Quis custodiet ipsos custodes (qui surveille les surveillants) ? La question ne date pas d’hier, mais elle revient en force aujourd’hui dans l’univers de la sécurité IT. Celui qui contrôle les droits d’accès de ses congénères détient-il un pouvoir exagéré sur le Système d’Information ?

Une étude commandée par l’éditeur CA et menée par l’analyste britannique Quocirca révèle que oui, le pouvoir détenu par les administrateurs sur les systèmes qu’ils gèrent est souvent trop élevé et, surtout, très mal encadré. Entre les comptes root partagés (pas de traçabilité, pas de non-répudiation) et les accès administrateurs complets (pas de confidentialité : gérer la mécanique doit-il donner droit à consulter le contenu ?), il n’y en définitive bien souvent aucun vrai contrôle sur les actions des administrateurs… sinon la confiance que place en eux leur employeur.

Le morceau le plus intéressant de l’étude concerne les entreprises qui se disent certifiées ISO 27001. Bien que la norme prévoit explicitement que l’activité des comptes privilégiés soit contrôlée, 36% de ces entreprises reconnaissent pourtant ne pas être capables d’assurer un tel contrôle (et 41% parmi celles qui disent avoir implémenté ISO 27001 sans certification).

Erreur de l’étude, ou carence des méthodes d’audit ? « Ce chiffre est issu d’une déduction entre deux questions éloignées. Il y a une certaine marge d’erreur, et cela peut aussi dénoter des réponses erronées de la part d’entreprises qui se disent certifiées alors qu’elles ne le sont pas », tempère Bob Tarzey, directeur de Quocirca.

Quoi qu’il en soit, ce chiffre indique que la certification n’est clairement pas un rempart contre la prolifération des comptes administrateurs mal encadrés. Et faute d’une vraie politique en la matière, ceux-ci prolifèrent sans vergogne : si l’accès aux systèmes d’exploitation semble un peu mieux encadré, c’est l’accès aux applications et au réseau qui souffrirait le plus de ces comptes partagés (l’accès au web, aux bases de données et aux équipements de sécurité se situerait entre ces deux extrêmes). Dans l’ensemble, environ 50% des entreprises interrogées reconnaissent partager des comptes privilégiés entre plusieurs administrateurs.

Et la tendance n’est pas à l’amélioration si l’on en croit les priorités affichées par les entreprises : la gestion des droits privilégiés arrive bonne dernière après la défense contre les malware, la sécurité des accès internet, la protection de l’email, etc…

Un tel laxisme se retrouve bien entendu sur le front des solutions : les entreprises ne seraient que 24% a avoir mis en place des procédures de contrôle (manuelles : le fameux mot de passe changé par le responsable après une opération d’administration) et 26% a avoir déployé une solution automatisée (citons dans ce domaine Cyber Ark, un vrai pure player, et CA qui a commandé cette étude à l’occasion de la sortie son CA Access Control 12.5, dont l’éditeur indique qu’il prend désormais en charge les utilisateurs privilégiés).

« Mais attention, ce sont des solutions difficiles à vendre, car la IT ne veut généralement pas d’outils précisément IT destinés à contrôler ses actions », observe Bob Tarzey.

Quocirca note également que la situation est plus critique chez les entreprises de taille moyenne (les petites contrôlent plus facilement les actions de leur unique administrateur-à-tout-faire, et les grandes ont les moyens de mettre en oeuvre des solutions adaptées). Et c’est chez l’industrie que la situation est la plus alarmante (et inversement, le secteur telecom / media serait le meilleur élève en la matière).

Pour Tim Dunn, vice president Security Management chez CA, la situation actuelle serait due à deux facteurs : « un manque de budget et un manque de sensibilisation du management et des métiers au risque posé par ces comptes privilégiés ».

Ainsi seuls les risques perçus par les métiers bénéficient-ils des moyens nécessaire à leur couverture ? Si c’est le cas, seule la IT pourrait faire évoluer la situation, mais il n’est bien entendu pas franchement dans son intérêt de limiter ainsi sa liberté.

Après avoir été le fâcheux de service auprès des métiers, le RSSI va-t-il devoir se mettre également la DSI a dos ?

Recommandations :

Les utilisateurs privilégiés ne devraient pas cumuler les privilèges (réseau, base de données, systèmes, applications…)

La gestion des utilisateurs privilégiés ne devrait pas être confiée à la DSI

Chaque compte privilégié doit être lié à un individu, et non partagé

Les comptes privilégiés par défaut doivent être identifiés et désactivés

Les journaux ne devraient pas pouvoir être édités par la IT

Les droits devraient être limités, dans leur portées et dans le temps

Plus d’informations :

Télécharger le rapport (PDF, en anglais)