Points clés
- Les accès aux systèmes critiques constituent l'un des vecteurs d'attaque les plus exploités par les groupes cybercriminels et étatiques.
- Les comptes à privilèges non contrôlés, les accès distants non sécurisés et les comptes de service dormants sont les cibles prioritaires des attaquants.
- 82 % des violations de données impliquent des identifiants compromis ou une exploitation des privilèges selon Verizon DBIR 2023.
- La compromission de SolarWinds Orion a utilisé des tokens SAML forgés pour accéder aux systèmes critiques de 18 000 organisations sans déclencher d'alertes.
- CyberArk PAM et les recommandations ANSSI PA-022 définissent les contrôles d'accès privilegiés obligatoires pour les systèmes critiques.
Le contrôle des accès aux systèmes critiques est l'un des domaines où l'écart entre les bonnes pratiques documentées et la réalité opérationnelle est le plus fréquent. Les contraintes de disponibilité, les besoins de maintenance à distance, la rotation des équipes et les héritages d'architecture créent des configurations d'accès qui s'éloignent progressivement des exigences de sécurité. Ces écarts constituent les chemins d'attaque les plus exploités.
Pour la direction, la gestion des accès aux systèmes critiques n'est pas une décision technique : c'est un enjeu de gouvernance qui implique des arbitrages entre disponibilité opérationnelle et niveau de risque accepté. Ces arbitrages doivent être explicites, documentés et révisés régulièrement.
Les risques spécifiques des accès privilegiés
Les comptes à privilèges — administrateurs systèmes, comptes de service, comptes d'urgence — disposent de droits d'accès étendus qui en font des cibles de choix pour les attaquants. Une fois un compte privilegié compromis, l'attaquant dispose de la capacité de modifier des configurations, d'exfiltrer des données, d'installer des outils de persistance et de couvrir ses traces. La protection de ces comptes est donc prioritaire.
Les pratiques à risque les plus fréquentes incluent : le partage de comptes administrateurs entre plusieurs personnes (rendant la traçabilité impossible), l'utilisation de mots de passe non rotatifs sur des comptes de service, la maintenance d'accès distants permanents pour des prestataires (même lorsqu'ils ne sont pas en intervention), et l'existence de comptes d'urgence (break-glass) sans journalisation des utilisations.
L'authentification multifacteur sur les systèmes critiques
L'authentification multifacteur (MFA) est la mesure la plus efficace pour réduire le risque de compromission par credential stuffing, phishing ou vol d'identifiants. CISA recommande le déploiement de MFA sur l'ensemble des accès à des systèmes critiques comme mesure prioritaire. DORA impose une authentification forte pour tous les accès ICT aux fonctions critiques ou importantes.
La résistance au phishing des solutions MFA n'est pas uniforme : les SMS OTP sont vulnérables aux attaques SIM swapping ; les applications TOTP sont vulnérables aux attaques adversary-in-the-middle (AiTM). Les solutions FIDO2/WebAuthn et les clés de sécurité matérielles sont les seules formes de MFA résistantes au phishing, recommandées par NIST SP 800-63B pour les accès aux systèmes à haute criticité.
La gestion du cycle de vie des accès
Les accès aux systèmes critiques doivent suivre un cycle de vie rigoureux : création sur demande formelle approuvée, revue trimestrielle des droits en place, révocation immédiate lors des départs et changements de fonction. Ce processus, désigné Identity Lifecycle Management, est une exigence de NIS2 pour les entités essentielles et de DORA pour les entités financières.
Les revues d'accès (access certification) sont l'un des contrôles les plus efficaces pour détecter les dérives de droits (privilege creep) où des utilisateurs accumulent progressivement des accès qui dépassent leurs besoins fonctionnels. Les systèmes IAM (Identity and Access Management) automatisent ce processus en générant des flux de recertification à intervalles réguliers.
Les attaquants (APT29/Cozy Bear) ont forgé des tokens SAML leur permettant d'usurper l'identité de n'importe quel utilisateur dans les environnements Microsoft 365 des organisations compromises. Cette technique, dite Golden SAML, exploitait les clés de signature des identity providers on-premise synchronisées avec Azure AD. Les tokens forgés accordaient des accès aux systèmes critiques cloud sans déclencher d'alertes MFA, car les tokens étaient techniquement valides. L'attaque a duré neuf mois sans détection dans la plupart des organisations.
L'attaque Twitter de 2020, exécutée par des hackers utilisant des techniques d'ingénierie sociale sur le support interne, a permis d'accéder aux outils d'administration des comptes de personnalités et d'institutions. L'investigation a révélé l'absence de ségrégation des droits dans les outils d'administration, permettant à un agent de support d'accéder à des fonctions réservées normalement aux équipes de sécurité. LAPSUS$ a utilisé des techniques similaires en 2022 pour compromettre Microsoft, Samsung, Nvidia via des accès privilegiés obtenus par manipulation d'employés.
Les attaquants ont obtenu des accès legitimes au terminal SWIFT de la Bangladesh Bank en compromettant des identifiants d'opérateurs. Une fois dans le système, ils ont utilisé ces accès pour installer des maliciels supprimant les confirmations de transactions et altérant les journaux. L'absence de contrôle des accès privilegiés — comptes partagés, absence de MFA sur le terminal SWIFT, droits excessifs accordés aux opérateurs — est l'une des causes racines identifiées par l'investigation BAE Systems / Swift.