Gestion des accès privilégiés
La gestion des accès privilégiés (PAM) fait référence à une classe de solutions qui aident à sécuriser, contrôler, gérer et surveiller les accès privilégiés aux actifs critiques.
Pour atteindre ces objectifs, les solutions PAM prennent généralement les informations d’identification des comptes privilégiés – c’est–à-dire les comptes d’administration – et les placent dans un référentiel sécurisé (un coffre-fort) isolant l’utilisation des comptes privilégiés pour réduire le risque de vol de ces informations d’identification. Une fois dans le référentiel, les administrateurs système doivent passer par le système PAM pour accéder à leurs informations d’identification, à quel point ils sont authentifiés et leur accès est enregistré. Lorsqu’un justificatif d’identité est réenregistré, il est réinitialisé pour s’assurer que les administrateurs doivent passer par le système PAM la prochaine fois qu’ils souhaitent utiliser le justificatif d’identité.
En centralisant les informations d’identification privilégiées en un seul endroit, les systèmes PAM peuvent leur assurer un haut niveau de sécurité, contrôler qui y accède, enregistrer tous les accès et surveiller toute activité suspecte.
La gestion des accès privilégiés par Gartner comprend les sous-catégories suivantes :
- Gestionnaire de mots de passe d’accès partagé (SAPM)
- Gestionnaire de mots de passe superutilisateur (SUPM)
- Gestionnaire de sessions privilégiées (PSM)
- Gestionnaire de mots de passe d’accès aux applications (AAPM)
Les coffres de mots de passe PAM (SAPM) fournissent une couche supplémentaire de contrôle sur les administrateurs et les stratégies de mot de passe, ainsi que la surveillance des pistes d’accès privilégié à systèmes critiques.
Les mots de passe peuvent suivre un certain nombre de règles de mot de passe et peuvent même être jetables. Les courtiers de session, ou PSM, font passer PAM à un autre niveau, en veillant à ce que les administrateurs ne voient jamais les mots de passe, leurs serveurs proxy durcis tels que les serveurs jump surveillent également les sessions actives et permettent aux réviseurs d’arrêter les sessions d’administration s’ils voient quelque chose de mal. De même, les AAPM peuvent libérer les informations d’identification juste à temps pour la communication d’application à application, et même modifier les scripts de démarrage pour remplacer les mots de passe codés en dur par des appels API vers le coffre de mots de passe.
En savoir plus sur la façon de protéger vos utilisateurs PAM
CyberArk, leader du marché dans le domaine de la gestion des comptes à privilèges, indique qu’il s’agit de 7 types de comptes PAM dans une entreprise :
- Comptes d’urgence : Fournir aux utilisateurs un accès administrateur à des systèmes sécurisés en cas d’urgence. L’accès à ces comptes nécessite l’approbation de la direction informatique pour des raisons de sécurité, il s’agit généralement d’un processus manuel dépourvu de mesures de sécurité.
- Comptes administratifs locaux : Sont des comptes partagés qui fournissent un accès administrateur à l’hôte ou à la session locale uniquement. Ces comptes locaux sont couramment utilisés par le personnel informatique à des fins de maintenance sur des postes de travail ainsi que sur des serveurs, des périphériques réseau, des serveurs mainframes et d’autres systèmes internes. Il a été prouvé dans le passé que les professionnels de l’informatique tentaient de réutiliser les mots de passe au sein d’une organisation pour en faciliter l’utilisation. Ce mot de passe partagé est parfois utilisé sur des milliers de serveurs et de services et est une cible que les menaces persistantes avancées sont connues pour exploiter.
- Comptes d’applications : Ces comptes sont utilisés par les applications pour accéder à des bases de données, exécuter des tâches ou des scripts cron ou donner accès à d’autres applications. Ces comptes privilégiés ont généralement accès à des informations critiques sensibles qui résident dans des applications et des bases de données, par exemple des comptes intégrés Zapier. Les mots de passe de ces comptes sont souvent intégrés et stockés dans des fichiers texte brut, une vulnérabilité qui est copiée sur plusieurs canaux et serveurs pour fournir une erreur d’héritage aux applications. Cette vulnérabilité est bien connue et est ciblée par les menaces persistantes avancées (APT).
- Compte de service de domaine Active Directory ou Windows: Sont un défi à sécuriser pour le moins, les modifications de mot de passe peuvent être encore plus difficiles car elles nécessitent une synchronisation entre plusieurs écosystèmes et applications. Ce défi conduit souvent à une pratique consistant à changer rarement les mots de passe des comptes d’application pour éviter l’étalement des répertoires, ce qui crée un point de défaillance unique dans un système critique tel qu’Active Directory.
- Comptes de service : sont des comptes locaux ou de domaine utilisés par une application ou un service pour interagir avec le système d’exploitation. Dans certains cas, ces comptes de service ont des privilèges d’administration sur les domaines en fonction des exigences de l’application pour laquelle ils sont utilisés.
- Comptes d’administration de domaine : Super administrateurs qui ont un accès privilégié sur tous les postes de travail et serveurs du domaine de l’organisation et fournissent l’accès le plus étendu sur le réseau. Avec un contrôle total sur tous les contrôleurs de domaine et la possibilité de modifier l’appartenance à chaque compte administratif du domaine, ils constituent une menace constante pour les organisations et sont largement ciblés par les pirates.
- Comptes d’utilisateurs privilégiés : Sont des utilisateurs auxquels des privilèges d’administration sont accordés aux systèmes. Les comptes d’utilisateurs privilégiés sont l’une des formes les plus courantes d’accès aux comptes accordés sur un domaine d’entreprise, permettant aux utilisateurs d’avoir des droits d’administrateur sur, par exemple, leurs postes de travail locaux ou sur les systèmes qu’ils gèrent. Souvent, ces comptes ont des mots de passe uniques et complexes, mais la plupart du temps, ils sont protégés uniquement par des mots de passe.
En savoir plus sur la façon de protéger vos utilisateurs PAM
Authentification multifacteur PAM
Pour les entreprises qui utilisent une solution PAM, le moment est venu de choisir la bonne plate-forme pour accéder à cette solution qui sécurisera les comptes privilégiés.
Une solution d’authentification multifacteur (MFA) est indispensable. Comme l’a conclu un récent article de recherche de Gartner : » Au minimum, les CISO devraient instituer une authentification multifactorielle obligatoire (MFA) pour tous les administrateurs. »
Choisir une solution de haute assurance sans mot de passe fait plus que sécuriser les systèmes d’authentification. Il élimine également le coût associé aux mots de passe tels que les appels au service d’assistance et les réinitialisations de mots de passe. En outre, passer sans mot de passe amène l’expérience utilisateur (UX) à un nouveau niveau, en rationalisant le processus d’authentification. Plus besoin de stocker et de mémoriser les informations d’identification, et plus besoin de transporter des périphériques supplémentaires pour la vérification.
Lire l’article complet – Les utilisateurs privilégiés sont des cibles privilégiées
Solution d’authentification Secrète Double Octopus CyberArk
Accès privilégié, se réfère à l’accès à un système (sur site ou cloud) qui est au-dessus de la référence d’une connexion utilisateur régulière aussi. Les organisations ont différents niveaux de systèmes en fonction du niveau de risque associé à la violation ou à l’utilisation abusive du système.
Les comptes à accès privilégié sont des utilisateurs qui ont accès aux ressources critiques du système, doivent donc être protégés et surveillés.
PAM aide les clients à sécuriser et à contrôler leurs comptes utilisateurs privilèges afin d’assurer une meilleure sécurité et une meilleure gouvernance, et également de se conformer à certaines réglementations.
La gestion des identités privilégiées (PIM) et la gestion des accès privilégiés (PAM) sont souvent utilisées de manière interchangeable et signifient la même chose : sécuriser, contrôler, gérer et surveiller les accès privilégiés aux actifs critiques.
Les solutions PAM prennent les informations d’identification des comptes privilégiés – c’est–à–dire les comptes d’administration – et les placent dans un référentiel sécurisé – un coffre-fort. Une fois à l’intérieur du coffre-fort, les administrateurs système doivent passer par le système PAM pour accéder aux informations d’identification, à quel point ils sont authentifiés et leur accès est enregistré. Lorsqu’un identifiant est réenregistré, il est réinitialisé pour s’assurer que les administrateurs doivent passer par le système PAM la prochaine fois qu’ils souhaitent utiliser un identifiant.
De manière générale, PAM n’a pas besoin d’AD DS. Lorsqu’il est déployé avec AD, le but de PAM est de rétablir le contrôle d’un environnement Active Directory compromis en maintenant un environnement isolé et hautement sécurisé pour les informations d’identification de compte à privilèges.
PAM peut être intégré à AD DS pour l’authentification et l’autorisation des comptes de domaine.
PAM crée un environnement isolé, hautement sécurisé et étroitement contrôlé pour stocker les informations d’identification privilégiées et en contrôler l’accès. Il assure également un suivi granulaire de l’utilisation des comptes privilégiés (c.-à-d. comptes admin), qui sont généralement des comptes partagés.
Privileged user sessions, protège les systèmes ciblés en permettant l’accès sans exposer les informations d’identification sensibles en utilisant un serveur de saut sécurisé (hôte administratif sécurisé), Surveille et enregistre les sessions privilégiées pour répondre aux exigences d’audit et arrête les sessions privilégiées suspectes en temps réel.