Gérer les risques
Aujourd'hui et demain

Cyberprévention

William Culbert (Bomgar) : «En majorité, les attaques sont réalisées avec des outils de prise en main à distance non sécurisés»

Entretien avec William Culbert, directeur commercial Europe du Sud chez Bomgar, éditeur de logiciel de bureau distant pour un accès sécurisé. Dans le cadre du règlement général sur la protection des données (RGPD) qui entrera en vigueur le 25 mai 2018, la Cnil présente un guide des bonnes pratiques à adopter pour s’y conformer. L’occasion de faire le point sur ces recommandations.

Que retenez-vous dans les grandes lignes de ce rapport ?
Un grand nombre des recommandations faites par la Commission nationale de l’informatique et des libertés (Cnil) dans ce guide porte sur la sécurité des accès. Une approche tout à fait pertinente. En effet, les cyberattaques sont la plupart du temps réalisées à partir de la compromission d’identifiants. Plusieurs études, dont le rapport Global Security 2017 de Trustwave, démontrent que les outils de prise en main à distance sont les plus utilisés par les cybercriminels pour s’infiltrer dans les réseaux. Autre chiffre édifiant, 81% des attaques sont réalisées grâce à des mots de passe faibles ou compromis (Rapport Data Breach 2017 de Verizon).

Concrètement, que recommande la Cnil pour sécuriser les accès ?
Pour garantir un accès réservé aux personnes autorisées, la Cnil insiste sur la nécessité préalable de reconnaître et d’authentifier les utilisateurs de manière forte. Elle précise que l’authentification d’un utilisateur est bien plus solide si l’entreprise a recours à une combinaison d’au moins deux facteurs d’identification. La Commission recommande également de définir un identifiant unique par utilisateur et d’interdire les comptes partagés entre plusieurs utilisateurs, pratique pourtant courante dans les organisations.

Quid des mots de passe ?
Les mots de passe doivent, par ailleurs, se conformer à des critères très particuliers (différent pour chaque application, format spécifique, verrouillage en cas de connexions infructueuses, changement régulier…) et être stockés de façon sécurisée. Pour éviter une gestion manuelle des mots de passe, certaines solutions permettent de les stocker, de les renouveler automatiquement et de les gérer dans un coffre-fort de mots de passe pour comptes privilégiés. Il est également possible de vérifier que ceux-ci sont conformes avec les politiques de gestion des mots de passe fixées par les organisations : ceci permet de limiter les risques d’erreur humaine et d’automatiser les opérations, les rendant moins fastidieuses et plus fiables.

Autre solution intéressante, l’instauration de comptes privilégiés, en quoi consiste ce principe et quels en sont les avantages ?
Cette gestion intelligente des identifiants doit aller de pair avec un contrôle plus exigeant au niveau des accès aux systèmes et des données. Certaines solutions donnent aux utilisateurs uniquement l’accès dont ils ont besoin, au travers du principe du « moindre privilège ». Leur accès est ainsi limité selon la tâche à effectuer et le temps requis pour cela. Différents profils peuvent ainsi être créés. Pour un contrôle optimal, les techniciens peuvent paramétrer des permissions de session granulaires et configurer des paramètres comme les plages horaires, les zones d’accès spécifiques, etc. Les accès peuvent être approuvés au cas par cas et prendre fin automatiquement, dès que le délai est écoulé.

Que pensez-vous de l’utilisation d’un VPN (réseau privé virtuel) pour protéger ses données ?
Pour une meilleure protection du réseau informatique, les entreprises doivent privilégier les solutions qui évitent l’utilisation d’un VPN. En effet, les VPN sont basés sur une approche « tout ou rien » qui ne permet pas de tracer, d’enregistrer ou de limiter les accès et les opérations. Les solutions avancées ont l’avantage d’offrir une architecture sécurisée qui bloque tous les chemins d’accès, point à point, aux systèmes non autorisés, sans connexion descendante. Cette procédure élimine ainsi la nécessité d’utiliser des VPN. Pour une confidentialité et une protection des données maximale, il est préférable que les données (en transit ou stockées) des sessions des comptes privilégiés soient chiffrées (ex : chiffrement en TLS 1.2). Certaines solutions permettent même de programmer des alertes en cas d’utilisation anormale ou d’activité suspecte, voire de superviser les sessions en temps réel pour un contrôle optimal.

Justement, comment se prémunir contre les intrusions ?
La Cnil préconise de sécuriser les postes de travail afin de prévenir les accès frauduleux, l’exécution de virus ou la prise de contrôle à distance. Cela est d’autant plus pertinent que la dernière étude Trustwave, citée en préambule, révèle que la majorité des attaques et compromissions sont réalisées par le biais d’outils de prise en main à distance non sécurisés. Les entreprises doivent donc recourir à des solutions sécurisées pour permettre l’accès aux postes de travail des utilisateurs lors de résolution de problèmes ou de mise à niveau des applications. Cela s’applique pour les équipes de support IT interne, ayant pour mission de dépanner les utilisateurs au sein de leur entreprise mais aussi pour les équipes d’assistance clientèle devant intervenir sur les postes fixes ou mobiles de leurs clients. Là encore, le fait de ne pas utiliser de VPN et de chiffrer les données permet de limiter la surface des attaques et de renforcer la sécurité.

Le règlement général sur la protection des données (RGPD) exige de dresser un rapport quotidien des accès, ce qui peut se révéler être un vrai casse-tête pour les entreprises. Quel est l’intérêt de cette obligation et comment y répondre ?

Un des points forts de ces nouvelles solutions, qui s’inscrivent dans le droit fil des recommandations de la Cnil, réside dans le fait que tous les accès peuvent être enregistrés automatiquement pour des analyses et audits ultérieurs, permettant ainsi à l’organisation de prouver sa conformité au RGPD et de fournir les attestations nécessaires. En effet, la Cnil recommande de journaliser les accès et de prévoir des procédures pour gérer les incidents, afin d’être en mesure de réagir en cas de violation de données (atteinte à la confidentialité, l’intégrité ou la disponibilité). Il est donc fortement recommandé d’enregistrer toutes les sessions d’accès et activités de chaque session. Ainsi, les administrateurs réseau sont-ils en mesure de savoir qui a accédé à quel système, pour y faire quoi et de prendre les mesures adéquates, en cas de besoin. Sécuriser ses accès dans le cadre du RGPD peut sembler complexe. Pourtant, la mise en place de certaines solutions sécurisées permet aux organisations de faciliter cette mise en conformité et de limiter les risques de failles, et donc de sanctions. Face à la complexité et à l’importance de l’enjeu, les entreprises ne doivent pas hésiter à se faire accompagner par des experts dans le domaine de la sécurité et de la protection des données.

Propos recueillis par Ségolène Kahn

Commentez

Participez à la discussion


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.