En 2022, la sécurité est une priorité absolue pour toutes les organisations, y compris les entreprises et les écoles utilisant des Mac. Bien que très sécurisés, les Mac sont toujours vulnérables aux menaces, y compris les attaques de phishing et les logiciels malveillants. La sécurité n’est plus une préoccupation technologique. C’est désormais une affaire commerciale. La plupart des discussions sur la sécurité sur macOS tournent autour des mises à jour logicielles, des logiciels de sécurité des terminaux et d’autres sujets de haut niveau.

Ce qui n’est pas assez évoqué, ce sont les privilèges des utilisateurs. Chaque RSSI doit demander à ses équipes informatiques si les utilisateurs finaux s’exécutent en tant qu’administrateurs locaux sur leurs Mac. Si c’est le cas, ils doivent demander à l’équipe si c’est nécessaire par rapport aux risques critiques que les privilèges élevés peuvent créer.

Voici l’essentiel : les utilisateurs de Mac n’ont pas besoin d’avoir des pouvoirs administratifs 24h/24 et 7j/7.

Du point de vue informatique de macOS, la bonne gestion de cette partie de votre déploiement et de votre gestion continue peut constituer une part importante de la sécurité de vos Mac. Surtout dans un environnement de travail à distance et hybride, les administrateurs informatiques peuvent ne pas avoir le contrôle du réseau local comme dans un environnement de bureau traditionnel. Le nouveau modèle de travail indique que les meilleures pratiques de sécurité doivent évoluer. Au lieu de se concentrer sur la sécurité du réseau d’entreprise, le point de terminaison (c’est-à-dire l’appareil) est désormais essentiel à votre objectif de sécurité.

Vous pourriez penser, « eh bien, bien sûr, mes utilisateurs ont besoin d’un accès de niveau administrateur sur leur machine locale. Je ne suis pas là pour les aider s’ils se trouvent dans une situation où ils ont besoin d’un compte administrateur. Vous avez peut-être raison, mais cet état d’esprit crée également des conséquences potentielles sur la sécurité.

Les administrateurs peuvent créer et gérer d’autres comptes d’utilisateurs, installer des logiciels, modifier les paramètres système, désactiver les fonctionnalités de sécurité critiques, accéder à tous les fichiers sur le Mac et bien plus encore. En fin de compte, un administrateur local peut modifier n’importe quel paramètre, installer n’importe quoi et faire à peu près tout ce qu’il veut.

Sur cette base, les comptes administrateur sont les cibles idéales pour les pirates, car une fois qu’un Mac est compromis alors que l’utilisateur s’exécute en tant qu’administrateur, le logiciel malveillant (et le pirate) hériteront de la même capacité à effectuer toutes les actions disponibles pour un administrateur. Cela équivaut à avoir dans votre poche la totalité de votre compte d’épargne en espèces si vous n’avez besoin de dépenser que 10 $. Vous demandez simplement des ennuis.

Comme vous pouvez le voir, il y a beaucoup de responsabilité lorsque vous choisissez d’exécuter en tant qu’utilisateur avec des privilèges administratifs.

La réaction immédiate à la compréhension de cette réalité est simplement de forcer les utilisateurs à utiliser un compte standard avec un accès limité au système. Par conséquent, l’exécution en tant qu’utilisateur standard permet de protéger votre Mac contre de graves dommages s’il est infecté par des logiciels malveillants. De plus, moins d’autorisations accordées à l’utilisateur garantissent moins de risques de modifications indésirables et de mauvaises configurations.

Dans un monde parfait, les utilisateurs devraient toujours continuer à fonctionner en tant qu’option d’utilisateur la moins privilégiée sur l’appareil. L’utilisateur peut avoir besoin d’installer une application sur son Mac qui nécessite des privilèges d’administrateur ou d’apporter des modifications au système de fichiers, mais ces besoins sont rares.

Soyons honnêtes, combien de nouvelles applications installez-vous manuellement chaque mois ? Les exigences administratives sont encore plus inutiles dans l’environnement professionnel, étant donné que les applications et les configurations sont normalement déployées automatiquement via une solution MDM, éliminant ainsi tout besoin d’actions manuelles de la part de l’utilisateur final.

Cependant, dans des cas spécifiques, l’utilisateur peut avoir un besoin justifié de privilèges de niveau administrateur pour résoudre un problème potentiel, modifier les autorisations des applications, avoir un meilleur contrôle sur les mises à jour logicielles et plus encore. Après des recherches approfondies, Mosyle a déterminé que l’utilisateur moyen de Mac a besoin de privilèges de niveau administrateur pendant environ cinq minutes. par mois. Non, pas par heure, pas par jour – PAR MOIS.

Et à cause de ces cinq minutes exceptionnelles par mois, les utilisateurs se voient accorder des privilèges d’administrateur en permanence, ce qui crée un risque matériel de sécurité disproportionné par rapport aux besoins réels de l’entreprise.

Alors, comment résoudre ce dilemme ? Comment pouvez-vous vous assurer que les utilisateurs peuvent avoir des privilèges d’administrateur uniquement lorsqu’ils en ont besoin et pour la période où ils en ont réellement besoin ?

Début 2022, Mosyle a finalement résolu ce problème. La société a créé une nouvelle solution « Admin On-Demand » qui permet au service informatique de permettre à ses utilisateurs de fonctionner en tant qu’administrateur pendant une période prédéfinie et de revenir automatiquement à un utilisateur standard.

Avec Admin On-Demand de Mosyle, les utilisateurs ont un accès administrateur complet lorsque ils en ont besoin. Mosyle Admin On-Demand convertira automatiquement les utilisateurs administrateurs en utilisateurs standard et n’autorisera que les utilisateurs autorisés à augmenter temporairement leurs privilèges d’utilisateur uniquement en cas de besoin. Pendant la période d’escalade, l’administration à la demande de Mosyle capturera des journaux système détaillés et reconvertira automatiquement l’utilisateur à un niveau d’accès de sécurité standard à la fin de la période.

Avec Admin On-Demand, les administrateurs informatiques peuvent contrôler le nombre d’élévations de privilèges par jour, la durée autorisée et demander à l’utilisateur de justifier la mise à niveau.

L’administration à la demande de Mosyle offre aux équipes informatiques l’équilibre parfait entre la sécurisation des Mac et la garantie que les employés peuvent profiter d’une utilisation totale de leurs appareils.

Admin On-Demand est disponible dans Mosyle Fuse, une solution innovante qui révolutionne le marché de la gestion et de la sécurité des entreprises Apple. Mosyle Fuse combine le MDM Apple le plus complet du marché, des outils de sécurité des terminaux sophistiqués, les seules solutions de confidentialité et de sécurité Internet conçues pour les appareils Apple, l’authentification unique au niveau de l’appareil et la gestion automatisée des applications pour macOS, iOS et iPadOS.

Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :