Gestion des accès à privilèges de nouvelle génération : un atout pour les équipes
Le PAM de nouvelle génération offre désormais une vue holistique et tient compte des besoins inhérents aux accès à privilèges, tout en intégrant la redoutable adaptabilité dont peuvent hélas faire preuve les personnes malveillantes, et leurs tentatives de compromission sur des comptes à privilèges.
Le rapport d'enquête sur les compromissions de données (DBIR, Data Breach Investigations Report) établi par Verizon en 2020 intègre pour la première fois une section dédiée à la gestion des accès à privilèges, avec un chiffre pour le moins détonnant : 53 % de l'ensemble des compromissions étudiées relèvent d'un usage inapproprié de comptes à privilèges.
Il est bien entendu essentiel qu'une entreprise intègre la gestion des accès à privilèges (PAM, Privileged Access Management) dans sa stratégie de sécurité, étant donné que c'est le PAM qui régit les accès aux comptes administrateurs ou bien aux comptes offrant un accès sans restriction aux systèmes.
Cela englobe l'accès à des données sensibles ou des applications importantes hébergées sur ces systèmes. Or ces comptes peuvent être à la portée de personnes malveillantes, qui exploiteraient différentes vulnérabilités : des mots de passe faibles ou qui seraient restés définis sur leur valeur par défaut, des comptes inactifs, voire même le recours à des stratégies relevant du social engineering.
Les conséquences d'une compromission d'un compte à privilèges sont absolument catastrophiques
Une fois qu'un compte à privilèges est compromis, il est très facile pour une personne malveillante de dérober des informations sensibles, ou d'engager d'autres actions en vue d'accéder à d'autres applications et ainsi s'immiscer plus avant dans les systèmes de l'entreprise.
Heureusement, le déploiement des outils, procédures et processus PAM adéquats permet de s'assurer que seul un utilisateur dûment autorisé peut accéder à un compte à privilèges (et donc aux fonctionnalités et contenus sensibles associés).
Si l'intégration d'une solution de PAM dans la stratégie de sécurité de toute entreprise semble tomber sous le sens, elle peut aussi engendrer quelques problèmes :
- Elle risque tout d'abord de rendre les process moins fluides. En effet, les comptes à privilèges sont nécessaires, et couramment utilisés pour les flux IT de bon nombre d'entreprises. Un technicien d'une équipe IT peut ainsi devoir provisionner un serveur ; un utilisateur peut être amené à solliciter un accès d'urgence, après s'être vu bloquer l'accès à une application ; ou bien encore, les développeurs et leurs équipes peuvent devoir accéder à différents systèmes ou bases de données, dans le cadre du déploiement ou de la mise à jour d'applications.
Autant d'exemples où la gestion des accès à privilèges peut être source de complications, car elle vise à s'assurer que la personne sollicitant un accès à privilèges est dans son bon droit.
En outre, la plupart des solutions PAM ne considèrent pas dans leur globalité les environnements qu'ils supervisent. Les entreprises intègrent jusqu'alors la PAM via des solutions ad hoc : pour gérer la délégation de comptes à privilèges, les mots de passe de ces comptes, ou bien pour assurer la gestion et l'analyse des sessions à privilèges en vue d'y déceler des activités anormales.
Or un « mix » de telles solutions isolées est tout sauf optimal : leur déploiement peut être laborieux, et leur intégration aux environnements existants ou aux méthodes de travail des équipes IT peut également poser souci.
En outre, pour se simplifier la vie et s'affranchir de contraintes pouvant être assez lourdes, les utilisateurs de comptes à privilèges font souvent l'impasse sur les meilleures pratiques s'y rapportant, d'où des violations régulières des stratégies de sécurité.
Le PAM considéré à la légère peut donc avoir de très fâcheuses conséquences. Dès lors, que peuvent faire les entreprises pour déployer une solution PAM efficace, qui soit non plus un obstacle mais un atout aux yeux des utilisateurs ? Changer de paradigme en passant au. PAM de nouvelle génération.
En quoi consiste le PAM de nouvelle génération ?
La première mutation des solutions de gestion des accès à privilèges (PAM) a d'abord la forme de solutions de gestion de mots de passe, d'une unification des environnements UNIX et de solutions de gestion de sessions dotées de fonctionnalités d'analyse.
Cependant, malgré leur efficacité, ces solutions PAM de première génération ont connu un développement disparate, du fait de la multiplicité de fournisseurs. D'où un déploiement et une intégration complexes aux processus métier existants.
De fait, l'absence de vision globale sur les comptes à privilèges des entreprises s'est révélée être un frein pour les administrateurs. Le PAM de nouvelle génération offre désormais une vue holistique et tient compte des besoins inhérents aux accès à privilèges, tout en intégrant la redoutable adaptabilité dont peuvent hélas faire preuve les personnes malveillantes, et leurs tentatives de compromission sur des comptes à privilèges.
Décomposons quelques aspects de gestion des accès à privilèges de nouvelle génération, afin de mieux comprendre son fonctionnement, et tous les atouts qu'elle peut désormais apporter aux entreprises :
Comment : Les utilisateurs à privilèges travaillent toujours dans l'urgence. Ils doivent assurer la pérennité des opérations à l'échelle d'une entité organisationnelle, cette dernière étant directement impactée dès lors que le rôle de ces utilisateurs n'est pas parfaitement opérationnel. Les solutions PAM de nouvelle génération sont à même de s'adapter au fonctionnement de ces rôles, et des responsabilités quotidiennes qui y sont rattachées. L'autorisation des comptes est directement liée au workflow de chaque rôle.
Où : Savoir qui accède à quoi : ce contrôle doit être exercé précisément là où c'est nécessaire. Or une entreprise dispose souvent d'applications propriétaires, développées avec les outils DevOps de son choix. Elle applique aussi des processus d'onboarding et de déprovisionnement qui lui sont propres. Ce n'est pas un problème pour les solutions PAM de nouvelle génération, intégrables dans n'importe quel environnement.
Quand : L'un des principaux griefs envers le PAM concerne la non-réception d'autorisation en temps et en heure, sur une demande légitime d'accès à un compte à privilèges. Les solutions PAM de nouvelle génération appliquent une stratégie d'autorisation automatisée et en temps réel, tout en bloquant efficacement les tentatives d'accès non autorisées.
Qui : L'octroi de privilèges à la personne idoine constitue le « coeur de métier » d'une solution PAM. Les solutions PAM de nouvelle génération supposent une intégration étroite au déploiement du programme de gestion des identités d'une entreprise, afin d'assurer un processus d'authentification parfaitement fluide.
Le PAM de nouvelle génération est-il envisageable dès aujourd'hui ?
Non seulement envisageable, il est même vitale, dès aujourd'hui ! Les environnements informatiques sont en effet de plus en plus virtualisés et le nombre de collaborateurs nomades est en plein boom. Voici quelques critères à prendre en compte pour évaluer les différentes alternatives en matière de PAM de nouvelle génération :
- Gestion des accès « frictionless » et au juste moment : À savoir fournir un accès couvrant précisément les besoins, ni plus, ni moins, et uniquement pendant la durée nécessaire.
- Fluidité de l'intégration : La solution retenue devra s'intégrer aux opérations de votre entreprise, notamment sur les plans du DevOps et de l'automatisation robotisée des processus (RPA).
- Caractère universel des approbations. : La solution de PAM devra permettre des contrôles et approbations de privilèges en temps réel, pour permettre une distribution performante et agile des informations d'identification à privilèges.
- Liaison étroite avec la gestion des identités : Parce qu'une entreprise n'aura jamais de garantie sur l'intégrité de sa solution sans des identités parfaitement sécurisées.
- Déploiement simplifié : Les solutions PAM de nouvelle génération lèvent quasiment tous les obstacles liés au déploiement, en n'imposant que des modifications minimes à l'environnement de l'entreprise.
- Capacité d'évolution et de transformation calquée sur la mutation de l'activité. De la prise en charge des environnements hybrides aux initiatives Cloud, les solutions PAM de nouvelle génération offrent la flexibilité nécessaire pour suivre l'évolution des besoins de l'entreprise, et lui permettre de rentabiliser rapidement son investissement.
De nombreuses entreprises ont repensé de larges pans de leur infrastructure IT lors des derniers mois, compte tenu des changements inédits que nous avons tous connus. Une entreprise qui mène une réflexion sur sa stratégie PAM s'inscrit précisément dans cette optique. Particulièrement en cette période, la gestion des accès à privilèges de nouvelle génération présente de vrais avantages de flexibilité, d'intégration transparente aux systèmes et méthodes de déploiement existants, et d'octroi rapide et sécurisé des accès à privilèges
Hicham Bouali, Architecte IAM Solutions - One Identity.
Sur le même thème
Voir tous les articles Cybersécurité