la commodité ?

Pourquoi le Just-In-Time ?

Les étapes pour implémenter la sécurité Just-In-Time

Profiter maintenant des avantages

La cybersécurité dans le secteur du retail : comment se protéger des cyberattaques ?

Sécuriser tous les accès : le devoir incontestable de toute entreprise

À découvrir

Autres ressources

Produits

Solutions

Ressources

À propos