Francois Lacas
Issues de nombreux retours d’expérience, les étapes suivantes constituent un point de départ afin de vous permettre d’identifier les domaines sur lesquels vous devez vous concentrer afin de mettre en œuvre une gestion efficace des utilisateurs à privilèges.
Quantifier et prioriser vos risques
Dans un premier temps, il est indispensable de collecter autant d’informations que possible sur la manière dont un accès privilégié est utilisé et géré aujourd’hui. Il ne sera certainement pas possible de centraliser et maîtriser l’accès à l’ensemble des serveurs ou données dès le premier jour. Pour pouvoir commencer, il vous faut définir les « grandes priorités », que celles-ci soient reliées à des données critiques pour l’entreprise ou qu’elles soient sensibles et soumises à la conformité réglementaire. La sécurisation de ces ressources agira alors comme un tremplin pour centraliser tous les accès à privilèges.
Gérer les comptes partagés et les mots de passe
Pour rendre la gestion et la maintenance des systèmes plus facile, vous avez sûrement dû partager des comptes utilisés par plusieurs utilisateurs pour se connecter. Évidemment, cela va rendre extrêmement difficile la liaison des utilisateurs individuels à ces comptes partagés. Le fait que le mot de passe soit connu et partagé par un certain nombre de personnes dans l’organisation présente une faiblesse fondamentale et augmente le risque des attaques. Le déploiement d’une solution pour gérer les accès à privilèges peut également permettre aux utilisateurs de continuer à se connecter au système local ou avec des comptes d’administrateurs sans forcément avoir besoin de mots de passe. Ces mots de passe seront par la suite stockés et automatiquement cryptés dans un espace dédié augmentant ainsi considérablement la sécurité.
Appliquer le principe du « strict minimum » pour les privilèges
Le principe du moins privilégié repose sur le fait que chaque programme et chaque utilisateur privilégié du système doivent opérer en disposant uniquement du niveau de privilèges nécessaire à la réalisation de sa mission. Il est probable que différents types d’utilisateurs ont eu l’accès à différents serveurs ou ressources du réseau. Il est également fort probable que plusieurs de ces utilisateurs à privilèges n’ont pas été révoqués. Afin de simplifier et de sécuriser l’accès, n’hésitez pas à bloquer l’accès à ceux qui n’en ont pas besoin pendant une certaine période de temps.
Adopter un système d’automation et de self-service pour une meilleure sécurité
Si nous appliquons le principe du « strict minimum », il y a une forte probabilité que les utilisateurs qui n’ont pas besoin d'un accès à privilèges aujourd'hui puissent en avoir besoin pour différents systèmes à l'avenir. Une solution de gestion des accès à privilèges (ou PAM pour Privileged Access Management) devrait leur permettre de demander cet accès et d’avoir rapidement accès aux ressources dont ils ont besoin pour accomplir leur travail. Cela permettra de définir cet accès, non pas en donnant simplement l’autorisation à long terme, mais plutôt avec une approbation d’un accès ponctuel et limité dans le temps pour ce type de ressources.
S’assurer que l’accès sécurisé est le seul accès possible
Pour la mise en œuvre efficace d’une solution de PAM, il faut abandonner les autres méthodes qui permettent d’accéder à distance à des ressources. Ceci est d’autant plus important si l’on utilise des mots de passe partagés pour les comptes administrateurs. Il faudrait accorder une attention particulière au pare-feu afin de s’assurer que les utilisateurs ne passent que par des sessions contrôlées et surveillées par la solution de PAM.
Aller plus loin pour les systèmes de « grande priorité »
L’outil de PAM peut offrir un certain nombre d’options comme le contrôle, le pilotage, mais aussi l’enregistrement de l’activité et des sessions. Il est fort probable que vous ayez envie d’avoir une plus grande visibilité sur les systèmes que vous considérez comme étant des systèmes critiques ou qui sont soumis à la conformité réglementaire. À titre d’exemple, vous pouvez autoriser l’accès unique et provisoire à un utilisateur qui en ferait la demande, vous pouvez être alerté lorsque des utilisateurs se connectent sur de nouvelles sessions et vous pourrez surveiller leur activité en temps réel.
Un monitoring et un audit permanent de l’utilisation des accès et sessions
Il est difficile de trouver du temps pour surveiller les utilisateurs à privilèges en permanence. C’est pour cette raison que les données stockées dans la solution de PAM peuvent s’avérer inestimables lorsqu’un audit devra être réalisé ou lorsqu’il s’agira d’identifier comment les accès à privilèges ont été utilisés au sein de l’organisation. La manière dont l’équipe interne, mais également des tiers, accède et interagit avec les ressources informatiques peut aider à renforcer le dispositif de sécurité futur et affiner les procédures. Le fait qu’une organisation utilise l’audit et les technologies de surveillance comme le PAM a également un effet dissuasif important contre les abus des utilisateurs à privilèges.
En conclusion,
Mener à bien un projet de Privileged Access Management repose donc sur un processus structuré et nécessite une préparation minutieuse pour prendre les bonnes directions et initier une mise en œuvre progressive et réussie. Plus qu’un projet 100 % IT, déployer une solution PAM nécessite l’intervention de toutes les composantes de l’entreprise afin de cartographier son mode de fonctionnement et ses processus métiers. C’est en respectant ces règles que sécuriser les accès à son SI devient enfin possible et accessible à tous.
Francois Lacas, Directeur Marketing de Wallix
Quantifier et prioriser vos risques
Dans un premier temps, il est indispensable de collecter autant d’informations que possible sur la manière dont un accès privilégié est utilisé et géré aujourd’hui. Il ne sera certainement pas possible de centraliser et maîtriser l’accès à l’ensemble des serveurs ou données dès le premier jour. Pour pouvoir commencer, il vous faut définir les « grandes priorités », que celles-ci soient reliées à des données critiques pour l’entreprise ou qu’elles soient sensibles et soumises à la conformité réglementaire. La sécurisation de ces ressources agira alors comme un tremplin pour centraliser tous les accès à privilèges.
Gérer les comptes partagés et les mots de passe
Pour rendre la gestion et la maintenance des systèmes plus facile, vous avez sûrement dû partager des comptes utilisés par plusieurs utilisateurs pour se connecter. Évidemment, cela va rendre extrêmement difficile la liaison des utilisateurs individuels à ces comptes partagés. Le fait que le mot de passe soit connu et partagé par un certain nombre de personnes dans l’organisation présente une faiblesse fondamentale et augmente le risque des attaques. Le déploiement d’une solution pour gérer les accès à privilèges peut également permettre aux utilisateurs de continuer à se connecter au système local ou avec des comptes d’administrateurs sans forcément avoir besoin de mots de passe. Ces mots de passe seront par la suite stockés et automatiquement cryptés dans un espace dédié augmentant ainsi considérablement la sécurité.
Appliquer le principe du « strict minimum » pour les privilèges
Le principe du moins privilégié repose sur le fait que chaque programme et chaque utilisateur privilégié du système doivent opérer en disposant uniquement du niveau de privilèges nécessaire à la réalisation de sa mission. Il est probable que différents types d’utilisateurs ont eu l’accès à différents serveurs ou ressources du réseau. Il est également fort probable que plusieurs de ces utilisateurs à privilèges n’ont pas été révoqués. Afin de simplifier et de sécuriser l’accès, n’hésitez pas à bloquer l’accès à ceux qui n’en ont pas besoin pendant une certaine période de temps.
Adopter un système d’automation et de self-service pour une meilleure sécurité
Si nous appliquons le principe du « strict minimum », il y a une forte probabilité que les utilisateurs qui n’ont pas besoin d'un accès à privilèges aujourd'hui puissent en avoir besoin pour différents systèmes à l'avenir. Une solution de gestion des accès à privilèges (ou PAM pour Privileged Access Management) devrait leur permettre de demander cet accès et d’avoir rapidement accès aux ressources dont ils ont besoin pour accomplir leur travail. Cela permettra de définir cet accès, non pas en donnant simplement l’autorisation à long terme, mais plutôt avec une approbation d’un accès ponctuel et limité dans le temps pour ce type de ressources.
S’assurer que l’accès sécurisé est le seul accès possible
Pour la mise en œuvre efficace d’une solution de PAM, il faut abandonner les autres méthodes qui permettent d’accéder à distance à des ressources. Ceci est d’autant plus important si l’on utilise des mots de passe partagés pour les comptes administrateurs. Il faudrait accorder une attention particulière au pare-feu afin de s’assurer que les utilisateurs ne passent que par des sessions contrôlées et surveillées par la solution de PAM.
Aller plus loin pour les systèmes de « grande priorité »
L’outil de PAM peut offrir un certain nombre d’options comme le contrôle, le pilotage, mais aussi l’enregistrement de l’activité et des sessions. Il est fort probable que vous ayez envie d’avoir une plus grande visibilité sur les systèmes que vous considérez comme étant des systèmes critiques ou qui sont soumis à la conformité réglementaire. À titre d’exemple, vous pouvez autoriser l’accès unique et provisoire à un utilisateur qui en ferait la demande, vous pouvez être alerté lorsque des utilisateurs se connectent sur de nouvelles sessions et vous pourrez surveiller leur activité en temps réel.
Un monitoring et un audit permanent de l’utilisation des accès et sessions
Il est difficile de trouver du temps pour surveiller les utilisateurs à privilèges en permanence. C’est pour cette raison que les données stockées dans la solution de PAM peuvent s’avérer inestimables lorsqu’un audit devra être réalisé ou lorsqu’il s’agira d’identifier comment les accès à privilèges ont été utilisés au sein de l’organisation. La manière dont l’équipe interne, mais également des tiers, accède et interagit avec les ressources informatiques peut aider à renforcer le dispositif de sécurité futur et affiner les procédures. Le fait qu’une organisation utilise l’audit et les technologies de surveillance comme le PAM a également un effet dissuasif important contre les abus des utilisateurs à privilèges.
En conclusion,
Mener à bien un projet de Privileged Access Management repose donc sur un processus structuré et nécessite une préparation minutieuse pour prendre les bonnes directions et initier une mise en œuvre progressive et réussie. Plus qu’un projet 100 % IT, déployer une solution PAM nécessite l’intervention de toutes les composantes de l’entreprise afin de cartographier son mode de fonctionnement et ses processus métiers. C’est en respectant ces règles que sécuriser les accès à son SI devient enfin possible et accessible à tous.
Francois Lacas, Directeur Marketing de Wallix
Les médias du groupe Finyear
Lisez gratuitement :
Le quotidien Finyear :
- Finyear Quotidien
La newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise et de la finance d'affaires.
Les 6 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The FinTecher
- The Blockchainer
- Le Capital Investisseur
Le magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour recevoir un avis de publication pour une ou plusieurs lettres
Le quotidien Finyear :
- Finyear Quotidien
La newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise et de la finance d'affaires.
Les 6 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The FinTecher
- The Blockchainer
- Le Capital Investisseur
Le magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour recevoir un avis de publication pour une ou plusieurs lettres