Pour bénéficier d’une expérience Web optimale, utilisez Internet Explorer 11 ou version ultérieure, Chrome, Firefox, ou Safari.
Versions d’essai gratuites
Home / Qu’est-ce que la gestion des sessions à privilèges ?

Qu’est-ce que la gestion des sessions à privilèges ?

La gestion des sessions à privilèges permet aux organisations de créer des accès à privilèges pour une période ou une session spécifique, pour des administrateurs, des utilisateurs distants à privilèges, des sous-traitants et des utilisateurs à haut risque. Les solutions de sessions à privilèges permettent d’autoriser des connexions, de faciliter l’audit et les révisions, de superviser l’accès aux ressources critiques, de limiter les choix de commandes et d’interrompre les connexions.
Qu’est-ce que la gestion des sessions à privilèges ?

Définition de la gestion des sessions à privilèges (PSM)

La gestion des sessions à privilèges (PSM, Privileged Session Management) est une fonctionnalité de contrôle qui limite la durée et le motif de l’accès d’un administrateur, qu’il s’agisse d’un humain ou d’une machine, à une ressource numérique. Les utilisateurs à privilèges peuvent accéder à des ressources informatiques stratégiques telles que l’interface utilisateur de gestion pour les appareils ou le fichier root pour le serveur UNIX. La gestion des sessions constitue un niveau de contrôle et de sécurité supérieur qui impose une limite dans le temps, ou une limite fonctionnelle avec une limite dans le temps, concernant ce à quoi l’administrateur peut accéder pour une session donnée. Cette page Web d’instructions s’adresse aux utilisateurs sans privilèges et aux responsables d’approvisionnement qui envisagent d’investir dans une solution One Identity.

Dans le pire des scénarios, et le plus simple des cas, si vous avez déjà un système de PAM, celui-ci peut disposer d’une stratégie d’accès d’administration de type oui ou non. L’utilisateur à privilèges a donc accès à tout ou à rien. Bien souvent, avec les systèmes existants, cet accès élevé peut avoir été géré avec des informations d’identification partagées, raison pour laquelle aucune imputabilité individuelle n’a été définie, ni aucune limitation concernant ce à quoi un administrateur peut accéder. Ceci étant dit, pour que l’infrastructure informatique fonctionne, il doit y avoir des utilisateurs dotés d’accès à privilèges au bout des bases de données, une infrastructure de contrôle, des autorisations d’accès pour les utilisateurs et du code ajouté aux applications pour les rendre encore meilleures. Mais vous ne pouvez pas simplement laisser la porte du coffre-fort ouverte à tout moment car cela encourage les utilisateurs qui n’ont rien à faire dedans à y entrer. Vous devez mettre en place un contrôle. Vous donnez donc aux utilisateurs une limite dans le temps et ne partagez jamais les clés ni le code d’accès directement avec eux. S’ils ont besoin d’accéder à une infrastructure critique, ils peuvent demander et obtenir un mot de passe caché avec un accès leur permettant d’utiliser des fonctionnalités limitées dans un temps défini. Ils ne peuvent pas s’écarter de leur objectif et ne peuvent rester plus longtemps que nécessaire. La gestion des sessions à privilèges revient donc à cela, un accès élevé pour une durée spécifique permettant à un utilisateur d’exécuter une tâche.

Que sont les sessions à privilèges en PAM ?

Les sessions à privilèges sont similaires à cette situation du quotidien où votre mère vous dit que vous devez choisir un dessert et refermer la porte du réfrigérateur avant qu’elle n’ait fini de compter jusqu’à trois. Si vous n’arrivez pas à décider ce que vous voulez avant que votre mère n’ait dit « trois », vous perdez votre accès à la ressource à privilèges, dans cet exemple le réfrigérateur. D’un point de vue plus technique, une session à privilèges correspond à un administrateur autorisé à accéder à une ressource pour une durée précise afin d’exécuter une tâche avant que l’accès n’arrive à expiration. Les sessions à privilèges sont un mécanisme qui permet de gérer qui peut accéder à une ressource numérique et pour combien de temps, que l’utilisateur jouissant de privilèges élevés soit un humain ou une machine.

Lorsqu’une session expire, l’accès prend immédiatement fin. À ce stade, si un utilisateur à privilèges a besoin d’accéder à nouveau à cette ressource, il doit se réauthentifier et redemander un accès pour continuer à travailler ou pour exécuter une autre tâche. Ces ressources à privilèges peuvent être un outil SaaS, une application sur site, des paramètres de contrôle pour un routeur ou une base de données d’informations clients. La technologie de PAM contrôle l’accès aux infrastructures critiques telles que les ressources mentionnées ici.

Comment créer une session à privilèges ?

Pour créer une session à privilèges, vous devez contrôler certains aspects des accès administrateurs, notamment le non-partage des informations d’identification, l’absence d’accès illimités, la capacité à fermer l’accès automatiquement, la mise en coffre-fort de mots de passe et la surveillance de l’activité à privilèges. Vous devez savoir en temps réel qui accède aux ressources critiques, ce que font ces personnes pendant qu’elles y accèdent, le temps qu’elles passent dans ces ressources et quand elles ont besoin de se déconnecter des ressources. Pour créer une session à privilèges sécurisée, vous devez savoir si l’utilisateur dispose des autorisations nécessaires pour accéder à la ressource demandée, et vous devez créer des informations d’identification temporaires que les utilisateurs ne doivent jamais voir. Un élément d’expiration doit être associé aux autorisations de l’utilisateur, et les droits doivent concerner des tâches et activités spécifiques et limitées pouvant être exécutées durant cette session. Parallèlement à des fonctionnalités de sécurité telles qu’un référentiel de données biométriques et comportementales des utilisateurs pour surveiller toute anomalie dans leurs activités, vous pouvez créer un environnement informatique qui fournisse des sessions à privilèges efficaces et sûres à vos administrateurs.

Comment accorder une commande de fin de session aux utilisateurs à privilèges ?

Il est possible de mettre fin à une session par la fonctionnalité de délai d’attente dont l’heure de fin est définie par l’administrateur. Il est également possible qu’une session prenne fin lorsqu’un utilisateur enfreint une politique définie par l’administrateur.

Surveillance ou enregistrement des sessions à privilèges

Il existe une différence notable entre la surveillance des sessions et l’enregistrement des sessions. La surveillance d’une session à privilèges au sens strict consiste à regarder la session pour identifier tout comportement potentiellement anormal ou risqué de la part de l’utilisateur à privilèges accédant à une ressource. Des alertes peuvent être envoyées mais la surveillance n’implique pas nécessairement de mesure prise pour mettre fin à l’accès à privilèges. Cela peut être comparé à une situation où un enfant regarde son frère prendre un deuxième bonbon dans le placard et lui dit « Je vais le dire à maman », mais son frère continue quand même à manger des bonbons. La surveillance peut déclencher la suspension automatique d’une session, mais la session n’est pas enregistrée, en dehors des données de connexion. En revanche, l’enregistrement de session consiste à regarder et à enregistrer tous les comportements d’un utilisateur, jusqu’à ses moindres mouvements de souris et ses frappes. Cet enregistrement peut être examiné comme une vidéo pour voir exactement ce qu’un utilisateur a fait, par opposition à l’interprétation de données et à la déduction de comportements spécifiques. Ce niveau élevé d’enregistrement peut s’avérer critique pour l’analyse forensique et très intéressant à des fins de formation, pour éviter les erreurs similaires ou les comportements risqués à l’avenir. Lorsque la surveillance et l’enregistrement de sessions à privilèges sont associés à des alertes et à un blocage en temps réel, ils peuvent constituer un puissant outil de cybersécurité qui permet de stopper les comportements risqués ou négatifs avant qu’ils n’aient de conséquences importantes et coûteuses.

Qu’est-ce que One Identity Safeguard for Privileged Sessions ?

One Identity Safeguard for Privileged Sessions vous permet de contrôler, surveiller et enregistrer les sessions des administrateurs, des fournisseurs distants et des utilisateurs à haut risque qui bénéficient d’un accès à privilèges. Le contenu des sessions enregistrées est indexé afin de simplifier la recherche d’événements et aide à la création automatique de rapports pour vous permettre de satisfaire aux exigences d’audit et de conformité. Cette solution peut également être utilisée en tant que proxy. Elle inspecte le trafic de protocoles au niveau des applications et peut refuser tout trafic violant un protocole, constituant ainsi un bouclier efficace contre les attaques. Pour plus d’informations sur One Identity Safeguard for Privileged Sessions :

Cliquez ici

Blogs

12 Privileged Access Management best practices organizations should implement

Implementing these Privileged Access Management best practices set organizations on the right track to fully manage their privileged accounts.
Alan.Radford

Privileged access management compliance and what it takes to get it right

Learn more about Privileged Access Management (PAM) compliance, common mistakes to avoid and tips for successful implementation.
Alan.Radford

Steps to expedite the privileged access management implementation process

Expediting the privileged access management process and setup is key because privileged accounts pose so much risk. Take these steps to accelerate PA...
Alan.Radford