Les administrateurs réseau malveillants se cachent dans le Cloud

Les menaces internes représentent l’un des principaux challenges des responsables de la sécurité informatique en entreprise. Ces menaces sont accidentelles ou intentionnelles, et proviennent d’individus disposant d’un accès au réseau, qu’il s’agisse d’employés, ou de prestataires externes, ou de cybercriminels ayant usurpé un compte légitime.

Pour l’entreprise, il est déjà très difficile de gérer et de contrôler la légitimité et les actions de l’ensemble des individus, mais la tâche se compliquent encore un peu plus avec les personnes bénéficiant d’accès privilégiés sur le réseau. Ces utilisateurs à privilèges, ou « super-utilisateurs » – parmi lesquels essentiellement les administrateurs réseau ou systèmes – disposent d’accès directs aux ressources et données stratégiques de l’entreprise, et sont donc les plus à risques. Une étude menée par Balabit auprès de 500 responsables de la sécurité, le confirme en démontrant que pour 70 % de ces professionnels, la menace interne représente plus de risque que les attaques venant de l’extérieur. Les études ont démontré que les cybercriminels qui parviennent à prendre le contrôle d’un accès interne à un réseau d’entreprise peuvent rester jusqu’à plusieurs mois dans le réseau sans être détectés, et donc prendre tout leur temps pour réaliser leurs méfaits (vol de données, introduction de malware, etc.).

Le Cloud augmente la dangerosité de la menace interne

Cette menace interne s’est considérablement accentuée avec le développement du Cloud computing,  qui repousse les frontières des réseaux d’entreprise et redéfinit ainsi le périmètre d’attaque. Il est ainsi très difficile pour les responsables de la sécurité de bénéficier d’une visibilité et d’un contrôle sur l’intégralité des actifs de l’entreprise. Le Shadow IT est l’un des pires cauchemars des équipes sécurité : Il s’agit de centaine voire des milliers d’applications et projets – souvent dans le Cloud et avec l’implication de prestataires externes – initiées et gérées par des utilisateurs internes, sans que la sécurité n’en soit informée. Pour l’entreprise, cela nécessite de reconsidérer qui est dans son environnement un utilisateur interne, bien avant de définir la sécurité à adopter.

L’objectif n’est pas ici de convaincre des dangers du Cloud, car si le Cloud est désormais omniprésent, c’est parce qu’il est avant tout un vecteur formidable de flexibilité et d’évolutivité pour les entreprises.

En contrepartie, l’élargissement continu des limites du réseau génère beaucoup d’incertitudes sur les responsabilités de chacun autour de la sécurité des données : à mesure que les utilisateurs accèdent aux données et les partagent, il devient in fine de plus en plus difficile de définir qui est responsable de la sécurité de ces données, entre l’utilisateur lui-même, le fournisseur de Cloud, etc. Et selon les droits d’accès à privilèges accordés, les utilisateurs internes malveillants chez les prestataires – administrateur Cloud par exemple – peuvent être à l’origine d’une attaque informatique majeure.  

De plus, dans cet affrontement entre équipes de sécurité et utilisateurs internes malveillants, les attaquants ont un avantage considérable : ils connaissent le meilleur chemin pour infiltrer le réseau. Grâce à leurs droits d’accès privilégiés, ils disposent d’informations importantes pour savoir où frapper avec le maximum d’impact et comment déguiser leurs actions pour rester invisibles.

Optimisation de la visibilité et du contrôle des activités des utilisateurs internes

Il y a toujours des risques à donner des responsabilités à une tierce partie, cependant il existe des moyens efficaces pour contrôler les relations avec ses prestataires grâce à une combinaison de processus rigoureux, pour apporter de la visibilité sur leurs activités :

– Etablir les paramètres de la relation : les entreprises doivent porter une vigilance particulière lors du choix d’un prestataire, et s’assurer que le fournisseur de Cloud adhère à des obligations contractuelles en matière de politiques et procédures de sécurité. Les entreprises ne doivent pas non plus avoir peur de poser des questions sur les utilisateurs qui bénéficieront de droits d’accès privilégiés sur leur réseau – en l’occurrence, les administrateurs systèmes qui seront responsables de la gestion de leur environnement Cloud. Il est en outre important de bien comprendre quels types de contrôles et vérifications vont être mis en place par ces administrateurs.

– Surveiller l’activité des administrateurs : restreindre l’accès d’un administrateur externe est un exercice complexe. Pour cette raison, il est essentiel de disposer d’outils permettant de surveiller les tierces parties et leur activité. Les entreprises doivent savoir ce qu’il se passe sur leur réseau en temps réel pour ainsi se protéger contre les accès non autorisés.  

– Identifier les anomalies : l’approche de la sécurité par le comportement des utilisateurs – User Behavioral Analytics (UBA) ou analyse comportementale des utilisateurs – permet aux entreprises de comprendre ce qu’il se passe réellement sur leur réseau et d’identifier les activités inhabituelles. Ces outils fonctionnent avec des algorithmes de machine learning, qui créent les profils de tous les utilisateurs et sont ainsi capables d’identifier les anomalies dans leurs activités quotidiennes. Cela permet d’identifier des fuites de données ou encore des manipulations de bases de données, et de définir rapidement la cause de l’incident.

Les entreprises doivent prendre le contrôle de leurs relations avec leurs prestataires. A défaut, elles s’exposent à des attaques potentiellement très dangereuses – venant de l’extérieur, d’administrateurs Cloud malveillants ou de cybercriminels ayant piraté les comptes utilisateurs à privilèges de ces administrateurs – pour accéder au réseau de l’entreprise ciblée. La visibilité sur les activités des utilisateurs à privilèges aide à contrôler le risque humain, avec pour objectif ultime de bloquer immédiatement toutes les actions malveillantes générées par les utilisateurs internes, qu’ils soient dans l’entreprise ou chez un prestataire.

Csaba Krasznay, Docteur (PhD) en technologie militaire, et responsable produit Shell Control Box chez Balabit

Go to Source


bouton-devis