L’emplacement physique des utilisateurs est moins important pour la conduite de nos activités. Une étude réalisée en 2019 a montré que 62 % des personnes interrogées travaillaient à domicile au moins une partie du temps. Dans cette même étude, 82 % des personnes ayant télétravaillé au moins une partie du temps ont déclaré qu’elles prévoyaient de maintenir ou d’augmenter la part du télétravail dans leur emploi du temps. En outre, plus de la moitié (51 %) des personnes qui n’avaient jamais télétravaillé avaient envie de commencer à le faire.
N’oublions pas que ces chiffres ne tiennent pas compte des nombreux fournisseurs distants qui travaillent comme des employés en réalisant des tâches essentielles pour l’entreprise. Ces utilisateurs ont souvent besoin d’accéder aux systèmes critiques de la même manière qu’un employé de l’entreprise. Bien sûr, cette plus grande flexibilité offerte aux collaborateurs augmente les risques de sécurité. Pour fournir un accès, les entreprises font souvent appel à des méthodes peu sûres et inefficaces, qui reposent en général sur des VPN pour octroyer un accès sécurisé.
Toutefois, les privilèges des travailleurs distants ne sont pas tous égaux. Certains peuvent simplement avoir besoin d’accéder à la messagerie et à quelques applications professionnelles, tandis que d’autres peuvent nécessiter l’accès à des applications critiques telles que les applications de gestion de la paie et des ressources humaines, ou encore à des données commerciales et marketing. Les fournisseurs tiers de services informatiques responsables de l’assistance ont besoin d’un niveau d’accès large, identique à celui des fournisseurs informatiques internes.
Aujourd’hui, nous allons examiner de plus près les cinq principaux types de travailleurs à distance, qui ont souvent besoin de privilèges élevés sur les systèmes. Nous verrons comment la gestion des accès à privilèges (PAM) avec CyberArk Alero peut aider les entreprises à fournir un accès à la fois sécurisé et simple aux systèmes critiques gérés par CyberArk.
1. Employés à distance du service informatique ou de la sécurité
On compte parmi ces utilisateurs les administrateurs de domaine, les administrateurs réseau et d’autres personnes qui accèdent généralement aux systèmes internes critiques sur site, mais peuvent être amenés à le faire à distance. Lorsque les employés du service informatique ou de sécurité travaillent à l’extérieur, cela pose des problèmes pour la gestion quotidienne des administrateurs de sécurité.
Il est donc essentiel d’identifier précisément les niveaux d’accès requis par ces employés et de mettre en œuvre le principe du moindre privilège afin de s’assurer qu’ils n’accèdent qu’à ce dont ils ont besoin. Les solutions traditionnelles comme les VPN ne sont pas en mesure fournir le niveau d’accès granulaire requis pour chaque application. L’attribution de ce type d’accès granulaire est vitale, car elle permet d’éviter les situations dangereuses, comme lorsqu’un administrateur Windows dispose d’un accès aux comptes racine.
L’intégration des outils de sécurité avec le service d’annuaire pour fournir un accès automatisé et spécifique doit être mise en place à l’avance. Ainsi, en cas d’augmentation imprévue du télétravail, il ne subsiste aucune faille dans les fonctions informatiques ou de sécurité, et le travail à domicile peut s’effectuer en toute sécurité.
2. Fournisseurs tiers de matériel et de logiciels Les fournisseurs
tiers de matériel et de logiciels, y compris les prestataires de services informatiques et d’assistance technique sous contrat, fournissent souvent des services et une maintenance à distance qui requièrent des privilèges élevés. Les fournisseurs de ce type ont généralement besoin d’un accès de niveau administrateur pour effectuer des tâches sur plusieurs serveurs ou bases de données Windows ou Linux. Ils sont également appelés à apporter des correctifs, des mises à jour système et plus encore.
En somme, ces intervenants agissent en tant qu’administrateurs de domaine. Par conséquent, leur accès peut faire des ravages sur l’environnement s’il n’est pas correctement surveillé et provisionné. Toutefois, l’identification de ces utilisateurs et de leurs niveaux individuels d’accès à distance doit être réalisée au cas par cas par des administrateurs, ce qui peut prendre beaucoup de temps. Il est important de s’assurer que tous ces utilisateurs sont identifiés et disposent d’un niveau d’accès correct.
3. Fournisseurs de la chaîne d’approvisionnement
Lorsque l’accompagnement de la production et de la livraison de produits n’est pas le cœur d’activité d’une entreprise, elle fait souvent appel à des fournisseurs spécialisés dans sa chaîne d’approvisionnement. Ces utilisateurs distants ont souvent accès au réseau afin de surveiller les stocks dans les entreprises de vente au détail ou de fabrication. Ils peuvent également avoir accès à des données sensibles liées à la production prévisionnelle, au contrôle qualité et à d’autres systèmes critiques qui peuvent être liés aux systèmes de contrôle industriel (ICS) et aux technologies opérationnelles (OT), ou encore aux processus de la chaîne d’approvisionnement sur site.
On ne pense pas souvent à ces fournisseurs dans un premier temps, parce qu’il ne s’agit pas d’administrateurs à proprement parler. Pourtant, les fournisseurs de la chaîne d’approvisionnement disposent d’un accès qui peut être exploité par des attaquants ou créer un problème grave en cas de mauvaise utilisation interne.
4. Sociétés de services Les sociétés de services responsables d’activités dans des domaines comme le droit, les relations publiques ou la paie peuvent avoir besoin d’accéder à des applications commerciales spécifiques pour être efficaces.
Il est important d’identifier ces utilisateurs et d’appliquer le principe du moindre privilège pour s’assurer qu’ils n’ont pas accès à des éléments situés hors de leur champ d’action, et qu’ils ne conservent pas leur accès plus longtemps que nécessaire. Les entreprises de services juridiques n’ont pas vocation à avoir accès aux informations de paie, et cela peut augmenter le risque.
Les applications critiques pour l’entreprise telles que la gestion de la relation client (CRM), la planification des ressources de l’entreprise (ERP), les consoles Cloud, etc. sont importantes pour la continuité des activités et les opérations, mais les données contenues dans ces applications peuvent être très dangereuses. L’identification des personnes qui ont accès à ces applications est très importante. Il est vital de minimiser la capacité des attaquants à se déplacer latéralement d’une application métier à l’autre afin d’éviter les fuites de données majeures et de poursuivre l’activité habituelle.
5. Consultants externes
Les consultants en gestion et en informatique ont parfois besoin d’un accès à privilèges pour travailler sur les projets dont ils sont responsables. Toutefois, ils ne doivent disposer de cet accès que pendant la période pour laquelle ils ont été engagés. Ces fournisseurs sont temporaires par nature et n’ont souvent besoin d’un accès que pour quelques jours, semaines ou mois pour faire leur travail. Toutefois, dans cet intervalle, les consultants externes reçoivent souvent un large accès à certains secteurs de l’entreprise.
L’identification au plus vite de ces consultants et du type d’accès dont ils ont besoin (à quoi et pendant combien de temps) contribue à réduire les risques et à protéger l’entreprise. En outre, l’accès des consultants externes doit être étroitement surveillé et sécurisé lorsqu’il est actif et il doit être automatiquement supprimé dès qu’ils ont fini leur mission.
Imaginez la situation suivante. Un consultant est engagé pour trois semaines. Il reçoit un mauvais feedback et se sent lésé. Si son accès n’est pas déprovisionné automatiquement, ce consultant peut conserver des privilèges élevés après la fin de sa mission. Il peut alors les utiliser pour causer un préjudice irréparable à l’entreprise par vengeance. Cette situation peut sembler improbable, mais il ne s’agit là que d’un exemple du préjudice qu’il est possible de subir à cause d’un accès à privilèges s’il n’est pas régulièrement surveillé et mis à jour.
De plus en plus d’entreprises s’appuient sur des utilisateurs distants dans le cadre de leurs activités quotidiennes, mais il est important de bien comprendre les différents types d’utilisateurs qui se connectent aux systèmes depuis l’extérieur. Surtout, il est vital de bien gérer, surveiller et sécuriser ces accès.
Cette tâche peut sembler insurmontable, mais CyberArk Alero est un produit SaaS qui aide les organisations à fournir et à provisionner des accès sécurisés pour les utilisateurs distants accédant aux systèmes critiques gérés par CyberArk. Il peut être facilement déployé pour n’importe quel nombre d’utilisateurs distants sans utiliser de VPN, d’agents, ni de mots de passe.
