La multiplication des comptes admin dotés de privilèges excessifs en fait une cible facile et prioritaire pour les acteurs malveillants. En règle générale, les comptes admin se voient attribuer des privilèges importants, car les utilisateurs finaux ont besoin de fonctions admin pour l’administration système, réseau et base de données. Ces comptes ont souvent accès aux informations les plus critiques de l'entreprise (secrets industriels, etc.). Malheureusement, dans de nombreuses organisations, les comptes admin sont également attribués à des utilisateurs finaux standards, qui peuvent ainsi ajouter une imprimante, exécuter un programme spécifique ou même modifier les paramètres réseau.
Le dilemme consiste à savoir comment supprimer les identifiants de ces deux profils afin d'atténuer les risques d'un acteur menaçant ciblant ces comptes. La réponse est une administration relativement simple, sans mot de passe. Les identifiants privilégiés étant impliqués dans 80% des violations (selon Forrester Research), l'élimination des mots de passe privilégiés, dans la mesure du possible, réduit considérablement la surface de la menace.
L’administration sans mot de passe, kesako ?
L'administration sans mot de passe est un cas d'utilisation relatif à la gestion des accès à privilèges (PAM). Le PAM est traditionnellement considéré comme la gestion des sessions et des mots de passe, la gestion du moindre privilège sur le endpoint et l’accès à distance sécurisé. L’administration sans mot de passe comble le fossé entre ces trois facettes pour permettre à tout utilisateur d’exécuter une tâche administrative spécifique sans saisir explicitement d’autres identifiants de compte administratif. Cela diffère de l'authentification sans mot de passe, qui accorde une confiance mesurée à partir d'attributs utilisateurs ou de biométrie pour approuver une demande d'authentification. Plus précisément, le concept d'administration sans mot de passe est généralement lié à la gestion des accès à privilèges juste à temps, car ses méthodes d'application peuvent couvrir plusieurs technologies permettant d'élever temporairement l'utilisateur ou l'application (méthode préférée) pour la tâche spécifique demandée. En d'autres termes, au lieu d'entrer des identifiants admin secondaires pour une tâche nécessitant une élévation, l'utilisateur est approuvé en fonction du contexte (ou des attributs) pour exécuter l'application dans un « état élevé », sans mécanisme additionnel de « défi / réponse ».
Lorsque l'utilisateur final (ou l'administrateur) tente d'exécuter un programme, une commande ou de modifier le système d'exploitation, les meilleures pratiques en matière de sécurité indiquent qu'il ne faut pas leur permettre de continuer sans une forme de défi / réponse prouvant qu'ils disposent de droits admin. C’est un point d’attaque courant où un acteur malveillant s’introduira pour voler ses identifiants. Mais que se passe-t-il si la confiance de l'authentification initiale est élevée et que la tâche demandée « fonctionne » sans le défi / réponse supplémentaire ? L’utilisateur a déjà prouvé qu’il était bien ce qu’il prétend être et les ressources qu’il souhaite exécuter ou modifier ont été préapprouvés (même avec des cartes génériques). Des fonctions administratives spécifiques sont attribuées aux utilisateurs et aux actifs en fonction de stratégies et de technologies : l'utilisateur est administrateur ou root sans entrer les identifiants admin secondaire. En outre, au lieu des identifiants, une simple justification en texte clair peut être demandée et documentée pour les événements répondant aux exigences de certification réglementaires.
Les avantages
Dans la mesure où, avec l’administration sans mot de passe, il n’est pas nécessaire de saisir les identifiants admin pour exécuter les fonctions d’administrateur, il n’est pas nécessaire de donner ces identifiants à un utilisateur (administrateur ou pas) pour effectuer ces tâches. Par conséquent, les identifiants peuvent être supprimés et soustraits de vos services d'annuaire, éliminant ainsi un vecteur d'attaque significatif sans affecter l'expérience utilisateur. C’est un avantage substantiel de l’administration sans mot de passe - la combinaison du moindre privilège, les fonctions administratives, l’accès à distance et la gestion des mots de passe pour effectuer des tâches administratives sans avoir besoin d'informations d'identification supplémentaires. Cela inclut également l'élimination des identifiants partagés lorsque la méthode pour effectuer des tâches administratives élève les applications (et non les utilisateurs) à l'aide de techniques telles que la « tokenization », qui sont fondamentales dans le concept du PAM juste-à-temps. Là encore, le résultat est qu’il n’y a finalement aucun mot de passe administratif à confier à un acteur menaçant.
L'administration sans mot de passe ne nécessite que deux étapes préliminaires au sein d'une organisation pour passer du concept à la réalité : identifier les tâches nécessitant des privilèges admin pour fonctionner et les utilisateurs qui doivent les exécuter. Ensuite, l’administration sans mot de passe peut s’appliquer selon les fonctionnalités disponibles dans la plupart des systèmes d’exploitation (bien qu’elles soient limitées) ou en déployant une solution de gestion des accès à privilèges.
Commentaire