AVIS D’EXPERT – Aujourd’hui, les identités non humaines sont partout. Leur nombre a notamment grandi avec l’explosion des outils d’intelligence artificielle (IA) générative, comme ChatGPT, ainsi que de nombreux autres agents virtuels plus discrets avec lesquels les utilisateurs interagissent au quotidien. Jérome Colleu, ingénieur avant-vente chez CyberArk, nous explique que ces identités machines sont même, selon leurs recherches, 45 fois plus nombreuses que les humaines en entreprise, et il convient donc de les sécuriser partout.
Les identités non humaines comprennent notamment les bots des processus robotiques automatisés (RPA) et les micro-services cloud, et sont nécessaires afin de simplifier de nombreuses activités fastidieuses et d’améliorer l’efficacité opérationnelle des collaborateurs. Ces identités non humaines s’appuient sur des secrets (comme des mots de passe, des clés SSH et API) pour accéder à des ressources critiques et effectuer leurs tâches. Or, ils doivent être sécurisés, comme le sont finalement les identifiants des humains. Mais cela s’accompagne de défis en matière de gestion des secrets, à prendre en compte dans leurs spécificités, avant toute création d’un plan global.
Les environnements cloud et applications cloud natives
De nombreuses entreprises font appel à plusieurs fournisseurs de services cloud (CSP) afin de maîtriser leurs coûts, de bénéficier d’une certaine flexibilité et d’éviter de dépendre d’un fournisseur en particulier. En matière de secrets, chaque CSP a ses propres méthodes de stockage, d’accès et de gestion. En outre, les applications cloud natives construites dans ces plateformes sont continuellement mises à jour à l’aide de processus CI/CD et utilisent des secrets pour communiquer avec d’autres micro-services dans l’environnement cloud afin de fonctionner. Le principal problème à résoudre est alors de s’assurer que la sécurité soit aussi flexible et dynamique que l’environnement dans lequel travaillent les développeurs. En effet, certains prennent des raccourcis (par exemple, en codant des secrets en dur) ou ignorent certaines règles de sécurité ; il convient donc d’avoir une infrastructure sécurisée qui pallie chaque comportement à risque pour renforcer la protection des secrets, tout en évitant les failles dues à ces mauvaises habitudes.
Les outils DevOps, pipelines CI/CD et supply chain digitale
Les outils DevOps nécessitent généralement un niveau élevé d’accès à privilèges pour effectuer leurs tâches. Ainsi, les pipelines CI/CD et autres outils DevOps sont connus comme des ressources de « niveau zéro », or, il arrive que ces derniers, et les plateformes de conteneurs sous-jacents, manquent de sécurité. Seulement, si un hacker y accède, il peut obtenir des identifiants d’accès à privilèges. Et le cycle de vie du développement logiciel évolue rapidement, et les outils utilisés dans ce cadre peuvent générer une grave vulnérabilité, si les équipes ne sont pas pleinement conscientes des mesures de sécurité à déployer. C’est pourquoi la sécurité doit être impliquée plus tôt dans le cycle de développement, c’est ce que l’on appelle le « Shift Left ». Avec cette pratique, les équipes techniques du back office échangent leurs connaissances avec les collaborateurs du front office, souvent moins expérimentés. Les administrateurs DevOps et les développeurs utilisent parfois les fonctions intégrées de gestion des secrets, ce qui contribue à une prolifération mal contrôlée des secrets ou des coffres-forts ; ce qui peut nécessiter d’imposer des vérifications humaines pour éviter ce type de brèche. En outre, il est important de prendre en compte les potentiels déplacements latéraux des cybercriminels, afin d’augmenter peu à peu leur niveau d’accès une fois qu’un outil est compromis. En outre, les applications commerciales (COTS) et les applications des éditeurs de logiciels indépendants (ISV) nécessitent un niveau élevé d’accès à privilèges pour accomplir leurs tâches, ce qui engendre donc un niveau d’exposition élevé en cas de compromission. Comme ces applications sont situées hors de l’entreprise, elles imposent des besoins de sécurité particuliers à prendre en compte, notamment du point de vue de leur intégration aux outils de sécurité internes. Les intégrations reposent sur les fournisseurs externes, elles sont donc vulnérables au niveau de la supply chain digitale et des processus CI/CD du fournisseur. Les informations personnelles stockées dans les applications professionnelles risquent alors d’être exposées en cas de violation de données, c’est pourquoi appliquer les méthodologies du moindre privilège et de l’accès « juste à temps » est essentiel pour réduire ces risques.
Les outils d’automatisation et scripts
Ils peuvent être puissants et exécuter des tâches informatiques complexes, mais ils savent aussi être très simples, comme un script PowerShell basique utilisé de manière occasionnelle. Bien que ces derniers ne semblent pas constituer une vulnérabilité importante, ils ont été à l’origine de violations qui ont reçu un large écho dans les médias. Il est donc crucial pour une organisation de comprendre les défis de protection qu’ils soulèvent afin d’y répondre au mieux. De trop nombreux scripts utilisent des identifiants codés en dur et peuvent être publiés dans des référentiels, annulant de fait la protection qu’ils nécessitent. En effet, même si l’outil est basique, les cybercriminels peuvent exploiter des identifiants de grande valeur et perpétuer des attaques. Il n’est pas facile d’assurer le suivi de scripts aisés à reproduire et rarement utilisés. Certains outils d’automatisation disposent de capacités intégrées de gestion des secrets, ce qui peut entraîner une multiplication mal maîtrisée de ces derniers et des coffres-forts. Les bots RPA aident les équipes de développement et d’exploitation à automatiser de nombreuses tâches fastidieuses, accélérant ainsi les workflows. Toutefois, les rotations d’informations d’accès pour ces bots doivent être réalisées manuellement et ne sont pas évolutives, en particulier lorsqu’une entreprise utilise de nombreux bots autonomes sans supervision humaine. La plus grande difficulté pour les équipes de sécurité est de s’assurer qu’elles tirent parti de la vélocité de la RPA tout en gérant de manière centralisée les politiques afin de rester en conformité et de se défendre contre les attaques. La sécurité peut également être considérée comme un obstacle au déploiement ou aux exigences d’efficacité opérationnelle. Ainsi, la sécurité requiert des intégrations faciles à utiliser pour minimiser les risques et accélérer le déploiement, tout en limitant l’impact sur les équipes.
Les applications développées en interne et mainframes
Si bon nombre des applications évoquées plus haut exploitent des innovations numériques récentes, telles que le cloud et l’automatisation, la plupart des entreprises dépendent encore d’une combinaison d’applications développées en interne. Ces applications comprennent une variété d’environnements traditionnels et de systèmes d’exploitation, y compris Unix/Linux, et parce qu’elles sont hébergées sur place, elles engendrent des défis différents de ceux soulevés par d’autres types d’identités. En outre, les applications mainframes (tels que zOS) sont encore largement utilisées par les entreprises. Il s’agit des applications les plus stratégiques d’une organisation, et il est vital qu’elles ne subissent pas de pannes ou ne soient pas interrompus par des procédures de sécurité. Les identifiants codés en dur ou stockées localement présentent un risque en cas de compromission et la rotation automatique est parfois impossible. Les droits d’accès doivent donc être calibrés avec soin, car ces applications peuvent faire l’objet d’autorisations excessives. Elles requièrent également de se connecter facilement à d’autres systèmes et applications pour que les activités se déroulent sans accroc. Avec les défis qui se posent dans la transition numérique des organisations, la gestion des secrets peut devenir une tâche délicate lorsque les collaborateurs naviguent avec un grand nombre d’identités non humaines aux profils variés. Chaque groupe a ses propres nuances et ses différents intervenants dont il faut absolument tenir compte lors de l’élaboration des politiques de sécurité. C’est pourquoi la connaissance de tous les types d’identités présents dans l’infrastructure numérique de l’entreprise est essentielle, notamment pour comprendre les différents besoins de sécurité à assurer avant de se lancer dans l’élaboration d’un programme global de gestion et de sécurisation de ces identités et des secrets qu’elles utilisent.
Jérome Colleu, ingénieur avant-vente chez CyberArk
