Qu'est-ce que le principe du moindre privilège ?
Le Principe du Moindre Privilège (PMP ou POLP – Principle Of Least Privilege) stipule qu’un compte d’utilisateurdonné doit avoir les droits d’accès exacts nécessaires à l’exécution des responsabilités de son rôle, ni plus, ni moins. Le Principe du Moindre Privilège est un concept fondamental dans la gestion des identités et des accès.
Le moindre privilège repose sur l’idée que les droits d’accès donnés sont en équilibre entre trop peu et trop. Un employé ne peut pas terminer son travail sans les exigences d’accès minimales aux applications et répertoires lui permettant de réaliser sa tâche, mais lui donner des accès superflus crée des risques de conformité et de sécurité.
La notion de moindre privilège est essentielle pour empêcher la collecte continue de droits d’accès non contrôlés sur le cycle de vie d’un compte d’utilisateur. (Le « cycle de vie du compte utilisateur » définit les étapes de gestion collective de chaque compte utilisateur au fil du temps – création, révision / mise à jour et désactivation.)
Cette accumulation progressive est communément appelée ‘’glissement de privilège’’ ou ‘’augmentation de privilèges’’. Ces vulnérabilités de sécurité des informations coïncident le plus souvent avec des promotions, des changements de rôle, des réaffectations ou des réorganisations complètes. Les risques d’accumulation d’accès s’étendent cependant au-delà des employés avec les comptes de service. (Les comptes de service sont des comptes d’utilisateur spéciaux attribués à des applications ou des services qui fonctionnent en arrière-plan de votre environnement informatique.)
Les droits d’accès s’accumulent au fil du temps
Les comptes d’utilisateurs nécessitent des droits d’accès et des autorisations – basés sur les appartenances aux groupes attribués – lors de leur création. Certains comptes d’utilisateurs conservent le même accès tout au long de leur cycle de vie, bien que l’utilisateur voit des changements intervenir dans son rôle, ses fonctions ou ses responsabilités. Sans examen régulier, presque tous les comptes d’utilisateurs risquent d’accumuler des privilèges excessifs.
Les scénarios qui nécessitent des modifications d’accès pour un compte d’utilisateur incluent :
Projets ou affectations ad hoc
Lorsqu’un employé reçoit un projet ou une affectation ad hoc, il peut avoir besoin de droits d’accès supplémentaires. Les fichiers et données pertinents du projet peuvent être stockés dans un partage ou un dossier spécifique. Certaines applications ou licences (par exemple Adobe) peuvent être requises pour le projet.
Promotions, changements de rôles ou réorganisations.
Ces changements de statut plus permanents entraînent presque toujours la nécessité d’un nouvel accès. Même les employés qui se déplacent uniquement géographiquement ont probablement besoin d’un accès révisé aux bâtiments physiques et à l’infrastructure. Si les utilisateurs se déplaçant hiérarchiquement (ou latéralement) continuent de travailler avec les mêmes ressources qu’auparavant, ils peuvent avoir besoin de droits élevés. Par exemple, l’accès «en lecture» d’un utilisateur standard peut nécessiter une mise à jour de l’accès « en lecture / écriture » d’un gestionnaire..
Suppression des accès – La deuxième étape et la plus souvent oubliée
L’affectation de droits d’accès reste un processus en deux parties : l’approvisionnement et la suppression. Lorsqu’un employé se déplace dans une organisation et voit ses droits d’accès mis à jour, ceux qui ne sont plus nécessaires doivent être supprimés. L’accès accordé à un projet doit être revu et supprimé après son achèvement s’il n’est plus nécessaire pour l’utilisateur. Cependant, trop souvent la deuxième partie reste sans réponse.
De nombreuses organisations ignorent ces étapes d’examen et de rapprochement en raison des efforts laborieux et chronophages requis pour les audits et ajustements manuels. En outre, l’octroi d’autorisations excessives simplement en raison d’une facilité à court terme reste une pratique courante mais extrêmement risquée avec le provisionnement manuel. Par exemple, une personne peut sur-provisionner les droits d’administrateur sur un utilisateur normal pour éviter un sous-provisionnement qui nécessiterait par la suite plusieurs interventions manuelles pour lui donner des accès lors de besoins spécifiques.
Donner les « clés du royaume » n’est jamais une solution intelligente. Sans examen, votre organisation peut avoir un nombre incalculable d’utilisateurs naviguant dans votre environnement avec des privilèges avancés. Les comptes de service rendent cette pratique de sur-attribution de privilèges élevés particulièrement problématique. Combiner un accès trop important à la nature historique des comptes de service crée une situation dangereuse en cas de violation. Malheureusement, il n’y a pas de « définir et oublier » pour faciliter les choses en matière de gestion des identités.
Conséquences d’un glissement de privilèges non contrôlé
La conformité à la réglementation, les failles de sécurité et la pollution du réseau sont les trois principales conséquences d’un glissement de privilège et nécessitent des efforts de révision et de réconciliation.
Conformité réglementaire / séparation des tâches (Segregation of Duties – SoDD)
Lorsque les autorisations d’accès s’accumulent, les employés courent un plus grand risque de violations de la conformité liées au processus de séparation des tâches. Cette dernière applique les freins et contrepoids opérationnels qui empêchent la non-conformité, la fraude et les erreurs en interrompant un processus entre les employés ou entre les unités commerciales. Le plus souvent, cela conduit à la multiplication d’exécution de processus et de leur vérification – impliquant souvent plusieurs étapes d’autorisation.
Plus un employé reste longtemps dans une organisation, plus les promotions et les responsabilités de rôle augmentent. Si son rôle s’étend au fil du temps, la multiplication des processus et de leur vérification peut entrainer une violation de la séparation des tâches par défaut. Avec les privilèges de compte accumulés, de nombreuses violations de séparation des tâches deviennent involontaires, mais tout aussi risquées pour l’organisation.
Risques de Sécurité
Unchecked access accumulation exacerbates many security breaches. A breach compromises everything a user holds authorized access to. An intruder’s reach may be greater than anticipated or untraceable for some time if old access rights lack updates.
Pollution du réseau / coûts inutiles
Lorsque les utilisateurs accumulent des accès, ils transforment progressivement l’environnement informatique en une immense toile d’araignée emmêlée. Si vous avez déjà passé du temps à démêler des câbles, vous savez à quel point le démêlage devient vite difficile. Si votre organisation est soumise à des audits tiers et à des examens de conformité, l’effort pour démêler manuellement votre environnement nécessite de s’asseoir avec les parties prenantes et les gestionnaires pour réviser minutieusement votre environnement en entier.
Implémentation du moindre privilège (Least Privilege)
L’implémentation du moindre privilège nécessite l’audit de votre environnement pour mettre à jour les droits d’accès et l’utilisation restreinte des comptes privilégiés. Les audits internes sont cruciaux pour un contrôle d’accès approprié. Les solutions automatisées appliquent les droits d’accès configurés et fournissent des rapports de Business Intelligence pour réduire considérablement l’effort des révisions manuelles. À l’aide de ces rapports, les gestionnaires et le service informatique peuvent collectivement garder les accès sûrs et conformes.
La limitation de l’accès devrait également être imposée avec l’activité quotidienne. Chaque fois que les administrateurs doivent utiliser leurs autorisations élevées, ils doivent se connecter à des comptes privilégiés pour ce faire. Une fois la tâche terminée, ils doivent se déconnecter. Dans tous les autres cas, tout utilisateur devrait utiliser ses comptes les plus restreints. La gestion des accès privilégiés réduit le risque de négligence humaine, notamment en ce qui concerne les données sensibles.
Retour au Glossaire