Alors que le travail diminue avec le ralentissement typique de fin d’année, c’est le bon moment pour revoir les rôles et les privilèges des utilisateurs, supprimer toute personne qui ne devrait pas y avoir accès et supprimer les autorisations inutiles. En plus d’économiser certains frais de licence inutiles, un inventaire d’utilisateurs propre améliore considérablement la sécurité de vos applications SaaS. De la réduction des risques à la protection contre les fuites de données, voici comment commencer la nouvelle année avec une liste d’utilisateurs propre.
Comment les utilisateurs exclus Toujours Ayez accès à vos applications
Lorsque les employés quittent une entreprise, ils déclenchent dans leur sillage une série de changements dans les systèmes back-end. Tout d’abord, ils sont supprimés du fournisseur d’identité (IdP) de l’entreprise, ce qui déclenche un flux de travail automatisé qui désactive leur messagerie et supprime l’accès à tous les systèmes internes. Lorsque les entreprises utilisent un SSO (authentification unique), ces anciens employés perdent l’accès à toutes les propriétés en ligne – y compris les applications SaaS – qui nécessitent le SSO pour la connexion.
Cependant, cela ne signifie pas que les anciens employés ont été totalement privés de toutes les applications SaaS. Les entreprises doivent désactiver ou supprimer manuellement des utilisateurs de leurs applications SaaS pour toutes les applications qui ne sont pas connectées au SSO, ainsi que pour tout utilisateur disposant d’un accès local à une application connectée au SSO. Ce problème est particulièrement aigu avec les utilisateurs disposant de privilèges élevés. De nombreuses applications nécessitent un accès local au cas où le SSO se déconnecterait.
Tout utilisateur exclu ayant accès aux applications SaaS d’entreprise conserve la possibilité de se connecter et d’utiliser l’application. Cela signifie qu’ils peuvent télécharger des données, apporter des modifications, supprimer des fichiers ou même partager leurs identifiants de connexion avec des concurrents.
Assurez-vous de dimensionner correctement les autorisations
Accorder des autorisations excessives à un utilisateur élargit inutilement la surface d’attaque et introduit inutilement un niveau de risque plus élevé pour l’application. Ce sont les autorisations de l’utilisateur qui contrôlent le niveau d’accès de chaque employé à une application. Si un compte utilisateur était compromis, l’auteur de la menace bénéficierait du même niveau d’accès que l’utilisateur compromis.
Un chef d’équipe aura probablement besoin d’autorisations administratives pour ajouter de nouveaux utilisateurs, ouvrir des projets et contrôler l’utilisation de l’application. Les employés utilisant l’application peuvent avoir besoin d’autorisations de lecture/écriture pour remplir leur rôle, tandis que le personnel d’assistance peut n’avoir besoin que d’autorisations de lecture ou de la possibilité de télécharger des rapports.
Alors que l’année touche à sa fin, c’est le bon moment pour revoir les autorisations des utilisateurs et s’assurer qu’elles correspondent à leur rôle. Les entreprises doivent mettre en œuvre le principe du moindre privilège (POLP) pour garantir que les employés disposent du niveau d’accès approprié pour faire leur travail. Pour les applications qui incluent des fonctionnalités de groupe, attribuez des utilisateurs similaires à des groupes dotés d’autorisations prédéfinies afin de standardiser les ensembles d’autorisations. Pour les autres applications, il est utile de revoir les autorisations des utilisateurs et de limiter l’accès aux fonctionnalités nécessaires uniquement.
Éliminer les comptes dormants
Les comptes dormants, c’est-à-dire les comptes inutilisés, appartiennent généralement à l’une des trois catégories suivantes.
- Comptes administrateur – utilisés pour configurer initialement l’application, souvent par plusieurs utilisateurs. Ces comptes dormants bénéficient de larges privilèges.
- Comptes internes inutilisés – comptes des employés qui n’ont plus besoin ou n’utilisent plus l’application. L’accès est basé sur le rôle de l’employé.
- Comptes externes inutilisés – comptes d’utilisateurs externes qui ne sont pas utilisés. Cet accès est basé sur les autorisations accordées à l’utilisateur.
Le risque inhérent à ces comptes est important. Les comptes d’administrateur utilisés par plusieurs utilisateurs ont tendance à avoir des noms d’utilisateur et des mots de passe faciles à retenir et un accès local. C’est une combinaison prête à être abusée. Les comptes d’employés inutilisés pourraient donner accès aux acteurs malveillants à la suite d’une attaque de phishing, où l’employé ne se souvient même pas de toutes les applications auxquelles il a accès. Pendant ce temps, les équipes de sécurité n’ont aucune visibilité sur les utilisateurs externes et ne savent pas s’ils sont toujours impliqués dans le projet.
Alors que les entreprises traversent la période des fêtes, il leur incombe d’examiner les comptes dormants et de prendre les mesures nécessaires pour enquêter et évaluer leurs risques. Lorsque cela est indiqué, ces comptes doivent être désactivés ou annulés.
Mettre en œuvre la prévention du partage de compte
Lorsque les équipes utilisent un nom d’utilisateur partagé pour réduire les frais de licence, elles créent sans le savoir un risque de sécurité supplémentaire. Les comptes partagés sont presque impossibles à sécuriser entièrement. À mesure que les employés rejoignent et quittent l’équipe, le nombre d’utilisateurs connaissant les informations d’identification du compte augmente. De plus, l’utilisation d’une connexion partagée empêche l’utilisation de MFA et SSO, deux outils critiques utilisés pour sécuriser les applications SaaS.
Les comptes partagés rendent également difficile la détection des menaces provenant d’un compte. Les données utilisées pour détecter les menaces sont basées sur une utilisation normale. Toutefois, si un compte est souvent consulté à partir de plusieurs emplacements, il est peu probable qu’il déclenche une alerte s’il est accédé par un acteur menaçant.
Bien qu’il ne soit pas facile de détecter les comptes partagés, les entreprises peuvent mettre en place des mesures pour empêcher et détecter le partage de comptes. Exiger MFA ou SSO, par exemple, rend difficile le partage de comptes pour les utilisateurs. Les équipes de sécurité peuvent également examiner les analyses du comportement des utilisateurs qui indiquent le partage de compte. La surveillance des connexions par adresse IP ou l’examen attentif des analyses du comportement des utilisateurs sont deux façons de détecter les noms d’utilisateur partagés.
Prendre le temps dès maintenant de découvrir les comptes partagés contribuera à garantir la sécurité des applications SaaS au cours de l’année à venir et à long terme.
Pour le guide complet d’offboarding, cliquez ici.
Automatisation de la surveillance et de la gestion des utilisateurs
Examiner manuellement les listes d’applications et les comparer à l’IdP est une tâche fastidieuse. Il en va de même pour la vérification des autorisations, l’examen des comptes dormants et la recherche de signes de partage de compte. L’introduction d’une plateforme SaaS Security Posture Management (SSPM) automatise le processus.
Figure 1 : L’inventaire des utilisateurs peut fournir un aperçu approfondi de chaque utilisateur SaaS |
Utiliser un SSPM inventaire des utilisateurs, comme Adaptive Shield, les entreprises peuvent identifier rapidement les comptes d’utilisateurs qui n’ont pas été consultés pendant une période de temps définie, trouver des utilisateurs externes disposant d’ensembles d’autorisations élevés et détecter les utilisateurs qui ont été supprimés de l’IdP. Les SSPM sont également capables d’associer les utilisateurs à des appareils pour limiter davantage les risques.
Alors que vous vous préparez pour 2024, l’introduction d’un SSPM est le moyen le plus efficace et le plus efficient de surveiller les utilisateurs et de savoir qui a accès à quoi au sein de votre pile SaaS.