Qu’est-ce que la gestion des sessions à privilèges ?

La gestion des sessions à privilèges (PSM, Privileged Session Management) est une fonctionnalité de contrôle qui limite la durée et le motif de l’accès d’un administrateur, qu’il s’agisse d’un humain ou d’une machine, à une ressource numérique. Les utilisateurs à privilèges peuvent accéder à des ressources informatiques stratégiques telles que l’interface utilisateur de gestion pour les appareils ou le fichier root pour le serveur UNIX. La gestion des sessions constitue un niveau de contrôle et de sécurité supérieur qui impose une limite dans le temps, ou une limite fonctionnelle avec une limite dans le temps, concernant ce à quoi l’administrateur peut accéder pour une session donnée. Cette page Web d’instructions s’adresse aux utilisateurs sans privilèges et aux responsables d’approvisionnement qui envisagent d’investir dans une solution One Identity.

Dans le pire des scénarios, et le plus simple des cas, si vous avez déjà un système de sécurité PAM, celui-ci peut disposer d’une stratégie d’accès d’administration de type oui ou non. L’utilisateur à privilèges a donc accès à tout ou à rien. Bien souvent, avec les systèmes existants, cet accès élevé peut avoir été géré avec des informations d’identification partagées, raison pour laquelle aucune imputabilité individuelle n’a été définie, ni aucune limitation concernant ce à quoi un administrateur peut accéder. Ceci étant dit, pour que l’infrastructure informatique fonctionne, il doit y avoir des utilisateurs dotés d’accès à privilèges au bout des bases de données, une infrastructure de contrôle, des autorisations d’accès pour les utilisateurs et du code ajouté aux applications pour les rendre encore meilleures. Mais vous ne pouvez pas laisser la porte du coffre-fort ouverte en permanence, car cela encourage à entrer les utilisateurs qui n’ont rien à y faire. Vous devez mettre en place un contrôle. Vous donnez donc aux utilisateurs une limite dans le temps et ne partagez jamais les clés ni le code d’accès directement avec eux. S’ils ont besoin d’accéder à une infrastructure critique, ils peuvent demander et obtenir un mot de passe caché avec un accès leur permettant d’utiliser des fonctionnalités limitées dans un temps défini. Ils ne peuvent pas s’écarter de leur objectif et ne peuvent rester plus longtemps que nécessaire. La gestion des sessions à privilèges revient donc à cela, un accès élevé pour une durée spécifique permettant à un utilisateur d’exécuter une tâche.

Les sessions à privilèges sont similaires à cette situation du quotidien où votre mère vous dit que vous devez choisir un dessert et refermer la porte du réfrigérateur avant qu’elle n’ait fini de compter jusqu’à trois. Si vous n’arrivez pas à décider ce que vous voulez avant que votre mère n’ait dit « trois », vous perdez votre accès à la ressource à privilèges, dans cet exemple le réfrigérateur. D’un point de vue plus technique, une session à privilèges correspond à un administrateur autorisé à accéder à une ressource pour une durée précise afin d’exécuter une tâche avant que l’accès n’arrive à expiration. Les sessions à privilèges sont un mécanisme qui permet de gérer qui peut accéder à des identités numériques et pour combien de temps, que l’utilisateur jouissant de privilèges élevés soit un humain ou une machine.

Lorsqu’une session expire, l’accès prend immédiatement fin. À ce stade, si un utilisateur à privilèges a besoin d’accéder à nouveau à cette ressource, il doit se réauthentifier et redemander un accès pour continuer à travailler ou pour exécuter une autre tâche. Ces ressources à privilèges peuvent être un outil SaaS, une application sur site, des paramètres de contrôle pour un routeur ou une base de données d’informations clients. La sécurité PAM en tant que technologie contrôle l’accès aux infrastructures critiques telles que les ressources mentionnées ici.

Pour créer une session à privilèges, vous devez contrôler certains aspects des accès administrateurs, notamment le non-partage des informations d’identification, l’absence d’accès illimités, la capacité à fermer l’accès automatiquement, la mise en coffre-fort de mots de passe et la surveillance de l’activité à privilèges. Vous devez savoir en temps réel qui accède aux ressources critiques, ce que font ces personnes pendant qu’elles y accèdent, le temps qu’elles passent dans ces ressources et quand elles ont besoin de se déconnecter des ressources. Pour créer une session à privilèges sécurisée, vous devez savoir si l’utilisateur dispose des autorisations nécessaires pour accéder à la ressource demandée, et vous devez créer des informations d’identification temporaires que les utilisateurs ne doivent jamais voir. Un élément d’expiration doit être associé aux autorisations de l’utilisateur, et les droits doivent concerner des tâches et activités spécifiques et limitées pouvant être exécutées durant cette session. Parallèlement à des fonctionnalités de sécurité telles qu’un référentiel de données biométriques et comportementales des utilisateurs pour surveiller toute anomalie dans leurs activités, vous pouvez créer un environnement informatique qui fournisse des sessions à privilèges efficaces et sûres à vos administrateurs.

One Identity Safeguard for Privileged Sessions vous permet de contrôler, surveiller et enregistrer les sessions des administrateurs, des fournisseurs distants et des utilisateurs à haut risque qui bénéficient d’un accès à privilèges. Le contenu des sessions enregistrées est indexé afin de simplifier la recherche d’événements et aide à la création automatique de rapports pour vous permettre de satisfaire aux exigences d’audit et de conformité. Cette solution peut également être utilisée en tant que proxy. Elle inspecte le trafic de protocoles au niveau des applications et peut refuser tout trafic violant un protocole, constituant ainsi un bouclier efficace contre les attaques. Pour plus d’informations sur One Identity Safeguard for Privileged Sessions :