Accueil Cybersécurité Avis d’expert – Service account security : comment garder de la visibilité...

Avis d’expert – Service account security : comment garder de la visibilité sur les comptes de service ?

Mortada Ayad
Mortada Ayad de Thycotic

Dans le cadre de leur développement, les entreprises ne cessent d’adopter de nouveaux outils et de nouvelles technologies, perdant au passage la trace de leurs actifs les plus anciens. Les vieux routeurs et moniteurs peuvent certes prendre la poussière sans trop de danger, mais qu’en est-il des logiciels et des applications inutilisées mais toujours connectées aux réseaux des entreprises ? Comment garder de la visibilité sur les comptes de service, notamment ? Par Mortada Ayad, Technical Regional Manager – Emerging Markets de Thycotic, spécialiste du privileged access management.

Les comptes de service négligés, un réel risque en matière de sécurité

Parmi toutes les applications présentes dans votre entreprise, combien sont réellement utilisées ? Impossible pour quiconque de répondre à cette question, au vu du nombre de comptes de service qui existent sans être gérés, parfois orphelins depuis une dizaine d’années.

Les comptes de service désignent les comptes non humains programmés pour accéder au réseau et exécuter des tâches dans le cadre d’une application. Certains ont des capacités limitées ; d’autres, en revanche, possèdent des privilèges d’accès de haut niveau. On distingue différentes typologies de comptes : locaux (au sein d’une seule machine sans connexion à d’autres systèmes), réseau (accès au réseau pour transférer des données) ou encore comptes de domaines, qui communiquent avec des applications et des infrastructures de bases de données au sein du domaine.

La gestion de ces identités est d’autant plus complexe quand il s’agit de comptes non humains ; on ne peut ni supprimer ni changer les identifiants si on est incapable de les localiser, en tout cas sans provoquer de bug ou d’interruption des opérations. En effet, un compte de service qui gère les mises à jour logicielles ou les sauvegardes de données sur le réseau peut nécessiter un accès universel, évitant ainsi aux administrateurs de devoir constamment reconfigurer ses autorisations. Et comme la plupart des comptes de service exécutent leurs tâches en arrière-plan avec peu ou pas d’interaction humaine, ils sont facilement oubliés. Il est très peu probable qu’un employé lambda sache combien de comptes de service travaillent en coulisse pour faciliter ses opérations – même les professionnels de l’informatique et de la sécurité l’ignorent.

On constate que les comptes de service sont exclus des processus ainsi que des politiques de maintenance et de sécurité de l’entreprise. L’absence de gouvernance de ces comptes pose dès lors un souci majeur : celui de la sécurité, avec des applications inutilisées toujours connectées au réseau qui sont une cible ultra facile pour les cybercriminels.

« On constate que les comptes de service sont exclus des processus ainsi que des politiques de maintenance et de sécurité de l’entreprise »

Comme ils disposent souvent de privilèges réseau élevés, les comptes de service atterrissant entre de mauvaises mains représentent un risque majeur. Un cybercriminel prenant le contrôle d’un compte de service de haut niveau pourrait en effet accéder et contrôler l’ensemble du système ou d’une infrastructure plus large, pour exécuter les mêmes types d’activité malveillante qu’un compte d’utilisateur à privilège classique : exfiltration de données sensibles, implantation de logiciels malveillants, modification et endommagement de systèmes critiques…

Si ces comptes sont laissés à l’abandon, malgré leur importance et leur potentiel d’exploitation, c’est que les équipes informatiques n’ont pas le temps de tout gérer et que le « turnover » des équipes ne facilite pas cette tâche.  

Comment, dès lors, adopter des processus appropriés pour supprimer ou modifier un utilisateur donné d’un compte de service lorsque, par exemple, un employé quitte l’entreprise ou change de rôle ? Comment gérer ces “comptes orphelin » encore plus vulnérables lorsqu’ils sont autonomes ?

L’importance de la “découverte” et de la gouvernance

Les comptes de service automatisés n’ont souvent aucun identifiant de connexion car il n’est pas nécessaire que les utilisateurs humains interagissent avec eux. La plupart du temps, les administrateurs laissent les paramètres par défaut inchangés, ce qui rend l’accès très simple pour les fraudeurs potentiels. Ce qui est censé être un gain de temps devient un véritable danger, puisque des dizaines, voire des centaines de comptes de service vont partager les mêmes informations d’identification faibles, avec tous les risques impliqués.

Pour empêcher les cybercriminels, une seule solution : procéder au changement et détecter ensuite les problèmes, en instaurant une gestion complète de ces comptes de services sur l’ensemble de leur cycle de vie, et pas uniquement au moment de leur création. Il s’agira dès lors de procéder à l’inventaire des comptes connus par les managers, de changer les identifiants pour en garantir la sécurité et d’attendre la plainte d’utilisateurs dont les services ne fonctionnent plus pour retracer les comptes orphelins.

« Procéder au changement et détecter ensuite les problèmes, en instaurant une gestion complète de ces comptes de services sur l’ensemble de leur cycle de vie »

Les entreprises ont parfois, dans les cas les plus graves, jusqu’à 3000 comptes de services qui dorment. Il n’y a donc d’autre solution que de forcer leur suppression grâce à des outils de découverte automatisée pour en permettre la bonne gouvernance. Il conviendra ensuite pour les comptes que l’on souhaite garder actifs d’en établir une liste et un classement par ordre de risque de nuisance à l’entreprise, pour appliquer les bons processus de sécurité et de gestion. Une fois ces processus en place, l’organisation n’aura plus qu’à s’assurer que tous les comptes de service nouvellement créés respectent les mêmes règles que la norme.