Le blog de la Cybersécurité

by OpenSphere.

Revenir au blog

40% des employés ont accès à des données sensibles de l'entreprise dont ils n'ont pas besoin pour faire leur travail

49% d'entre eux les consultent par curiosité selon le Ponemon Institute

La gestion des accès est un sujet critique pour les organismes de sécurité informatique, d'autant plus que le travail à distance induit par COVID-19 présente des défis pour la surveillance de l'accès aux données et des flux intraorganisationnels.

Les organisations gouvernementales du Royaume-Uni et des États-Unis luttent pour améliorer leurs pratiques de gouvernance d'accès privilégié et réduire la probabilité d'une violation de données ou d'autres incidents de sécurité causés par des initiés. Selon la recherche parrainée par Forcepoint et menée par Ponemon Institute, de nombreuses personnes, aussi bien dans le public que dans le privé, admettent qu'elles disposent de droits d'accès privilégiés qui ne sont pas nécessaires pour mener à bien leurs missions actuelles.

Aux fins de cette recherche, les utilisateurs privilégiés comprennent entre autres des administrateurs de bases de données, des ingénieurs réseau, des professionnels de la sécurité informatique et descloud custodians(faisant partie de l’équipe qui s’assure que les risques et les tolérances aux risques sont correctement évalués et gérés, ce mot désigne les architectes cloud spécialisés dans la gouvernance en amont). Selon les résultats de cette étude, nombreux sont ceux qui se servent parfois de leurs droits de manière inappropriée et mettent en danger les informations sensibles de leur organisation. Par exemple, 49 % des personnes interrogées affirment que les utilisateurs privilégiés (ceux qui disposent d’accès de plus haut niveau que l’employé standard) ont déjà consulté les informations les plus confidentielles d’une organisation par curiosité.

Sur les 900 personnes au Royaume-Uni et aux États-Unis qui ont reconnu disposer d’accès privilégiés, 36 % ont déclaré qu'ils n'avaient pas besoin d'un accès privilégié pour faire leur travail, mais qu'ils l'avaient quand même. Les raisons principales de cet accès étaient que tout le monde à leur niveau en avait un ou que les organisations ne révoquaient pas des droits particuliers lorsque le rôle d’un employé changeait. Certains professionnels de l'informatique ont même indiqué que l'organisation attribuait un accès privilégié sans raison apparente, une tendance particulièrement inquiétante étant donné que près de la moitié des répondants affirment que les utilisateurs privilégiés peuvent accéder à des données sensibles ou confidentielles par curiosité, tandis que 44 % ont évoqué le problème des utilisateurs privilégiés subissant des pressions pour partager l'accès avec d'autres.

null

Alors que les organisations gouvernementales des deux côtés de l'Atlantique cherchent à améliorer leurs processus en matière de sécurité, aborder l'accès des utilisateurs privilégiés est une première étape évidente. Mais l'enquête a montré que de nombreuses équipes informatiques ont du mal à suivre le volume considérable de demandes de changement d'accès, en particulier lorsqu'elles s'appuient sur des systèmes à l'ancienne comme les feuilles de calcul. Il n'est donc pas surprenant que de nombreuses organisations manquent également de visibilité à l'échelle de l'entreprise sur les personnes qui ont un accès utilisateur privilégié. Elles ont d’ailleurs moins de visibilité quant à ce que les utilisateurs font de ces accès.

Du côté public, environ la moitié seulement des répondants ont indiqué que les utilisateurs privilégiés sont contrôlés par des vérifications approfondies des antécédents, ou que l'accès est surveillé par des outils de Gestion des Identités et des Accès (en sécurité des systèmes d'information, la Gestion des Identités et des Accès est l’ensemble des processus mis en œuvre par une entité pour la gestion des habilitations de ses utilisateurs à son système d’information ou à ses applications. Il s’agit donc de gérer qui a accès à quelle information à travers le temps) ou des systèmes d'approvisionnement. Pire encore, 11% seulement ont exprimé leur confiance dans la visibilité de leur organisation à l’échelle de l’entreprise. Lorsque les outils de sécurité sont en place, ils ont tendance à être enlisés par de faux positifs, submergés par la quantité de données en jeu, ou sont incapables de trier les comportements malveillants du statu quo.

null

Conclusion

Le risque causé par les utilisateurs privilégiés (qui incluent les administrateurs de bases de données, les ingénieurs réseau, les spécialistes de la sécurité informatique et lescloud custodiansdans cette enquête) n'est pas nouveau et ne disparaîtra pas. Malheureusement, l'octroi excessif de l'accès privilégié et le manque de visibilité sur ceux qui en disposent et surtout ce qu’ils en font, semblent ne pas être près de disparaître. D’ailleurs 85% des répondants au sondage ont déclaré que le risque va demeurer le même, voir augmenter dans les années à venir.

Forcepoint estime que :

« Le grand nombre d'utilisateurs privilégiés rend, dans une certaine mesure, les abus inévitables. Mais les abus ne doivent pas se transformer en une véritable violation de données. La surveillance du comportement et de l’activité des utilisateurs, qui peut déterminer le contexte et l’intention des actions d’un utilisateur particulier, est l’une des clés de la réduction des abus d’utilisateurs privilégiés. La surveillance de l'activité des utilisateurs nécessite la capacité de corréler l'activité à partir des frappes au clavier, des enregistrements de badges, etc. Il devrait également inclure des fonctionnalités telles que lecture de type DVR pour discerner l'intention de l'utilisateur final. Une automatisation robuste est essentielle pour garantir que ce niveau de surveillance ne crée pas de friction pour les employés qui tentent également de faire leur travail. L'analyse du comportement utilise des indicateurs de comportement (IOB - Indicators of Behavior) pour déterminer le risque de comportement en utilisant un mélange de données informatiques, de données non informatiques et de facteurs psychologiques pour comprendre les risques à un stade précoce. Il est important de prendre des mesures proactives, en fonction du niveau de risque, pour atténuer ce risque grâce à l'application de politiques granulaires.

« Sans visibilité granulaire (visibilité non seulement sur les personnes qui y ont accès, mais aussi sur ce qu'elles en font), les entreprises ne peuvent pas détecter ou réagir suffisamment rapidement à un accès compromis ou malveillant pour rester protégées. Le principe clé ici est une devise de confiance zéro: ‘ne jamais faire confiance, toujours vérifier’ d'autant plus que la menace de l'utilisateur privilégié ne montre aucun signe de diminution. La pression économique conduit à des entreprises à court de personnel, ce qui conduit à des employés stressés qui sont plus susceptibles de prendre des raccourcis d'une manière qui menace la sécurité. Surtout maintenant, la visibilité en temps réel de l'accès et des actions des utilisateurs ne devrait pas être négociable.

« Dans un environnement informatique, le privilège peut signifier plusieurs choses : l'accès à une application ou à un ensemble de données particulier; l'autorisation d'arrêter ou de configurer des systèmes; le pouvoir de contourner certaines mesures de sécurité. Dans certains cas, ce privilège est requis pour une tâche urgente. Dans d'autres, cela représente non seulement un accès inutile, mais un risque inutile. Les organisations doivent faire un meilleur travail de suivi non seulement de l'accès, mais du comportement une fois que cet accès est accordé, afin de prévenir et de répondre aux violations de données ».

De son côté, Nico Popp, directeur des produits chez Forcepoint, note que « Pour comprendre efficacement le risque posé par les initiés, il faut plus que simplement regarder les journaux et les changements de configuration ». Et de préciser « les outils de sécurité basés sur les incidents génèrent trop de faux positifs. Au lieu de cela, les responsables informatiques doivent être en mesure de corréler l'activité de plusieurs sources, telles que les tickets d'incident et les enregistrements de badges, de consulter les archives et la vidéo des frappes au clavier et de tirer parti des outils d'analyse du comportement des utilisateurs et des entités. Malheureusement, ce sont tous des domaines dans lesquels de nombreuses organisations échouent ».

En savoir plus sur le rôlecloud custodiandans la gouvernance cloud (Microsoft)

Source :rapport du Ponemon Institute

 

Et vous ?

Disposez-vous d'un accès privilégié aux données de votre entreprise ?

En avez-vous besoin pour faire votre travail ?

Que pensez-vous des statistiques avancées par ce sondage, notamment :

  • 49 % des utilisateurs privilégiés accèdent à des données sensibles ou confidentielles en raison de leur curiosité
  • 44 % des utilisateurs privilégiés peuvent être contraints de partager leurs droits d'accès avec d'autres membres de l'organisation
  • 36 % ont déclaré qu'ils n'avaient pas besoin d'un accès privilégié pour faire leur travail

Que pensez-vous des autres statistiques avancées ? Vous semblent-elles crédibles ?

Qu'est-ce qui devrait justifier, selon vous, l'octroi d'un accès privilégié à un employé ?

Doit-on systématiquement le supprimer si un employé n'a plus les mêmes attributions au sein de l'entreprise ? Dans quelle mesure ?

Que pensez-vous des propositions de ForcePoint qui donnent des pistes de réflexion aux entreprises pour mieux gérer l'attribution des droits d'accès, mais aussi surveiller ce que les employés en font ?

La situation est-elle plus alarmante dans le public que dans le privé ?

Source : Emploi.Developpez.com

Sur le même thème

Zerologon : Microsoft signale des attaques

Sécurité : Microsoft annonce avoir détecté des attaques exploitant la faille Zerologon. Plusieurs exploits ont été publiés en ligne au cours des derniers jours. Le patch corrigeant cette importante vulnérabilité dans NetLogon est disponible depuis le mois d'août. Des pirates informatiques exploitent activement la vulnérabilité de Zerologon dans des attaques réelles, annonçait ce matin l'équipe de renseignement sur la sécurité de Microsoft. « Microsoft suit activement les activités d'acteurs malveillants utilisant des exploits pour la vulnérabilité EoP CVE-2020-1472 Netlogon, surnommée "Zerologon". Nous avons observé des attaques où des exploits publics ont été incorporés dans les outils des attaquants », a écrit la société dans une série de tweets. Selon les experts de l'industrie de la sécurité, ces attaques étaient attendues. Une vulnérabilité facilement exploitable Plusieurs versions de l'exploit de cette vulnérabilité ont été publiées en ligne sous une forme librement téléchargeable depuis que des détails sur la vulnérabilité de Zerologon ont été révélés le 14 septembre par la société de sécurité néerlandaise Secura BV. Le premier exploit a été publié quelques heures après la publication du post, confirmant l'analyse de Secura selon laquelle le bug Zerologon est facile à exploiter, même par des acteurs peu qualifiés. Le CERT-FR signalait la semaine dernière que des exploits étaient déjà publiquement disponibles, et a remis à jour son bulletin d'information sur Zerologon lundi pour y ajouter des informations d'aide à la détection. Une explication plus approfondie du bug Zerologon est disponible dans notre couverture initiale de la vulnérabilité. Le bug Zerologon est une vulnérabilité de Netlogon, le protocole utilisé par les systèmes Windows pour s'authentifier sur un serveur Windows fonctionnant comme contrôleur de domaine. L'exploitation du bug Zerologon peut permettre à des pirates de prendre le contrôle du contrôleur de domaine et, par essence, du réseau interne d'une organisation. Mises à jour nécessaires Zerologon a été décrit par beaucoup comme la plus dangereuse des failles de sécurité révélées cette année. Au cours du week-end, le DHS a donné trois jours aux agences fédérales pour corriger le bug sur les contrôleurs de domaine, ou les déconnecter des réseaux fédéraux. Dans une alerte publiée lundi, la CISA explique que le bug Zerologon affecte également le logiciel de partage de fichiers Samba, qui doit aussi être mis à jour. Le CERT-FR a également publié un bulletin d'information concernant l'impact de Zerologon sur Samba : l'utilisation de cette vulnérabilité permet ici une élévation de privilèges lorsque le serveur Samba est utilisé comme contrôleur de domaine. Bien que Microsoft n'ait pas donné de détails sur les attaques, il a publié des hashs de fichiers pour les exploits utilisés dans les attaques. Comme plusieurs experts en sécurité l'ont recommandé depuis que Microsoft a révélé ces attaques, les entreprises dont le contrôleur de domaine est exposé sur internet doivent mettre leurs systèmes hors ligne pour les réparer. Les serveurs accessibles par internet sont particulièrement vulnérables, car les attaques peuvent être mises en œuvre directement, sans que le pirate ait besoin de s'introduire dans les systèmes internes. Source :ZDNet.com        

Assises de la cybersécurité 2020 : positivons !

Les Assises de la cybersécurité viennent de s’ouvrir au Grimaldi Forum de Monaco. L’événement fête ses vingt ans et a débuté avec une session plénière de Guillaume Poupard, en charge de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). En substance il a salué le travail effectué et a voulu porter un message positif pour l’avenir. La session plénière a débuté avec un message d’accueil du ministre de l’Intérieur de la Principauté de Monaco qui a tenu à démontrer comment son pays était engagé dans une vaste transformation autour du numérique et donc de la cybersécurité pour créer un espace de confiance exemplaire afin d'attirer les entreprises et les parties prenantes autour des nouvelles technologies. Il a pris pour exemple le projet autour d’Extended Monaco qui met en avant chaîne de blocs, Cloud et 5G. Un message positif  Guillaume Poupard a pris un peu l’assistance a contre-pied avec un discours mettant en avant les points positifs qu’il a distingué durant la période récente. Tout le monde s’attendait à un énième message d’alerte vers les entreprises pour les sensibiliser sur une « menace toujours croissante ». Il s’est expliqué de ce contre-pied en indiquant qu’il « avait le sentiment que la phase d’évangélisation était enfin terminée. Aucun dirigeant d’entreprise ne « peut pas dire qu’il n’était pas au courant » et qu’il était fautif dans le cas contraire. Il a continué : « c’est un message d’espoir car nous pouvons maintenant nous concentrer sur les solutions » pas seulement techniques mais humaines et de gouvernance. Il a rappelé le dernier opus de son agence pour préparer et aider les entreprises par un guide de la gestion de crise. Ancien militaire il ne peut croire qu’en la vertu de l’entraînement ! Il a ensuite mis en exergue le travail autour des certifications réalisées par son agence et en particulier autour de prestataires de confiance et d’un référentiel nouveau PAMS pour aider les entreprises à reconstruire leur réseau au lendemain d’une attaque ou encadrer un prestataire autour de l’assistance à la conception.  Il a aussi évoqué des projets pour aller plus loin dans l’éducation à la cybersécurité avec des programmes qui existent déjà à destination des élèves de première et de seconde. Il a ajouté : « les outils pour le faire arrivent ainsi que la formation des enseignants ». Éviter angélisme et naïveté Il a pris en point d’orgue les différents projets et efforts dans la coopération européenne autour de la cybersécurité et nous a assuré que l’entraide à ce niveau était nécessaire à défaut de ne pouvoir lutter du fait du morcellement européen. Il souhaite que cette coopération apporte de l’objectivité dans les débats car « le caricatural est mauvais mais il faut aussi éviter l’angélisme et la naïveté ». Cette collaboration peut faire notre force indique le directeur de l’ANSSI.  La keynote s’est conclue par un point de Michel Van Den Berghe concernant le campus de cyberdéfense dont L’Informaticien a largement parlé au cours des dernières semaines. Guillaume Poupard apprécie cette initiative : « il nous fallait un lieu à l'image de ce qui s’est fait en Bretagne ». Il conclut par le besoin de continuer l’ensemble de ces efforts. Source : Linformaticien.com

Google révèle la plus grande attaque DDoS de l'histoire

Technologie : Tenue secrète jusqu'à vendredi dernier, l'attaque DDoS a eu lieue en septembre 2017 et serait le fait d'un cyberattaquant parrainé par un Etat. Image : Google Cloud. L'équipe Google Cloud a révélé vendredi dernier une attaque DDoS non divulguée qui a ciblé le service Google en septembre 2017. Elle avait atteint 2,54 Tb/s, faisant d'elle la plus grande attaque DDoS enregistrée à ce jour. Une attaque venue de Chine Dans un article séparé publié au même moment, le Google Threat Threat Analysis Group (TAG), l'équipe de sécurité de Google qui analyse les groupes de menaces haut de gamme, précise que l'attaque a été menée par un acteur de la menace parrainé par un Etat. Les chercheurs du TAG affirment que l'attaque est venue de Chine, car elle avait pour origine le réseau de quatre fournisseurs chinois de services internet (ASN 4134, 4837, 58453 et 9394). Damian Menscher, un ingénieur en fiabilité et sécurité pour Google Cloud, raconte que le pic de 2,54 Tb/s correspond à « l'aboutissement d'une campagne de six mois » qui a utilisé de multiples méthodes d'attaques pour marteler l'infrastructure des serveurs de Google. Il n'a cependant pas révélé quels services étaient visés. L'attaque DDoS la plus importante jamais enregistrée « L'attaquant a utilisé plusieurs réseaux pour usurper 167 Mp/s (des millions de paquets par seconde) à 180 000 serveurs CLDAP, DNS et SMTP exposés, qui nous envoyaient ensuite des réponses importantes », explique Damian Menscher. Ces informations « démontrent les volumes qu'un attaquant bien équipé peut atteindre : c'est quatre fois plus que l'attaque record de 623 Gb/s du botnet Mirai un an plus tôt [en 2016] ». En outre, cette attaque est également plus importante que l'attaque DDoS de 2,3 Tb/s qui a ciblé l'infrastructure AWS d'Amazon en février de cette année. Les attaques DDoS vont augmenter avec la bande passante Bien que l'attaque ait été gardée secrète pendant trois ans, Google a révélé l'incident la semaine dernière pour différentes raisons. Tout d'abord, l'équipe TAG de Google veut sensibiliser à la tendance croissante des groupes de cyberattaquants parrainés par des Etats, qui utilisent des attaques DDoS pour perturber leurs cibles. L'équipe de Google Cloud voulait également mettre en avant le fait que les attaques DDoS vont s'intensifier dans les années à venir, à mesure que la bande passante disponible pour internet va augmenter. Dans un rapport publié mercredi dernier, la société de datacenters Equinix prévoit une augmentation d'environ 45 % (~16 300+ Tb/s) de la bande passante d'interconnexion mondiale d'ici 2023. Pour tout savoir sur les attaques de DDOS Qu'est-ce qu'une attaque DDoS ? Tout savoir pour les reconnaître et s'en protéger Source : ZDNet.com