Gestion des logins

Le principe du moindre privilège vise à donner aux utilisateurs tous les droits dont ils ont besoin pour faire leur travail, mais rien de plus. Cela empêche un compte compromis ou une machine infectée d'avoir accès aux données ou aux programmes.

Le modèle de moindre privilège pour l'accès à l'information permet de réduire la fenêtre d'attaque d'un compte corrompu sans nuire aux besoins quotidiens des utilisateurs. Il refuse l'accès aux données non pertinentes pour le profil de l'utilisateur.

Il existe peu de techniques à mettre en œuvre pour assurer le principe du moindre privilège :

  • Les RH devraient effectuer un audit des privilèges : En évaluant qui a accès à quoi concernant les privilèges en question, nous nous assurons que personne n'a accès à plus que ce qu'il devrait avoir. Ce processus devrait se faire régulièrement.
  • Tous les comptes devraient commencer avec le principe du moindre privilège : les privilèges élevés ne devraient être ajoutés que lorsque c'est nécessaire au lieu de commencer tous les comptes avec un accès admin.
  • Un délai doit suivre les privilèges élevés temporaires : les privilèges expirant et les identifiants à usage unique peuvent être utilisés dans ce contexte.
  • La séparation des privilèges doit être appliquée : les comptes standards doivent être séparés des comptes admin ainsi que les systèmes de niveau supérieur des comptes de niveau inférieur.

Comme le dit le NIST : " Les normes, les directives, les implémentations de référence et les programmes de validation liés à la vérification de l'identité personnelle (PIV) des employés et des entrepreneurs sont essentiels pour sécuriser l'accès aux dispositifs informatiques et aux installations physiques ".