Saviez-vous qu’en empêchant l’accès aux comptes d’administrateurs, vous pourriez protéger tous les ordinateurs sous votre direction et également prévenir les attaquants d’exploiter 94% de toutes les vulnérabilités critiques que Microsoft a réparées pendant la dernière année?

C’est la conclusion d’une étude réalisée par Avecto, société de cyber-sécurité, qui avait déjà réalisé une étude au même sujet en 2015, découvrant que les sysadmin pourraient mitiger 86% de toutes les vulnérabilités résolues par Microsoft en 2015 seulement en désactivant les droits d’administrateur.

La suppression des droits d’administrateur bloque toutes les menaces de sécurité de IE, Edge et Office 2016

L’étude réalisée par Avecto en 2016 relève un autre aspect encore plus intéressant : si les sysadmins avaient forcé les utilisateurs d’utiliser un compte “peu privilégié” (low-privileged account) à la place de leur profil administrateur, ils auraient pu mitiger 100% des vulnérabilités critiques de IE et du navigateur Microsoft Edge (vulnérabilités résolues pendant la dernière année).

Le même seuil de 100% est valable pour Office 2016 et nous montre encore une fois le grand nombre de menaces de sécurité qu’un administrateur de système pourrait réduire s’il utilisait une bonne pratique de gestion des utilisateurs.

Les temps ont changé. La suppression des droits d’administrateur et le contrôle des applications ne sont plus des tâches difficiles à réaliser.

dit Mark Austin, co-fondateur et co-CEO chez Avecto, en partageant l’avis de Sami Laiho, un célèbre spécialiste en sécurité Windows (lien)

Dans le graphique ci-dessous vous ne trouverez pas les menaces de sécurité de niveau moyen et bas tout simplement parce que leur impact avait déjà été considéré comme insuffisant pour recevoir une classification “critique” quel que soit le niveau d’accès de l’utilisateur.

 

Trends 2013-2016 menaces de sécurité

La conclusion simple de l’étude Avecto est que les entreprises et les utilisateurs pourrait éviter les infections malware et les compromis réseau s’ils suivaient l’exemple des utilisateurs Linux et ne pas utiliser leurs comptes admin comme des profils de base.