Comment WALLIX Bastion sécurise l’Active Directory ?

Ces dernières années, on observe une recrudescence des cyberattaques ciblant l’Active Directory (AD). Cela s’explique par l’obsolescence de l’architecture Active Directory déployée par la plupart des grandes entreprises il y a plus de 10 ans. A cette époque, les préoccupations autour de la cybersécurité n’étaient pas les mêmes qu’aujourd’hui et l’architecture – qui repose exclusivement sur le DIT (Directory Information Tree), le modèle de délégation d’administration et la logique d’application des GPOs – est, par conséquent, extrêmement vulnérable aux cyberattaques. Au cours des années, l’Active Directory a connu de nombreuses évolutions. Microsoft a préconisé différents changements d’architectures – sans prise en compte de la sécurité – générant, avec le temps, des problèmes de configuration, multipliant ainsi les vulnérabilités. De plus, les mauvaises pratiques de cybersécurité comme l’utilisation de mots de passe faibles ou identiques pour plusieurs applications exposent d’autant plus l’Active Directory.

Sécuriser l’Active Directory devient donc un véritable casse-tête pour les entreprises qui ont tout simplement « baissé les bras » face à l’ampleur de la tâche. Or, l’Active Directory est le point névralgique du Système d’Information d’une entreprise. L’AD répertorie tous les postes sous Windows et leurs utilisateurs et fournit les mécanismes d’identification et d’authentification de ces derniers. On comprend donc aisément pourquoi l’AD représente une cible de choix pour les hackers. Si une personne malveillante arrive à prendre le contrôle de comptes utilisateurs et particulièrement ceux des administrateurs système (utilisateurs root) qui disposent de tous les privilèges, en volant les identifiants et mots de passe, cette personne aura accès à toutes les données de l’entreprise y compris les plus sensibles, et pourra par exemple lancer une attaque de type ransomware.

L’ANSSI – l’Agence Nationale pour la Sécurisation des Systèmes d’information – sensibilise depuis 2014 les entreprises et délivre des recommandations de pour sécuriser l’AD. Or, avec la recrudescence des cyberattaques ciblant l’Active Directory – on se rappelle notamment du CHU de Rouen en 2019 dont le SI a été paralysé par un ransomware pendant plusieurs jours, propagé grâce à une élévation de privilèges via des comptes de l’AD de l’hôpital – l’ANSSI renforce peu de temps après ses mesures et lance Active Directory Security, un service d’audit et de conseil à destination des acteurs critiques pour la sécurisation de l’AD.

Comment protéger l’Active Directory ?

Pour sécuriser efficacement l’AD, l’ANSSI recommande tout d’abord que les administrateurs du Système d’Information de l’entreprise aient un compte spécifique dans l’AD, différent de leur compte administrateur « classique ». Ainsi, l’administrateur se connecte avec un couple identifiant/mot de passe unique, sur un poste dédié à l’administration, sur lequel il ne peut que gérer l’AD (pas de connexion internet et aucune autre application). Cela limite drastiquement le vol d’identifiants et de mots de passe et augmente ainsi le niveau de sécurité.

Ensuite, pour renforcer le niveau de sécurité, l’architecture Active Directory optimale d’après Microsoft repose sur la création de 3 silos d’administration :

  • 1 silo nommé Tier-0 pour l’administration des ressources critiques du SI (AD, serveurs de mise à jour, postes d’administrateurs…)
  • 1 silo nommé Tier-1 pour les ressources vitales du SI (serveurs de mails, serveurs métiers…)
  • 1 silo Tier-2 pour les ressources non-vitales (postes utilisateurs, imprimantes…)

Avec cette architecture, lorsqu’un utilisateur cherche à se connecter sur un poste, l’AD va vérifier que l’utilisateur est en droit de le faire, qu’il dispose bien des droits requis. Ainsi, un administrateur Tier-0 ne peut pas se connecter sur un poste Tier-2.

Une fois cette vérification effectuée et validée, Windows va demander le mot de passe de l’utilisateur. Ce principe garantit la non-dissémination des mots de passe. Ils ne peuvent pas être utilisés en dehors du silo.

Cependant, malgré cela, le risque d’usurpation d’identité n’est pas encore écarté. La seule réponse est de mettre en place une solution de gestion des comptes à privilège, qui va venir apporter une couche supplémentaire de sécurité et garantir ainsi la protection des données.

Cette architecture est adaptée aux infrastructures on-premise. Le nouveau modèle de Microsoft de sécurisation des accès à privilège, bien que plus orienté cloud, est compatible avec cette approche : il n’en constitue qu’un raffinement.

WALLIX Bastion, pour sécuriser de manière renforcée l’Active Directory

WALLIX Bastion, la solution phare de gestion des comptes à privilèges (PAM) du portefeuille de solutions unifiées de WALLIX, certifiée CSPN par l’ANSSI, sécurise ainsi l’Active Directory de 1300 organisations à travers le monde dont de nombreux OIV, OSE, et administrations.

Concrètement, WALLIX Bastion va renforcer la sécurité de l’AD en s’intégrant dans l’architecture en silos. Il va être possible de scinder ses silos en 2, avec d’un côté, les ressources informatiques et de l’autre, les utilisateurs (dont les administrateurs). WALLIX Bastion va gérer les accès à ces ressources informatiques. Cela signifie que l’administrateur ne va pas se connecter directement à l’Active Directory. Il y accèdera indirectement via WALLIX Bastion. Seul WALLIX Bastion possède les identifiants et les mots de passe nécessaires à cette connexion et ne sont pas connus de l’administrateur. De plus, WALLIX Bastion enregistre toutes les actions réalisées ce qui permet d’avoir une traçabilité totale des actions réalisées dans l’AD, et plus généralement sur le SI, et d’intervenir en cas de comportement suspect.

Pour plus d’informations : https://www.wallix.com/privileged-access-management/

contenus associés

ressources associées

  • healthcare-it-equipment-cybersecurity

Cybersécurité et santé : Pourquoi le PAM doit être une priorité

Les événements de 2020 ont démontré que les organismes de santé doivent travailler dans un contexte de changement constant. En plus des changements dans le paysage de la santé publique, ils doivent également se préparer à l’évolution des menaces de cybersécurité.

Qu’il s’agisse d’une menace interne, d’un piratage externe ou de la négligence d’un employé, toutes les menaces listées ci-dessous représentent des risques sérieux pour les organismes de santé :

  • Logiciels malveillants et ransomware
  • Attaques DDoS
  • Violations de données personnelles
  • Phishing

Le milieu de la santé n’est pas le seul à devoir protéger les données sensibles contre ces menaces. Cependant, la nature de ce secteur en fait une cible de premier plan qui a beaucoup à perdre en cas d’attaque. Ce blog explore les raisons de cette réalité et explique également pourquoi la gestion des accès à privilèges (PAM) est la meilleure forme de défense.

Pourquoi les hackers ciblent-ils les organismes de santé ?

Comme tous les secteurs, la santé a dû s’adapter à l’ère du numérique. L’utilisation des données électroniques de santé personnelles (ePHI) s’est accrue et les progrès technologiques ont été rapides. Les terminaux mobiles et les portails web en libre-service ont apporté de la commodité aux patients. Et si l’on tient compte de la migration du stockage des données des patients dans le cloud et de l’augmentation du nombre d’appareils IoT, on commence à dresser le tableau d’un réseau complexe et connecté.

Ces avancées technologiques ont toutes le pouvoir de transformer les soins de santé pour le mieux. Mais elles entrainent aussi une large augmentation de la surface d’attaque pour les hackers. Malheureusement, les hôpitaux disposent souvent de logiciels obsolètes et non supportés, et souffrent d’une pénurie de compétences en cybersécurité. Cela augmente leur attrait pour les pirates informatiques.

Les enjeux sont élevés lorsqu’il s’agit de violations de données dans le secteur de la santé. La confidentialité des patients est depuis longtemps un pilier central de la médecine, ce qui rend ces données particulièrement sensibles. Et les organismes de santé traitent ces données sensibles à grande échelle. Les dossiers des patients ont une grande valeur sur le dark web et le marché noir : un dossier médical peut rapporter autant que des données de carte de crédit volées.

Le coût des failles de sécurité pour les organismes de santé

Les organismes de santé qui investissent dans une cybersécurité avancée ont beaucoup à gagner. Selon une étude de l’Institut Ponemon, une violation de données dans le secteur de la santé coûte en moyenne 380 dollars par dossier. C’est plus de 2,5 fois la moyenne mondiale, tous secteurs confondus. Cependant, la nature du secteur de la santé signifie que les ramifications peuvent aller au-delà des pertes financières et des atteintes à la vie privée.

Dans le monde de la santé, les pertes de données peuvent entrainer une véritable question de vie ou de mort. La perte de notes médicales ou de l’accès à une unité d’équipement vital peut avoir de graves conséquences pour un patient. Des recherches menées par l’Université de Floride ont montré que les violations de données augmentaient le taux de mortalité dans un hôpital. La nécessité de reformer le personnel, de mettre à niveau les logiciels et d’apporter d’autres changements opérationnels peut détourner l’attention portée aux soins des patients.

De plus, les organismes de santé peuvent encourir de lourdes sanctions en cas de non-respect des réglementations en matière de sécurité, telles que le RGPD, HIPAA, et HITECH. Le contrôle des accès à privilèges est un élément clé des mesures de sécurité attendues. La gestion des accès à privilèges (PAM) offre le moyen le plus efficace de se conformer aux réglementations et de protéger les organismes de santé contre les violations massives de données.

Comment le PAM peut protéger les organismes de santé

La surveillance et l’audit de l’accès aux systèmes peuvent être un vrai défi avec le roulement des employés et les grandes quantités de systèmes et de données à priivlèges. Le nombre et la nature distribuée des utilisateurs au sein d’un organisme de santé rendent difficile leur gestion et leur surveillance efficaces. Plus un système est grand et complexe, plus il faut d’utilisateurs à privilèges. Les utilisateurs à privilèges peuvent comprendre :

  • Des employés
  • Des fournisseurs externes
  • Hébergeurs Cloud
  • Utilisateurs de machines automatisées
  • Des contractants tiers

Un système de gestion des accès à privilèges (PAM) tel que WALLIX Bastion sécurise les comptes à privilèges et permet aux organismes de santé de se protéger de manière proactive. Le contrôle des accès à privilèges limite les mouvements qu’un pirate peut effectuer une fois qu’il est entré sur le réseau. Cela réduit considérablement leur capacité à se déplacer latéralement dans ce réseau et à accéder aux systèmes sensibles.

Avec les bonnes pratiques de sécurisation des accès à privilèges, la capacité d’un hacker à élever ses privilèges et à accéder à des informations confidentielles telles que les dossiers des patients sera considérablement réduite.

Il est temps d’investir dans le PAM !

De nombreux hôpitaux ont été victimes de divers systèmes de cryptage de fichiers et d’extorsion de données. Par exemple, l’attaque par ransomware WannaCry de 2017 a plongé le NHS britannique dans le chaos. Des milliers d’ordinateurs hospitaliers et d’équipements de diagnostic ont été détournés, obligeant les médecins à reporter manuellement les résultats de laboratoire et à annuler près de 20000 rendez-vous.

Dans d’autres cas, les dossiers des patients ont fait l’objet de fuites publiques, ont été présumés compromis, cryptés et même supprimés. Les méthodes d’attaque de ces incidents de piratage sont variées et il n’existe pas de solution unique au problème. Cependant, de nombreuses attaques reposent sur un accès Administrateur pour être exécutées – et ces attaques sont rendues beaucoup plus difficiles avec un système PAM en place.

WALLIX Bastion offre une surveillance, un enregistrement et une isolation complets de toutes les sessions d’utilisateurs à privilèges. Cela contribue à la conformité réglementaire en donnant aux organismes de santé une preuve documentée et vérifiable de leurs efforts pour protéger l’accès à privilèges. Lorsque le comportement des utilisateurs à privilèges est surveillé et géré par un système de PAM, les données des organismes de santé deviennent plus sûres. C’est pourquoi la PAM doit devenir une priorité !

Apprenez-en plus sur la sécurisation des accès à privilèges des organismes de santé avec WALLIX Bastion.

contenus associés

ressources associées