VPAM : Sécurisez les accès de vos fournisseurs...

Ils obligent les organisations à exposer leur système d'information au monde extérieur, car grand nombre de leurs salariés a besoin aujourd'hi d'accèder à son environnement de travail en dehors de son entreprise. Les directions informatiques s'organisent donc en conséquence et répondent à leurs demandes en leur mettant à disposition des accès en adéquation avec leurs besoins. Ils sont nombreux, divers et variés et on peut les associer :

• Au télétravail (pour des intempéries, conflits sociaux, crise sanitaire, nouveaux modes de travail...)
• A diverses thématiques : Astreintes, nomadisme ou encore mobilité
• Aux personnels DevOps
• Autres…

Parmi ces populations, on retrouve également des tiers mainteneurs, des infogérants, des sous-traitants, que l’on qualifiera de « fournisseurs ».

Bon nombre d'organisations sont régulièrement amenées à donner des accès à leurs fournisseurs, pour leur permettre de réaliser des opérations de maintenance ou d’administration sur leur système d’information. Et pour réaliser ces opérations, les fournisseurs ont en leur possession des comptes à privilège qui leur donnent des droits d’administration sur les actifs de leurs clients, et ça, c'est un véritable talon d’Achille pour la sécurité d'un système d’information car les accès privilégiés représentent le Saint Graal pour les cyber-pirates... Effectivement, dans ces contextes de sous-traitance, les directions informatiques n’ont aucune maîtrise de ce qui est fait par leurs fournisseurs, et par quel intervenant s’est fait. De plus, comme ces populations sont très convoitées par les cyber-pirates, elles détiennent des privilèges élevés et possèdent l'ensemble des clés d'accès qui leur permettent d'entrer sur les systèmes d'information de leurs clients, les directions informatiques doivent également monter d'un cran la sécurité des accès de leurs fournisseurs.

Dans l'idéal, il faudrait que leurs accès :

• Soient dédiés aux tâches d’administration.
• Ne donnent accès qu’aux ressources à administrer (pas à la totalité du réseau)
• Appliquent le principe du moindre privilège (PoLP).
• Implémentent un mécanisme d’authentification forte (MFA)
• S'appuient sur une approche Zero Trust (ZTNA)
• Proposent une rupture protocolaire (à défaut un rebond éphémère en coupure de la terminaison sécurisée).

L'ensemble de ces conditions permet d’éviter, en tout cas de minimiser, les possibles cyber-attaques vers le système d'information des organisations. En fait, dans un contexte à haut privilège, on peut assimiler l'accès distant d'un fournisseur à la « chaine d’approvisionnement » qui le lie à ses clients.

Avant toute chose, il est important de comprendre ce qu’est une attaque sur la chaine d’approvisionnement (supply chain attack).

Dans un contexte d’accès fournisseur, la chaine d’approvisionnement a pour point d’entrée le fournisseur, et comme point de sortie, les ressources du système d’information de son client. L’ensemble des flux de communications pour traiter les actes d’administration, les transferts de fichiers, vont transiter sur ce chemin. Les cyber-pirates ciblent de plus en plus cette chaine d’approvisionnement parce qu’ils savent qu’ils peuvent obtenir un accès maximal ou une puissance destructrice très rapidement parce que dans une très grande majorité des cas, ils auront accès à plusieurs systèmes d’information à partir d'un accès central.

Voyons d’une manière macro, à quoi ressemble une attaque sur la chaîne d’approvisionnement. Une attaque « traditionnelle », car il y en a plusieurs modèles, se passe généralement de cette manière :

• Le cyber-pirate va commencer par tenter de voler les identifiants de connexion du fournisseur
• Il va ensuite identifier les comptes d'accès privilégiés et les utiliser pour se connecter au système d'information des clients
• Et à partir de là, il peut accéder aux ressources ou aux données d'un ou plusieurs clients.

Dans des contextes d'accès à privilège orientés fournisseurs, l’idéal est de mettre en place des solutions de type « Vendor Privileged Access Management » (VPAM), en français « Gestion des accès à privilège des fournisseurs », pour protéger et sécuriser au mieux cette chaine d’approvisionnement.

Certaines personnes associent le VPAM à un sous-ensemble du PAM. En fait, une solution VPAM apporte une protection à plusieurs niveaux, à savoir une protection des comptes à privilège (PAM) et un contrôle supplémentaire liée à la sécurité des accès externes pour les fournisseurs (« Vendor » veut dire fournisseur).

Elle combine les bénéfices :

• D'une solution PAM (Privileged Access Management) : Gestion des comptes à privilèges avec application du principe du moindre privilège
• D'une technologie ZTNA (Zero Trust Network Access) : Accès sécurisé des fournisseurs basé sur un modèle zero-trust.

Une solution VPAM permet à une organisation de ne pas avoir à faire appel à plusieurs éditeurs pour gérer les risques liés aux accès de ses fournisseurs. Elle se concentre principalement (mais pas que...) sur les menaces externes qui proviennent de la dépendance d'une organisation à l'égard de ses fournisseurs et ne leur octroie des accès qu'aux seules ressources qui les concernent.

Les bénéfices

Les principaux bénéfices d’une solution VPAM sont les suivants :

• La surveillance des sessions à privilèges : Une organisation doit inventorier, intégrer et rendre compte de tous les fournisseurs ayant accès à son système. Surveillez et enregistrez toutes les activités de session des fournisseurs, permet de savoir qui s'est connecté, à quoi, et aussi de retracer, au travers des enregistrements de leurs sessions d'administration, toutes les actions qui ont été réalisées pendant leurs interventions. Des outils de surveillance de sessions aident à identifier si des accès sont compromis et également à autoriser (ou non), au travers de workflows d'approbation, les fournisseurs à accéder aux ressources du système d'information.
• La sécurisation des comptes à privilèges : Les fournisseurs ne doivent pas avoir connaissance des mots de passe des comptes à privilège de leurs clients.  Lorsqu’ils ouvrent une session sur une ressource à administrer, les informations d’identification (comptes à privilège) sont directement injectées d’un coffre-fort centralisé en toute transparence. Les mots de passe peuvent être modifiés (rotation) après chaque utilisation ou après une certaine période, dans un contexte hautement sensible.
• Le contrôle des habilitations : On affecte aux fournisseurs des droits d'accès aux ressources à privilèges (on sait identifier qui a les droits de se connecter à quoi) et des conditions d'accès (on peut définir le contexte de connexion, comme un accès périodique ou l’on va par exemple définir une plage horaire de connexion : Les fournisseurs ont le droit de se connecter de 8h à 18h mais pas la nuit, pas le week-end).
• L'accès « Juste à temps » : Pour se rapprocher d’un état « ZSP », c’est-à-dire sans privilège permanent, l’accès d’un fournisseur ne doit jamais être illimité ou persistant. L'accès « Juste à temps », plus connu sous l'acronyme JIT (Just-In-Time), permet de réduire la surface d'attaque et la surface de la menace sur les comptes à privilèges, aux seules périodes durant lesquelles les fournisseurs effectuent un acte d'administration. Ils ne disposent des privilèges que lorsque cela est nécessaire et le temps nécessaire. L'accès est délivré uniquement lorsque certains paramètres contextuels sont remplis et il est « dé-provisionné/révoqué » lorsque l'acte d’administration est terminé ou après un temps prédéfini.
• La sécurisation des accès réseaux : On applique le principe du moindre privilège dans un contexte zero-trust (ZTNA). Le fournisseur n'a accès qu'aux ressources qu'il doit administrer (et pas au réseau de l'organisation), et uniquement le temps de son acte d'administration, ce qui réduit la surface d’attaque sur le système d’information.
• L'authentification multi-facteurs (MFA) : L'authentification du fournisseur doit toujours nécessiter plusieurs facteurs. Soit un jeton sur une application mobile (TOTP), une clé physique FIDO2 ou encore du MFA par certificats ou serveur Radius (ou d'autres). Le regroupement de MFA dans une solution VPAM permet de renforcer la confiance en l'identité qui s'authentifie.

Les gains fonctionnels

Une solution VPAM apporte également plusieurs gains fonctionnels pour se prévenir des attaques sur la chaine d’approvisionnement, que ce soit :

• En termes de sécurité :
  • Elle garantit la bonne identité du fournisseur en renforçant son authentification avec des mécanismes de MFA, donc d’authentification forte.
  • On ne transmet aucune information d’identification du système d'information au fournisseur. Les accès aux ressources sont automatiquement configurés, le fournisseur se connecte avec des comptes locaux au VPAM, les comptes à privilèges sont eux injectés d’un coffre-fort, etc…
  • Les accès des fournisseurs sont limités au strict nécessaire. On applique le principe du moindre privilège, le fournisseur n’a accès qu’aux ressources qu’il peut administrer et non à l’ensemble du réseau. On vérifie également le contexte de connexion au travers d’un contrôle de conformité du poste du fournisseur.
• Au niveau des usages :
  • Il n’est pas nécessaire d'installer un agent sur le poste du fournisseur, la connexion se fait directement à partir d’un navigateur HTML5
  • Les accès se font en deux clics. Le fournisseur se connecte à un portail Web qui centralise les ressources et c’est le coffre-fort injecte automatiquement les comptes à privilèges lorsque ces dernières sont exécutées.
• Au niveau de la traçabilité :
  • Toutes les actions sont journalisées
  • Les enregistrements de session d’administration, qu’ils soient vidéo ou qu’ils contiennent juste les métadonnées, vont permettent au besoin, de retrouver les actions effectuées dans un acte d’administration.

Mode et contexte d’accès

Chaque organisation peut faire le choix de sa solution, en fonction du mode et du contexte d’accès qu’elle souhaite appliquer, et selon sa politique de sécurité :

• Mode SaaS, avec ou sans contexte d’accès zero-trust
• Mode On-premise, avec ou sans contexte d’accès zero-trust

Il va de soi que les solutions qui s’appuient sur un contexte d’accès zero-trust (ZTNA) sont à privilégier car elles apportent de réels bénéfices en termes de sécurité sur la chaîne d'approvisionnement (accès fournisseurs). Le choix du mode à retenir va lui plus dépendre des sensibilités de chaque organisation.

Certaines solutions PAM du marché sont nativement VPAM, car elles intègrent de base, un module de sécurisation des accès externes basé sur un modèle zero-trust. En mode On-premise, une solution telle que Systancia Cleanroom va répondre aux besoins de cybersécurité des accès fournisseurs. En mode SaaS, une plateforme comme cyberelements.io, va délivrer un service qui répond aux mêmes exigences. Ces solutions offrent un vrai « distinguo » entre les accès internes et les accès des fournisseurs car elles sont en mesure de réduire, sur les accès ZTNA du fournisseur, la surface exposée aux cyberattaques, ce qui limite les potentielles attaques sur la chaîne d'approvisionnement.

Pour répondre à la question « Qui doit porter le VPAM ? », il faut déjà s‘en poser deux autres :

1. « Ou va-t-on implémenter le VPAM ? »
2. « Qui en aura la responsabilité ? ». Le fournisseur ou le client ?

En fait, ça va grandement dépendre du type de clients. Les trois cas cités ici ne sont que des hypothèses, des possibilités, il ne faut pas le prendre pour argent comptant. Maintenant, ils représentent potentiellement des cas très concrets : 

• Pour des clients sans grande maitrise et sans trop de moyens : La solution VPAM est déployée chez le fournisseur, soit en hébergement ou en mode MSSP. Ça permet de mutualiser et de gérer un volume de petits comptes à administrer.
• Pour les clients avec la compétence et avec des moyens ou des obligations réglementaires plus strictes : La solution VPAM est déployée chez le client en mode on-premise. C’est le client qui gère les accès de ses fournisseurs.
• Pour les grands comptes : La solution VPAM est souvent déployée chez le fournisseur en mode on-premise. Certains grands comptes savent qu’ils doivent se doter d’une solution VPAM, mais les processus d’intégration dans ce type de compte sont généralement très longs à mettre en place. Ils demandent souvent à leurs fournisseurs de s’équiper eux-mêmes de la solution, le temps de...

Il ne faut pas seulement considérer une solution VPAM comme un centre de coût ou une « cyber-taxe » car elle apporte aussi son lot de bénéfices, en termes de gains opérationnels et financiers. Elle peut même, dans certains cas, s’autofinancer...

Ses apports sont multiples : 

• Gain de temps : Vous réduisez les temps affectés aux tâches d'administration de vos fournisseurs. Ils n’ont pas besoin de courir après les informations de connexion ou après les comptes d'administration, tout est centralisé et géré en toute transparence par la solution. Les actes d'administration sont plus rapides, vos coûts en sous-traitance peuvent diminuer.
• Simplification : Vous n’avez pas à vous préoccuper de la gestion du cycle de vie des comptes d’administration liés à vos fournisseurs. Ils n’ont plus connaissance des comptes d’accès aux ressources de votre système d'information car ils sont directement gérés par le coffre-fort de la solution. Vous vous affranchissez du temps à passer pour changer les mots de passe de l’ensemble des comptes à privilèges qui leurs étaient associés.
• Crédibilité : Vous avez-vous-même une solution de cyber qui vous protège et qui prouvent à vos clients ou prospects, que vous ne serez pas une menace pour leur sécurité. Votre crédibilité peut vous faire gagner des marchés.
• Protection : Comme vous vous protégez des potentielles attaques sur la chaîne d'approvisionnement, les risques de perturbations, voir même d'arrêts de production, liés à une attaque, sont limités et vous occasionneraient des pertes financières non négligeables.
• Justifications : En cas de complication ou de litiges à la suite à une action faite par votre fournisseur (service interrompu, arrêt de production, etc...), vous serez en mesure de déterminer et de justifier ses responsabilités en revisualisant l'enregistrement de sa sessions d'administration et au besoin, lui appliquer des pénalités financières à hauteur du préjudice subi.

En synthèse, les solutions VPAM font partie des meilleures approches pour sécuriser les accès des fournisseurs et limiter les potentielles attaques sur la chaîne d’approvisionnement. Elles contribuent au renfort de l'authentification des fournisseurs (MFA), mais elles peuvent également se prémunir des usurpations d'identités, en se couplant à une solution d’authentification biométrique comportementale comme « Neomia Pulse » par exemple. Cette technologie, basée sur l'intelligence artificielle (IA), renforce la sécurité de la chaîne en contrôlant en temps réel, le comportement de l'intervenant identifié (normalent le fournisseur), tout au long de sa session.

Nota : Vous pouvez consulter ce billet intéressant sur la biométrie comportementale.