De plus en plus d’utilisateurs privilégiés – c’est-à-dire des utilisateurs disposant de droits d’administrateur – abusent de leur statut. Prenez Edward Snowden, l’ancien ingénieur et administrateur réseaux travaillant à la NSA, qui avait accès à énormément d’informations et a orchestré la plus grande fuite de données de tous les temps.

 

Nombre d`incidents de sécurité informatique sont dus à une personne jouissant de privilèges qui abuse de sa position, ou bien à des hackers externes qui récupèrent les noms d`utilisateur et mots de passe d’utilisateurs internes. Pour les hackers externes, accéder au compte d’un CEO ou d’un administrateur réseaux peut se révéler très intéressant.

 

Les chiffres confirment qu’il y a des raisons de s’inquiéter. Il ressort de la dernière étude de sécurité de Verizon que 88 % des incidents de sécurité internes sont dus à des abus d’accès privilégiés. Il est donc crucial pour les entreprises de se protéger de ces risques et de surveiller les surveillants.

 

Découvrir l’origine de l’incident

Lorsqu`un incident se produit, une organisation veut évidemment connaître son origine. La tâche n’est pas toujours aisée puisqu’il faut analyser des milliers de logs, ce qui requiert souvent l’assistance d’experts externes. Si l’on y ajoute le fait que plusieurs administrateurs ont un accès commun au même compte à privilèges et partagent le même mot de passe, il devient très difficile d’identifier le responsable d’un incident déterminé.

 

Il est plus difficile qu’il n’y paraît de changer cette situation. Plusieurs solutions existantes comme la gestion des logs, les firewalls et les SIEM se concentrent sur la conformité et la surveillance d’un environnement.  Toutefois, ces méthodes créent des angles morts qui permettent aux utilisateurs de compromettre la sécurité de l’intérieur. Un « super utilisateur » n’a quasiment aucune restriction quant à ses droits d’accès aux systèmes d’exploitation, aux bases de données ou aux applications. Il peut ainsi accéder et manipuler directement les informations sensibles d’une organisation.

 

Surmonter les complexités

Pour éviter ce type d’incident, il faut surveiller le comportement des super utilisateurs. Les informations sur les habitudes d`usage ou la déviation des routines permettent d’identifier des intrusions potentielles dans les systèmes.

 

Les utilisateurs des modèles comportementaux souvent caractéristiques : ils utilisent les mêmes applications, réalisent les mêmes cycles d’opérations dans leur travail, accèdent à des données similaires et tapent même comme personne d’autre. Cette empreinte digitale personnelle peut être détectée et comparée en temps réel avec les activités des utilisateurs afin de détecter des anomalies. Par exemple : si un utilisateur qui a l’habitude d’utiliser principalement des applications de bureautique se met subitement à utiliser les lignes de commandes pour sonder le réseau, cela peut être le signe que son compte a été piraté. Autre exemple : un vendeur se connecte toujours à SalesForce mais inspecte d’un coup un environnement de test et de développement.

De nouvelles approches de sécurité permettent d’analyser l`ensemble des activités des utilisateurs, y compris celles qui sont illégales. Ceci permet aux entreprises de suivre ce qui se passe réellement au sein de leur réseau. Grâce à des reconstructions rapides des activités, le temps d`investigation est raccourci et les coûts sont réduits. La surveillance du comportement des utilisateurs est la clé pour rendre le réseau plus sûr.

 

 

Zoltán Györkő, CEO de Balabit