L’Endpoint Privilege Management (EPM) : une nouvelle génération de 007

Contrairement à la croyance populaire, les cyberattaques ne sont pas systématiquement le fait d’une attaque massive pour faire tomber votre infrastructure. Par exemple, les attaques DDOS peuvent n’être qu’un leurre pour couvrir une attaque plus subtile, plus élaborée. Dans un James Bond, les vilains infiltrent généralement votre organisation, en identifiant les faiblesses, acquièrent de plus en plus d’intelligence et de pouvoir, afin de pouvoir mettre en œuvre leur plan machiavélique.

Et tout comme dans un film de James Bond, les défenses ne sont pas assez efficaces et les contre-mesures sont déclenchées trop tard pour protéger le monde. Ce type de situation est particulièrement vrai dans des organisations morcelées reposants sur des sociétés de prestation, ou des travailleurs à distance qui exposent davantage la société.

Une fois qu’un ennemi à mis un pied dans votre organisation, elle va fatalement s’écrouler. Avec près de 62% des fuites de sécurité orchestrées par des organisations étatiques ou criminelles, seul un 007 peut sauver la mise.

Evolution de la protection des systèmes

Vos terminaux, comme les PCs ou les serveurs sont des cibles de choix comme point d’entrée pour infiltrer votre IT. Ils sont plus particulièrement vulnérables si ils sont hors de votre réseau d’entreprise car ils ne bénéficient pas de sa protection périmétrique.

Initialement, les solutions d’Anti-Virus (AV) reposaient sur l’identification des signatures numériques des malwares et sur les mécanismes de liste blanche/liste noire. Cette approche a très rapidement montré ses limites : elle se base sur la connaissance d’exploits déjà connus et donc expose les systèmes aux zero-days.

Avec l’évolution des vecteurs d’attaques et la nouvelle capacité des virus de muter, les éditeurs de logiciels ont fait évoluer les protections avec une nouvelle génération d’Anti-Virus (NGAV) proposant de nouvelles protections :

  • Le Machine Learning pour permettre de détecter les attaques non identifiées.
  • Le Endpoint Detection and Response (EDR) qui met en relation les événements locaux avec ceux du SI pour détecter toute activité suspicieuse.

Malheureusement, ces technologies se concentrent sur l’identification des menaces plutôt que la protection intrinsèque des systèmes.

Protéger les systèmes plutôt qu’uniquement bloquer les malwares

Le Endpoint Privilege Management (EPM) est une nouvelle génération de protection reposant sur la mise en œuvre de réponses immunitaires de vos Endpoints. Plutôt que seulement identifier et bloquer une attaque, l’EPM va stopper tout ce qui ne fait pas partie de l’organisme.

En langage informatique, cela signifie que seules les actions légitimes peuvent être exécutées sur votre système.

Cette nouvelle approche est particulièrement pertinente si vos Endpoints sont exposés à des réseaux externes. Il faut considérer que n’importe quel système peut/va être infiltré mais que l’EPM assure que le système se défendra de manière autonome, même si il est en dehors de votre réseau d’entreprise.

Cette nouvelle approche repose sur le principe du moindre privilège (POLP) : sans privilège administrateur en local, un intrus ou un malware ne vont pas pouvoir acquérir les droits nécessaires pour exécuter des processus ou des applications.

Appliquer le principe du moindre privilège a également d’autres bénéfices :

  • Elimination des utilisateurs sur-privilégiés, empêchant ainsi un malware qui a volé des identifiants d’endommager le système ou de voler des données critiques.
  • Suppression des comptes locaux d’Administration pour renforcer la protection du système.
  • Bloquer/contrôler toutes les APIs de chiffrement pour que votre système ne soit pas pris en otage par un ransomware.
  • Accorder les droits appropriés aux utilisateurs en fonction du contexte, pour ne pas impacter la productivité.

Si le POLP représente une première étape, il se concentre toujours sur des facteurs externes : l’utilisateur et ses privilèges. Cela est bien, mais pas suffisant pour satisfaire Q, le responsable R&D des services secrets de Sa Majesté. Les Endpoints doivent être capables de se défendre de manière autonome. C’est pour cela que les meilleures solutions proposent un niveau supplémentaire de protection :

Les privilèges ne sont plus accordés aux utilisateurs, mais aux processus et aux applications

Cela représente un changement majeur dans l’approche de la sécurité. Les systèmes ne sont plus seulement protégés contre des malwares ou des utilisateurs. La protection est déployée dans les couches basses : au niveau des processus et au niveau des applications.

Habituellement, la gestion des applications repose sur des choix binaires : un utilisateur peut accéder à l’application, ou ne peut pas. Une application peut s’exécuter, ou ne peut pas. Ainsi, une application ou un processus ne pourront pas endommager le système, malheureusement aux dépens de la productivité.

Si vous n’allumez pas votre PC, il ne va pas être infecté. Si vous ne lancez pas une application, elle ne pourra pas endommager votre système.

La mise en œuvre d’une protection granulaire au niveau des processus permet aux utilisateurs de continuer d’utiliser leurs outils sans que ceux-ci ne puissent être détournés à des fins malveillantes.

Les processus et les applications ne peuvent donc être qu’exécutés avec le bon niveau de privilège dans le contexte d’exécution. Comme les utilisateurs ne peuvent plus élever leurs privilèges, et comme les comptes administrateurs ne sont plus disponibles, les processus et les applications ne peuvent plus être hijackés afin de corrompre le système.

Appeler Daniel Craig au secours pour sauver la situation n’est pas toujours possible. L’EPM fourni une alternative crédible pour bloquer la menace à la source : les processus et les applications, et plus particulièrement quand le PC est exposé à l’extérieur de votre environnement. La mise en œuvre du principe de moindre privilège vous assistera pour empêcher les agents infiltrés de corrompre votre environnement, simplement parce qu’aucune option ne sera disponible, le tout en assurant la continuité des activités de vos équipes.