Une entreprise sur trois (31 %) s’appuie sur des processus obsolètes, notamment des méthodes manuelles et des fichiers de type Excel pour gérer ses comptes à privilèges.

Etude – One Identity, spécialiste de la gestion des identités et des accès (IAM) présente les résultats d’une enquête mondiale, réalisée auprès de plus de 1000 professionnels de la sécurité informatique. Celle-ci met en évidence une incapacité fréquente pour les entreprises à mettre en place les bonnes pratiques élémentaires en matière d’IAM et de PAM (gestion des accès à privilèges) les exposant à des failles importantes et autres risques de sécurité.

L’étude de One Identity intitulée « Évaluation de la gestion des identités et des accès en 2018 » a été réalisée par Dimensional Research. Le cabinet a interrogé plus de 1 000 professionnels de la sécurité informatique (basés aux US, au UK, en France, Allemagne, au Canada, en Australie, à Singapour et à Hong Kong) travaillant dans des entreprises de taille moyenne à grande, sur leurs méthodes, problématiques, principales inquiétudes et déploiements technologiques liés à l’IAM et au PAM.

L’étude a ainsi révélé des informations surprenantes telles que le fait qu’1/3 des entreprises emploie des méthodes manuelles ou des fichiers de calcul pour gérer les informations d’identification de leurs comptes à privilèges !

Autres constats inquiétants :

1 professionnel sur 20 a reconnu n’avoir aucun moyen de savoir si un utilisateur a bien été dépossédé de ses droits d’accès lorsqu’il quitte l’entreprise ou change de poste.

La réinitialisation d’un seul mot de passe prend plus de 30 minutes dans près d’un environnement informatique sur dix.

Julien Cassignol, Ingénieur Avant-Vente chez One Identity explique :

« Ces conclusions, entre autres, dressent un portrait inquiétant de l’approche adoptée par de nombreuses entreprises vis-à-vis des programmes d’IAM et de PAM : la protection inadéquate des systèmes et données sensibles, les obstacles à la productivité des utilisateurs ou encore les menaces potentielles liées aux accès mal gérés, sont autant de problèmes potentiellement graves pour l’entreprise ».

L’étude révèle également que :

Les pratiques relatives aux comptes à privilèges manquent de rigueur — et les équipes de sécurité informatique en sont conscientes.

Outre les 31 % d’entreprises qui s’appuient sur des méthodes manuelles pour gérer les comptes administrateur, il y a plus étonnant encore : en effet, 1 entreprise sur 25 ne gère pas du tout les comptes de ce type. Deux tiers d’entre elles (66 %) permettent à leurs partenaires, sous-traitants ou fournisseurs d’accéder à un compte à privilèges. De plus, 75 % avouent que les professionnels de la sécurité partagent des mots de passe privilégiés avec leurs homologues au moins de temps à autre. Pour 1 entreprise sur 4, c’est même souvent, voire toujours, le cas.

Les pratiques inefficaces de gestion des comptes administrateur et le partage imprudent de leur mot de passe mettent en évidence des lacunes considérables dans les programmes de PAM à tous les niveaux. Pire, les professionnels de la sécurité informatique semblent avoir conscience de ces défauts. Ainsi, seulement 13 % des participants à l’étude ont pleinement confiance dans leurs programmes de PAM, et plus d’1 sur 5 (22 %) n’a aucune confiance dans ceux-ci.

Les entreprises ne surveillent pas assez les tâches et responsabilités élémentaires en matière d’accès, ce qui influe potentiellement sur la productivité des utilisateurs.

Selon l’étude, 68 % des mots de passe des utilisateurs nécessitent au moins cinq minutes pour être réinitialisés, et dans près d’1 cas sur 10 (9 %), l’opération prend plus de 30 minutes, ce qui représente un frein considérable à la productivité du personnel. S’agissant du provisionnement des nouveaux utilisateurs, 44 % des entreprises ont besoin de plusieurs jours, voire semaines, pour leur fournir un accès à l’ensemble des applications et systèmes nécessaires.

Pire encore, pour près d’1/3 (32 %) des services informatiques, le délai est comparable pour supprimer les droits d’accès à ces applications et systèmes, et 20 % n’ont aucun moyen de vérifier la suppression complète de ces droits. Si la majorité des participants jugent excellents ou corrects les différents aspects de leur programme de contrôle des accès, seulement 15 % sont totalement convaincus d’être à l’abri d’un piratage dû à un problème dans ce domaine.

Principale inquiétude pour les professionnels: le partage de données sensibles par des collaborateurs mécontents. Or, la plupart avouent qu’elles sont faciles à dérober.

Concernant la principale inquiétude en matière d’IAM, la réponse la plus fréquente (27 %) est le partage de données sensibles par un collaborateur mécontent, suivi d’une interview télévisée du DSI à la suite d’une faille de données provoquée par un problème d’IAM (22 %), et de la publication de noms d’utilisateur et mots de passe sur le Dark web (18 %).

De manière ironique, près de 8 professionnels sur 10 (77 %) admettent qu’il serait aisé pour eux de dérober des informations sensibles s’ils quittaient l’entreprise, et 12 % se déclarent même prêts à passer à l’acte s’ils le jugeaient mérité.

Julien Cassignol estime :

« Notre étude met en évidence plusieurs comportements inquiétants, comme le partage courant de mots de passe privilégiés en interne et en externe, l’incapacité à supprimer immédiatement les droits des utilisateurs et des délais de réinitialisation d’un mot de passe pouvant dépasser 30 minutes. Ces pratiques font peser un risque considérable et bien réel sur l’entreprise. Dès lors, le manque généralisé de confiance dans l’efficacité des programmes d’IAM et de PAM n’a rien d’étonnant. En réalité, non seulement les entreprises incapables d’appliquer les bonnes pratiques élémentaires en matière d’IAM et de PAM s’exposent à des risques de sécurité considérables, mais en plus, elles favorisent les baisses de productivité. On ne peut qu’espérer que cette étude serve de signal d’alarme pour les entreprises. Celles-ci doivent faire en sorte de garantir, de gérer et de protéger des accès adéquats dans tous les services, pour tous les types d’utilisateurs – internes et externes, privilégiés ou non. »

Comment améliorer ses pratiques en matière d’IAM et de PAM ?

Le vol d’informations d’identification d’utilisateurs est l’un des moyens les plus simples pour les individus mal intentionnés d’infiltrer le réseau d’une entreprise. À ce titre, les comptes à privilèges (d’administrateur) constituent une cible de choix, car ils offrent un accès quasi illimité à l’infrastructure informatique de l’entreprise, notamment ses systèmes stratégiques et données sensibles. Plus le nombre de comptes à la disposition d’individus malveillants est élevé, plus les dommages potentiels sont importants : failles et fuites de données, non-respect des obligations de conformité, sanctions financières, dégradation de l’image de marque, etc.

Des pratiques efficaces en matière d’IAM et de PAM sont essentielles à la stratégie de sécurité des entreprises. Pourtant, comme le montre l’étude d’évaluation de la gestion des identités et des accès en 2018, les professionnels éprouvent toujours des difficultés dans ce domaine.