Sécurité

PAM comme condition à l'assurance-cybersécurité

Un nombre croissant d’assureurs en cybersécurité exige que les entreprises avec lesquelles ils font affaire disposent de contrôles de gestion des accès privilégiés (PAM). Dans cet article, nous explorerons les raisons qui motivent cette nouvelle exigence et nous détaillerons quelques-uns des contrôles les plus recherchés par les assureurs.

Maurice Côté

Toujours un développeur de logiciels dans l’âme, je suis vice-président des produits chez Devolutions. Mon rôle est d’aider nos clients à utiliser nos produits efficacement tout en veillant à ce qu’ils correspondent à leurs besoins. Pour ce faire, il me faut évaluer notre positionnement dans le domaine de l’informatique. J’ai travaillé de nombreuses années dans le domaine des logiciels médicaux, et j’étais ce « dev » qui était toujours responsable de l’infrastructure du réseau parce que, eh bien... nous n’avions pas les ressources pour engager un technicien. De ce fait, je suis particulièrement sensible aux exigences professionnelles du département informatique. Certains diraient que j'en sais juste assez pour être dangereux, mais ça c'est une autre histoire...

Afficher plus d'articles

Les dernières nouvelles en cybersécurité sont plutôt inquiétantes; certaines sont encourageantes et d’autres plutôt amères. Comme le veut la coutume, nous commencerons par les mauvaises nouvelles et nous terminerons sur une note positive.

Robuste? Certainement. Imprenable? Malheureusement pas.

La mauvaise nouvelle, c’est que même un profil de cybersécurité robuste, exhaustif et continuellement mis à jour ne peut pas être complètement sécurisé à 100 % en tout temps et sous toutes ses coutures. Avec suffisamment de temps et de ressources, les pirates peuvent exploiter n’importe quelle vulnérabilité et pénétrer tous les mécanismes de défense possibles et imaginables.

Et bien qu’ils vos données sensibles puissent être hors de leur portée, les pirates sont capables d’infliger de sérieux dégâts et de vous faire gaspiller des sommes faramineuses. Le coût moyen d’une cyberattaque va de 120 000 à 1,23 million $ US par incident pour les petites entreprises. Ce montant s’élève à 454 000 000 $ US pour les grandes entreprises. En outre, 60 % des petites entreprises ferment définitivement leurs portes dans les six mois suivant une cyberattaque.

La montée de l’assurance-cybersécurité

Passons maintenant aux bonnes nouvelles. Certaines des entreprises qui se relèvent d’une cyberattaque n’ont pas à débourser des sommes extravagantes pour analyser et réparer les dégâts, pas plus qu’elles n’ont à couvrir les coûts qui s’ajoutent parfois à ce genre de mésaventure : amendes, poursuites, règlements à l’amiable et réhabilitation de réputation. Mais, nous dites-vous, quel est cet outil miraculeux qui peut m’éviter des semaines, des mois, voire des années de problèmes et d’embarras? Voici notre réponse : l’assurance-cybersécurité.

Les assureurs en cybersécurité exigent le PAM

L’assurance-cybersécurité n’a rien de nouveau : elle date de 1997 (l’appellation « cyberassurance » était alors la plus usitée). En revanche, l’importance de la gestion des accès privilégiés (PAM) n’est comprise que depuis quelques années.

Tout comme la plupart des assureurs de voiture demandent que les automobilistes se munissent de protections antivol comme une alarme ou un antidémarrage, les assureurs en cybersécurité insistent pour n’assurer que les entreprises qui disposent de contrôles PAM robustes. Et pour cause, une liste comprenant plusieurs types de comptes privilégiés constitue un vecteur de cyberattaque important, d’autant que ce genre de méthode est bien souvent peu protégée. En conséquence de quoi :

Comme le fait remarquer SecurityWeek.com dans un article traitant de l’assurance-cybersécurité dans le monde, domaine dont on estime la valeur actuelle à 13,9 milliards $ US et qui devrait croître de 20,7 % d’ici 2023, le plus probable dans les années à venir, c’est l’imposition de clauses de cybersécurité dans les contrats d’assurance; les assureurs refuseront de plus en plus de protéger les entreprises qui n’adoptent pas certaines mesures de sécurité particulières.

Bien sûr, des contrôles PAM robustes ne constituent pas à eux seuls les « mesures de sécurité particulières » qu’exigeront les assureurs. Toutefois, il ne fait aucun doute que le PAM cessera bientôt d’être une simple « meilleure pratique » pour devenir un impératif en matière de protection des données.

Que veulent les assureurs?

Les exigences PAM varient en fonction des assureurs. Cependant, ils insistent sur le fait que les entreprises doivent avoir des contrôles minimaux (préférablement avancés) en place. Voici un tableau des différents niveaux de PAM :

Contrôles PAM minimaux - Outils et stratégies Contrôles PAM avancés - Outils et stratégies
L’imposition de l’authentification multifacteur (AMF) pour tous les accès à distance, soit en utilisant des fonctionnalités intégrées ou des outils tiers. Note : l’AMF par SMS est de moins en moins utilisée en raison de la fréquence des fraudes par usurpation de carte SIM. L’imposition de méthodes d’authentification avancées comme la correspondance des nombres pour tous les utilisateurs (et pas seulement les utilisateurs privilégiés). La sécurité de l’AMF ordinaire, considérée depuis sa popularisation en 2016 comme une valeur sûre, est désormais remise en question par les experts.
L’imposition du principe de moindre privilège (ou POLPde l'anglais Principle of Least Privilege), selon lequel les utilisateurs finaux ne devraient avoir accès qu’aux ressources strictement nécessaires à leurs tâches quotidiennes. Le POLP est également essentiel à la prévention de l’accumulation indue de privilèges. En outre, limiter les accès aux comptes privilégiés dits « pre-staged » réduit la surface d’attaque et respecte les objectifs du POLP. L’implémentation d’élévation juste-à-temps (JAT) des privilèges, ce qui réduit les risques d’incidents encore davantage en transformant les comptes auparavant munis de privilèges très élevés en comptes ZSP (de l’anglais Zero Standing Privilege). Ce faisant, les détenteurs de comptes privilégiés se voient octroyer des rôles qui ne durent que le temps d’accomplir leurs tâches.
La mise à jour des comptes admin par défaut et de leurs configurations, afin d’empêcher les acteurs malveillants d’abuser d’identifiants faciles à obtenir. L’implémentation de fonctionnalités de réservation robustes et sécurisées qui assurent le contrôle des accès aux comptes PAM. Elles devraient, a minima, inclurent des options d’approbation intégrées visant à contrôler qui peut demander l’accès à des comptes privilégiés, et pour combien de temps exactement. L’élévation JAT des privilèges au moment des réservations est aussi un bon moyen d’améliorer la productivité des utilisateurs.
La suppression des droits administrateur locaux comme l’exigent les bureaux/portables, et la gestion des comptes Workstation locaux. L’implémentation de l’approvisionnement d’utilisateur JAT, qui représente le nec plus ultra de l’élévation de privilèges JAT. Permet de créer des comptes privilégiés pour les besoins du moment et pour une période déterminée, et de les supprimer entièrement une fois leurs tâches terminées.
L’implémentation d’arrêts forcés pour empêcher les sessions à distance de longue durée. Une session privilégiée ne devrait durer que le temps absolument nécessaire.
La création de nombreux comptes privilégiés qui déterminent le niveau d’autorisation requis pour chaque système auquel les administrateurs doivent utiliser. Cette stratégie est beaucoup moins risquée que de créer un seul compte administrateur avec tous les accès possibles et imaginables.

PAM à la rescousse

La saine gestion et la sécurité des accès aux comptes privilégiés sont à la base de n’importe quelle stratégie d’entreprise, c’est pourquoi les solutions de gestion des accès privilégiés devraient au minimum proposer :

  • Un coffre sécurisé pouvant stocker les données sensibles;
  • Une manière d’imposer le principe de moindre privilège en déléguant les opérations à l’aide de contrôles d’accès basés sur les rôles (RBAC);
  • Une méthode de surveillance et de signalement des activités à des fins d’audits et de conformité.

Bien qu’un large éventail de fournisseurs PAM soient sur le marché, la plupart d’entre eux ont été conçus pour répondre aux besoins des grandes entreprises. De fait, beaucoup d’administrateurs travaillant dans des PME estiment que ces systèmes sont difficiles à implémenter, trop complexes pour leurs utilisateurs finaux et trop coûteux pour leurs portefeuilles. En conséquence de quoi : bien des PME n’ont pas les outils nécessaires pour protéger leurs actifs privilégiés.

Devolutions est décidée à régler ce problème. Voici quelques-unes des fonctionnalités de notre solution PAM :

  • La découverte des comptes privilégiés : Analyse automatiquement les réseaux pour découvrir les comptes privilégiés (utilisateur, système, administrateur, service, base de données, etc.) de votre ou vos fournisseur(s).
  • La rotation de mots de passe automatique et programmée : Assure la rotation des mots de passe au moment de réserver un compte privilégié et permet de programmer des rotations de mots de passe. S’applique à la fois aux identifiants du système et de Devolutions Server.
  • L’injection sécurisée d’identifiants : Injecte des identifiants dans des sessions à distance, sans en divulguer le mot de passe à l’utilisateur.
  • L’approbation de demandes de réservation : Les utilisateurs peuvent aisément demander la permission de réserver des comptes privilégiés à leurs administrateurs. Ces derniers sont ensuite automatiquement notifiés et peuvent accorder ou refuser la demande.

De plus, nous sommes heureux d’annoncer que l’approvisionnement JAT fait partie de nos plans et nous prévoyons des améliorations en ce sens dans les prochains mois. Actuellement, notre solution PAM prend en charge l’élévation de privilège JAT pour Azure et local AD.

Pour plus d’informations concernant la solution PAM de Devolutions, consultez notre site Web.

En conclusion

Les PME ne peuvent plus ignorer la montée des cybermenaces et leurs coûts exorbitants, car contrairement à la croyance populaire, les pirates ne rechignent pas à s’en prendre à elles. En fait, les PME sont bien moins protégées que les grandes entreprises, ce qui en fait des victimes toutes désignées pour les acteurs malveillants en quête de profits faciles.

Malheureusement, les entreprises ne devraient plus se demander « sommes-nous visés par les pirates? », mais plutôt « Comment atténuer les conséquences des attaques qui ne manqueront pas de se produire? ». Une bonne d’assurance-cybersécurité exigeant des contrôles PAM robustes peut aider les entreprises à aller de l’avant l’esprit clair et le cœur léger.

Articles similaires

Lire plus d'articles dans la section Sécurité