Le Principe du moindre privilège (PoLP), c’est quoi ?

Pour les entreprises, le principe du moindre privilège (PoLP), parfois appelé principe du privilège minimum, est une approche du contrôle d’accès fondée sur le bon sens. Les utilisateurs, les systèmes et les processus devraient pouvoir accéder aux réseaux, aux données et aux autres ressources demandés uniquement pour réaliser les tâches qui leur incombent, et à rien d’autre. Le non respect du PoLP peut entraîner d’importantes fuites de données, comme par exemple le pirate qui a réussi à voler une grande quantité de données client chez Target en utilisant les identifiants réseau d’un fournisseur CVC tiers.

Permettre à tous les utilisateurs d’avoir les mêmes droits d’accès à des données et des ressources sensibles est un risque auquel les entreprises ne peuvent se permettre. Le principe du moindre privilège vous aide à protéger vos ressources des acteurs malveillants, y compris ceux provenant de l’interne. En plus des pertes financières et de l’impact sur l’image de votre marque, les acteurs malveillants peuvent installer des ransomwares, perturber les opérations et utiliser les données personnelles volées pour procéder à des extorsions ou réaliser d’autres délits. Limiter l’accès uniquement aux ressources dont un utilisateur a vraiment besoin réduit l’ampleur des dommages pouvant être causés.

Les avantages du principe du moindre privilège incluent :

• Réduire la surface des attaques. En limitant l’accès uniquement aux ressources dont chaque utilisateur a besoin pour son propre rôle, les cyberdélinquants qui usurpent des comptes ne pourront pas accéder à l’ensemble des ressources.

   

• Limiter la diffusion des malwares. Les malwares ont souvent besoin d’un accès privilégié pour infecter les systèmes, et sans cet accès, une attaque de grande ampleur est déjouée.

   

• Garantir la conformité aux réglementations. Certaines réglementations exigent que le principe du moindre privilège soit en place pour respecter les réglementations du secteur et éviter les amendes.

   

• Augmenter la responsabilité. En limitant les permissions, vous pouvez plus facilement garder une trace des utilisateurs et des systèmes accédant à des données, à des réseaux et à d’autres ressources sensibles.

   

• Améliorer la performance et l’expérience de l’utilisateur. Tenir les utilisateurs inutiles en dehors des systèmes et des ressources augmente la productivité pour les utilisateurs qui ont besoin d’un accès et réduit la confusion pour ceux qui n’en ont pas besoin.

Régler les paramètres pour mettre en place le principe du moindre privilège commence à l’étape de planification et se poursuit tout au long du cycle de vie de votre entreprise. Examiner les pratiques actuelles et les réglages des accès est un bon point de départ.

Adoptez une approche de la sécurité Zero Trust

L’approche Zero Trust de la sécurité est basée sur la philosophie selon laquelle les entreprises ne devraient faire confiance à personne et tout vérifier, car les menaces externes et internes existent à tout moment. L’authentication et l’autorisation sont des étapes importantes pour limiter les accès et protéger les ressources. L’authentification demande aux utilisateurs de prouver leur identité. L’authentification multifacteur (MFA) demande aux utilisateurs de fournir au moins deux facteurs d’authentification, pour que les hackers ayant des identifiants compromis soient interceptés avant de pénétrer dans votre système. Une fois que les utilisateurs ont été authentifiés, les entreprises utilisent l’autorisation pour contrôler les accès aux ressources en s’appuyant sur le PoLP, laquelle peut être préattribuée en fonction du rôle ou personnalisée pour selon l’utilisateur.

Des solutions de gestion des identités et des accès (IAM) pour établir des politiques d’authentification et d’autorisation sont disponibles pour les collaborateurs, les clients et les partenaires.

Utilisez des solutions de gestion de l’accès privilégié (PAM) pour renforcer la sécurité

Les comptes privilégiés sont une cible privilégiée pour les acteurs malveillants, car les privilèges au niveau des administrateurs donnent un plus grand accès et un plus grand contrôle des données, des réseaux, des systèmes et des autres ressources. Les solutions de gestion des accès privilégiés (PAM) permettent aux organisations de surveiller, de sécuriser et de contrôler les accès aux ressources pour les comptes privilégiés. Pour limiter encore plus l’accès aux ressources, les privilèges dit just-in-time (JIT) peuvent être réglés pour des projets ou des créneaux particuliers. Les solutions de gestion des accès privilégiés (PAM) sont utilisées avec les solutions de gestion des identités et des accès (IAM), et elles travaillent ensemble pour se soutenir et s’améliorer réciproquement.

Garantit la sécurité des API (Application Programming Interface)

Une API (application programming interface) est utilisée pour que les ordinateurs et les applications communiquent, mais le fait qu’elles constituent une vulnérabilité pour la cybersécurité est souvent négligé. Les entreprises et les programmateurs qui n’ont pas de protocoles de sécurité pendant le développement exposent les ressources à des risques. Quatre éléments du Top 10 de la sécurité des API (y compris les deux premiers) de l’Open Web Application Security Project (OWASP) sont directement liés à un manque de règles de contrôle des accès et d’authentification forte.

Réalise des audits en permanence

Ne laissez rien passer à travers les mailles du filet après la mise en œuvre initiale. Vérifie régulièrement les utilisateurs, les comptes, les processus et les systèmes pour s’assurer qu’ils accèdent uniquement aux ressources nécessaires. Des personnes quittent leur emploi, les fournisseurs et les partenaires tiers changent, les systèmes sont mis à jour ou remplacés. Les audits de sécurité réalisé en continu vous permettent de suivre les privilèges qui doivent être révoqués ou mis à jour.

Il existe de nombreux exemples de cas où il faut s’assurer que les utilisateurs accèdent uniquement aux ressources dont ils ont besoin, notamment :

• Un employé de l’équipe commerciale a accès au système de CRM (gestion des relations client), mais pas aux fichiers personnels et confidentiels des ressources humaines.

   

• Un employé intérimaire recruté pour saisir des données peut ajouter des informations à certains fichiers, mais ne peut pas modifier les formules, télécharger des fichiers ou accéder à d’autres fichiers.

   

• Un client peut accéder aux informations nécessaires pour acheter des produits et entretenir son propre compte, mais rien d’autre.

En regardant cette vidéo, vous découvrirez comment les personnes qui ont travaillé à distance pendant la pandémie ont de plus en plus adopté la sécurité Zero Trust.