28.07.2022
| ACTUALITÉS

Les recommandations de l’ANSSI sur les accès à privilèges

Qu’est-ce que le PAM (Privileged Access Management) ?

Le PAM ou gestion des accès à privilèges en français est un principe qui permet de sécuriser l’accès à vos ressources sensibles. Les accès à privilèges comprennent des droits spécifiques, normalement jamais accordés à un utilisateur traditionnel. Dans la pratique, ils sont détenus par des utilisateurs ayant un rôle spécifique au sein de l’organisation mais ils peuvent également être accordés à des applications.

Les accès à privilèges sont particulièrement sensibles et prisés des hackeurs car ils facilitent l’accès à des données et à des fonctionnalités d’administration.

La gestion des accès à privilèges est plus que jamais, dans un environnement sensible particulièrement menaçant, essentielle dans une stratégie de protection de votre système d’information. Pour limiter les risques et participer activement à la lutte contre la cybercriminalité, nous vous proposons de découvrir dans cet article, les recommandations et règlementations en vigueur.

La règlementation et les recommandations de l’ANSSI en matière d’accès à privilèges

Les accès à privilèges font depuis plusieurs années l’objet d’obligations règlementaires. Plus récemment, l’accès à des tiers et les accès d’assistance à distance ont fait l’objet de recommandations particulières de la part de l’ANSSI. Dans leur dernière version, les recommandations relatives à l’administration sécurisée des SI parues en mai 2021 ont été complétées avec les recommandations R59 à R71. Ces 12 recommandations supplémentaires concernent les accès à privilèges accordés à des tiers et les accès à distance. 

Vous êtes régulièrement amenés à accorder à vos prestataires, des accès administrateurs à vos données. Parce que ces accès sont souvent utilisés à distance, ils sont décrits comme un risque majeur par l’ANSSI.

Le risque est d’autant plus fort dès lors qu’ils sont utilisés pour la résolution de pannes ou d’incidents. Dans ce cadre là, la priorité est souvent donnée à la remise en conditions opérationnelles des systèmes au détriment de la sécurité.

Les recommandations formulées en matière d’accès à privilèges accordés à des tiers

R59 et R60 : Recourir à une prestation d'infogérance qualifiée d'un PAMS et intégrer au contrat les exigences de sécurité d'accès à distance

L’ANSSI a élaboré un guide vous permettant d’évaluer la qualité de service de votre prestataire d’administration et de maintenance sécurisée. Dans ce document, vous trouverez également les éléments clés à intégrer à votre contrat d’infogérance. Accédez au guide

R61 : Imposer une sécurisation à l'état de l'art, des postes de travail des administrateurs tiers

Pour réduire les risques induits par l’accès à des postes d’administration à distance, l’une des recommandations concerne par exemple l’engagement du prestataire sur la protection physique du poste. La réalisation d’un audit de contrôle de conformité est également recommandée pour s’assurer que la protection est suffisante, pérenne et efficace.

R62 : Dédier une chaîne d'accès à distance pour les administrateurs tiers

Des équipements physiques tels qu’une chaîne d’accès à distance, vous permettent de réduire le risque d’attaque.

R63 : Utiliser un tunnel VPN IPSec pour la connexion du poste de travail des administrateurs tiers

De la même manière que les administrateurs internes se connectent à distance, les administrateurs tiers se doivent d’utiliser un canal de communication sécurisé. Selon l’ANSSI, l’utilisation d’un tunnel VPN IPsec est à préférer à un tunnel TLS. Ce dernier peut cependant être une solution palliative.

R64 : Dédier des comptes d'accès et des comptes d'administration aux administrateurs tiers

Afin de respecter le principe de moindre privilège, la création de comptes dédiés aux administrateurs tiers est essentielle. Ce point permet d’assurer une traçabilité des connexions et des actions menées.

R65 : Dédier un annuaire aux comptes d'accès des administrateurs tiers

Les accès tiers peuvent être répertoriés dans un annuaire différent de celui des comptes d’administrateurs internes afin de diminuer l’exposition des comptes.

R66 : Activer à la demande, les comptes des administrateurs tiers

Afin d’éviter la possibilité d’accès en dehors des périodes prévues d’intervention, des procédures doivent être mises en place. Ces dernières permettront d’accorder l’accès à la demande et uniquement à la demande et de le désactiver si besoin, en cas d’utilisation anormale.

R67 : Renforcer l'authentification des administrateurs tiers

Les comptes administrateurs sont particulièrement sensibles. Des mesures strictes d’authentification doivent être mises en place pour éviter que la récupération d’un identifiant et d’un mot de passe n’engendre de lourdes conséquences. L’authentification à double facteur est fortement recommandée pour l’accès à ces comptes clés.

R68 : Mettre en œuvre un rebond éphémère en coupure de la terminaison VPN et du SI administré

Ce dispositif implique de mettre en place un rebond temporaire, limité à la période d’intervention. Après utilisation, ce rebond peut être supprimé pour réduire le risque d’attaque et respecter le principe de Just-in-time.

R69 : Mettre en œuvre un contrôle d'accès strict et une traçabilité pour les administrateurs tiers

Les accès accordés aux administrateurs tiers doivent également respecter le principe de moindre privilège. Les privilèges accordés doivent être strictement limitées aux ressources nécessaires.

Les recommandations formulées en matière d’accès à privilèges à distance

R70 : Utiliser un boîtier matériel d'acquisition vidéo pour l'assistance à distance
La mise en place d’un matériel d’acquisition vidéo unidirectionnelle est nécessaire pour protéger vos accès administrateurs lors d’un partage d’écran, dans le cadre d’une assistance à distance par exemple.
R71 : Mettre en œuvre une solution logicielle dédiée pour l'assistance à distance
La mise en place d’une infrastructure de partage d’écran centralisée et dédiée à l’assistance à distance est également une mesure défensive permettant de protéger votre système d’information.

Téléchargez maintenant, le rapport complet de l’ANSSI.

Pour tout savoir des recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information, nous vous proposons de découvrir et de télécharger le document complet et original au format PDF.

Veuillez remplir le formulaire ci-contre pour accéder au document.

Vous souhaitez être accompagné dans la mise en place de votre stratégie d’accès à privilèges ?

Nos experts certifiés vous renseignent.

Pour votre bastion d’administration, SNS SECURITY a choisi la technologie WALLIX. Cet équipement vous permet de contrôler et de surveiller efficacement vos accès à privilèges. Grâce à la création d’un accès dédié aux utilisateurs externes via une passerelle HTTPS, vous réduisez considérablement votre surface d’attaque et respectez les recommandations de l’ANSSI. WALLIX vous permet également de mettre en place le principe de moindre privilège et de Just-in-time.

Rejoignez nos experts mardi 6 septembre à 14h30.

Jérémy BAUGET, Consultant sécurité réseaux SNS SECURITY et Ronan CROGUENNEC, Head of practice cloud services providers WALLIX, vous donnent rendez-vous pour un webinar de 45 minutes dédié au bastion d’administration. Vous découvrirez comment mettre en place une stratégie de gestion de vos accès à privilèges et l’accompagnement proposé par SNS SECURITY pour protéger vos ressources sensibles.

Soucieuse de vous apporter le meilleur service possible, SNS SECURITY vous propose à la fin de chacune de ses webconférences, un temps dédié aux questions avec l’objectif de pouvoir vous apporter les réponses concises et concrètes que vous attendez. N’hésitez pas à intervenir.

Pour simplifier la procédure d’inscription à nos webinars, ce formulaire vous inscrit automatiquement sur la plateforme Webikeo.

Pour vous inscrire, remplissez directement le formulaire ci-contre.