Cloud : les politiques IAM trop permissives.

Cloud : les politiques IAM trop permissives.

Cloud : les politiques IAM trop permissives selon une étude de Palo Alto Networks ; en informatique, pour garantir la sécurité d’un système, les personnes et les entités disposant d’une identité numérique doivent disposer du niveau d’accès adéquat pour pouvoir accéder aux ressources (outils de travail, base de données…) dont elles ont besoin pour travailler.

L’Identity and access management (IAM) ou gestion des identités et des accès en français, elle, fait référence au processus d'examen et de fourniture de ces autorisations d'accès.

Si l’IAM ne peut pas à elle seule garantir la sécurité de données des environnements Cloud, elle contribue cependant à la renforcer considérablement, notamment en empêchant les mauvaises personnes, les attaquants et les programmes indésirables d’accéder aux données et aux outils de l’entreprise.

Une intéressante étude de Palo Alto Networks, sur le sujet

Selon les professionnels de la sécurité informatique, des politiques IAM appropriées permettent de réduire considérablement les incidents de cyber sécurité. Seulement, les utilisateurs de Cloud ne semblent guère se soucier d’établir des politiques qui garantiraient la sécurité de leur environnement Cloud. C’est ce qu’affirme en tout cas une étude menée par l'équipe Unit 42 de Palo Alto Networks.

Dans tous les environnements applicatifs modernes, la gestion des identités et des accès, ou IAM, est un composant fondamental. L'IAM, en fournissant un moyen systématique d’attribuer des rôles et des autorisations groupes et aux utilisateurs, il joue un rôle central dans la sécurisation des ressources, l’atténuation des vulnérabilités de sécurité et (lorsqu’il est correctement implémenté) l’application du principe du moindre privilège.

Cloud : les politiques IAM trop permissives. Qu’est-ce que cela signifie vraiment ? Découvrez également dans cet article tout ce qu’il y a à savoir sur l’IAM en général.

Qu’est-ce que l’IAM (gestion des identités et des accès) ?

L’IAM peut aussi être définie comme une infrastructure de processus métier permettant de gérer les identités électroniques ou numériques. Elle comprend les règles organisationnelles s'appliquant à la gestion des identités numériques, qu’on appelle aussi politiques IAM, ainsi que des outils permettant la prise en charge de cette gestion.

Les entreprises ont besoin de l’IAM ou plus précisément des solutions IAM pour deux raisons principales : la sécurité et la productivité.

La sécurité :

Sachant que le système de mot de passe à lui seul ne suffit plus pour sécuriser un compte ou bien un système, heureusement l’utilisation des services IAM aident à réduire grandement les points défaillance en matière de sécurité et de contrôle d’accès, en plus de faciliter la détection des erreurs lorsqu'elles sont commises ou bien se produisent.

La productivité :

L’IAM s’assure que vos employés bénéficient des accès et des privilèges qui lui appartiennent. Une fois qu’ils sont connectés à leur compte, ils n’auront plus à saisir à chaque fois un mot de passe pour chaque outil dont-il a besoin. Ils accèdent directement à une suite d'outils parfaite pour son travail, ce qui peut représenter un gain de temps considérable.

Les politiques IAM trop permissives, selon Unit42 de Palo Alto Networks

Le 12 avril dernier, le groupe de recherche Unit 42 de Palo Alto Networks annonce avoir découvert que 99 % des utilisateurs du cloud de ceux interrogés avaient des identités cloud trop permissives.

Par « trop permissives », il faut par-là comprendre que les utilisateurs, les rôles, les services et les ressources cloud se voient accorder des autorisations un peu trop excessives.

L’étude s’est portée sur plus de 680 000 identités et 18 000 comptes cloud de 200 organisations et avait pour but de comprendre la configuration des comptes cloud ainsi que leurs modèles d'utilisation.

D’autres découvertes tout aussi étonnantes faites par Unit42 de Palo Alto Networks

Outre le fait que 99 % des utilisateurs du cloud avaient des politiques IAM trop permissives, l’équipe Unit42 de Palo Alto Networks a également fait d’autres découvertes tout aussi surprenantes. Selon leur rapport :

  • 44 % des organisations autoriseraient la réutilisation des mots de passe IAM, alors que cela facilite grandement le risque que des pirates aient accès au réseau entier de l’entreprise.
  • 53 % des comptes cloud autorisent l'utilisation d'un mot de passe faible.
  • 65 % des incidents de sécurité dans le cloud connus étaient dus à des erreurs de configuration, donc pouvaient être évités facilement.

D’autres faits tout aussi surprenants, les politiques intégrées des fournisseurs de services cloud (CSP) recevraient 2,5 fois plus d'autorisations que les politiques gérées par le client. Malheureusement, la plupart des utilisateurs du cloud optent pour les politiques intégrées, car même si rien ne les empêche de réduire les autorisations accordées par défaut, souvent ils ne le font pas.

Un moyen efficace d’améliorer les politiques IAM des clients est donc de demander directement aux fournisseurs de services cloud (CSP) d’intégrer des politiques qui de base ou bien par défaut ne proposeraient pas trop d’autorisations qui réduiraient le niveau de sécurité des comptes des utilisateurs.

Réaction des acteurs du Cloud Computing face aux découvertes faites par Unit42

Le rapport d’Unit42 de Palo Alto Networks publié le 12 avril dernier a suscité de nombreux commentaires de la part des acteurs du Cloud computing, notamment des dirigeants d’entreprise de sécurité informatique.

Alex Ondrick, directeur des opérations de sécurité chez BreachQuest, une entreprise de service de sécurité informatique basée en Géorgie, a réagi au rapport en déclarant que celui-ci correspond également à ce que son équipe a découvert. Ondrick a continué en affirmant que « les contrôles de sécurité mal configurés et les déploiements IAM incomplets sont souvent difficiles à identifier, et donc difficiles à sécuriser ».

Cela signifierait donc que la plupart des utilisateurs Cloud ne choisissent pas délibérément d’utiliser des politiques IAM trop permissives. La plupart du temps, ils l’ignorent, et c'est très dommage, car la sécurité de vos applications en dépend.

Dans sa déclaration, Ondrick n’écarte pas le fait que l’IAM peut être difficile à sécuriser pour les organisations qui ignorent encore comment procéder. Seulement, a-t-il encouragé, cela ne devrait pas empêcher les organisations de « commencer le voyage de sécurisation de l'IAM ». « Les organisations qui creusent dans leurs politiques et leur configuration IAM sont mieux positionnées qu'une organisation qui n’a pas planifié », a-t-il conclu.

Avishai Avivi, CISO chez SafeBreach, une société de cybersécurité basée à Sunnyvale, en Californie et à Tel Aviv, en Israël, fait aussi partie de ceux qui ont réagi. Selon lui, il n’est pas surprenant que les utilisateurs du cloud aient tendance à fournir des rôles trop permissifs.

En revanche, ils trouvent très alarmant que 99 % des utilisateurs interrogés gèrent ainsi les identités et accès sur leur environnement Cloud.

Rappel sur le fonctionnement de la gestion des identités et des accès (IAM)?

Les solutions IAM aident les entreprises à s’assurer que seuls des utilisateurs disposant des autorisations appropriées peuvent accéder à des ressources du système.

Pour cela, elles effectuent de nombreuses tâches :

  • Elles identifient et confirment que l'utilisateur, le logiciel ou le matériel est bien celui qu'il prétend être en authentifiant ses informations d'identification par rapport à une base de données. Les solutions IAM n'accordent aux utilisateurs que le niveau d'accès approprié et sont des outils permettant de fractionner des tranches d'accès étroites.
  • Elles autorisent et bloquent l’accès aux ressources en fonction des autorisations que bénéficient l’utilisateur. Plus le système IAM utilisé est sophistiqué, et plus l’autorisation peut être précise. Par exemple, il peut être possible de définir que tel utilisateur ne peut se connecter à un compte précis que s’il est à tel endroit ou bien à telle heure de la journée.
  • Elles servent de seul répertoire pour créer, modifier et supprimer des utilisateurs.
  • Elles provisionnent et déprovisionnent les utilisateurs. Le provisionnement, à titre d’information, est le fait pour des solutions IAM d’accorder une spécification des outils et des niveaux d'accès.
  • Elles peuvent empêcher la transmission de certaines données, surtout les plus sensibles.
  • Enfin, les systèmes IAM génèrent aussi des rapports, qui fournissent aux administrateurs des informations essentielles permettant l’évaluation des risques de sécurité.

Auteur Antonio Rodriguez, Directeur et Editeur de Clever Technologies

 

 

 

Identifiez-vous pour afficher ou ajouter un commentaire

Plus d’articles de Antonio Rodriguez-Mota MEMOGuard

Autres pages consultées

Explorer les sujets