Réseau d’administration : 6 risques auxquels le PAM peut répondre Pour toute organisation, il existe un certain nombre de risques qui pèsent sur le réseau d’administration : certains ont une occurrence élevée et sont simples à traiter, d’autres sont rares mais complexes à adresser. Le recours à une solution de PAM (Privileged Access Management) permet de gérer ces risques pour les minorer voire les supprimer. Réseau d’administration : des risques protéiformes Les risques qui prennent forme sur le réseau d’administration peuvent être le fait d’actes délibérés mais aussi être dus à des erreurs ou des négligences. Allant du recours aux comptes génériques jusqu’au transfert de fichiers vérolés, nous avons relevé 6 risques concrets (liste non exhaustive) pour les organisations, du plus récurrent et plus facilement traitable au risque plus rare mais aussi plus compliqué à parer : Comptes génériques : L’utilisation de comptes génériques peut être dommageable car elle empêche toute traçabilité d’accès au système d’information. En cas de fuite de données ou d’action malveillante, il est alors impossible de remonter à la source ce qui favorise, par corollaire, ce type d’actions.Shadow admin : Il s’agit ici d’un administrateur interne ou d’un tiers qui se créé un compte administrateur caché du système d’information. L’administrateur dispose d’un compte officiel mais de manière malveillante ou inconsciente, se créé un compte parallèle d’administration pour aller plus vite, ne pas avoir à demander des autorisations ou autres. Ces comptes d’administration parallèles échappent alors à toute traçabilité et contrôle et représentent ici aussi des risques de fuites de données puisque l’administrateur peut utiliser ce compte à l’insu de toute surveillance pour accéder à des données d’administration mais aussi éventuellement être la source d’une propagation de ransomware.Ancien administrateur : Il s’agit d’un administrateur qui quitte la société mais qui garde malgré tout connaissance des logins / mots de passe qui sont utilisés pour l’accès au réseau d’administration. Il garde accès aux ressources et données sensibles et s’il a la volonté d’être malveillant, il va pouvoir récupérer ces données sensibles ou encore désorganiser le système d’information.Connexion avec un poste compromis : Il peut s’agir ici d’un tiers mainteneur ou d’un administrateur qui se connecte avec un poste compromis sur le réseau d’administration de l’entreprise. Le poste infecté est alors un vecteur de propagation de ransomware ou équivalent sur le réseau d’administration.Usurpation d’identité (ou de session) : Il peut s’agir, par exemple, d’un prestataire authentifié qui s’absente momentanément de son poste et depuis cette session légitime, quelqu’un va prendre le contrôle (physiquement ou à distance) de la session du prestataire. Il peut également s’agir d’un utilisateur malveillant réussissant à usurper son identité malgré des mécanismes d’authentificationL'authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service... More forte et ainsi se connecter en utilisant des crédentiels légitimes. Dans ces cas de figures, l’utilisateur malveillant va être en mesure de réaliser des actions malveillantes ou encore de subtiliser des données confidentielles. Transfert de fichiers infectés vers le réseau d’administration : Il peut s’agir d’un administrateur devant, par exemple, faire une action de mise à jour sur un serveur. Il utilise son terminal pour se connecter au réseau d’administration et transfert un fichier d’update récupéré sur Internet pour effectuer sa mise à jour. Si ce fichier est vérolé, il y aura une propagation de ransomware ou équivalent sur le réseau d’administration. Les réponses du PAM à ces 6 risques Les solutions de PAM proposent différentes fonctionnalités pour réduire voire supprimer ces risques : Injection automatique des mots de passe : L’injection automatique de mots de passe dans les ressources ou applications permet de se prémunir des risques liés aux comptes génériques puisque les mots de passe sont alors inconnus de l’administrateur ce qui empêche toute transmission de crédentiels à un tiers. L’administrateur étant connecté à sa session, qui lui est propre, tous les accès au réseau d’administration sont alors traçables.Découverte de comptes : En scannant le réseau d’administration à intervalles réguliers, la fonctionnalité de découverte des comptes va pouvoir détecter tous les comptes shadow admin et, soit les réintégrer dans la liste des comptes officiels (et y apporter les mécanismes de contrôle de traçabilité), soit les supprimer.Rotation automatique des mots de passe : Il s’agit de changer régulièrement et automatiquement les mots de passe pour qu’un ancien administrateur ne puisse plus utiliser son ancien mot de passe une fois la rotation passée.Poste stérile jetable d’administration / Terminal d’accès durci : C’est ici une des spécificités de Systancia Cleanroom Desk, la solution de PAM de Systancia qui propose un poste virtuel d’administration qui traite le risque de connexion avec un poste compromis. L’administrateur se connecte à ce poste virtuel qui lui permet d’accéder au réseau d’administration, ce qui réduit la surface d’attaque et permet d’éviter que le terminal de l’utilisateur soit un vecteur d’attaque sur le réseau d’administration. Il est également possible d’aller un cran plus loin avec Systancia Cleanroom Terminal puisque même le terminal d’accès de l’administrateur est remplacé par un terminal client léger durci pour réduire davantage la surface d’attaque : il s’agit d’utiliser un terminal physique sans OS, inattaquable, donnant lui-même accès à un poste virtuel stérile jetable d’administration, regénéré à chaque session, pour enfin seulement accéder au réseau d’administration.L’authentification continue de l’administrateur : Avec Systancia Cleanroom Authograph, mécanisme d’authentification continue de l’utilisateur basé sur la biométrie comportementale (et en l’occurrence sur la façon dont l’utilisateur utilise la souris et frappe sur le clavier), la solution de PAM de Systancia va être en mesure de garantir en temps réel l’identité de l’utilisateur et ainsi supprimer tout risque d’usurpation d’identité ou de session.Une passerelle d’échange sécurisée : Il est possible d’éviter tout transfert de fichiers infectés vers le réseau d’administration grâce à Systancia Cleanroom Hawkeye, la passerelle d’échange sécurisée entre le réseau de bureautique et le réseau d’administration et vice-versa. Celle-ci vérifie que le type de fichier à transférer est autorisé, si l’utilisateur a le droit de transférer ce type de fichier et procède également à une analyse antivirale sur ce fichier pour enfin le transférer lorsqu’il est validé. Systancia Cleanroom, la solution de PAM de Systancia permet donc, avec ses différents modules et fonctionnalités, de drastiquement réduire la complexité de la réponse opérationnelles à ces risques qui pèsent sur le réseau d’administration et notamment à certains risques rarement traités par des solutions de PAM tierces.
Blog Recommandations de l’ANSSI relatives à l’administration sécurisée des systèmes d’information : quelles nouveautés dans cette 3ème version du PA-022 ?