La gestion des accès privilégiés dans les PME + Recommandations

EN RÉSUMÉ

Dans le rapport de Devolutions sur le Portrait de la sécurité informatique dans les PME de 2022-2023 [maintenant disponible!], nous avons demandé à des dirigeants et des décideurs issus du milieu des PME de nous faire part de leurs expériences, de leurs approches et de l’administration de la gestion des accès privilégiés (PAM) au sein de leur entreprise. Nous vous présenterons nos découvertes, les préoccupations principales des PME, ainsi que nos recommandations.

Table des matières

• Les grandes lignes du sondage
• Quelques problèmes qui résultent de l’utilisation d’un système fédéré
• Ce que les PME devraient rechercher dans une solution PAM de qualité
• Principaux avantages d’une solution PAM complètement déployée

Les grandes lignes du sondage

• 98 % des PME gèrent les comptes privilégiés. En revanche, seulement 12 % d’entre elles disposent d’une solution PAM entièrement déployée, ce qui signifie que 88 % des PME sont plus vulnérables qu’elles ne le croient. Plus alarmant encore : 52 % des PME n’ont implémenté AUCUN contrôle PAM!
• Les deux raisons les plus répandues qui empêchent les PME de se munir d’une solution PAM entièrement déployée sont : des considérations budgétaires (28 %) et la complexité inhérente à l’implémentation et la gestion des solutions PAM (12 %).
• Les trois fonctionnalités que les PME recherchent le plus dans une solution PAM sont : l’expiration automatique des accès privilégiés, l’AMF intégrée et la réinitialisation de la rotation des mots de passe.
• 15 % des PME maintiennent que les contrôles PAM facilitent leur processus d’approbation des informations, augmentent leur productivité et accélèrent le travail en général. 22 % des PME disent n’avoir perçu aucune différence (négative ou positive) des suites de l’implémentation d’une solution PAM, alors que 11 % d’entre elles rapportent qu’elles ont fait l’expérience de quelques inconvénients.

Quelques problèmes qui résultent de l’utilisation d’un système fédéré

Pour protéger les données et ressources sensibles que contiennent leurs comptes privilégiés, les PME doivent mettre en place et assurer le maintien des mesures de gestion des identités et des accès :

• La gestion des identités sert à déterminer qui sont les utilisateurs finaux.
• La gestion de l’accès sert à savoir ce qu’ils ont le droit de faire.

Cependant, le fait que certaines technologies (ex. : systèmes hérités, téléphones cellulaires, caméras) ne puissent pas fonctionner avec un système fédéré est une difficulté pour beaucoup.

Alors pourquoi les PME ne créent-elles pas des comptes à identité unique pour chaque utilisateur? Bien que cette manœuvre soit possible en théorie, elle l’est moins en pratique puisqu’il existe au sein d’un même environnement une multitude de comptes privilégiés de différents types, parmi lesquelles :

• Des comptes d’administrateur de domaine;
• Des comptes d’administrateur local;
• Des comptes d’accès d’urgence;
• Des comptes d’application;
• Des comptes système;
• Des comptes de service de domaine.

Heureusement, il existe une solution à ce problème : Les PME peuvent implémenter complètement une solution PAM qui comble le fossé entre l’authentification et l’autorisation, en plus d’étendre la protection d’un système IAM aux espaces d’identité non fédérés.

Ce que les PME devraient rechercher dans une solution PAM de qualité

Les PME doivent se tourner vers une solution PAM robuste qui offre tous les éléments suivants :

• Un coffre qui stocke les mots de passe (et d’autres données sensibles, comme les codes d’alarme des bâtiments, les clés de licence des logiciels, etc.), et qui est partagé en toute sécurité entre plusieurs utilisateurs finaux.
• Fonctionnalité de demande de réservation de compte, permettant aux administrateurs d’approuver ou de rejeter les demandes au cas par cas et de fixer des limites de temps au besoin.
• Des notifications qui préviennent les administrateurs lorsque certains événements ou actions impliquent les utilisateurs finaux, les rôles, les coffres, etc.
• La rotation des mots de passe automatique obligatoire.
• L’injection d’identifiants automatise les flux de travail (par exemple, ouvrir un client VPN, lancer un protocole d’accès à distance et accéder à un compte privilégié) sans fournir de mots de passe aux utilisateurs finaux.
• Enregistrement de l’activité de la session
• Permet la rotation des informations d’identification durant et après chaque réservation d’une session RDP, ce qui atténue l’exploitation potentielle des informations d’identification RDP (elles n’ont pas besoin d’être transmises aux utilisateurs, car chaque authentification a lieu une fois, ce qui élimine la nécessité de rotation des informations d’identification).
• Facilité de déploiement et de gestion.
• Un prix abordable et adapté aux budgets de sécurité informatique des PME, qui sont nettement inférieurs à ceux des grandes entreprises.

De plus, les solutions PAM les plus complexes prennent en charge la gestion des sessions privilégiées. Cette fonctionnalité fait appel à un serveur spécialisé qui gère l’authentification en arrière-plan et peut même enregistrer l’activité des sessions à distance. La gestion des sessions privilégiées est très importante pour les PME qui ont des sous-traitants et des employés « boomerang » (c’est-à-dire des employés qui quittent l’organisation et y reviennent par la suite). Ces utilisateurs finaux doivent généralement faire l’objet d’une surveillance accrue et disposer d’accès limités.

Principaux avantages d’une solution PAM complètement déployée

• En implémentant une solution PAM robuste, les PME peuvent :
• Diminuer les risques de sécurité;
• Réduire la superficie de leur surface d’attaque;
• Couper dans leurs coûts de fonctionnement et dans la complexité;
• Augmenter la visibilité et promouvoir la connaissance de la situation (CS);
• Assurer la conformité aux normes.

À venir

Dans notre prochain article sur le rapport de Devolutions sur le Portrait de la sécurité informatique dans les PME de 2022-2023, nous verrons comment les PME hiérarchisent, implémentent et évaluent leurs mesures de sensibilisation à la sécurité informatique, et comment elles peuvent composer avec le « maillon faible » de la sécurité des TI : les utilisateurs finaux.