Revenir au glossaire

Qu’est-ce qu’un accès ou un utilisateur à privilèges ?

Au sein de toute organisation, certaines personnes, qu’elles fassent partie de l’équipe interne ou qu’elles soient intervenantes extérieures, ont besoin de privilèges spécifiques pour effectuer leurs tâches et missions dans le système informatique. Il incombe aux entreprises de comprendre qui ils sont, de quels privilèges ils ont besoin pour accomplir leur mission et de maîtriser la gestion des accès qui leur sont octroyés.

Ce processus est d’autant plus crucial que chaque autorisation accordée par les administrateurs se traduit par une potentielle vulnérabilité pour l’entreprise.

À l’ère où les cyberattaques se multiplient avec virulence, la gestion efficiente de ces utilisateurs à privilèges revêt une importance critique pour les DSI, RSSI, Administrateurs Systèmes …, les gestionnaires et décisionnaires d’un système d’information.

Le compte à privilèges vs compte standard

Pour définir la notion de compte à privilèges, il s’agit d’abord de comprendre ce qui n’en est pas un.

Qu’il soit nommé compte basic, compte standard ou sans privilèges, il confère à un utilisateur « lambda » un simple accès à l’ensemble des ressources informatiques et logicielles d’une entreprise. Qu’il s’agisse d’un serveur de partage interne, d’un intranet ou d’une application, l’utilisateur détient un niveau d’autorisation qui lui confère des fonctionnalités « standards » sans privilèges étendus.

Pour les entreprises et organisations, il est important que ce compte standard soit une norme. En revanche, le compte à privilèges demeure l’exception.

Il est réservé pour des circonstances spécifiques lorsque des autorisations d’accès privilégiées sont nécessaires pour des opérations sensibles, telles que la gestion de l’entreprise, de son système d’information ou l’accès à des données en particulier. Cette différenciation assure un équilibre entre l’efficacité opérationnelle et la sécurité, en ne donnant accès aux privilèges qu’à ceux qui en ont un besoin légitime et clairement défini. D’ailleurs, vous pouvez retrouvez un schéma explicatif des comptes à privilèges sur la page de notre solution PROVE IT.

Différents types d’accès à privilèges

Plusieurs types d’accès à privilèges peuvent être distingués en fonction de leur utilité.

Comptes nominatifs :

Un compte nominatif est un type de compte d’utilisateur qui est directement associé à une personne au sein d’une organisation. Contrairement aux comptes génériques ou partagés, qui peuvent être utilisés par plusieurs personnes, un compte nominatif est individuel et identifie une personne particulière en tant qu’utilisateur autorisé. Ce type de compte est souvent utilisé pour des raisons de traçabilité, de responsabilité et de sécurité. Il permet de suivre précisément les actions et les activités effectuées par cet utilisateur sur le système d’information, les applications ou dans la gestion des données.
Ces comptes nominatifs peuvent avoir des usages très variés :

  • Compte « super utilisateur » :

    ou « root », il s’agit d’un compte qui possède des privilèges étendus et complets sur un système informatique. Ce type de compte a des droits de niveau supérieur qui lui permettent d’accéder, de modifier et de contrôler toutes les ressources et fonctionnalités du système, y compris les fichiers système critiques et les configurations. Il permet par exemple de supprimer ou d’ajouter de nouveaux comptes standards ou à privilèges, en fonction de l’arrivée de nouveaux collaborateurs dans une organisation.

  • Compte « administrateur de domaine » :

    ce type de compte détient des privilèges étendus pour gérer et superviser un domaine. Ces comptes d’administrateur sont responsables de la gestion complète du domaine, y compris la création de comptes, la sécurité, les autorisations d’accès, les politiques de groupe et la surveillance du réseau.

  • Compte « administrateur local » :

    ce type de compte utilisateur possède les privilèges pour administrer un ordinateur individuel ou un système autonome. Ce compte possède des privilèges administratifs et permet à l’utilisateur d’effectuer des tâches de gestion et de configuration au niveau local : paramètres, logiciels et fichiers, paramètres système, gestion des utilisateurs locaux, etc.

  • Utilisateur métier :

    RH, commerce, marketing, de nombreux services ont accès à des données sensibles spécifiques à leur mission ou poste. Il s’agit donc ici de privilèges liés à l’accès à des ressources spécifiques : CRM, outils de gestion de candidatures, ERP …

Comptes partagés :

Il s’agit ici de comptes non-nominatifs, souvent partagés entre plusieurs utilisateurs à des fins plus techniques ou des besoins métiers. Voici différents types de comptes qui en font partie :

  • Comptes Administratifs :

    Ces comptes sont utilisés par les administrateurs système pour gérer et configurer le SI. Ils ont des privilèges étendus pour effectuer des opérations critiques telles que la configuration des serveurs, la gestion des utilisateurs et gestion de la sécurisation du SI.

  • Comptes de Service :

    Les comptes de service sont associés à des applications ou à des services spécifiques au sein du SI. Ils sont utilisés pour exécuter des processus en arrière-plan, accéder à des bases de données ou interagir avec d’autres services sans nécessiter d’intervention humaine.

  • Comptes Partagés d’Application :

    Certaines applications peuvent nécessiter des comptes partagés pour être utilisées par plusieurs utilisateurs. Ces comptes sont souvent utilisés pour fournir un accès commun à une application spécifique, telles que les bases de données de gestion de projets ou les outils de collaboration.

En synthèse, il existe donc des comptes nominatifs à qui nous accordons des droits spécifiques, et des comptes partagés détenant également des droits particuliers. Il est donc restrictif de parler d’« utilisateurs à privilèges », nous parlerons donc plutôt de « comptes à privilèges », d’ « accès privilégiés » ou encore d’ « utilisateurs à accès privilégiés ».

Administrateurs internes et prestataires externes

Lorsque l’on aborde la question de la surveillance des activités réalisées par les utilisateurs disposant d’accès privilégiés au sein de son système d’information, deux catégories principales se distinguent. D’une part, les utilisateurs internes, parmi lesquels figurent notamment les administrateurs. D’autre part les utilisateurs externes, tels que les prestataires et les techniciens en maintenance à distance, pour ne citer que cet exemple.

Les risques associés aux comptes à privilèges, qu’ils soient internes ou externes, partagent des similarités et des différences significatives en raison de la nature des utilisateurs et des accès.
Pour une approche de gestion des privilèges exhaustive, il faut prendre en compte ces différences pour minimiser les risques associés à chaque type de compte à privilèges.

Finalement, qu’est-ce que la gestion de ces comptes et accès à privilèges ?

Donner des accès à vos collaborateurs à des comptes à privilèges n’est pas anodin, soit par la question de la teneur des informations en leur possession, soit par la possibilité d’action que leur donne cet accès. Il est donc primordial pour les organisations de mettre en place une politique de gestion des comptes à privilèges – Privileged Acces Management.

1- Les identifier

Mettre en place une gestion de ces accès sensibles, c’est d’abord et avant tout identifier l’ensemble de ces comptes, leurs utilisateurs ainsi que les droits associés.
Chaque accès à privilèges est une vulnérabilité supplémentaire pour votre entreprise ; avoir une politique d’identification de ces accès est une première étape dans la prise en compte de ces vulnérabilités.

2- Identifier les risques associés

Les risques associés à la mise en place de comptes à privilèges sont multiples, mais nous pouvons en distinguer 3 types couramment rencontrés :

  • L’incident :

    Avoir des droits d’administration étendus, comprend la possibilité de commettre une erreur de manipulation qui pourra avoir des conséquences graves sur votre activité. L’indisponibilité de vos services, que ce soit en externe ou pour vos salariés peut être critique mais peut également avoir des répercussions financières importantes.

  • L’abus et l’escalade de privilèges :

    Après avoir compromis un compte à privilèges, un attaquant pourrait chercher à augmenter ses privilèges afin d’accéder à des zones encore plus critiques du système, et ainsi étendre sa main mise sur le système d’information.

  • Vulnérabilité d’authentification :

    Une vulnérabilité d’authentification se réfère à une faiblesse ou à une faille dans le mécanisme d’identification et d’accès à un système informatique ou une application. Elle permet à un attaquant de contourner ou de compromettre les procédures d’authentification normalement utilisées pour vérifier l’identité d’un utilisateur et lui accorder l’accès approprié.

3- Mettre en place une politique de gestion des accès à privilèges

L’évolution constante de l’actualité dans le domaine de la cybersécurité met en lumière l’importance cruciale de la protection des accès à privilèges. Face aux risques de plus en plus concrets que représentent les vulnérabilités de ces comptes spéciaux, la nécessité de les sécuriser ne doit plus être considérée comme un simple sujet de débat. Les incidents de sécurité récents et les cyberattaques sophistiquées soulignent de manière évidente que les comptes à privilèges sont devenus des cibles de choix pour les attaquants cherchant à pénétrer les systèmes d’information des entreprises, collectivités, hôpitaux …

La sécurisation des accès à privilèges n’est plus une option, mais une exigence fondamentale pour préserver l’intégrité, la confidentialité et la disponibilité des systèmes informatiques.
Elle passe par la mise en place d’une politique de gestion des accès à privilèges – PAM Privileged Acces Management, au sein des structures :

  • Attribution basée sur le principe du moindre privilège
  • Gestion des identités
  • Coffre-fort de secrets (mots de passe, tokens, clés,…) et substitution des identifiants
  • MFA
  • Surveillance des actions effectuées
  • Audits réguliers

Découvrez les témoignages de nos clients qui ont fait le choix de renforcer leurs mesures de sécurité et ainsi protéger leurs ressources essentielles contre les menaces croissantes