En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Surveillance des comptes à privilèges: les 10 meilleures pratiques

laisser un avis
Le facteur humain reste le maillon faible en matière de sécurité informatique dans l’entreprise. Ainsi, plus les utilisateurs ont des droits sur le système d’information, plus le degré de risques est élevé.
Il est donc indispensable de mettre en place des outils de surveillance des accès et des activités sur le système d’information, en particulier pour les utilisateurs privilégiés. Outre le facteur humain, selon leur secteur d’activité, certaines entreprises doivent adopter plusieurs réglementations de conformité telles que PCI-DSS, Sox, Cobit, Bâle II, HIPAA, ISO 2700X pour permettre la surveillance des activités des employés, principalement ceux qui disposent de comptes à privilèges. 

Afin que cette surveillance soit efficace, il est nécessaire de respecter quelques bonnes pratiques :

1/ Adopter le principe du moindre privilège. C’est à dire attribuer au compte d'un utilisateur, uniquement les privilèges dont il a absolument besoin pour effectuer son travail.

2/ N'utiliser le « mode Dieu » qu'en cas d'urgence. En règle générale, les administrateurs système n'ont pas besoin de disposer d'un accès illimité aux systèmes pour en assurer le bon fonctionnement. Il est préférable de verrouiller les comptes « super utilisateurs » (racine, administrateur, système, etc.) et ne les utiliser qu'en cas de nécessité absolue.

3/ Personnaliser chaque compte. Il faut définir les responsabilités personnelles de chacun des utilisateurs privilégiés. La première étape consiste à réduire au minimum le nombre de comptes partagés. La seconde consiste à ne pas partager les mots de passe des comptes partagés. On peut ensuite définir des domaines fonctionnels, en détectant les incompatibilités et en effectuant la séparation des tâches.

4/ Limiter la quantité de systèmes entrant dans la portée des comptes privilégiés de chaque personne. Les administrateurs système doivent jouir des privilèges d'un « super utilisateur » uniquement sur les systèmes sur lesquels cela est nécessaire, en fonction des besoins commerciaux et opérationnels. Il s'agit là d'une recommandation d'audit tout à fait standard.

5/ Développer une infrastructure de surveillance de l'utilisateur centrale. La gestion des journaux ainsi que les solutions SIEM ne capturent pas toutes les informations nécessaires. La meilleure façon de supprimer ces angles morts consiste à utiliser une solution de surveillance d'activité privilégiée. Cette procédure augmente la taille des journaux existants en indiquant précisément ce que l'utilisateur a fait (et non les résultats techniques de ses actions).

6/ Mettre en place un dispositif de surveillance des activités indépendant et transparent. On évite ainsi que les informations auditées ne soient modifiées. Même l'administrateur du dispositif sera dans l'incapacité de modifier les pistes d'audit chiffrées. L’environnement IT existant ne nécessitera ainsi aucune modification et les utilisateurs pourront continuer à travailler comme à leur habitude.

7/ Utiliser une authentification et une autorisation renforcées pour les comptes privilégiés. Lorsque des privilèges de « super utilisateur » sont attribués à des comptes personnels, il faut protéger ceux-ci au moyen de méthodes d'authentification renforcées. Les administrateurs disposant de tous les privilèges doivent utiliser un niveau d'assurance élevé (ex : des clés publiques ou des jetons intelligents de type X.509). Afin d'éviter une mauvaise configuration accidentelle ou une erreur humaine, certains outils PAM prennent en charge le principe dit « 4 eyes authorization » (principe des 4 yeux). Pour cela, il est nécessaire d'autoriser le suivi des actions de l'administrateur sur le serveur.

8/ Contrôler dans le détail les accès distants. La manière la plus sécurisée consiste à surveiller dans le détail les informations et le moment auxquels les personnes peuvent accéder, en fonction du protocole utilisé. Il est alors possible de contrôler les transferts de fichiers ainsi que le trafic inhabituel. On peut ainsi autoriser ou refuser des canaux de protocole tels que le partage de disques, le transfert de ports ou les transferts de fichiers en fonction de l'appartenance d'un utilisateur à un groupe, ou encore de l'heure.

9/ Éviter les actions malveillantes en temps réel. Il faut en effet être en mesure de pouvoir surveiller le trafic des connexions distantes en temps réel et d'exécuter différentes actions si un schéma donné (par exemple une commande ou un texte douteux) apparaît sur la ligne de commande ou à l'écran. Ainsi, si l'utilisateur s'aventure à effectuer une action risquée, on doit pouvoir être alerté ou mettre immédiatement fin à la connexion. Il doit être également possible de bloquer la connexion avant qu'un administrateur doté de mauvaises intentions n'exécute une action sur le serveur.

10/ Améliorer les preuves informatiques au moyen d'une relecture et d'une recherche rapide. Etre en mesure de rejouer les sessions enregistrées, comme un film pour revoir parfaitement ce que les utilisateurs ont effectué, comme elles se sont produites sur leur écran permet d’apporter la preuve en cas de problème. En cas de problème (manipulation d'une base de données, arrêt inattendu, etc.), les circonstances dans lesquelles l'événement s'est produit sont à disposition dans les pistes d'audit, et la cause de l'incident peut ainsi être facilement identifiée.

Márton Illés, directeur technique de BalaBit IT Security

agrandir la photo

Márton Illés est directeur technique de BalaBit IT Security avec une expérience solide de codage en cinq langues, une passion pour la conception de produits et l’expérience utilisateur. Il est titulaire d’un diplôme de Sciences Informatiques et d’Economie, obtenu à l’Université Corvinus de Budapest. Márton travaille pour BalaBit depuis plus de dix ans. Il a débuté sa carrière comme consultant sécurité puis a commencé à travailler sur des projets de nouveaux produits comme responsable produit. Márton Illés a été promu CTO l’année dernière pour coordonner les partenariats technologiques et la vision produits.

envoyer
par mail
imprimer
l'article


@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Gestion des comptes à privilèges… Votre responsabilité est engagée !
Ebola et les réseaux sociaux
Cas GoPro : ignorer les rumeurs est une erreur majeure
Une bonne gestion de la dématérialisation, un levier essentiel pour l’entreprise
Ces ruptures qui vont transformer nos vies
Affaire « Vie de Merde » : un concept non protégé par le droit d’auteur, mais...
Pourquoi vos outils collaboratifs ne génèrent aucun gain de productivité
Quand les entreprises font marche arrière sur le modèle offshore
Classement des extensions septembre 2014 : le .COM plus rapide que l'ensemble des NewgTLDs
Maîtrisez votre nom de domaine et comprenez la magie de Time To Live
L'incidence des groupes ouverts ou fermés sur la dynamique collaborative
Pourquoi Google, Apple, Amazon ou Facebook ne deviendront probablement jamais des banques
Innovation : Pourquoi Apple ne fait plus la course en tête ?
Comment s’écarter de la DSI sans pour autant l’exclure ?
Internet des objets et protection de l’information : quelle sécurité pour la mesure de soi ?
Bash Bug : mesures urgentes et nécessaires pour les entreprises
Le retour vers la croissance passera par le numérique
5 choses que les experts en confidentialité veulent que vous sachiez à propos des « wearable technologies »
La recherche interne, une source d'enseignement trop souvent négligée