Face à l’évolution rapide du paysage informatique, la plupart des entreprises s’appuient fortement sur des systèmes informatiques pour rationaliser les opérations et rester compétitives. Si certains de ces systèmes sont gérés et sécurisés par les équipes informatiques et de sécurité, un nombre croissant d’entre eux ne le sont pas, car ils ne sont pas officiellement approuvés. On parle souvent de systèmes non approuvés (Shadow IT), de clouds fantômes, de VPN fantômes et de gestionnaires de mots de passe fantômes.
À cette liste s’ajoutent les administrateurs fantômes – des individus qui ont un rôle administratif ou à privilèges au sein de systèmes informatiques spécifiques, mais qui n’ont pas été formellement autorisés à disposer de ces privilèges. Cet article de blog explique pourquoi les administrateurs fantômes sont aussi dangereux et ce que vous pouvez faire pour vous en prémunir.
Qui sont les administrateurs informatiques fantômes ?
Les administrateurs informatiques fantômes possèdent généralement une expertise technique ou fonctionnelle. Ils peuvent donc installer, configurer ou gérer certains services. Bien souvent, ces administrateurs agissent par volonté de répondre à des besoins métier immédiats. Toutefois, ils disposent rarement d’un plan pour la gestion à long terme. Par ailleurs, ils ne tiennent généralement pas compte des exigences de l’entreprise en matière de gouvernance, de gestion des risques et de conformité. Par conséquent, leurs actions peuvent engendrer des risques importants pour l’entreprise, en particulier s’ils ne maîtrisent pas les bonnes pratiques de sécurité ou les règles de l’entreprise en matière de gouvernance, de gestion des risques et de conformité. Que se passe-t-il s’ils gèrent des systèmes contenant des données sensibles ou prenant en charge des processus stratégiques ?
Pourquoi existe-t-il des administrateurs informatiques fantômes ?
On observe généralement l’émergence d’administrateurs fantômes lorsque des personnes sont frustrées par les priorités et processus officiels en matière d’acquisition et de gestion informatiques. Voici quelques problèmes courants :
- Longs délais de réponse du département informatique. Les équipes fonctionnelles au sein d’une entreprise peuvent avoir besoin d’une solution informatique immédiatement, mais constater que le département informatique est enlisé dans de longs processus d’approbation ou d’interminables files d’attente de déploiement.
- Manque de ressources. Les départements informatiques peuvent ne pas disposer de la bande passante nécessaire pour répondre à toutes les demandes, ce qui peut conduire des collaborateurs ou des départements à prendre les choses en main.
- Besoins non satisfaits. Les divisions opérationnelles et les administrateurs fantômes associés introduisent souvent des services ou des systèmes qu’ils estiment plus utiles que ceux auxquels ils peuvent accéder via les systèmes approuvés et pris en charge.
- Innovation et agilité. Dans certains cas, les administrateurs informatiques fantômes sont motivés par une volonté d’innovation. Ils peuvent introduire de nouveaux outils ou de nouvelles technologies susceptibles de faire avancer l’entreprise, mais qui le font en dehors de la structure informatique officielle. Ils prennent donc en charge l’administration informatique du système non approuvé.
Les risques associés aux administrateurs informatiques fantômes
Bien que les administrateurs informatiques fantômes soient généralement animés de bonnes intentions, ils peuvent involontairement exposer l’entreprise à divers risques. Les cybercriminels peuvent exploiter ces comptes pour effectuer des actions à privilèges, comme créer des portes dérobées, modifier les paramètres de sécurité, exfiltrer des données sensibles ou démanteler des systèmes. Les cyberpirates peuvent également utiliser ces comptes pour dissimuler leurs activités. Cela leur permet d’échapper à toute détection, de façon à conserver le contrôle du système compromis.
Les administrateurs fantômes engendrent également des risques associés à Active Directory. Les cybercriminels peuvent utiliser des comptes administrateur fantômes dans Active Directory pour prendre le contrôle de services d’annuaire, réinitialiser des mots de passe et élever leurs privilèges. En outre, en identifiant ces comptes, les cyberpirates peuvent élever leur niveau d’accès – et n’ont souvent pas besoin d’exploits supplémentaires pour le faire. L’une des raisons pour lesquelles les comptes administrateur fantômes sont aussi dangereux est qu’ils sont souvent détectés longtemps après leur exploitation.
L’attaque de Microsoft par Midnight Blizzard est un exemple récent très médiatisé de compromission impliquant le Shadow IT et des comptes administrateur fantômes.
Six façons dont les administrateurs fantômes engendrent des risques pour les entreprises
Les administrateurs fantômes peuvent avoir un impact dans six domaines.
1. Vulnérabilités de sécurité
Les administrateurs informatiques fantômes contournent souvent les processus de sécurité critiques qui ont été configurés par le département informatique. Cela peut engendrer divers risques de sécurité, notamment :
- Contrôles d’accès insuffisants. Les administrateurs informatiques fantômes peuvent s’octroyer des autorisations excessives pour des applications ou des données, ou en accorder à d’autres personnes. Cela peut permettre des accès non autorisés ou créer des portes dérobées d’accès à des systèmes critiques. Cette approche est problématique, non seulement car ces administrateurs fantômes ne disposent pas d’une supervision adéquate, mais aussi parce que les cybercriminels adorent prendre le contrôle de ces comptes utilisateur.
- Systèmes mal configurés. Lorsque les administrateurs informatiques fantômes n’utilisent pas les configurations de sécurité adéquates, ils peuvent créer des systèmes mal configurés, ce qui augmente le risque d’exploitation par des cyberpirates.
2. Compromissions et pertes de données
De nombreux services non approuvés impliquent le traitement de données sensibles, qui peuvent prendre la forme de dossiers financiers, d’éléments de propriété intellectuelle ou d’informations client. Lorsque les administrateurs informatiques fantômes gèrent ces données sans assurer une supervision adéquate, cela augmente les risques suivants :
- Fuites de données. Les systèmes ou applications configurés par les administrateurs informatiques fantômes peuvent ne pas être chiffrés correctement, ne pas disposer de contrôles d’accès appropriés ou ne pas être suffisamment surveillés. Cela entraîne des fuites de données ou le partage d’informations confidentielles de manières non autorisées.
- Pertes de données. Si les administrateurs fantômes ne sauvegardent pas correctement les systèmes, ou qu’ils stockent des données dans des environnements non sécurisés tels que des services cloud personnels, l’entreprise risque de perdre des données stratégiques en cas de défaillance du système ou de cyberattaque, par exemple par un ransomware.
3. Non-conformité aux réglementations
Pour les entreprises qui doivent respecter des normes réglementaires, comme le RGPD, la loi HIPAA ou la norme SOC 2, les administrateurs informatiques fantômes peuvent engendrer d’importants problèmes de conformité. Étant donné que les systèmes et les comptes fantômes ne font souvent pas l’objet des mêmes vérifications et audits rigoureux que les systèmes informatiques officiels, ils peuvent ne pas satisfaire les exigences de sécurité ou de confidentialité requises pour respecter les réglementations. Cela peut avoir les conséquences suivantes :
- Sanctions juridiques et financières. Lorsque les entreprises ne respectent pas les réglementations, elles peuvent s’attendre à encourir des amendes, à rencontrer des problèmes juridiques et à voir leur réputation ternie.
- Absence de pistes d’audit. Les systèmes fantômes peuvent ne pas disposer des processus de journalisation ou de surveillance requis. Cela complique le suivi des mouvements et des modifications de données, ce qui peut être problématique lors d’un audit ou d’une investigation numérique.
4. Inefficacité opérationnelle
Les comptes administrateur fantômes peuvent résoudre des problèmes immédiats. Toutefois, leur existence permanente peut engendrer des inefficacités opérationnelles à long terme :
- Morcellement des données. Les administrateurs informatiques fantômes introduisent souvent des systèmes qui ne s’intègrent pas bien à l’infrastructure informatique centrale. Le stockage de données est donc fragmenté et l’utilisation de données entre les départements n’est pas simple.
- Processus incohérents. Lorsque plusieurs équipes utilisent des outils différents et non approuvés, les workflows présentent souvent des incohérences. Il est donc plus difficile pour l’entreprise de rationaliser les processus ou d’obtenir une vue unifiée des opérations métier.
5. Difficultés liées à la réponse aux incidents
En cas de cyberattaque ou de compromission de données, le département informatique peut prendre beaucoup plus de temps à intervenir si des administrateurs informatiques fantômes doivent être impliqués. Étant donné que les services et les comptes fantômes ne sont généralement pas documentés ni surveillés, l’équipe informatique peut ne pas avoir connaissance de tous les systèmes affectés ni des personnes qui doivent être impliquées dans une intervention. Ce manque de visibilité peut grandement retarder les efforts de réponse aux incidents et de confinement, ce qui augmente les dégâts occasionnés par les incidents de sécurité.
6. Augmentation de la charge informatique
Lorsque des systèmes non approuvés et des administrateurs fantômes associés sont identifiés, les équipes informatiques doivent passer par un processus chronophage d’intégration : audits, sécurisation et intégration de ces systèmes aux systèmes et processus informatiques officiels, etc. Ces tâches non prévues viennent s’ajouter à la charge de travail de l’équipe informatique. En outre, elles utilisent des ressources précieuses qui auraient pu être allouées à des projets plus stratégiques et augmentent les coûts opérationnels.
Sortir les administrateurs fantômes de l’ombre
Pour réduire les risques associés aux administrateurs informatiques fantômes, plusieurs stratégies proactives s’offrent aux équipes informatiques et de sécurité :
- Amélioration de la visibilité et de la surveillance. Utilisez des outils tels que des solutions de gestion du niveau de sécurité des applications SaaS (SSPM), de prévention des fuites de données (DLP) et de détection et de neutralisation des menaces liées aux identités (ITDR) pour obtenir une visibilité sur les services non approuvés et les administrateurs fantômes.
- Application de contrôles d’accès. Mettez en œuvre des services de gestion des accès à privilèges (PAM) et d’authentification centralisée associés à l’authentification multifacteur (MFA) et l’authentification unique (des services proposés par des fournisseurs d’identité) pour vous assurer que seules les personnes autorisées peuvent endosser le rôle d’administrateur informatique.
- Définition de règles informatiques claires. Élaborez et communiquez des règles claires qui définissent quels services et systèmes informatiques sont approuvés. Ensuite, assurez-vous que tous les collaborateurs comprennent les risques associés au Shadow IT. Assurez-vous également qu’ils disposent d’un moyen simple de faire remonter les priorités informatiques clés afin qu’ils n’aient pas l’impression de devoir s’en remettre au Shadow IT à l’avenir. Soyez toutefois réaliste : le Shadow IT et les administrateurs fantômes associés ne sont pour le moment pas près de disparaître.
Conclusion
Bien que les administrateurs informatiques fantômes pensent agir dans l’intérêt de leur entreprise, ils peuvent engendrer des risques importants qui mettent en péril sa sécurité, sa conformité et ses activités. En prenant des mesures proactives pour gérer et réduire ces risques, les entreprises peuvent renforcer leur protection.
Chez Proofpoint, nous investissons constamment dans nos produits et services pour aider nos clients à identifier et à neutraliser les systèmes non approuvés et les administrateurs fantômes avant que leur entreprise n’en fasse les frais. Voici deux de nos solutions :
- Proofpoint Account Takeover Protection signale l’utilisation d’applications tierces non approuvées et malveillantes et y remédie dans le cadre de la détection et de la neutralisation des prises de contrôle de comptes.
- Proofpoint Identity Threat Defense est notre solution ITDR. Elle identifie et guide la neutralisation des comptes administrateur fantômes dans Active Directory ainsi qu’auprès de plusieurs fournisseurs d’identité cloud dans le cadre de ses fonctionnalités globales.
Proofpoint prévoit d’autres nouveautés dans ce domaine en 2025. Pour en savoir plus sur nos solutions de sécurité des identités, consultez cette page Web.