[EXCLUSIF] Une récente étude du géant IBM révèle que les institutions financières connaîtraient plus de vols de données – en moyenne 65% – que les autres industries. Sont-elles moins protégées ? En tant que l’un des secteurs les plus « early adopters » des technologies de cybersécurité, c’est difficile de le croire. Ce chiffre s’explique davantage par la tendance à la sophistication des attaques des cybercriminels. Toujours plus attirés par la quantité de données sensibles que traitent les banques du fait des gains particulièrement substantiels qu’elle peut générer sur le marché noir, les cybercriminels tentent de s’octroyer le maximum de droits sur les systèmes d’information bancaires. Si les entreprises ne doivent pas – à proprement parler – avoir peur de leurs administrateurs, elles doivent en revanche être particulièrement vigilantes à la gestion des droits d’administration de ces derniers.
Le vol d’identité à privilèges
Les banques sont souvent de grandes structures, internationales et multi-sites. L’architecture informatique bancaire représente une grosse machine gérée par des centaines d’administrateurs. Comme toute personne qui a un pouvoir dans une entreprise, l’administrateur est une ressource clé puisqu’il détient des droits et des privilèges sur l’informatique bancaire, bien plus étendus que ceux des utilisateurs lambda.
Un administrateur (système ou réseau) a des fonctions plus ou moins étendues en fonction des organisations, mais sa tâche peut le conduire à créer – en relation avec un architecte – un réseau informatique, l’installer et le paramétrer. Il en assure la gestion et le maintien en conditions opérationnelles. Il veille également à ce que son utilisation par les collaborateurs de l’entreprise en soit la plus facilitée possible. Il gère les comptes, puisqu’il peut ouvrir ou fermer des droits à d’autres utilisateurs. Dans sa partie d’administration système, il gère des postes de travail et des serveurs. Côté sécurité, il n’est pas en reste puisqu’il doit veiller à la bonne protection du système et être là en cas d’incident. Bras droit opérationnel de la DSI, ces fonctions lui permettent donc d’être au cœur du réseau et du système informatique. Cela en fait irrémédiablement une cible de choix pour les cybercriminels, qui une fois en possession des droits dévolus aux administrateurs sont libres de circuler et de faire ce qu’ils veulent.
Longue et chirurgicale, le vol d’identité à privilèges est une attaque aux effets dévastateurs. Pendant plusieurs mois, les cybercriminels se faufilent discrètement en s’octroyant de plus en plus de droits jusqu’à pouvoir voler, exploiter et/ou vendre des données. Des actions plus violentes encore comme le sabotage d’un système pour déstabiliser une infrastructure critique, ou comme l’installation de logiciels malveillants pour faire des dégâts à long terme font partie de leur panel d’actions. Cela peut malheureusement durer bien longtemps avant que l’entreprise ne le détecte…
L’intégrité des administrateurs, un pré requis essentiel
Il n’est donc pas exagéré que les entreprises s’assurent de l’intégrité de leurs personnels. Au-delà des pratiques de droit commun pour s’assurer de l’intégrité et de la moralité d’un employé, et ainsi s’éviter des passages à l’acte malveillant, acquérir pour le top management une certaine sérénité exige une autre préoccupation de leur part. L’administrateur est en effet une personne comme une autre. A ce titre, il peut se faire abuser, tromper ou déstabiliser. Le top management a en effet tout intérêt à se préoccuper du niveau de sensibilisation à la sécurité de ces administrateurs. Instaurer une culture de vigie chez l’administrateur, le sensibiliser à son statut de cible privilégiée ne peut que l’assister durablement dans sa mission. Pour s’introduire, les contrevenants n’hésiteront en effet pas à user de toutes les tactiques, à commencer par l’ingénierie sociale. Le savoir, en connaître les ficelles, est la première arme dont dispose un administrateur pour se protéger lui et son entreprise.
Toujours dans le souci d’une relation équilibrée et transparente avec les administrateurs, les institutions financières, et c’est valable tous secteurs confondus, ont tout intérêt à travailler les règles et la politique d’administration. S’assurer de la prise de connaissance, de la compréhension et de l’adhésion à une charte utilisateur dédiée aux administrateurs en est la première étape. Cela sécurise en plus l’opérationnel qui sait parfaitement ce qu’il a le droit de faire et de ne pas faire.
Trop souvent, les collaborateurs d’une entreprise, par peur des représailles, ne se font pas l’écho des incidents informatiques qu’ils entraînent, que ce soit par imprudence, erreur ou négligence. Cela ne peut se concevoir quand il s’agit d’un administrateur. Qu’il soit donc en pleine conscience de la nature et du déroulé d’éventuelles investigations à son encontre est donc indispensable pour ne pas perdre de temps de la même façon qu’il est capital que l’entreprise connaisse parfaitement ses droits et devoirs en la matière, pour faciliter grandement l’investigation et constituer un gain de temps. Au-delà de ce que la jurisprudence peut apprendre sur ce sujet à un niveau très légal, une politique d’administration efficace est aussi celle qui innerve une culture positive, communicante et non culpabilisante, plutôt qu’un régime basé seulement sur la sanction ou la peur créant un « effet tabou ». C’est d’autant plus essentiel qu’un administrateur se sentant pris au piège ou un cybercriminel déjà introduit est en capacité d’effacer des traces d’un éventuel méfait.
Si l’intégrité passe par une relation transparente et éclairée pour chaque partie et une valorisation des administrateurs à la hauteur des enjeux, elle va de pair avec une autre forme de prévention, plus technologique.
Le management technologique des comptes à privilèges
La confiance n’exclut pas le contrôle. Toute prévention se faisant, le risque zéro n’existe pas et les cybercriminels sont persévérants. L’entreprise se doit donc de surveiller l’activité de ces administrateurs et de s’assurer de leur strict respect des règles et de la politique d’administration arrêtée. Elle doit également se montrer réactive en cas d’incident pour en remonter l’origine, et ainsi limiter les impacts.
Contrôle pour le top management, garantie pour l’administrateur, un bon management des comptes à privilèges est également une assurance pour s’acquitter de ces obligations légales à l’image de la notification obligatoire aux autorités d’un vol de données personnelles, référence au GDPR et à la loi pour une République numérique française, en trouvant « qui a fait quoi » et avec quel impact.
Cela revient à renforcer de façon significative la supervision actuelle de leur sécurité sur la question spécifique des privilèges. C’est par exemple ce que peut permettre une solution de gestion des accès privilégiés (PAM), jouxtée ou non à un SOC. En ajoutant des sources d’informations, en intégrant les risques redoutés, appuyé sur une technologie Proxy transparente et cela en temps réel, ce type de solution permet une authentification centralisée contrôlant les accès, enregistrant les sessions individuelles en en comparant le comportement aux droits accordés. Gain de temps et de ressources, le PAM permet en outre d’accélérer les enquêtes sur les incidents et d’en enrayer les effets au plus vite. Rappelons-nous, la peur n’évite pas le danger.
A lire également sur Alliancy :