Les utilisateurs privilégiés: moins contrôlés et souvent négligents

Pour faire leur travail efficacement, certains métiers de l’entreprise jouissent d’un accès privilégié à des informations et à des applicatifs. Et pour que les systèmes soient administrés correctement, nombreux sont les collaborateurs du département IT qui disposent eux aussi de droits étendus. Une situation normale et acceptable, si ces différents privilèges sont gérés rigoureuse- ment et n’exposent pas l’entreprise à des dangers plus importants en termes de réputation, de conformité, de compétitivité ou tout bon- nement de continuité. Or, force est de constater que dans la réalité cette rigueur fait souvent défaut. Ainsi, selon une étude réalisée par IDC en 2009, les employés de l’informatique, grâce aux accès dont ils jouissent, sont la seconde cause de risque interne (14,1%) derrière le personnel externe ou temporaire (19,5 %). De plus, d’autres enquêtes montrent que les droits d’accès excessifs arrivent en première position des inconformités identifiées par les auditeurs des systèmes IT.

Balayer devant sa porte

Une partie du problème réside dans le peu d’attention portée à la gestion des accès pri- vilégiés. Ainsi, une étude réalisée fin 2009 par l’institut Quorcica pour le compte de CA auprès de 270 responsables IT européens, révèle que les entreprises sont bien plus assi- dues lorsqu’il s’agit de contrôler les accès de la majorité des utilisateurs conventionnels que ceux de la minorité des super-utilisa- teurs. Là aussi, plusieurs explications. Tout d’abord, le contrôle des accès n’est que l’un des dangers internes et il ne concerne qu’une fraction des utilisateurs. Ensuite, la gestion des utilisateurs privilégiés met les responsables IT dans la position toujours difficile d’être à la fois juge et partie.
Pourtant, l’accès privilégié dont bénéficient certains collaborateurs IT mérite d’être particulièrement contrôlé parce que leurs codes constituent une cible de choix pour les hackers et parce qu’ils ne sont pas à l’abri de comportements malintentionnés, pour des motifs qui vont du gain financier à la rancœur contre l’employeur après un licenciement. La combinaison d’accès privilégiés mal gérés et de mauvaises intentions est une véritable bombe pour les entreprises, comme en témoigne l’attaque subie en 2002 par UBS aux États-Unis: les opérations de l’établissement avaient en effet été sérieusement compromises, après que Roger Duronio, un ex-administrateur systèmes, avait profité de ses accès pour infecter et faire tomber des milliers de serveurs et paralyser ainsi le travail des traders.
Mis à part des attaques perpétrées à des- sein par des collaborateurs ou des hackers grâce aux accès privilégiés, on peut s’attendre à ce que les erreurs et négligences en matière de gestion des accès soient moins fréquentes chez le personnel IT en raison de ses compétences particulières. Là aussi cependant, la rigueur n’est pas à l’ordre du jour quand bien même l’impact de fautes éventuelles est à la mesure des privilèges qui sont accordés.

Négligences

Les lacunes constatées par Quorcica commencent par l’intégration de nouvelles bases de données, systèmes d’exploitation et autres applicatifs. Ceux-ci sont livrés avec toute une série de comptes privilégiés par défaut qui, contre toute attente, ne sont parfois pas modifiés, alors que les utilisateurs normaux sont sommés d’employer des mots de passe complexes et de les changer régulièrement. Par ailleurs, dans les cas où ces accès par défaut sont modifiés, ils sont souvent partagés pour des motifs pratiques au sein de l’organisation IT (voir graphique) – un usage qui empêche d’identifier l’origine d’une erreur constatée. Souvent aussi, les administrateurs IT pré- fèrent user de comptes tout-puissants avec tôt que de configurer des comptes multiples avec une plus grande granularité. De telles pratiques sont bien entendu prohibées par la plupart des normes de sécurité. Le standard ISO 27001 déployé par 60 % des sociétés européennes stipule par exemple que l’allocation et l’utilisation des privilèges soient restreintes et contrôlées. Idem pour l’industrie des cartes bancaires qui recommande l’audit de toute l’activité des utilisateurs privilégiés et la modification des mots de passe fournis par défaut.

Reprendre le contrôle

Les raisons de ces lacunes et du déficit d’attention portée aux utilisateurs privilégiés sont à la fois budgétaires et organisationnelles. Pour changer de cap et reprendre le contrôle, les analystes de Quorcica recommandent de ne jamais laisser les accès configurés par défaut, de bien dissocier comptes et identités, de pratiquer le principe du plus petit privilège possible, de surveiller et d’auditer l’activité des utilisateurs privilégiés, de se conformer aux standards de sécurité. Pour les systèmes les plus sensibles, il est également conseillé de produire des mots de passe valides une seule fois ou avec une échéance, voire d’instaurer des doubles contrôles.