Qu’est-ce qu’un outil de gestion des accès à privilèges (PAM) ?

Un outil de gestion des accès à privilèges (PAM, Privileged Access Management) est une solution de cybersécurité utilisée pour sécuriser les utilisateurs et sessions à privilèges. Les utilisateurs à privilèges tels que les administrateurs et les utilisateurs root exercent un contrôle important sur les ressources réseau, notamment les bases de données et les applications.

Si ce contrôle élevé est nécessaire pour la maintenance et la gestion de ces ressources, il représente aussi un risque de sécurité considérable. Les outils de PAM sont conçus pour réduire ce risque en offrant des contrôles de sécurité spécialisés et dédiés aux comptes et sessions à privilèges.

Ils permettent d’identifier et d’inventorier toutes les identités à privilèges, d’utiliser le chiffrement pour protéger les informations d’identification privilégiées, d’accorder des accès à privilèges temporaires et de détecter toute activité suspecte (comme l’exfiltration de données). Dans les sections suivantes, nous aborderons les différentes catégories d’outils de PAM.

Les trois principales catégories d’outils de PAM sont la gestion des accès et sessions à privilèges (PASM, Privileged Access and Session Management), la gestion de l’élévation et de la délégation de privilèges (PEDM, Privileged Elevation and Delegation Management) et la gestion des accès distants à privilèges (RPAM, Remote Privileged Access Management).

La gestion des accès et sessions à privilèges (PASM, pour Privileged Access and Session Management) est l’une des principales catégories de PAM, qui se concentre essentiellement sur la sécurisation des informations d’identification et des sessions à privilèges. Les outils de PASM présentent les caractéristiques suivantes :

• Ils stockent toutes les identités à privilèges dans un coffre-fort centralisé. L’accès au coffre-fort est en général régi par de robustes techniques cryptographiques.
• Ils garantissent un environnement contrôlé pour les sessions à privilèges, empêchant ainsi tout mouvement latéral ou accès non autorisé aux systèmes critiques.
• Ils offrent la possibilité de surveiller et d’enregistrer les sessions à privilèges. Cela permet aux administrateurs de suivre de près les activités stratégiques en matière de sécurité et de détecter tout comportement suspect.
• Ils peuvent forcer l’arrêt d’une session si un comportement anormal est détecté. Cette fonctionnalité permet de stopper net les personnes malveillantes.

La gestion de l’élévation et de la délégation de privilèges (PEDM, pour Privileged Elevation and Delegation Management) est une autre catégorie principale de PAM qui relève les défis nuancés de l’élévation et de la délégation d’accès à privilèges au sein d’une organisation. Les outils de PEDM présentent les caractéristiques suivantes :

• Ils permettent aux administrateurs de définir des privilèges d’accès très précis. Par exemple, un administrateur peut accorder des privilèges élevés de niveau hôte à un utilisateur, lui permettant ainsi d’exécuter des commandes root, mais uniquement sur un hôte spécifique. Ce niveau de granularité incarne l’essence même du principe du moindre privilège.
• Ils prennent en charge l’attribution de privilèges temporaires. Cela garantit la révocation automatique des privilèges dès lors qu’ils ne sont plus nécessaires, réduisant ainsi considérablement la surface d’attaque d’une organisation.
• Ils peuvent déléguer de façon sécurisée les tâches administratives au personnel non administratif. L’outil de PEDM permet de s’assurer que les tâches déléguées sont exécutées dans un environnement contrôlé et contrôlable.
• Ils offrent une approche en flux tendu (JIT, pour Just-in-Time) pour accorder des rôles et des droits d’accès supplémentaires. Cela garantit aux administrateurs la possibilité de demander et de recevoir des privilèges temporaires précisément lorsqu’ils en ont besoin, réduisant ainsi le risque d’utilisation abusive de privilèges.

Dans le monde actuel où les accès distants priment, la gestion des accès distants à privilèges (RPAM, pour Remote Privileged Access Management) a émergé en tant que catégorie principale d’outils de PAM supplémentaire. Les outils de RPAM sont spécifiquement conçus pour gérer les accès à privilèges aux applications et systèmes distants. Les outils de RPAM présentent les caractéristiques suivantes :

• Ils fournissent une passerelle sécurisée pour que les utilisateurs distants accèdent aux systèmes critiques sans exiger de VPN. Cet accès est souvent régi par l’authentification multifacteur (MFA) et est surveillé de près pour éviter les activités non autorisées.
• Ils chiffrent les sessions distantes. Cela aide à protéger les données en transit et à empêcher l’espionnage.
• Ils permettent aux administrateurs de surveiller, d’enregistrer et de relire les sessions distantes à privilèges. Il s’agit de fonctionnalités essentielles pour le suivi d’activités, l’analyse forensique et la création de rapports de conformité.
• Ils incluent souvent des fonctionnalités de sécurité des terminaux, ce qui garantit que les appareils des utilisateurs sont conformes aux normes de sécurité avant d’être acceptés sur un réseau.

Les privilèges en flux tendu ne constituent pas une catégorie principale de PAM au sens strict, mais plutôt un concept inventé qui est souvent présenté comme tel. Les outils de privilèges en flux tendu se concentrent sur l’attribution de privilèges temporaires élevés, en fonction des besoins, pour une tâche ou un objectif spécifique. Ils fonctionnent de la manière suivante :

1. Les administrateurs définissent des workflows d’approbation automatisés pour accorder des privilèges élevés de façon temporaire aux utilisateurs autorisés.
2. Les utilisateurs demandent des privilèges en utilisant l’outil de privilèges en flux tendu, qui déclenche un workflow d’approbation automatisé.
3. L’outil utilise le workflow pour vérifier la demande, en invitant l’utilisateur à fournir une justification ainsi que d’autres informations pertinentes.
4. Selon le résultat de l’étape précédente, la demande est soit acceptée, soit refusée.

Si ces concepts s’alignent sur les principes fondamentaux de la PAM, le modèle de privilèges en flux tendu ne constitue pas une catégorie distincte d’outils de PAM. Un outil de privilèges en flux tendu ne remplace pas non plus une solution de PAM intégrale.

Outre les principales catégories de produits et d’outils de PAM, il existe quelques autres catégories qui sont étroitement liées à la PAM. Les voici :

Les outils de gestion des secrets permettent aux organisations de gérer les données sensibles telles que les mots de passe, les PIN, les clés d’API et les certificats. Les fonctionnalités classiques de ces outils sont les suivantes :

• Ils chiffrent les données sensibles au repos. Cela garantit que les données restent protégées et illisibles même en cas d’accès non autorisé.
• Ils effectuent une rotation automatique des clés de chiffrement et d’autres informations d’identification à intervalles planifiés. Le risque associé aux informations d’identification statiques ou compromises s’en trouve ainsi réduit.
• Ils s’intègrent de façon fluide à d’autres solutions de sécurité, y compris les outils de PAM. C’est le cas de nombreux outils de gestion des secrets, notamment AWS Secret Manager, bien qu’ils ne présentent pas tous cet avantage. Cette fonctionnalité permet aux organisations d’appliquer des stratégies de sécurité cohérentes au sein de leur infrastructure.

Les outils de gestion des droits de l’infrastructure Cloud (CIEM, pour Cloud Infrastructure Entitlement Management) se concentrent sur la gestion des autorisations dans les environnements Cloud. Parmi ses fonctionnalités notables, ils comprennent :

• Une vision centralisée des identités et des droits d’accès dans la totalité de l’infrastructure Cloud. Cela facilite l’alignement sur le principe du moindre privilège.
• La surveillance continue de l’accès au Cloud en temps réel. Il s’agit d’un point crucial pour détecter toute menace de sécurité potentielle et y répondre rapidement.
• Un tableau de bord centralisé pour gérer tous les droits liés au Cloud. Cette fonctionnalité facilite la formulation d’une stratégie de sécurité du Cloud cohérente et sa mise en application.

Bien que les solutions de CIEM et de gestion des secrets ne soient pas des outils de PAM au sens strict, ils peuvent être utilisés pour soutenir les initiatives de PAM dans le cadre d’une stratégie d’IAM intégrale.