Small nick 01

Jérôme BENBIHI

Entreprises, contrôlez les procédures de sécurité de vos prestataires !

 

entreprise controlez

L’année dernière, pendant plusieurs mois, les informations personnelles de milliers de militaires et agents secrets américains étaient disponibles en accès libre sur un serveur d’Amazon non sécurisé. Plus de 9 000 fichiers contenant des informations personnelles (adresse postale et mail, numéro de téléphone, numéros de permis de conduire et de passeport, CV…) étaient accessibles à la simple condition de saisir l’URL concernée. A qui la faute ? Le prestataire TalentPen, une société de recrutement.

Aujourd’hui, de plus en plus d’entreprises délèguent des opérations internes à des prestataires extérieurs pour la distribution, la gestion des ressources humaines ou encore l’informatique, mais l’absence de contrôle de leurs procédures de sécurité expose les activités des entreprises à de nouveaux risques de cyberattaques. Comme c’était le cas mentionné plus haut, pour l’entreprise de services de sécurité et de défense TigerSwan, sous contrat avec l’armée américaine pour gérer ces demandes d’embauche. En février 2017 TigerSwan a mis fin à son contrat avec le prestataire TalentPen. Celui-ci a donc lancé le retour des CV sur un espace de stockage public dans le Cloud d’Amazon. Ces copies ne devaient rester en ligne que le temps d’être récupérées par TigerSwan, mais TalentPen a oublié de les effacer et les fichiers confidentiels sont restés accessibles sur le serveur d’Amazon.

« Les fournisseurs échappent trop souvent aux procédures qu’une entreprise met en place pour assurer sa sécurité interne, généralement parce qu’ils revendiquent avoir déjà leurs propres dispositifs de protection. Pourtant, la discipline que s’imposent les fournisseurs ne répond pas aux mêmes enjeux que celle en vigueur chez leur client. Et dans tous les cas, l’accès à des données sensibles devrait être régi par des règles expressément écrites pour assurer leur intégrité. » explique C. Krasznay dans un article pour Silicon.

Selon une étude récente de CSO Online, 63% des failles de sécurité d’une entreprise seraient dues à ses prestataires. En effet, les principales cibles des cyber attaquants sont les comptes à privilèges utilisés par les fournisseurs, parce que la plupart du temps nous ne savons pas lesquels de leurs salariés utiliseront les privilèges d’accès qu’on leur fournit. Par conséquent, il est impossible de savoir qui fait quoi sur les systèmes du prestataire. Néanmoins, le risque de faille de sécurité chez les fournisseurs peut être réduit grâce à la mise en place de procédures dédiées.

La plus importante procédure est la Gestion granulaire des accès, avec des restrictions au cas par cas. Ces restrictions incluent principalement un délai d’utilisation limité ou l’identification des utilisateurs. Les règles d’accès doivent tenir compte des réglementations et des standards en vigueur sur le marché de l’entreprise cliente.

Les utilisateurs à qui l’on accorde un accès temporaire aux comptes d’administration système doivent pouvoir y accéder ponctuellement, juste le temps d’effectuer leur travail. Aussi, il est indispensable d’utiliser des comptes nominatifs pour pouvoir suivre les actions de chaque utilisateur. En général, les comptes nominatifs sont monitorés depuis une console centrale qui fournit tous les détails de l’activité des collaborateurs du prestataire lorsqu’ils utilisent les accès que l’entreprise cliente leur a accordés. Ces consoles sont mêmes capables de produire des alertes en temps réel en cas d’activité dangereuse. Et, lorsqu’on doit utiliser des comptes partagés et nous ne pouvons pas utiliser une identification nominative, on utilise un gestionnaire de mots de passe. Ceci permet à chaque utilisateur d’accéder à la ressource dont il a besoin dans un cadre autorisé, sans pour autant connaître exactement le mot de passe ni pouvoir s’en servir dans d’autres conditions.

Les deux types de comptes (nominatifs et partagés) peuvent être surveillés par des outils de gestion de session qui reposent sur un moteur de Machine Learning détectant automatiquement les utilisations frauduleuses des privilèges accordés.

Bref, pour diminuer efficacement ces menaces internes et donc réduire la surface d’attaque sur un réseau, tous les accès utilisateur doivent être définis, encadrés et contrôlés.

Article publié sur LinkedIn

 

Laissez un commentaire