CIS Control 6 : Gestion du contrôle d'accès

Le Centre pour la sécurité Internet (CIS) publie des Critical Security Controls qui aident les organisations à améliorer la cybersécurité. Dans la version 8, le Contrôle 6 traite de la gestion du contrôle d'accès (dans les versions précédentes, ce sujet était couvert par une combinaison du Contrôle 4 et du Contrôle 14).

Le contrôle 6 offre les meilleures pratiques en matière de gestion des accès et décrit les lignes directrices de sécurité pour la gestion des privilèges des utilisateurs, en particulier l'utilisation contrôlée des privilèges administratifs. Les meilleures pratiques exigent d'attribuer des droits à chaque utilisateur conformément au principle of least privilege — chaque utilisateur ne devrait avoir que les droits minimaux nécessaires pour effectuer ses tâches assignées. Cela limite les dommages que le propriétaire du compte peut infliger, soit intentionnellement ou accidentellement, et réduit également la portée d'un attaquant qui prend le contrôle d'un compte.

Malheureusement, les organisations ont tendance à accorder aux comptes plus de privilèges qu'ils n'en ont besoin parce que c'est pratique — il est plus facile d'ajouter un compte au groupe des Administrateurs locaux sur un ordinateur, par exemple, que de déterminer les privilèges précis dont le compte a besoin et d'ajouter l'utilisateur aux groupes appropriés. De plus, elles échouent souvent à révoquer les privilèges dont les utilisateurs n'ont plus besoin lorsqu'ils changent de rôle au sein de l'organisation, souvent en raison d'un manque de communication et de procédures standard. En conséquence, les entreprises sont exposées inutilement à des risques de perte de données, d'arrêts de service et de manquements à la conformité.

To mitigate these risks, CIS Control 6 offers 8 guidelines for establishing strong access control management.

6.1 Établissez un processus d'octroi d'accès.

Avoir un processus défini pour accorder les droits d'accès aux utilisateurs lorsqu'ils rejoignent l'organisation et lorsque leurs rôles changent aide à appliquer et à maintenir le principe du moindre privilège. Idéalement, le processus devrait être aussi automatisé que possible, avec des ensembles standard de permissions pour différents actifs et appareils dans le réseau associés à différents rôles et même à différents niveaux au sein d'un rôle.

6.2 Établissez un processus de révocation d'accès.

Les organisations échouent souvent à révoquer les droits d'accès qui ne sont plus nécessaires, s'exposant ainsi à des attaques et à des exploitations. Par exemple, si le compte d'un employé licencié n'est pas désactivé ou supprimé rapidement, cette personne ou toute autre qui compromettrait les identifiants du compte pourrait exploiter ses privilèges.

La révocation d'accès est également souvent nécessaire lorsqu'un utilisateur change de rôle au sein de l'organisation. Cela s'applique non seulement en cas de rétrogradation, mais aussi pour les mouvements latéraux et les promotions. Par exemple, un utilisateur qui passe des ventes au marketing peut ne plus avoir de besoin légitime d'accéder aux données et applications utilisées par l'équipe de vente ; de même, une personne expérimentée qui passe à un rôle de gestion devra probablement voir certains de ses anciens droits révoqués et de nouveaux ajoutés.

6.3. Exiger l'authentification multifacteur pour les applications exposées à l'extérieur.

L'authentification multifacteur (MFA) est une meilleure pratique car elle rend les identifiants volés inutiles aux attaquants. Avec la MFA, les utilisateurs doivent fournir deux facteurs d'authentification ou plus, tels qu'une combinaison identifiant/mot de passe plus un code de sécurité envoyé à leur courriel. Sans le second facteur, un adversaire potentiel se verra refuser l'accès aux données, systèmes ou services demandés.

La recommandation 6.3 suggère d'exiger l'authentification multifacteur (MFA) pour toutes les applications logicielles exposées à l'extérieur (orientées Internet), telles que les outils utilisés par les clients, les partenaires commerciaux et d'autres contacts.

6.4 Exigez une authentification multifacteur pour l'accès réseau à distance.

Cette mesure de protection s'appuie sur la précédente, recommandant l'authentification multifacteur (MFA) chaque fois que les utilisateurs tentent de se connecter à distance. Cette pratique est particulièrement importante aujourd'hui, car de nombreuses organisations comptent de nombreux travailleurs à distance et hybrides.

6.5. Exiger une authentification multifacteur pour l'accès administratif.

Selon le Contrôle 6.5 du CIS, les comptes administrateurs d'une organisation nécessitent également la sécurité supplémentaire de l'authentification multifacteur (MFA), car ces comptes accordent un accès privilégié aux actifs informatiques, incluant souvent non seulement des données sensibles mais aussi la configuration de systèmes centraux tels que les serveurs et les bases de données.

6.6. Établissez et maintenez un inventaire des systèmes d'authentification et d'autorisation.

À un niveau supérieur, les organisations doivent suivre tous leurs systèmes d'authentification et d'autorisation. L'inventaire doit être révisé et mis à jour au moins annuellement. En plus d'être précieux pour la sécurité, cet inventaire peut également aider l'organisation à atteindre la conformité réglementaire.

6.7. Centralisez le contrôle d'accès.

Le contrôle d'accès centralisé permet aux utilisateurs d'accéder à différentes applications, systèmes, sites web et outils en utilisant les mêmes identifiants. L'authentification unique (SSO) est un exemple de contrôle d'accès centralisé.

Plusieurs fournisseurs proposent des produits de contrôle d'accès centralisé et de Identity Management conçus pour aider les entreprises à simplifier l'accès des utilisateurs, améliorer la sécurité et rationaliser les opérations informatiques d'entreprise.

6.8. Définissez et maintenez le contrôle d'accès basé sur les rôles.

Essayer d'attribuer à chaque utilisateur les droits d'accès appropriés individuellement par l'assignation directe des permissions, et de maintenir ces droits à jour au fil du temps, n'est tout simplement pas une approche évolutive du contrôle d'accès. Au lieu de cela, le Contrôle 6.8 recommande de mettre en œuvre un contrôle d'accès basé sur les rôles (RBAC) — en attribuant des privilèges d'accès à des rôles définis dans l'organisation, puis en faisant de chaque utilisateur un membre des rôles appropriés. Les rôles et leurs droits associés doivent être examinés et mis à jour au moins annuellement.

Résumé

Contrôler les droits d'accès est essentiel pour sécuriser les données sensibles, les applications et autres actifs informatiques. Les processus clés de contrôle d'accès comprennent des flux de travail qui permettent aux utilisateurs de faire des demandes d'accès et aux propriétaires de données d'approuver ou de refuser ces demandes, ainsi que des processus qui permettent aux propriétaires de données de réviser et de modifier régulièrement les droits d'accès à leurs données.

Les comptes privilégiés nécessitent une attention particulière car ils peuvent causer de graves dommages s'ils sont mal utilisés par leurs propriétaires ou compromis par des attaquants. Netwrix PAM solution simplifie le contrôle de l'accès privilégié en accordant dynamiquement aux administrateurs exactement les permissions dont ils ont besoin pour accomplir une tâche spécifique et en supprimant automatiquement ces droits immédiatement après. Ainsi, les organisations peuvent éliminer pratiquement tous leurs comptes privilégiés permanents, réduisant considérablement leur surface d'attaque et évitant les frais généraux et la responsabilité des solutions centrées sur les coffres traditionnels. De plus, la Netwrix PAM solution est rentable, intuitive et facile à déployer.