Sécurité Just-In-Time (JIT) : la sécurité par rapport à la commodité ?
Novembre 2022
Avec l’essor du travail en remote, avoir accès aux bonnes ressources organisationnelles de manière rapide et efficace devient un avantage majeur.
Les employés veulent être responsabilisés et soutenus afin de travailler de la meilleure façon possible, ce qui inclut un accès facile aux données de l’entreprise à partir de plusieurs appareils et depuis différents endroits. La force de travail aujourd’hui est agile et flexible et elle apporte avec elle une série d’avantages en termes de productivité et de talents.
Mais cela signifie également que les entreprises doivent être en mesure de définir les bons droits d’administration et de veiller à ce que le personnel soit autorisé à accéder aux données dont il a besoin, quand il en a besoin.
Le principe de la sécurité d’accès Just-In-time, ou « juste à temps », a ainsi gagné en popularité depuis quelques années. Il permet aux utilisateurs de se voir accorder des accès à privilèges à un système ou à une ressource pour effectuer une tâche spécifique au fur et à mesure que le besoin s’en fait sentir.
Pourquoi le Just-In-Time ?
La sécurité en Just-In-Time doit être considérée comme une pratique fondamentale. Elle est conçue pour aider à renforcer la sécurité et à maintenir la conformité tout en offrant aux employés l’accès aux données dont ils ont besoin.
Les employés doivent pouvoir travailler à partir de plusieurs devices et accéder aux données depuis n’importe quel endroit. Au cours des derniers mois, nous avons assisté à une plus grande évolution vers le travail hybride, et aujourd’hui la plupart des organisations dans presque tous les secteurs l’adoptent sous différentes formes.
L’inconvénient lorsque les accès Just-In-Time ne sont pas disponibles, c’est que les employés travaillent en dehors des paramètres recommandés pour la protection optimal informatique. Ils peuvent pourtant considérer que choisir de faire attention à la sécurité informatique c’est délaisser le confort, la commodité et l’efficacité au profit de la sureté. Les entreprises doivent donc s’attaquer à ce problème et veiller à ce que les employés aient pleinement conscience des cyber-risques.
Il est nécessaire que les organisations restreignent l’accès aux données sensibles. Que ce soit à distance ou au bureau, aucune entreprise ne devrait autoriser un accès total aux informations sensibles. En accordant des accès à privilèges à un trop grand nombre d’utilisateurs, l’organisation s’expose à un risque beaucoup plus élevé de vol de données et de cyberattaques. Accorder des privilèges élevés uniquement en cas de besoin – ni plus ni moins – limite l’exposition à un minimum tout en permettant aux utilisateurs de travailler efficacement.
Dans une étude récente d’Oracle et de KPMG, 59 % des entreprises interrogées ont subi une cyberattaque suite au partage ou au vol d’informations importantes. Les chances ne sont donc pas en faveur de l’organisation lorsqu’il s’agit d’accorder des privilèges excessifs à tous les utilisateurs. Or, la plupart des entreprises accordent généralement aux utilisateurs trop de privilèges ou trop de ressources, dans le cadre d’une politique généraliste. Cela peut sembler logique d’un point de vue opérationnel, mais est en fait très risqué en termes de sécurité.
Cependant la restriction des privilèges peut aussi entraver le travail quotidien et avoir un impact sur la productivité des employés, si elle n’est pas faite avec soin.
C’est pourquoi la sécurité des accès avec le Just-In-Time est une pratique fondamentale pour aider à réduire les accès superflus, et un outil clé dans la mise en œuvre du principe du moindre privilège et des modèles de sécurité de confiance zéro. En tant que politique, la sécurité Just-in-Time vise à minimiser le risque de privilèges permanents afin de limiter le risque et l’exposition à une cyberattaque potentielle.
Cette approche, à la base, tient compte de trois principaux facteurs d’accès : le lieu, le moment et les actions. Depuis quel endroit un utilisateur tente-t-il d’accéder ? Est-il autorisé à travailler pendant ce laps de temps et combien de temps devra-t-il conserver son accès ? Que tente-t-il exactement de faire avec son accès ?
Les utilisateurs qui ne font pas partis des équipes IT peuvent également être protégés par des solutions de sécurité Just-in-Time. Les postes de travail sont une source constante de vulnérabilité en raison des escroqueries par hameçonnage et de la « password fatigue » (fatigue des mots de passe) des utilisateurs, qui ont trop d’identifiants de connexion pour trop de systèmes différents. Cependant, la suppression des comptes d’administrateur peut causer des problèmes aux utilisateurs. Le Endpoint Privilege Management (EPM) permet aux utilisateurs d’élever de manière transparente les privilèges pour une application ou un processus spécifique sans élever les privilèges de session ou d’utilisateur. Cela élimine efficacement les droits d’administration vulnérables des points finaux.
Pour résumé, l’objectif de la sécurité Just-In-Time est de réduire – à un minimum absolu – le nombre d’utilisateurs disposant d’accès à privilèges, la quantité de privilèges qu’ils détiennent chacun et la durée pendant laquelle ils sont accordés.
Les étapes pour implémenter la sécurité Just-In-Time
La première étape consiste à vérifier tous les privilèges d’accès des utilisateurs, à l’échelle de l’entreprise, afin de déterminer la portée et l’ampleur du problème. Combien d’utilisateurs y a-t-il ? Quels sont leurs profils, et à quelles applications et systèmes ont-ils généralement besoin d’accéder ? Combien de comptes utilisateurs sont inactifs ? Et combien de privilèges élevés sont rarement ou jamais utilisés ?
Sur la base des réponses obtenues, l’étape suivante consiste à établir une politique interne pour définir les conditions d’accès des utilisateurs aux systèmes cibles : Quels rôles et quelles équipes, dans quelles conditions et pour combien de temps l’accès doit-il être autorisé ? Vous devrez également reprendre le contrôle de tous les mots de passe et identifiants des systèmes cibles. La centralisation de la gestion et de la rotation des mots de passe pour les applications et les actifs informatiques est essentielle pour assurer une gestion complète des risques et des vulnérabilités.
Une solution de gestion des accès privilégiés est une première étape importante pour protéger les « joyaux de la couronne » de l’infrastructure informatique.
Ce type de solution centralise et rationalise l’accès sécurisé aux actifs informatiques critiques tels que les serveurs de production. Cela élimine l’utilisation partagée des mots de passe root, verrouillant ainsi les accès sensibles. L’élévation temporaire des privilèges peut être demandée selon les besoins pour permettre aux utilisateurs humains et aux machines d’effectuer des tâches occasionnelles ou d’exécuter des commandes privilégiées. Il suffit à l’utilisateur de soumettre une demande de ticket pour élever les privilèges pour une action et une durée déterminées grâce à la gestion de l’élévation et de la délégation des privilèges. Lorsqu’il se connecte par le biais d’une solution de gestion des accès privilégiés, l’expérience de l’utilisateur est transparente, ce qui facilite la productivité et l’efficacité tout en vérifiant entièrement l’autorisation de se connecter au serveur sur la base des principes du juste-à-temps définis dans la solution.
Profiter maintenant des avantages
Une fois entièrement mise en œuvre, la gestion des accès « Just-In-Time » limite strictement la durée pendant laquelle un compte possède des privilèges et des droits d’accès élevés afin de réduire le risque et la surface d’attaque. Les comptes privilégiés ne sont utilisés que pendant le temps nécessaire à la réalisation de la tâche ou de l’activité – les utilisateurs, les comptes et les sessions ne conservent pas de « privilèges permanents » une fois la tâche terminée. Avec les solutions de sécurité d’accès appropriées, le Just-In-Time est simplifié grâce à l’élévation dynamique des privilèges qui garantit que seules les bonnes identités disposent des privilèges appropriés lorsque cela est nécessaire, et durant la durée adéquate.