SystanciaBlogCybersécuritéGestion des accès fournisseurs : pourquoi faut-il déployer un Vendor Privileged Access Management (VPAM) ?

Gestion des accès fournisseurs : pourquoi faut-il déployer un Vendor Privileged Access Management (VPAM) ?

Quel responsable informatique n’a jamais eu à ouvrir un accès à ses systèmes critiques pour l’un de ses fournisseurs ?

Vous êtes régulièrement confrontés à des connexions de fournisseurs ou de prestataires chargés de réaliser des opérations de déploiement, de maintenance ou de correction d’une partie de votre système d’information. Celui-ci peut être dans votre data center ou au niveau des services cloud que vous utilisez peut-être déjà pour vos applicatifs métiers ou bureautiques. Ces accès peuvent concerner plusieurs dizaines de fournisseurs différents, voire des centaines dans certains cas.

Plusieurs dizaines de personnes détiennent donc des comptes à privilèges, dans des conditions que vous ne maîtrisez pas, ce qui est critique pour la sécurité de votre système d’information (SI). D’ailleurs, vous n’avez pas la certitude que la personne ayant accès à ces comptes à privilèges soit toujours en poste chez votre fournisseur.

Ces comptes peuvent être un véritable talon d’Achille pour la sécurité de votre SI, comme le montre la dernière étude CESIN – Opinionway de janvier 2022 qui met en évidence qu’une attaque sur cinq passe par la chaine d’approvisionnement.

Ces attaques sur la chaine d’approvisionnement (IT supplychain) sont des attaques exploitant les relations que vous pouvez avoir avec vos fournisseurs, leurs produits, où les services que vous exploitez. Autrement dit, il est sûrement plus simple d’attaquer un de vos fournisseurs mal équipé que directement votre réseau protégé par vos firewalls, vos xDRs ou sondes de détection éventuelles. La multiplication des outils de sécurité (10 en moyenne) a poussé les pirates cyber vers d’autres vecteurs comme ces attaques indirectes ou par rebond. En 2021 par exemple, la compromission de la Société Internationale de Télécommunication aéronautique – SITA, a créé un vecteur d’attaque sur plusieurs sociétés aéronautiques travaillant avec elle, dont certaines de la Star Alliance.

Ceci combiné au fait que dans 100% des attaques analysées par le cabinet Wavestone en 2021, les attaquants étaient en possession d’un compte du domaine, soit avec le plus haut niveau de privilège.

Pour vous protéger de ces scénarios d’attaque, vous pouvez imposer à vos fournisseurs un certain niveau de sécurité de leurs propres systèmes, mais vous pouvez aussi tout simplement ne pas leur confier la garde de vos comptes à privilèges.

Et c’est dans ce contexte qu’une solution de « Vendor Privileged Access Management – VPAM » peut vous aider.

Qu’est-ce qu’une solution Vendor Privileged Access Management (VPAM) ?

Le VPAM est la combinaison des bénéfices du PAM – Privileged Access Management – pour la gestion des comptes à privilèges et du ZTNA – Zero Trust Network Access – pour l’accès sécurisé aux ressources exploitées.

Le PAM va ainsi permettre :

  • La surveillance des sessions à privilèges

Il est possible de savoir à tout moment précisément qui s’est connecté à quoi, et même de connaître précisément les actions réalisées via un enregistrement vidéo des sessions à privilèges, et ainsi revenir rapidement sur l’origine d’une modification suspecte sur un serveur ou une application.

  • La sécurisation des comptes à privilèges

Les comptes à privilèges sont automatiquement injectés à l’ouverture de la session du fournisseur, ce dernier n’est donc pas en possession des identifiants associés. Il n’y a donc pas de risque que ceux-ci soient dérobés sur le réseau de votre fournisseur.

  • Le contrôle des habilitations

Les droits d’accès aux ressources à privilèges et les conditions d’accès sont explicitement donnés aux différents fournisseurs. Il est donc aisé d’identifier qui a les droits de se connecter à quoi, et de s’assurer qu’un fournisseur ne puisse pas se connecter au milieu de la nuit si ce n’est pas nécessaire.

  • L’accès « Juste à temps »

Les accès aux ressources sont activés uniquement le temps nécessaire, et peuvent être protégés derrière un mécanisme de workflow d’approbation. Vous gardez ainsi un contrôle précis des approbations d’accès, sans nécessiter de longues manipulations sur vos équipements

Et le ZTNA permet de son côté :

  • La sécurisation des accès réseaux

Le fournisseur n’accède qu’à la ressource dont il a besoin sans avoir un accès global au réseau, et uniquement pendant le temps de son action d’administration dans le respect du principe de moindre privilège (Zero Trust). Cette connexion ne s’établit qu’au moment de l’accès à la ressource et elle ne peut pas servir pour outrepasser les accès initialement accordés. La surface d’attaque potentielle est donc drastiquement réduite.

  • Le MFA

L’identité du fournisseur souhaitant se connecter étant au cœur des politiques d’accès, il est essentiel d’obtenir une confiance élevée dans celle-ci. Il est donc nécessaire de renforcer l’authentification par une application mobile ou une clé USB FIDO2.

Le VPAM est donc la meilleure approche pour limiter les risques et éviter que l’accès de votre fournisseur habituel ne se transforme en un incident de cybersécurité mettant en péril votre entreprise.

Vendor Privileged Access Management( VPAM), une solution simple d’utilisation

En pratique, le VPAM est très simple à utiliser, et pourrait même faciliter la vie de votre fournisseur.

Celui-ci se connecte simplement sur une interface web avec les identifiants que vous lui avez fournis. Ces identifiants n’ont aucune autre existence sur votre SI, ils ne peuvent servir qu’à se connecter sur le VPAM. L’authentification sera ensuite renforcée avec un code aléatoire généré par une application mobile, une clé USB physique (à la norme FIDO2), ou encore un code temporaire envoyé par e-mail.

Une fois cette étape passée, le fournisseur accède à la liste des serveurs et des applications mis à sa disposition. Cette liste se construit dynamiquement en fonction de qui il est et de ses conditions de connexion. Peut-être n’aura-t-il pas les accès aux serveurs les plus sensibles s’il n’est pas dans ses locaux habituels, ou s’il se connecte à des horaires inhabituels ?

Et enfin l’accès se fait en un clic sur le bon serveur dans la liste. La session s’ouvre directement dans son navigateur, sans rien avoir à installer sur son poste. Les comptes d’administration sont automatiquement injectés à l’ouverture de la session sans qu’il puisse en prendre connaissance. Et votre fournisseur peut commencer son intervention.

Il n’a rien eu à installer, n’a eu aucune connaissance des comptes de connexion et n’a pas pu se connecter sur des ressources auxquelles il n’était pas censé se connecter.

Vous avez de votre côté une alerte de cette connexion, une traçabilité complète des actions réalisées, et la sérénité de savoir que cette action ne mettra pas en péril la sécurité de votre SI.

Quels sont les bénéfices d’une solution Vendor Privileged Access Management ?

Le VPAM n’est pas une « taxe » cybersécurité, il apporte de vrais gains opérationnels pour la vie quotidienne du service informatique :

  • Accélérez et fluidifiez les connexions de vos fournisseurs

Vous fournissez des accès rapidement et en toute sécurité, sans avoir à créer des comptes sur l’AD, vérifier les droits d’accès, changer régulièrement les mots de passe.

Vos fournisseurs obtiennent une forme d’autonomie dans leurs connexions sans avoir besoin de solliciter lourdement les équipes du service informatique.

  • Contrôlez et maitrisez les actions réalisées

Vous identifiez les actions récurrentes réalisées par vos fournisseurs pour pouvoir les internaliser si possible.

Vous contrôlez également la cohérence de la facturation des interventions réalisées.

  • Protégez votre système d’information

Vous évitez qu’une action malveillante ou maladroite sur une application ou un serveur critique ne paralyse votre entreprise en bloquant les actions inattendues en temps réel, ou en retrouvant les modifications réalisées rapidement à posteriori.

  • Simplifiez le maintien en condition opérationnel

Vous remplacez plusieurs de vos outils actuellement utilisés pour l’accès de vos fournisseurs, par une unique solution complètement intégrée.

N’hésitez pas à partager vos bonnes pratiques pour l’accès de vos fournisseurs ! Je serais ravi d’échanger avec vous.

Publié le 02 juin 2022 par Guillaume Barideau
Thématiques
PAM Cybersécurité Zero Trust

Ne manquez pas ces évènements :

Ces articles pourraient vous intéresser :