De l’intérieur ou en provenance de tiers, les comptes à privilèges sont des cibles clés pour les cybercriminels. En 2019, un rapport de BeyondTrust montre que les menaces sur ces comptes sont toujours actives et que les outils pour s’en prémunir souffrent d’un manque d’intégration.
La menace interne ou externe inquiète toujours les RSSI sur les comptes à privilèges. (Crédit Photo : Pixabay)
Arriver à obtenir les identifiants d’un compte administrateur ou d’un dirigeant, c’est le saint Graal pour les cybercriminels. Le rapport 2019 de BeyondTrust (ex Bomgar) sur les menaces liées à ces comptes rappellent, s’il en était besoin, leur importance stratégique et la nécessité de se doter d’outils de sécurisation efficaces. Une chose est sûre les RSSI ont conscience du risque aussi bien interne qu’externe : 61% pensent avoir été victimes d’une compromission liée à l’accès d’un salarié et 58% font la même déclaration concernant des tiers. Les dispositifs IoT et les politiques de mobilité type BYOD (Bring Your Own Device) sont également pointés du doigt pour 57%.
Dans le détail, les compromissions internes restent un sujet majeur, notamment en France où les RSSI estiment à 69% avoir été victime d’un incident direct ou indirect du fait d’accès des employés au cours des 12 derniers mois. Sur la qualification de la menace, les responsables de la sécurité sont moins inquiets sur les mauvais usages intentionnels des données sensibles à des fins de gains personnels et sur le risque de sabotage par un ancien employé (52%). Par contre, la préoccupation grandit sur les risques accidentels (62%) avec différents types de mauvaises pratiques comme noter les mots de passe, télécharger des données sur une clé USB ou envoyer des fichiers vers les comptes de messageries personnels (60% pour chacun). La conséquence de ces mauvaises pratiques est que les failles causées directement ou indirectement par les comportements des employés sont passées de 29% en 2018 à 35% en 2019.
Plus d’intégration dans les outils
L’autre facette des risques porte sur les tiers. En moyenne, 182 fournisseurs en moyenne se connectent aux systèmes IT des entreprises chaque semaine (ce chiffre peut monter à 500 connexions dans les entreprises de plus de 5 000 salariés). Près de 30% des sondés sont certains de savoir combien de tiers ont accès à leurs systèmes et la confiance n’est pas de mise avec un sondé sur quatre qui fait entièrement confiance aux fournisseurs contre 37% pour les employés.
Pour se prémunir de ces compromissions, le rapport souligne l’importance de se doter d’outils de PAM (Privileged Access Management). Le marketing couplé à l’empirisme font qu’aujourd’hui 96% des entreprises interrogées disposent d’une solution pour contrôler les accès des comptes à privilèges. Les responsables de la sécurité se tournent aussi vers des services de restrictions d’utilisation de mots de passe partagés et procèdent à la rotation régulière des mots de passe admin. Si l’outillage n’est plus un problème, l’intégration des différentes solutions demeurent le parent pauvre. Les RSSI ne sont que 46% à penser que leurs solutions sont véritablement intégrées, tout en ayant conscience qu’une meilleure intégration augmentera la visibilité.