Le « Just in Time » une stratégie indispensable pour la sécurité des accès
Avec la transformation digitale des entreprise et le besoin d’accéder à distance au système d’information, le type d’utilisateurs à privilèges (administrateurs, business manager, fournisseurs…) et leur nombre ne cessent d’augmenter. Il faut alors réduire et contrôler l’empreinte de ses accès à privilèges dans son environnement en maitrisant leurs portées (quelles autorisations sont accordées et où ces autorisations sont applicables) et leurs durées (quand l’autorisation est accordée et pendant combien de temps). La réduction des risques liés aux abus d’accès à privilèges, voir même la suppression totale des privilèges (Zero Standing Privilege- ZSP), est le principe même du « Just-In-Time (JIT) ». Il existe plusieurs méthodes pour mettre en œuvre du JIT, mais l’objectif reste bien celui de contrôler le temps d’usage du privilège, d’une possible utilisation abusive de celui-ci et de réduire les surfaces d’attaques (IoT, environnement multi-cloud, usage DevOps, l’automatisation de processus robotique…).
Selon Gartner plus d’ici 2025, 75% des cyber assurances exigeront l’utilisation du JIT lors de la mise en place de la gestion des accès à privilèges PAM…alors préparez-vous dès maintenant avec PAM4ALL !
Pourquoi mettre en place le « Just In Time » ?
La sécurité des accès Just in Time (JIT) est une pratique fondamentale qui permet de réduire les privilèges d’accès excessifs et constitue un outil essentiel dans la mise en œuvre du principe du moindre privilège et des modèles de sécurité Zero Trust. Les utilisateurs, les processus, les applications et les systèmes disposent des droits et des accès nécessaires pour effectuer certaines tâches définies, et ce pour une durée définie.
La sécurité Just in Time vise à minimiser le risque de privilèges permanents afin de limiter l’exposition aux cyberattaques. Lorsqu’un grand nombre d’utilisateurs d’une organisation disposent à tout moment de nombreux privilèges, les risques de vol, d’exploitation d’identifiants en vue de dérober des secrets, de chiffrer des données ou de paralyser des systèmes, augmentent. En n’élevant les privilèges qu’en cas de nécessité — ni plus ni moins — l’exposition est réduite au minimum et les utilisateurs peuvent poursuivre leur travail.
En 2021 le rapport sur les vulnérabilités des logiciels Microsoft indique que l’élévation de privilège était la catégorie de vulnérabilités n°1, représentation 44% du total des vulnérabilités, soit près de trois fois plus que l’année précédente. (Sans oublier que la suppression des droits d’administration des terminaux réduirait de 56% toutes les vulnérabilités critiques de Microsoft !)
Un compte à privilèges toujours actif peut très facilement être réduit d’un état actif permanent à un usage contrôlé en quelques minutes. En démultipliant cette approche sur l’ensemble des comptes, l’impact sur la réduction des risques est extrêmement rapide. Et le critère temps n’est pas que le seul élément de protection, les vecteurs d’attaques utilisant des techniques comme le mouvement latéral seront également atténués empêchant les acteurs malveillants de progresser et d’élever leurs privilèges dans le réseau.
Les politiques JIT aident les entreprises à :
- Améliorer leur position globale en matière de cybersécurité
- Éliminer les privilèges excessifs et mettre en œuvre une politique de « Zero Standing Privileges »
- Rationaliser et automatiser les processus d’escalade de privilèges
- Gérer les utilisateurs à privilèges qui sont à la fois des machines et des humains
- Permettre de sécuriser les accès à distance aux actifs sensibles aux actifs sensibles
- Faciliter la sécurité sans affecter à la productivité
Comment fonctionne le JIT ?
L’objectif du JIT est d’attribuer automatiquement les privilèges nécessaires à la volée et porte sur les trois principaux facteurs d’accès : le lieu, le temps et les actions. D’où un utilisateur a-t-il l’intention d’accéder ? Pendant combien de temps aura-t-il besoin d’un accès ? Est-il autorisé à travailler pendant cette période ? Que compte-t-il faire exactement avec cet accès ?
Prenons l’exemple d’Alice, sous-traitante de la société ACME qui souhaite accéder au système informatique pour effectuer la maintenance de quelques serveurs clés. Alice peut créer un ticket qui, après avoir été approuvé par l’IT, lui donnera un accès exclusif à la machine spécifique sur laquelle elle doit travailler, et à aucune autre, pour une durée déterminée selon des conditions préétablies.
Dans le cas d’Alice la sécurité Just in Time élève les privilèges dans des conditions prédéfinies afin de garantir une sécurité solide :
- Accès uniquement pendant les heures de travail
- Accès aux biens sensibles uniquement pour effectuer des tâches spécifiques
- Élévation des privilèges de l’application seulement, et non de la session entière de l’utilisateur
- Accès à distance sécurisé pour les employés et les prestataires externes
Il existe de nombreuses règles et déclencheurs contextuels du JIT en fonction des usages et des caractéristiques des comptes à privilèges basés sur les droits, les workflows d’approbations, les accès contextualisés, l’authentification multifactorielle. A chaque fois il faut se demander quelles sont les règles qui régissent l’utilisation et l’automatisation d’un accès JIT et quelles sont les conditions à remplir pour sa révocation.
Comment mettre en œuvre le JIT ?
La première étape consiste à effectuer un audit de tous les privilèges des accès des utilisateurs à l’échelle de l’entreprise afin de déterminer la portée et les risques éventuels. Combien y a-t-il d’utilisateurs, quels sont leurs profils et à quelles applications et systèmes ont-ils généralement accès, combien de comptes utilisateurs sont inactifs et combien de privilèges élevés sont rarement ou jamais utilisés ?
En fonction des réponses, l’étape suivante consistera à établir une politique interne permettant de définir les exigences auxquelles les utilisateurs doivent satisfaire s’ils souhaitent accéder aux systèmes cibles. Pendant combien de temps l’accès doit-il être autorisé ? À quelles fonctions et à quels équipements ? Et dans quelles conditions ?
Vous devrez également reprendre le contrôle de tous les mots de passe et de tous les identifiants des systèmes cibles. La centralisation de la gestion et de la rotation des mots de passe des applications et des actifs informatiques est essentielle pour assurer une gestion complète des risques et des vulnérabilités.
Vous êtes maintenant pleinement préparé à adopter la politique de Just in Time. Il ne reste plus qu’à mettre en place la solution PAM4ALL de WALLIX !
WALLIX PAM4ALL apporte une réponse concrète aux problèmes des comptes toujours actifs. PAM4ALL est la solution de gestion unifiée des privilèges et des accès qui vous permet de sécuriser, contrôler et gérer l’ensemble des accès des utilisateurs (humains ou machines – admins IT, employés, sous-traitants…) et pose les bases d’une architecture Zero-Trust en s’appuyant sur :
- Le MFA – Authentification multi-facteurs qui neutralise les risques associés aux identifiants compromis à l’aide d’un large éventail de mécanismes
- La gestion des accès distants pour les fournisseurs, les employés ou les tiers mainteneurs en appliquant des autorisations granulaires pour les personnes ayant accès à des services numériques sensibles de l’entreprise ;
- La gestion des sessions qui permet d’accroître la supervision de sécurité et contrôle « quand, quoi et comment » des personnes internes ou externes ont accès aux actifs stratégiques de l’entreprise.
- La gestion des mots de passe avec la sécurisation et rotation des mots de passe et clés ainsi que la suppression des mots de passe en dur. PAM4ALL permet également de séparer les postes de comptes dédiés à l’administration des utilisateurs de l’entreprise (silo) et sécurise les identifiants et mots de passe d’accès à l’Active Directory.
- La gestion du moindre privilège pour supprimer les droits d’administration locaux des postes de travail afin d’accorder les bons privilèges, au bon utilisateur et au bon moment, de bloquer les mouvements latéraux et d’arrêter la propagation de logiciels malveillants.
Avec PAM4ALL les utilisateurs tels que les administrateurs informatiques ayant accès aux comptes ne disposent plus de privilèges illimités. Les utilisateurs humains et les machines peuvent demander une élévation temporaire de leurs privilèges lorsqu’ils doivent effectuer des tâches occasionnelles ou exécuter des commandes nécessitant des privilèges. Les déclencheurs, les règles de gestion et de révocation de privilèges ainsi que les méthodes d’application du JIT sont sous la maîtrise de l’IT qui peuvent adapter l’usage du JIT en fonction des critères de leur politique de sécurité.
WALLIX PAM4ALL protège tous les utilisateurs, même en dehors de l’équipe IT. Les terminaux sont une source constante de vulnérabilités. La gestion du moindre privilège permet aux utilisateurs d’élever dynamiquement et de manière transparente les privilèges pour une application ou un processus spécifique sans avoir à élever les privilèges de session ou d’utilisateur. Avec PAM4ALL l’accès est accordé et l’élévation de privilèges est autorisée Just in Time, c’est-à-dire au moment où un utilisateur doit effectuer une tâche spécifique (exécution d’un programme, installation d’un logiciel approuvé), tout en bloquant les opérations de chiffrement non autorisées ou les tentatives d’élévation de privilèges.
Pour un savoir plus savoir plus sur la sécurité Just-in-Time, visionnez notre webinar :