Comment lutter contre le shadow admin ?

Lorsqu’il est question de comptes à privilèges, la traçabilité est essentielle mais elle s’avère parfois mise à mal par le recours au shadow admin. Cette traçabilité, de même que le contrôle en temps réel ou a posteriori des actions d’administration permis par le PAM (Privileged Access Management) se doivent pourtant d’être exhaustifs pour protéger efficacement le système d’information.

Qu’est-ce que le shadow admin ?

Le shadow admin désigne des comptes d’administration intraçables dans la mesure où ils ne sont pas répertoriés bien qu’ils soient opérationnels. Tout accès à ce type de compte est donc invisible pour l’organisation et aucun contrôle, ni en temps réel, ni a posteriori, ne peut donc être réalisé. Ces comptes sont bien souvent créés par des administrateurs légitimes qui disposent par ailleurs d’un compte officiel mais qui, pour aller plus vite, se créent un compte parallèle d’administration, afin de ne pas avoir à demander d’autorisations supplémentaires.

Ces comptes d’administration peuvent également être créés par erreur par ces mêmes administrateurs, sans qu’ils ne soient utilisés par la suite. Il peut également s’agir, dans certains cas de comptes créés par des utilisateurs malveillants qui auraient réussi à accéder à un compte à privilège puis à créer un compte de type shadow admin, leur permettant de rester sous les radars vis-à-vis de l’organisation cible.

Quels sont les risques ?

Le shadow admin présente des risques qui peuvent donc aussi bien émaner d’un administrateur légitime qui se serait créé un compte d’administration intraçable que d’un utilisateur illégitime ayant un accès à ce type de compte, ceux-ci étant très recherchés par les cyberattaquants étant donné les larges marges de manœuvre qu’ils procurent et ce, en toute discrétion.

Le premier risque majeur du shadow admin est celui de la fuite de données : étant donné que ces comptes échappent à toute traçabilité, l’administrateur du compte pourra extraire des données, potentiellement sensibles et confidentielles, sans que cela ne soit repéré. Lorsqu’il s’agit d’un compte d’administration intraçable contrôlé par un cyberattaquant, celui-ci pourra aller plus loin pour, par exemple, propager un rançongiciel dans le système d’information de l’organisation cible.

Un autre risque, qui peut paraitre plus anodin de prime abord, est celui d’une fausse manipulation, d’une erreur humaine dans les actions d’administration réalisées sur ce compte. Par manque de traçabilité et dans l’impossibilité de revoir a posteriori les actions réalisées sur la session, il sera alors plus compliqué pour l’organisation de corriger l’action incriminée.

Comment y remédier ?

Pour contrer le shadow admin, les solutions de PAM proposent une fonctionnalité de découverte des comptes qui va permettre, en scannant le réseau d’administration à intervalles réguliers, de détecter tous les comptes d’administration, dont les comptes shadow admin et, soit les réintégrer dans la liste des comptes officiels (et y apporter les mécanismes de contrôle et de traçabilité), soit les supprimer.

Cette fonctionnalité de découverte des comptes s’avère particulièrement indispensable pour les grandes organisations, étant donné le turnover substantiel d’utilisateurs à privilèges qu’elles doivent gérer, entre arrivées et départs de la société de ces utilisateurs à pouvoirs, changements de postes mais aussi interventions de prestataires externes à qui l’organisation octroie des accès à privilèges.

Intégrée à Systancia Cleanroom, la solution de PAM de Systancia, la fonctionnalité de découverte des comptes permet ainsi de lutter efficacement et simplement contre le shadow admin et tous les risques qui y sont associés.