Gestion et contrôle des privilèges administratifs (ITSAP.10.094)

JUILLET 2020

SÉRIE SENSIBILISATION

ITSAP.10.094

 

Un utilisateur ayant des privilèges administratifs a plus de contrôle (pour modifier, personnaliser ou supprimer des données) sur un système informatique ou un réseau qu’un utilisateur régulier. Souvent, les organismes accordent ces privilèges élevés aux comptes utilisateur généraux. Cette pratique offre aux auteurs de menace externes (de même qu’aux menaces internes et non intentionnelles) un autre moyen de compromettre les réseaux de l’organisme. Quand votre organisme gère et contrôle mieux ses privilèges administratifs, il peut réduire son exposition aux cybermenaces communes.

 



Image de la salle informatique

CIBLES DE GRANDE VALEUR

Si les auteurs de menace obtiennent accès au compte administratif, ils peuvent utiliser les privilèges élevés pour nuire à l’environnement opérationnel de votre organisme, attaquer votre réseau et accéder à de l’information sensible. Les auteurs de menace peuvent aussi découvrir quels mécanismes de récupération ou de détection sont en place sur vos systèmes, ce qui les aide à les contourner et vous empêche de prévenir d’autres attaques.

TECHNIQUES UTILISÉES POUR ACCÉDER AUX PRIVILÈGES ADMINISTRATIFS

Les auteurs de cybermenace utilisent différentes techniques pour accéder aux réseaux et aux systèmes. Les compromissions découlent souvent des activités normales d’un utilisateur, comme ouvrir des courriels ou visiter des sites Web. Les auteurs de menace peuvent aussi tirer parti de vulnérabilités connues pour élever leurs privilèges ou utiliser des justificatifs d’identité volés pour accéder aux comptes administratifs.

 

  • Maliciel et hameçonnage : Un auteur de menace accède aux comptes administratifs d’un domaine ou aux comptes administratifs locaux après qu’un utilisateur (ayant les privilèges administratifs nécessaires ou étant connecté en tant qu’administrateur) ouvre une pièce jointe dans un courriel malveillant ou visite un site Web malveillant.
  • Attaque par force brute : Un auteur de menace utilise des outils automatisés pour tenter de deviner aléatoirement les combinaisons de mots de passe courantes.
  • Élévation des privileges : Un auteur de cybermenace exploite cette vulnérabilité pour obtenir accès au système d’information au moyen de privilèges élevés.
  • Attaque « Pass-the-Hash » : Un auteur de menace expose les justificatifs d’authentification hachés de l’utilisateur (habituellement un mot de passe) sur un poste de travail compromis. Ces justificatifs sont distribués sur le réseau et permet à l’auteur de menace de se déplacer latéralement dans le réseau. Le hachage des justificatifs consiste à modifier les données lisibles qu’ils contiennent en caractères désordonnées au moyen d’un algorithme.

deux écrans d'ordinateur

 


Environnement de bureau

POINTS À CONSIDÉRER POUR SÉCURISER LES COMPTES ADMINISTRATIFS DE VOTRE ORGANISME

Votre organisme doit suivre les mesures suivantes lorsqu’il assigne des comptes administratifs ou des privilèges d’accès aux utilisateurs :

  • respecter le principe du droit d’accès minimal (c.-à-d. accorder uniquement les accès nécessaires afin que l’utilisateur puisse accomplir ses tâches);
  • créer des comptes non administratifs distincts pour les fonctions non administratives, comme la vérification des courriels;
  • utiliser des méthodes d’authentification robustes :
    • utiliser une authentification multifacteur pour tous les comptes administratifs;
    • utiliser un mot de passe unique pour chaque compte privilégié;
    • modifier les mots de passe par défaut pour les applications et les dispositifs;
    • authentifier les utilisateurs avant qu’ils obtiennent accès aux applications ou aux dispositifs;
  • veiller à ce que des comptes uniques et identifiables soient remis à des utilisateurs individuels;
  • consigner et surveiller les activités effectuées sur les comptes privilégiés;
  • offrir de la formation sur les comportements attendus aux utilisateurs de comptes privilégiés;
  • supprimer ou retirer les privilèges d’accès spéciaux quand un utilisateur n’en a plus besoin.

RAPPEL

Les auteurs de menace ne sont pas seulement intéressés à accéder aux comptes administratifs, ils veulent obtenir accès au plus grand nombre de comptes possibles, dont les comptes utilisateur réguliers.

Le fait que votre organisme gère et contrôle les comptes et les privilèges administratifs crée un environnement opérationnel à la fois stable, fiable et plus facile à soutenir. Une bonne gestion des comptes et un contrôle approprié des accès font en sorte que peu d’utilisateurs peuvent apporter des changements importants à l’environnement opérationnel.

Autrement dit, votre organisme dispose d’une meilleure protection contre les auteurs de menace externes qui tentent d’obtenir le contrôle des comptes privilégiés et d’exploiter les réseaux, ainsi que les menaces internes et non intentionnelles, lorsque les utilisateurs ont uniquement accès aux systèmes et à l’information nécessaires pour accomplir leurs tâches.

PUBLICATIONS ADDITIONNELLES

Le Centre canadien pour la cybersécurité offre des avis additionnels concernant la gestion et le contrôle des privilèges administratifs. Ces publications comprennent, notamment :

 


Vous avez des questions ou vous avez besoin d’aide? Vous voulez en savoir plus sur les questions de cybersécurité?
Consultez le site Web du Centre canadien pour la cybersécurité au cyber.gc.ca

Dernière mise à jour: