Vous avez probablement entendu un employé se plaindre de vouloir des droits d’administrateur sur un système particulier. Ils disent qu’ils « veulent » l’accès… Mais en ont-ils vraiment « besoin » pour faire leur travail? Le DPI a-t-il besoin de droits d’accès administrateur complets sur tous les serveurs de production?
Dave, le développeur d’applications, dit qu’il doit faire une solution rapide et à faible risque en production. Avec des délais serrés et un client contrarié, les règles contournent parfois.
La réalité est que tous ces scénarios créent des risques de sécurité inutiles, rendant les entreprises vulnérables. Minimiser l’accès et les privilèges des administrateurs est l’une des meilleures stratégies pour atténuer les menaces à la sécurité. Les utilisateurs sont le maillon faible de la sécurité, y compris tout le monde, des cadres aux TI. Ils sont humains comme tout le monde et ne sont pas à l’abri des logiciels malveillants.
Les logiciels malveillants ne sont pas le seul type de faille de sécurité
Dans une étude réalisée par l’Association of Certified Fraud Examiners (ACFE), une organisation type perd cinq pour cent de ses revenus annuels à cause de la fraude. Il s’agit d’employés ou d’utilisateurs qui ont des droits d’administrateur, qui font preuve d’un comportement malveillant pour escroquer l’entreprise de fonds.
Il est important de savoir qui a accès à quoi et pourquoi pour être en mesure de surveiller et de contrôler les activités malveillantes. Si une violation se produit par un logiciel malveillant ou un employé mécontent, cela permet au service informatique de réagir rapidement et de bloquer l’accès.
Donner accès à ce qui est nécessaire
L’objectif est de limiter le risque d’atteinte à la sécurité. Le principe du moindre privilège devrait s’appliquer à tous les membres de l’organisation. Les employés n’ont accès qu’aux systèmes ou aux zones dont ils ont besoin pour faire leur travail. Lors de l’attribution des privilèges, le rôle d’un employé dans l’entreprise détermine ses droits d’accès.
L’avantage est qu’il aide à minimiser la propagation des logiciels malveillants ou à permettre à un attaquant de s’enfoncer plus profondément dans le réseau d’une entreprise. Si le compte d’un employé est compromis, l’attaquant est limité à ce à quoi l’employé a accès.
Les logiciels malveillants ou les menaces internes ne sont pas la seule raison de mettre en œuvre les droits de moindre privilège. La limitation de l’accès peut prévenir des actions telles que des erreurs de configuration dans les systèmes par des employés ayant des privilèges excessifs.
Il y a des employés qui auront besoin de droits d’administrateur pour faire leur travail. Ces employés se voient accorder des droits d’utilisateur privilégiés et ont accès au réseau, aux données de l’entreprise ou aux informations sur les produits. Ces utilisateurs sont peut-être des administrateurs de PD, des auditeurs informatiques ou des développeurs d’applications. L’accès administrateur devrait être limité au travail qui doit être fait.
Le maintien du principe du moindre privilège est un effort continu. Une fois les privilèges attribués, ils doivent être examinés et révisés régulièrement pour être tenus à jour. Les employés changent de rôle ou quittent l’entreprise.
En conclusion
Intégrer le principe du moindre privilège dans la politique de sécurité. Le fait de conserver les privilèges des employés par rapport à ce qui est nécessaire pour qu’ils remplissent leurs rôles et responsabilités réduit la vulnérabilité d’une entreprise à l’exploitation. Il peut limiter les dommages si un logiciel malveillant pénètre dans vos systèmes. La mise en œuvre de ce principe permet de combler les lacunes et d’améliorer la stratégie de sécurité d’une entreprise.
