De plus en plus de professionnels de l’informatique sont confrontés à un problème croissant qui se cache au sein de leur propre organisation. Avec les récents cas de violation de données très médiatisés qui ont fait la une des journaux, le risque posé par les menaces internes est devenu un sujet de préoccupation majeure pour les équipes informatiques, ces incidents ayant augmenté de 44 % au cours des deux dernières années selon le Rapport mondial Ponemon sur le coût des menaces internes 2022.
Alors que les menaces internes sont perçues par le grand public alors que des employés mécontents sabotent activement des systèmes ou volent des données pour les revendre à des concurrents, le problème est bien plus complexe que cela. En raison de l’augmentation du coût de la vie dans le monde, davantage d’employés seront sensibles aux demandes d’acteurs malveillants à la recherche de complices potentiels pour le déploiement de ransomwares. De plus, l’utilisation abusive de l’accès d’initiés ne se limite pas seulement au déclenchement de ransomwares, car les utilisateurs peuvent se sentir incités à vendre également leurs informations d’identification dans le but de gagner de l’argent facilement. Ces risques soulèvent d’énormes préoccupations pour toute organisation, car les privilèges des utilisateurs peuvent être facilement exploités et augmentés pour prendre en charge des ressources informatiques critiques. En fait, nos propres évaluations de sécurité de Quest ont révélé qu’une partie importante des comptes d’utilisateurs-un pourcentage impressionnant de 70 à 100 %-ont des droits d’accès qui peuvent être facilement augmentés par les pirates pour accéder aux actifs de niveau zéro, y compris le domaine Active Directory..
Malheureusement, la menace ne s’arrête pas là, car les pirates sont toujours à l’affût de toute opportunité de faire des ravages, y compris en exploitant les erreurs d’inattention commises par les employés. Les pirates peuvent utiliser ces mésaventures pour prendre le contrôle des informations d’identification dans votre environnement, se transformant d’attaquants extérieurs en menaces internes.
Nous savons qu’il peut être difficile d’avoir une visibilité sur les comptes d’utilisateurs de votre organisation. Avec autant d’entreprises ayant des centaines, voire des milliers de comptes d’utilisateurs avec différents niveaux de privilèges, par où commencer ?
Vous pouvez commencer par jeter un œil à ces trois bonnes pratiques qui vous aideront atténuez les menaces internes et améliorez la posture de cybersécurité de votre entreprise.
Comprendre les privilèges de contrôle de votre organisation
La première étape pour atténuer la menace interne consiste à obtenir une image claire de qui a accès à quoi. Pour la plupart des entreprises, cela signifie comprendre vos utilisateurs et groupes Active Directory et les autorisations qui leur sont attribuées. De nombreuses organisations se concentrent sur des groupes tels que les administrateurs de domaine, les administrateurs d’entreprise et les opérateurs de compte. L’appartenance à l’un de ces groupes puissants fournit d’énormes privilèges sur un environnement, il est donc essentiel de les garder sous contrôle strict.
Malheureusement, les pirates savent souvent que ces groupes sont hautement surveillés, ils recherchent donc d’autres façons d’élever leurs privilèges. Par exemple, les acteurs malveillants peuvent essayer d’obtenir un accès administrateur local sur le serveur de base de données avec les données qu’ils recherchent ou compromettre un compte qui a accès aux données qu’ils souhaitent, qu’il s’agisse d’un compte administrateur ou d’un compte utilisateur. De plus, comme indiqué précédemment, cela ne nécessite pas nécessairement des informations d’identification privilégiées ou une intention malveillante pour causer de graves problèmes ; un utilisateur pressé ou un administrateur négligent peut simplement faire une erreur qui compromettra vos données.
Avoir le bon contrôle sur vos GPO
Les objets de stratégie de groupe (GPO) sont des ensembles de paramètres de stratégie que vous pouvez utiliser pour contrôler les exigences de complexité des mots de passe, empêcher les utilisateurs d’accéder à des parties du système, renommer le compte administrateur ou réinitialiser son mot de passe, déployer des valeurs de registre personnalisées, et bien plus encore. Il est difficile d’exagérer la puissance de la stratégie de groupe dans n’importe quel environnement Microsoft. Une seule modification d’un objet de stratégie de groupe par un acteur malveillant peut rapidement empêcher les utilisateurs d’accéder à des applications critiques pour l’entreprise, voire provoquer l’exécution d’un rançongiciel ou d’autres logiciels malveillants au démarrage du système, ce qui peut entraîner une perte de données paralysante ou une interruption du système.
Configuration des privilèges d’administrateur adéquats
Votre dernière priorité clé doit être de vous concentrer sur la réduction de la capacité des pirates à prendre le contrôle des comptes des utilisateurs dans un premier temps. Dans la plupart des cas, les postes de travail des utilisateurs sont ciblés en premier. Une fois que les attaquants ont pris pied sur un poste de travail utilisateur, ils recherchent des informations d’identification qu’ils peuvent utiliser pour se déplacer latéralement vers d’autres systèmes et élever leurs privilèges de manière malveillante. C’est déjà assez grave s’ils collectent les informations d’identification des utilisateurs, bien sûr, mais c’est bien pire s’ils parviennent à collecter des informations d’identification d’administrateur qui accordent des privilèges plus puissants. Par conséquent, il est essentiel de contrôler étroitement où les informations d’identification d’administrateur sont utilisées.
Il n’y a pas de formule magique pour éliminer complètement la menace interne. Cependant, il est obligatoire de garantir le bon niveau de privilèges à vos utilisateurs et administrateurs si vous souhaitez minimiser tout accès indésirable à vos systèmes. En mettant en œuvre ces trois pratiques simples, votre organisation sera bien mieux placée pour réagir correctement et se protéger contre le risque constant de menaces internes.
Crédit d’image : LeoWolfert/Shutterstock
Bryan Patton est directeur Consultant en systèmes stratégiques, Quest.