L’éditeur Bomgar vient de publier une étude sur les failles et la gestion de la sécurité en lien avec les comptes à accès privilégié.
Ceux qui possèdent les clés du système d’information doivent faire d’autant plus l’objet de supervision qu’ils ont de pouvoir. (Crédit : Pixabay)
Quand on possède la clé d’une porte, on peut l’ouvrir à mauvais escient ou la laisser ouverte par inadvertance. Pour les systèmes d’information, c’est évidemment la même chose. Les titulaires d’accès privilégiés doivent donc être particulièrement contrôlés, notamment les prestataires. Or la situation est loin d’être convenable si on en croit une étude réalisée par l’éditeur Bomgar. La confiance aveugle est encore souvent la règle. D’un autre côté, il semble avéré que des mesures de sécurité trop contraignantes aboutissent à des contournements.
Dans le secteur financier, 46 % des répondants font ainsi une confiance totale aux salariés et 41 % aux fournisseurs (une confiance totale ou « la plupart du temps » respectivement 93 % et 86 %). Si ce secteur est le plus naïf, les autres ne sont guère mieux. Dans l’industrie, la confiance totale est à 44 % pour les salariés et 28 % pour les prestataires. Dans la santé, les chiffres sont respectivement de 31 % et 28 % et dans le secteur public de 36 % et 21 %. Ces chiffres sont d’autant plus affligeants que des failles avérées ont eu une source identifiée comme « accès privilégié » dans tous les cas, presque proportionnelle à la confiance accordée. 42 % des répondants du secteur financier ont ainsi constaté une faille liée à un prestataire, 32 % dans la santé, 24 % dans l’industrie et 15 % dans le public. Pour les salariés, les chiffres sont respectivement de 36 %, 32 %, 24 % et 14 %.
Les salariés, un facteur de risques mal maîtrisé
Dans les « mauvaises pratiques » avouées par les salariés, la première est de rester connecté au-delà du nécessaire (71 % des répondants le constatent régulièrement, 28 % très souvent). Mais il ne faut pas oublier le fait de noter des mots de passe (65 % / 27%) ou de les divulguer à des collègues (54 % / 21%). La sortie non-contrôlée de données est aussi un problème fréquent : 63 % constatent régulièrement la copie de données sur clés USB et 62 % leur transit via des messageries personnelles (souvent : 25 % dans les deux cas).
Face aux mauvaises pratiques, le contrôle est bien souvent inexistant. Ainsi, Bomgar note : « 35% seulement savent parfaitement quels salariés disposent d’accès privilégiés, 37% seulement disposent de rapports sur les activités réalisées par les salariés privilégiés et 34% seulement peuvent identifier les menaces spécifiques de la part de salariés disposant d’un accès privilégié ». Le sabotage par un salarié ou un ex-salarié mécontent est une menace plutôt en bas de l’échelle même si les écarts entre menaces sont faibles : 57 % trouvent la menace un peu ou beaucoup préoccupante, dont 21 % très préoccupante. L’appât du gain est jugé très préoccupant par seulement 19 % des répondants (60 % avec les « un peu préoccupant »). L’erreur est par contre jugée plus gênante. 63 % la juge assez préoccupante ou beaucoup dont 24 % très préoccupante. Le fait de divulguer un code d’accès suite à un phishing est dans le même ordre de perception de risque (61 % / 24%).
Les prestataires, des menaces négligées
Concernant les prestataires aux accès privilégiés, la menace est tout autant mal gérée. Ainsi, bien souvent, les prestataires ont des accès globaux au SI, bien au-delà de ce dont ils ont besoin pour leurs missions. C’est ainsi le cas dans 35 % (secteur de la santé) à 44 % (services financiers) des organisations. L’accès différencié est donc majoritaire mais il reste à savoir si la gestion est suffisamment fine et réactive pour être pertinente.
Evidemment, contrôler et superviser les actions et les accès n’évite pas tous les incidents mais l’impact reste tout de même significatif. Ainsi, si, en moyenne, 29 % des répondants ont constaté de manière certaine une faille liée à un collaborateur, le chiffre monte à 46 % en cas d’absence de contrôle mais baisse à 29 % s’il y a un contrôle manuel et 26 % en cas de solution dédiée à la gestion des identités. Les chiffres sont légèrement supérieurs dans le cas des prestataires. La moyenne est alors à 32 %, chiffre identique pour le contrôle manuel, mais monte à 45 % s’il y a absence totale de contrôle mais baisse à 29 % avec une solution dédié.