ca.com/fr
5 | DOSSIER SOLUTION: CAPRIVILEGEDACCESSMANAGEMENT
Les spécialistes en matière de sécurité ont fait tout leur possible pour établir des défenses de périmètre dont le rôle est,
pour simplifier, de protéger les gentils à l’intérieur et de laisser les méchants à l’extérieur. La déferlante de violations auquel
nous assistons aujourd’hui semble prouver que ces périmètres de sécurité ne remplissent pas leur rôle. Les organisations
s’attèlent donc à présent à la mise en place d’une nouvelle couche de sécurité indispensable, centrée spécifiquement sur la
protection et la gestion des identités, une problématique incontournable dans les efforts actuels visant à mettre fin à cette
vague de cybercriminalité. Parmi ces identités, les plus critiques sont celles des utilisateurs à forts privilèges. Étant donné
qu’elles ouvrent littéralement «les portes du royaume», le vol et l’utilisation malveillante de ces informations
d’identification devient le principal vecteur d’attaque de toutes ces violations.
Exigences de conformité: augmentation des risques et du coût de la «non-conformité»
Les régulateurs renforcent les obligations en termes de sécurité et de confidentialité pour couvrir les risques inhérents aux
comptes des administrateurs et des utilisateurs à forts privilèges. Les violations internes à un niveau élevé ainsi que les
incessantes attaques de plus en plus poussées ont attiré l’attention du régulateur et de l’auditeur sur les menaces qui
planent sur les utilisateurs à forts privilèges. Les menaces associées incluent la perte, le vol ou le partage sans autorisation
des identifiants à forts privilèges, des mots de passe et des certificats qui finissent par ouvrir la voie aux attaques et
violations de données.
«D’ici à 2017, des réglementations plus strictes en matière de
contrôle des accès à forts privilèges entraîneront une hausse de 40%
des amendes et pénalités imposées par les organismes de
réglementation pour les organisations dont les contrôles de gestion
des accès à forts privilèges laissent à désirer. »
-Étude de Gartner, «Market Guide for Privileged Access Management», 2015
Les organisations sont en proie à des pressions croissantes pour se conformer à un nombre de réglementations qui ne cesse
d’augmenter. Beaucoup d’entre elles comportent des obligations spécifiques en matière de gestion, contrôle et supervision
des accès à forts privilèges aux données sensibles. La norme PCIDSS (Payment Card Industry Data Security Standard) a des
exigences explicites pour l’authentification multifacteur, la journalisation et le contrôle des accès, en particulier pour les
accès à forts privilèges ou d’administration à l’environnement des données des titulaires de cartes (Cardholder Data
Environment - CDE). Les obligations imposées par la loi HIPAA (Health Insurance Portability and Accountability Act) en
matière de sécurité incluent désormais des contrôles pour les «associés métier», en particulier concernant l’accès aux
informations, les procédures d’audit, l’authentification et le contrôle des accès, surtout pour les utilisateurs à forts
privilèges. Les exigences NERC-CIP (North American Electric Reliability Corporation—Critical Infrastructure Protection)
englobent des contrôles de cybersécurité pour l’accès aux ressources sensibles, la supervision des activités de l’utilisateur
au sein de l’environnement protégé et des procédures globales de gestion des accès aux comptes.
Inefficacité opérationnelle: effet sous-optimal, négatif sur la base
L’implémentation et l’application de plusieurs contrôles de sécurité sur une infrastructure IT d’entreprise diversifiée de plus
en plus volumineuse, sur le data center traditionnel, ainsi que dans les environnements Cloud et virtualisés dynamiques
peuvent être de plus en plus complexes, chronophages, voire non rentables. La gestion, le contrôle et la supervision des
accès à forts privilèges peuvent être soumis à des défis identiques. Voici quelques exemples: