Article invité par IS Decisions

La compromission d’identifiants est essentielle pour éviter la détection de violation de réseau. Mais pour un administrateur de sécurité, il peut être fastidieux d’essayer d’identifier une activité suspecte lorsque l’adversaire dispose d’informations d’identification valides et autorisées.

Les identifiants sont à double tranchant. Ils représentent d’un côté une base qui permet aux employés d’accéder aux ressources nécessaires pour effectuer leur travail. Mais d’un autre côté, ils deviennent un moyen potentiel par lequel un initié malveillant ou un acteur de menace externe obtient ce même accès à des fins malintentionnées.

Les identifiants deviennent donc une réelle menace lorsqu’ils sont compromis et utilisés à mauvais escient.

Comment les identifiants deviennent-ils compromis? Quels sont les risques pour l’organisation ?

violation de données et conséquences

Des utilisateurs négligents

La compromission d’identifiants comporte deux parties. La première concerne la négligence des utilisateurs au sein de votre organisation. Les noms d’utilisateur et les mots de passe sont des informations sensibles, beaucoup d’utilisateurs l’oublient. 49% des employés partagent leurs identifiants avec leurs collègues, et 52% pensent que cela n’encourt aucun risque pour leur employeur. Dans cette étude, les utilisateurs concernés ne sont pas des utilisateurs de bas niveau n’ayant que peu d’accès aux informations sensibles; nous parlons d’utilisateurs travaillant dans les départements légaux, ressources humaines, informatique, finances, et autres.

Cette négligence devient encore pire lorsqu’on considère que ces ensembles d’identifiants partagés sont susceptibles d’accorder bien plus d’accès que strictement nécessaire. Dans une étude, 71 % des utilisateurs finaux indiquent avoir accès à des données de l’entreprise qu’ils ne devraient pas pouvoir consulter, rendant la plupart de vos utilisateurs potentiellement sur-privilégiés.

Les utilisateurs ont donc manifestement trop d’accès et partagent ces accès avec d’autres personnes, ce qui peut conduire au désastre.

Des actions criminelles (initiés et acteurs de menaces externes)

Une mauvaise utilisation des privilèges est la deuxième méthode d’attaque la plus répandue dans les incidents de violation de données réussis. Ce qui nous amène à la deuxième partie de l’équation des identifiants compromis: les actions criminelles des initiés et des acteurs de menaces externes.

Les menaces internes (correspondant à environ un tiers des violations de données) sont amplement facilitées lorsqu’il est possible pour un utilisateur de se servir de ses propres identifiants ou des identifiants d’un collègue pour accéder à des données sensibles et importantes à des fins malintentionnées.

De même, les pirates externes se servent d’identifiants volés pour s’infiltrer dans une organisation, se déplacer latéralement au sein du réseau, et trouver des informations sensibles à exfiltrer. Les acteurs externes utilisent des logiciels malveillants conçus pour enregistrer les frappes sur un clavier. De cette manière, ils compromettent les identifiants rendant ainsi l’accès à vos données sensibles plus facile.

De quelle manière pouvez-vous identifier le moment auquel se produit une compromission ?

Surveiller vos connexions

Il existe une façon très simple pour repérer une compromission : la surveillance de vos connexions.

En auditant vos connexions, vous pouvez repérer:

  • Des partages de mot de passe (indiqués par un même utilisateur se connectant à plusieurs machines ou trop de connexions simultanées sur le même compte)
  • Des menaces potentielles provenant d’initiés («pourquoi Sally se connecte-t-elle à 1 heure du matin un jeudi ?»)
  • Des attaques externes (heures de connexion étranges, tentatives de connexion multiples sur les serveurs, etc.).

Contrôler vos identifiants

Certains de ces détails peuvent être obtenus grâce à l’audit natif de Windows. Cependant, l’obtention d’une vue d’ensemble des connexions sera compliquée sachant que les évènements d’audit de connexion sont stockés par systèmes. Il est possible de faire appel à des solutions tierces qui automatisent l’audit centralisé des connexions. Celles-ci fournissent également des notifications supplémentaires concernant les évènements suspects spécifiques, ainsi que des contrôles (basés sur des règles) des connexions (ex : restrictions système, connexions simultanées, etc.).

La visibilité est la clé. En surveillant vos connexions, vous aurez une meilleure idée des risques auquel l’organisation est confrontée quotidiennement. La première étape dans la détection d’une compromission est bel et bien de comprendre si vous avez ou non un problème. Néanmoins, vous devez également mettre en place des contrôles pour limiter le comportement à risque si vous voulez que votre organisation commence à améliorer sa position en matière de sécurité et à limiter les risques de compromission.

UserLock offre une protection puissante pour toutes les connexions au domaine Windows Active Directory, même lorsque les informations d’identification sont compromises. Réduisez le risque de violation de la sécurité en gérant et en sécurisant l’accès pour chaque utilisateur, sans entraver les employés ni frustrer les départements informatiques.

Lecture additionnelle si votre compte a été piraté : Récupérer un compte piraté

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu