Les comptes à privilèges, cibles privilégiées des pirates

 

Entretien avec Jean-François Pruvot, directeur régional France de CyberArk

Toutes les industries sont touchées par la cybercriminalité, l’actualité le rappelle quotidiennement. Ce sont principalement les secteurs de la finance et de l’assurance, ainsi que ceux de la grande distribution (Target, Home Depot) et de la santé. CyberArk surfe sur la vague en enregistrant un taux de croissance élevé qui atteint les 80 % en début d’année et 50 % en 2014. « Notre croissance s’accélère en parallèle avec celle de la cybercriminalité » estime Jean-François Pruvot, directeur régional France de CyberArk.

Les causes de la cybercriminalité sont diverses. Elles sont politiques avec la complicité des États, ou économiques. Par exemple, un ransomware (rançon réclamée après avoir bloqué le fonctionnement d’un PC) comme Cryptolocker aurait fait quelque 500 000 victimes. Fort heureusement seulement 1,3 % des entreprises auraient payé la rançon exigée. Le groupe de pirates aurait rançonné 3 millions de dollars. La prise de conscience du danger de la cybercriminalité est internationale. En Europe, la Commission européenne a établi un « programme européen en matière de sécurité » qui place la cybersécurité au même niveau de dangerosité, et donc de priorité, que la criminalité organisée et le terrorisme.

« Pour CyberArk, les attaques externes, quels que soient les moyens de protection mis en œuvre, finissent toutes par percer les défenses périmétriques. Aujourd’hui, le marché de la dépense informatique atteint 70 milliards de dollars par an et les dépenses pour la sécurité des SI sont plus importantes que celles liées à la totalité pour les systèmes d’information » confie Jean-François Pruvot. Ce constat confirme qu’elles ont pris conscience que la transformation numérique implique une forte sécurité de leurs infrastructures. Et cette prise de conscience est remontée au niveau des directions générales ».

Qu’est-ce qui motive les entreprises ?

Tout dépend du pays. Aux États-Unis, le changement sur la perception du problème s’est opéré entre « conformité et sécurité » en 2014. « La conformité n’apporte pas la sécurité » explique J.-F Pruvot. « Il faut une approche sécurité qui permette d’atteindre la conformité, mais surtout qui protège les actifs de l’entreprise. En France, ce n’est pas encore le cas même si l’on assiste à une prise de conscience des directions générales ». Et d’ajouter : « La transformation numérique transforme l’entreprise en « entreprise connectée » ce qui implique la mise en place de nouvelles applications qui génèrent un flot d’informations nécessitant des mécanismes de sécurité pour protéger les actifs et la réputation de l’entreprise. Comment voulez-vous développer de nouveaux services favorisés par la transformation numérique si votre réputation est entachée par des problèmes de sécurité ? ».

La cybercriminalité n’est pas que l’affaire des grandes entreprises. Tout le monde est concerné, car le critère principal est l’importance des données sensibles que l’entreprise traite. Par exemple, les laboratoires pharmaceutiques qui détiennent des données de santé et des travaux de recherche. En France, CyberArk fournit des solutions à des PME qui traitent des données sensibles. « En 2014, le courtage des données personnelles (Data Brokers) a représenté un marché évalué à 300 milliards de dollars : une cible idéale pour les cybercriminels ».

 

Quelles solutions ?

Toute entreprise dispose d’infrastructures qui comprennent un certain nombre de serveurs, parfois répartis dans le monde, pour gérer des informations en interne, en mode hybride ou sur le Cloud. Pour piloter cette infrastructure technique, l’entreprise dispose de « comptes à privilège », utilisés par des administrateurs qui vont les utiliser dans leur pratique quotidienne. Tout compte à privilèges donne accès à l’infrastructure qui supporte les applications. Ainsi toute compromission de ces comptes va nuire au fonctionnement de l’entreprise. Evidemment, ces comptes à privilèges sont la cible principale des pirates qui infiltrent le réseau et s’y installent pour opérer en toute tranquillité en installant des logiciels malveillants et sont à l’origine des APT* (Advanced Persistent Threats). Une étude du Ponemon Institute a constaté que les pertes consécutives à l’atteinte à la réputation et à la productivité des employés sont la conséquence la plus coûteuse des attaques APT. Les personnes interrogées estiment que le coût moyen pour restaurer la réputation suite à une attaque APT peut atteindre les 9,4 millions de dollars.

Des milliers de comptes à privilèges… une cible privilégiée pour les pirates

Les comptes à privilèges (CàP) sont indispensables à l’entreprise pour qu’elle puisse exercer son activité. Ils sont disséminés dans toutes les parties de l’infrastructure comme les serveurs, les bases de données, les équipements réseaux, les Firewalls. Ils sont donc très nombreux et leur surface d’exposition aux attaques est très importante parce qu’ils permettent l’accès au système d’information de l’entreprise. Le nombre de CàP est, en règle générale, trois à quatre fois plus élevé que le nombre de postes de travail dans l’entreprise. Ainsi, une entreprise qui dispose de 10 000 postes de travail aura à gérer 30 000 ou 40 000 comptes à privilèges qui sont la cible des cyber-attaques. De plus, ces CàP sont des comptes partagés avec, bien souvent « admin », comme identifiant par défaut. De plus, des entreprises utilisent le même mot de passe pour tous les comptes. Ca paraît invraisemblable, mais c’est pourtant la réalité du terrain. « Les comptes sont changés une fois par an, alors qu’il faudrait les changer au minimum tous les 90 jours » affirme J.-F. Pruvot. Les solutions de CyberArk vont permettre de placer sous contrôle les mots de passe de l’infrastructure en assurant un changement périodique, après chaque opération pour des informations critiques ou tous les 90 jours pour les autres. Autre fonctionnalité, assurer la traçabilité des opérations, administrateur par administrateur qu’ils agissent en interne ou en externe. L’objectif est de détecter un « usage anormal » de ces comptes à privilèges. Par exemple : une personne a pour habitude de se connecter à dix serveurs dans un certain laps de temps le matin. Si notre système détecte qu’il se connecte à cinquante serveurs dans un temps très court, il déclenche une alarme pour qu’un responsable apporte une réponse rapidement à cette situation anormale.

Comportement normal, anormal ?

Pour définir un comportement anormal, encore faut-il définir ce qu’est un « comportement normal ». « C’est le principe de notre solution : à partir des logs de connexion disponibles dans l’infrastructure du client, on va enregistrer un fonctionnement de base poste par poste qui sera considéré comme « normal ». Les alertes remontent au SOC (Security Operating Center) qui va collecter tous les évènements et selon leur gravité va apporter une réponse immédiate à l’incident et les renvoyer vers différents services, voire la direction générale. « On va considérer qu’un événement suspect sur l’utilisation d’un compte à privilèges est un événement d’une extrême gravité et termes de sécurité et doit entraîner des réactions des plus rapides pour rétablir la situation » précise J.-F. Pruvot. L’une des difficultés pour détecter un comportement anormal est que, dès qu’il a réussi à pénétrer le système en se faisant passer pour un titulaire de comptes à privilèges, le pirate va d’abord observer le « comportement normal » du titulaire avant de passer à l’attaque. Accaparer ces comptes à « hauts pouvoirs » comprend plusieurs étapes. Le délai entre l’attaque initiale et sa découverte par l’entreprise est en moyenne de deux-cent jours. La mission de CyberArk est de réduire ce délai, de réagir en cas d’attaque, d’assurer la traçabilité des événements et celle de l’entreprise est de mettre en place des mécanismes d’authentification forte de haut niveau. Ceci dans le cadre d’une chaîne de sécurité dont le maillon faible est bien souvent la faiblesse du contrôle d’accès logique malgré une offre importante et variée du marché.

Poster un commentaire

Classé dans Industrie, Sécurité

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s