La gestion des identités et de l’authentification vous permet de protéger vos données en matière de confidentialité, d’intégrité et de disponibilité.
Gérer des identités c’est maintenir une liste d’identités, l’authentification consiste à valider une identité. Vous attribuerez ensuite des droits d’accès à une identité, qui sera vérifiée par son authentification lors de la demande d’accès.
Pour protéger des accès physiques, par exemple pour l’accès à votre domicile, il va vous falloir bien souvent une clef physique, soit « quelque chose que vous possédez« .
Dans la vie numérique, vous utilisez probablement des codes et mots de passe, associés à un nom d’utilisateur, soit « quelque chose que vous savez« .
Il existe un 3ème moyen de vérifier une identité, avec « quelque chose que vous êtes » : la reconnaissance faciale ou votre empreinte digitale sur votre smartphone par exemple.
Pour renforcer l’authentification, on utilisera plusieurs de ces facteurs : quelque chose que vous savez, quelque chose que vous possédez, quelque chose que vous êtes. Par exemple, pour un paiement par carte bancaire, on vous demandera de fournir la CB (quelque chose que vous avez) et votre code (quelque chose que vous savez) : c’est ce que l’on appelle 2FA (Two-Factor Authentication) ou MFA (Multi-Factor Authentication).
Quelles sont les principales menaces ?
- Le vol de noms d’utilisateurs/mots de passe qui se retrouvent sur le darknet à la suite de fuites de données
- Les attaques par force brute (tentatives de deviner le mot de passe par un robot qui utilise des dictionnaires)
Quels sont les principaux risques à la suite d’une compromission ?
- Usurpation / vol d’identité
- Accès non autorisé à un réseau, à des informations
- Vol de données personnelles, parfois sensibles
- Exposition au phishing et à l’ingénierie sociale
Comment s’en protéger ?
- Identifiez les sources d’authentification, les comptes génériques, les comptes à privilège
- Mettez en place la politique de gestion des comptes
- Vérifiez régulièrement les écarts
- Améliorez votre politique
Identifiez les sources
Pour bien définir votre politique de gestion des comptes, vous devez inventorier les sources d’authentification : il peut s’agir d’une forêt Active Directory, d’un Azure AD, mais aussi d’une application, d’un pare-feu, d’un NAS, des postes de travail, smartphones etc…
Pour chacune de ces sources, vous aurez 3 types de comptes : les comptes à privilèges, les comptes génériques et les autres : les utilisateurs.
Les comptes à privilège, ce sont les comptes d’administration, ceux qui accordent des droits pleins et souvent des droits de paramétrage, leur traitement sera probablement différent des comptes utilisateurs.
Les comptes génériques, il sont à proscrire dans la mesure du possible mais parfois, on peut avoir une boite aux lettres partagée « contact » par exemple qui n’est pas associée à une personne physique.
Les utilisateurs sont les comptes directement associés à un utilisateur.
Pour chacune de ces sources d’authentification et chaque type de compte, vous devez définir votre politique de gestion de l’authentification. Par exemple pour Active Directory :
- Utilisateurs : mot de passe 12 caractères minimum, comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux, changement tous les 6 mois, revue des comptes tous les 3 mois.
- Génériques : mot de passe 14 caractères minimum, comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux, changement tous les 12 mois, revue des comptes tous les 3 mois.
- Privilèges : mot de passe 16 caractères minimum, comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux, changement tous les 12 mois, revue des comptes tous les 3 mois.
Dans le cas des authentifications depuis Internet : Office 365, VPN SSL… mettez en place une méthode d’authentification multi facteurs.
Mettez en place la politique de gestion des comptes
Mettez en place vos stratégies dans les différentes sources d’authentification, prenez soin de bien gérer le changement, et la communication avec vos utilisateurs.
Vous pouvez profiter de ce projet pour les sensibiliser aux bonnes pratiques et aux risques liés par exemple :
- à la réutilisation des mots de passe sur plusieurs comptes
- à l’utilisation de même codes dans le domaine pro et perso
- au partage de son mot de passe avec un collègue
- à l’utilisation de mots de passes trop faibles…
Pensez aussi à donner des conseils à vos utilisateurs et admins, voire des outils pour bien stocker leurs mot de passe :
- mise à disposition d’un gestionnaire de mot de passe
- ne pas noter les mots de passe sur un post-it sous le clavier…
- changez systématiquement les mots de passe par défaut
- ne pas travailler avec un compte administrateur, créez des comptes dédiés
Et ces conseils, voire obligations, peuvent venir compléter votre charte informatique, guide de bonnes pratiques…
Plus de conseils sur cybermalveillance.gouv.fr
Vérifiez régulièrement les écarts
Planifiez vos revues des comptes. Cette revue va consister à période régulière et définie à lister les comptes et vérifier qu’ils ont toujours lieu d’être. Par exemple :
- Vérifier avec les ressources humaines que les comptes utilisateurs de l’active directory sont bien toujours des salariés actifs de l’organisation.
- Vérifier la date de dernier changement de mot de passe des comptes génériques et à privilège
Astuce : pour un serveur AD, il est possible via par exemple un script Powershell, de désactiver automatiquement des comptes qui n’ont pas eu d’activité depuis x jours : tutoriel It-Connect.
Améliorez votre politique
En cas d’écarts constatés, en fonction de la récurrence de ceux-ci, améliorez votre politique.
Par exemple, si à chaque revue, des comptes de personnes qui ne sont plus salariés sont systématiquement présents, il est peut être utile de mieux gérer les départs en créant ou en mettant à jour une procédure de gestion des départ en lien avec le service concerné, il est sera peut-être possible également d’automatiser une partie du process pour être plus efficace, de centraliser les sources d’authentification, ou encore, vous pouvez sonder vos utilisateurs afin d’évaluer leurs pratiques et améliorer la sensibilisation sur le sujet.
Je n’ai pas besoin de faire tout ca, mon organisation est trop petite !
Dans mon expérience, j’ai pu travailler avec des organisations de toutes tailles. J’ai en mémoire une agence immobilière composée de 2 associés, dont l’un est sorti de l’entreprise à un moment. La personne qui est restée seule en tête n’a pas pris soin de désactiver le compte email de l’associé parti, qui en a profité pour prendre connaissance pendant plusieurs mois de toutes les affaires en cours et d’en récupérer à son compte. Je ne connais pas l’issue finale du conflit, mais cela a été dommageable pour l’agence immobilière.
Cela prend trop de temps !
Certes, c’est un effort à fournir, mais surtout à la mise en œuvre. Une fois le process rodé, les éventuels prestataires habitués à extraire la liste des comptes, les automatisations en place, la revue sera relativement rapide à réaliser. Cela est d’autant plus vrai plus tôt vous commencez, en étudiant ce point dans le choix des applications et en privilégiant lorsque possible de centraliser les authentifications sur une seule source. Enfin, en cas d’utilisation malveillante de comptes utilisateurs, le coût risque d’être bien supérieur, comme vous pourrez le constater dans exemples ci-dessous.
Quelques exemples d’attaques réussies liées à l’authentification
- CH Brest : Accès initial via le compte d’un professionnel de santé
- Alptis : « intrusion sur des comptes d’adhérents utilisant un même login et un même mot de passe pour accéder à divers services en ligne »
- Voyageurs du monde : « Ils sont entrés en utilisant le mot de passe de l’un de nos collaborateurs«
Références et Attributs
Références :
ANSSI-GUIDE-TPEPME-Question5
ANSSI-GUIDE-HYGIENEV2-Chapitre-III
ISO27002-2022-A5.16 A5.17 A8.5
NIST-v1.1-PR-AC-x
CIS_Controls-v8-05
CCB-CyFun-PR.AC-x
Attributs :
Type de mesure : #Préventive
Propriétés : #Confidentialité #Intégrité #Disponibilité
Concepts : #Protéger
Capacités : #Gestion_des_identités_et_des_accès
Domaines : #Protection
Restez Connecté – Abonnez vous à Notre Newsletter
Une newsletter dédiée aux directions de petites et moyennes organisations, qui ont à traiter de près ou de loin les aspects du numérique et de sa sécurité. Directions générales, administratives, informatiques, techniques…
Un email tous les mois, pas plus, avec les actualités essentielles de l’environnement Cyber, sur l’aspect, légal, stratégique, et un guide de bonnes pratiques sur un élément en particulier pour sécuriser votre organisation. Quelques astuces et outils vous seront aussi partagés.