Les organisations dédient beaucoup de temps et d’efforts à la protection de leurs réseaux contre les attaques extérieurs. Cependant, les menaces internes sont considérées comme l’un des risques les plus importants pour les données d’entreprise. Pour amoindrir efficacement les menaces internes et réduire la surface d’attaque d’un système d’information, un réseau doit être défini sur la base du « besoin de savoir » et du « besoin d’utilisation ».

En termes réels, cela désigne que les services informatiques doivent s’assurer que chaque utilisateur de leur entreprise ne peut se relier que conformément à la préautorisation accordée. Malheureusement, ce n’est généralement pas le cas.

Accès usagers incontrôlé – La métaphore du stade

Imaginez un stade de football. Une fois en possession d’un billet, vous pouvez entrer dans le stade à tout moment, par n’importe quelle entrée, regarder chaque match et rester aussi longtemps que vous le souhaitez.

C’est précisément ce à quoi ressemble un réseau Windows sans stratégie de contrôle d’accès usagers appropriée et appliquée. Les utilisateurs peuvent se connecter à tout moment, à partir de n’importe quel système ou appareil et à partir de plusieurs systèmes simultanément, rester connectés aussi longtemps qu’ils le souhaitent et répartir leurs informations d’identité avec leurs collègues ou même avec des tiers, sans risque de conséquence pour leur propre accès.

Restrictions d’accès – La nécessité de devenir granulaire

Les connexions forment la première ligne de défense d’un réseau Windows. Les droits de connexion doivent donc être accordés avec parcimonie en fonction des nécessités commerciales et de sécurité et du rôle de l’utilisateur au sein de l’organisation.

Cela compromet de définir des restrictions de connexion en fonction de divers critères. Ces restrictions doivent prendre en compte le type de session (poste de travail, terminal, services Internet, Wi-Fi / Radius ou VPN / RAS) et son application (effectuée sur une base ‘par utilisateur’, ‘par groupe d’utilisateurs’ ou unité organisationnelle Active Directory) pour concevoir une matrice complète de règles d’accès.

Plusieurs limites de connexion doivent être définies pour garantir que chaque utilisateur de l’organisation dispose des droits d’accès suffisants pour exécuter pleinement ses tâches, sans aucune restriction, mais pas plus.

Les connexions simultanées doivent être exclues (même identifiant, même mot de passe) ou strictement limitées à des situations spécifiques. Autoriser des sessions simultanées signifie que plusieurs postes de travail peuvent être bloqués par un usager, ce qui entrave le partage des ressources et peut facilement entraîner la corruption des profils itinérants et la création de conflits de version pour les fichiers hors connexion.

Les connexions résultant de plusieurs systèmes doivent également être limitées et les utilisateurs doivent uniquement se connecter au réseau à partir de leur propre poste de travail ou d’un ensemble prédestiné de postes de travail (par exemple, ceux situés dans leur département, leur étage, leur bâtiment, etc.).

Le temps est un autre élément critique de la sécurité de l’information. L’utilisateur moyen devrait pouvoir se connecter uniquement pendant les heures ouvrables, les exceptions étant gérées et contrôlées avec soin.

Rendre des utilisateurs légitimes responsables des actions illégitimes

Aucune série de mesures de sécurité n’est parfaite à 100% et un incident peut toujours se produire. Dans ce cas, la collecte et l’analyse des données relatives à l’historique d’activité de session d’un réseau Windows doivent être accomplies.

Cela réclame que tous les événements d’accès soient enregistrés et qu’une liste de connexion complète et précise (ouverture de session, verrouillage, déverrouillage, instances de fermeture de session, utilisateurs, domaines, postes de travail, etc.) soit toujours disponible pour faciliter des enquêtes informatiques judiciaires efficients.

Les organisations qui ont examiné à ce que l’accès aux ressources critiques soit octroyé à des employés individuels sont ensuite en mesure de mettre en œuvre de manière homogène les politiques et les procédures afin de remédier aux violations qui se produisent.