1. Accueil
  2. Cybersecurité
  3. How-To : Pourquoi un utilisateur ne doit pas être admin de son poste de travail ?

How-To : Pourquoi un utilisateur ne doit pas être admin de son poste de travail ?

How-To : Pourquoi un utilisateur ne doit pas être admin de son poste de travail ?

En tant que RSSI j'ai été confronté à cette problématique et je me suis souvent attiré les foudres de mes collègues. 

1 - Je vous explique pourquoi ? 

Un utilisateur avertit pensera toujours qu'il maitrise suffisamment son outils de travail pour être administrateur et et que c'est un droit ou un acquis d'installer des logiciels de provenance parfois douteuse sur son poste de travail.

Le collaborateur est sachant dans son domaine métier et n'a pas forcément la vision de ce qui est fait dans l'entreprise, ses outils, les processus et encore moins comment sont gérées les infrastructures IT au sein de l'entreprise.

Même s'il est couramment sensibilisé aux risques cyber et aux bonnes pratiques, Il n'a pas forcement cette sensibilité qui lui permettrait d'être totalement alerte lorsqu'il installera un logiciel, face aux erreurs accidentelles et autres menaces de sécurités.

2 - Les risques de compromission du poste de travail

Le but n'est pas d'empêcher le collaborateur de travailler mais de limiter les risques potentiels de compromission du PC par un malware ou autre logiciels malveillants qui pourrait ouvrir des backdoor à un hacker.

Il n’est avant tout pas recommander d'utiliser un compte administrateur comme compte principal sur un poste de travail pour des raisons de sécurité.
Les comptes administrateurs ont un accès complets et des privilèges élevés sur le system, ce qui signifie qu'ils peuvent apporter des modifications critiques, installer ou désinstaller des logiciels, et effectuer d'autres actions potentiellement dangereuses.

3 - Difficulté de journalisation

Quand on est admin de son poste L’événement 4672 est difficilement contrôlé et il sera également difficile d'interpréter les actions liées à cet évènement comme étant légitimes  : C'est un événement de sécurité Windows qui se produit lorsqu’un utilisateur se connecte à un ordinateur et qu’un des privilèges sensibles suivants est affecté à la nouvelle session d’ouverture de session : 

  • SeTcbPrivilege, 
  • SeBackupPrivilege, 
  • SeCreateTokenPrivilege, 
  • eDebugPrivilege, 
  • SeEnableDelegationPrivilege, 
  • SeImpersonatePrivilege, 
  • SeLoadDriverPrivilege, 
  • SeSecurityPrivilege, 
  • SeSystemEnvironmentPrivilege, 
  • SeTakeOwnershipPrivilege ou SeRestorePrivilege

Cet événement est généré pour les nouvelles ouvertures de session de compte si l’un des privilèges sensibles mentionnés ci-dessus est affecté à la nouvelle session d’ouverture de session.

4 - Contournement des mesures de sécurités

Un utilisateurs qui est admin de son PC peux très facilement reconfigurer ces accès, modifier les configurations de sécurité (journalisation, gestion des GPO, désactivation de services de sécurité (firewall, antivirus), désinstaller des applications nécessaires au bon fonctionnement du poste de travails. => Et donc contourner la politique de sécurité de l'entreprise :(

5 - En bonne pratique

Il est donc clairement conseillé d'avoir 2 comptes : 

  • 1 compte pour les taches courantes,
  • 1 compte pour les taches d'exploitation/administration du poste de travail

Les mot de passes devront être différents et sensibles à la casse, pour chaque compte que vous utiliserez (idem pour les applications métiers).

Sachant que dans les entreprises disposant des services d'une DSI, les taches d'exploitations et d'administrations sont en général automatisés via des outils dédiés (SSCM, WSUS, etc.) et gérés par les équipes Technicien/sysadmin/ingénieurs de la DSI.



Les Enjeux de la Cybersécurité des JO de Paris 2024
Risques liés à l'informatique quantique et aux systèmes d'intelligence artificielle (IA) ?
Qu'est ce qu'un DeepFake