Publication: le 19 juillet 2024
Contributeur: Matthew Kosinski
La gestion des accès privilégiés (PAM) est la discipline de cybersécurité qui régit et sécurise les comptes privilégiés (tels que les comptes d’administrateur) et les activités privilégiées (telles que la manipulation des données sensibles).
Dans un système informatique, le « privilège » fait référence aux autorisations d’accès qui sont supérieures à celles d’un utilisateur standard. Un compte d’utilisateur standard peut avoir l’autorisation d’afficher des entrées dans une base de données, tandis qu’un administrateur privilégié peut configurer, ajouter, modifier ou supprimer des entrées.
Les utilisateurs non humains (comme les machines, les applications et les workloads) peuvent également détenir des privilèges élevés. Par exemple, un processus de sauvegarde automatisé peut avoir accès à des fichiers et à des paramètres système confidentiels.
Les comptes privilégiés sont des cibles de choix pour les pirates informatiques, qui peuvent abuser de leurs droits d’accès pour voler des données et endommager des systèmes critiques tout en échappant à la détection. En fait, le détournement de comptes valides est le vecteur de cyberattaque le plus courant aujourd’hui, selon l’IBM X-Force Threat Intelligence Index.
Les outils et les pratiques de PAM aident les organisations à protéger les comptes à privilèges contre les attaques basées sur l’identité. Plus précisément, les stratégies de PAM renforcent la posture de sécurité de l’organisation en réduisant le nombre d’utilisateurs et de comptes privilégiés, en protégeant les identifiants privilégiés et en appliquant le principe du moindre privilège.
La gestion des identités et des accès (« Identity and access management » ou IAM) est un vaste domaine qui englobe tous les efforts d’une organisation en matière de sécurité des identités pour tous les utilisateurs et toutes les ressources. La PAM est un sous-ensemble de l’IAM qui se concentre sur la sécurisation des comptes et des utilisateurs privilégiés.
Il existe un chevauchement important entre l’IAM et la PAM. Les deux impliquent la fourniture d’identités numériques, la mise en œuvre de politiques de contrôle d’accès et le déploiement de systèmes d’authentification et d’autorisation.
Cependant, la PAM va plus loin que les mesures IAM standard, car les comptes privilégiés nécessitent une protection plus forte que les comptes standard. Les programmes de PAM utilisent des mesures de sécurité avancées telles que les coffres d’identifiants et l’enregistrement des sessions pour contrôler strictement la manière dont les utilisateurs obtiennent des privilèges élevés et ce qu’ils en font.
Il serait peu pratique et inefficace d’appliquer des mesures aussi strictes aux comptes non privilégiés. Ces mesures entraveraient l’accès courant des utilisateurs et les empêcheraient de faire leur travail quotidien. Cette différence dans les exigences de sécurité explique pourquoi la PAM et l’IAM ont évolué vers des disciplines distinctes mais connexes.
Découvrez pourquoi IBM Security Verify a été reconnu comme un leader dans le dernier rapport Magic Quadrant de Gartner pour la gestion des accès.
Les comptes privilégiés présentent des risques de sécurité accrus. Leurs autorisations élevées ont tendance à provoquer des abus, et de nombreuses organisations ont du mal à suivre les activités privilégiées sur les systèmes sur site et dans le cloud. La PAM aide les organisations à mieux contrôler les comptes privilégiés afin de stopper les pirates informatiques tout en fournissant aux utilisateurs les autorisations dont ils ont besoin.
Les attaques basées sur l’identité, dans lesquelles les pirates prennent le contrôle des comptes d’utilisateurs et abusent de leurs privilèges valides, sont en augmentation. X-Force d’IBM rapporte que ces attaques ont augmenté de 71 % l’année dernière. Elles représentent désormais 30 % des violations de la sécurité. Ces attaques ciblent souvent des comptes privilégiés, soit directement, soit par mouvement latéral.
Les acteurs malveillants (menaces internes ou attaquants externes) qui parviennent à s’emparer de comptes privilégiés peuvent causer de graves dommages. Ils peuvent utiliser des autorisations élevées pour diffuser des logiciels malveillants et accéder à des ressources critiques sans restriction, tout en faisant croire aux solutions de sécurité qu’ils sont des utilisateurs légitimes avec des comptes valides.
Selon le Rapport sur le coût d’une violation de données d’IBM, les violations dans lesquelles les pirates utilisent des identifiants volés sont parmi les plus coûteuses (4,62 millions de dollars en moyenne). Les menaces internes qui abusent de leurs privilèges légitimes peuvent causer encore plus de dommages, ces violations coûtant en moyenne 4,90 millions de dollars.
De plus, la transformation numérique et le développement de l’ intelligence artificielle ont augmenté le nombre d’utilisateurs privilégiés dans la plupart des réseaux. Chaque nouveau service cloud, application d’IA, poste de travail et appareil de l’Internet des objets (IdO) apporte son lot de nouveaux comptes privilégiés. Ces comptes comprennent à la fois les comptes d’administrateur dont les utilisateurs humains ont besoin pour gérer ces actifs et les comptes que ces actifs utilisent pour interagir avec l’infrastructure réseau.
Mais ce qui complique encore les choses, c’est que les gens partagent souvent leurs comptes privilégiés. Par exemple, au lieu d’attribuer à chaque administrateur système son propre compte, de nombreuses équipes informatiques créent un compte administrateur par système et partagent les identifiants avec les utilisateurs qui en ont besoin.
S’il est difficile pour les organisations de suivre les comptes privilégiés, c’est précisément sur ces comptes que les acteurs malveillants concentrent leur attention.
Les technologies et les stratégies de PAM aident les organisations à mieux contrôler les comptes et les activités privilégiés sans perturber les workflows des utilisateurs légitimes. Le Center for Internet Security répertorie les principales activités de la PAM parmi ses contrôles de sécurité « critiques ».1
Des outils tels que les coffres d’identifiants et l’élévation de privilèges « juste-à-temps » peuvent faciliter l’accès sécurisé pour les utilisateurs qui en ont besoin tout en bloquant l’accès des pirates informatiques et des initiés non autorisés. Les outils de surveillance des sessions privilégiées permettent aux organisations de suivre tout ce que chaque utilisateur fait avec ses privilèges sur le réseau, ce qui permet aux équipes informatiques et de sécurité de détecter toute activité suspecte.
La gestion des accès privilégiés regroupe des processus et des outils technologiques permettant de contrôler la manière dont les privilèges sont attribués, consultés et utilisés. De nombreuses stratégies de PAM s’appuient sur trois piliers :
Gestion des comptes privilégiés : création, provisionnement et élimination sécurisée des comptes dotés d’autorisations élevées.
Gestion des privilèges : gérer comment et quand les utilisateurs obtiennent des privilèges, ainsi que ce que les utilisateurs peuvent faire avec leurs privilèges.
Gestion des sessions privilégiées : surveiller l’activité privilégiée pour détecter les comportements suspects et garantir la conformité.
La gestion des comptes privilégiés supervise l’ensemble du cycle de vie des comptes avec des autorisations élevées, de la création à la désactivation.
Un compte privilégié est un compte qui dispose de droits d’accès supérieurs à la moyenne dans un système. Les utilisateurs de comptes privilégiés peuvent effectuer des opérations telles que modifier les paramètres système, installer de nouveaux logiciels et ajouter ou supprimer d’autres utilisateurs.
Dans les environnements informatiques modernes, les comptes privilégiés se présentent sous de nombreuses formes. Les utilisateurs humains et les utilisateurs non humains, tels que les appareils IdO et les workflows automatisés, peuvent avoir des comptes privilégiés. En voici quelques exemples :
Les comptes administratifs locaux permettent aux utilisateurs de contrôler un simple ordinateur portable, serveur ou autre terminal individuel.
Les comptes administratifs de domaine permettent aux utilisateurs de contrôler l’ensemble d’un domaine, par exemple tous les utilisateurs et les postes de travail d’un domaine Microsoft Active Directory.
Les comptes d’utilisateurs professionnels privilégiés offrent aux utilisateurs un accès privilégié à des fins non informatiques, comme le compte qu’un employé financier utilise pour accéder aux fonds de l’entreprise.
Les comptes de superutilisateur accordent des privilèges illimités dans un système particulier. Dans les systèmes Unix et Linux, les comptes de superutilisateur sont appelés comptes « root ». Dans Microsoft Windows, ils sont appelés comptes « administrateur ».
Les comptes de service permettent aux applications et aux workflows automatisés d’interagir avec les systèmes d’exploitation.
Les comptes d’applications permettent aux applications d’interagir entre elles, de passer des appels vers des interfaces de programmation des applications (API) et d’exécuter d’autres fonctions importantes.
La gestion des comptes privilégiés gère l’ensemble du cycle de vie de ces comptes privilégiés, notamment :
Découverte : inventaire de tous les comptes privilégiés existants dans un réseau.
Provisionnement : création de nouveaux comptes privilégiés et attribution d’autorisations selon le principe du moindre privilège.
Accès : gérer qui peut accéder aux comptes privilégiés et de quelle façon.
Élimination : supprimer en toute sécurité les comptes privilégiés qui ne sont plus nécessaires.
L’un des principaux objectifs de la gestion des comptes privilégiés est de réduire le nombre de comptes privilégiés dans un système et d’en restreindre l’accès. La gestion des identifiants est un outil incontournable pour atteindre cet objectif.
Plutôt que d’attribuer des comptes privilégiés à des utilisateurs individuels, de nombreux systèmes de PAM centralisent ces comptes et stockent leurs identifiants dans un coffre-fort de mots de passe. Le coffre-fort conserve de manière sécurisée des mots de passe, des jetons, des clés secure shell (SSH) et d’autres identifiants sous une forme chiffrée.
Lorsqu’un utilisateur (humain ou non humain) doit effectuer une action privilégiée, il doit extraire du coffre-fort les identifiants du compte approprié.
Supposons, par exemple, qu’un membre de l’équipe informatique doive apporter des modifications à un ordinateur portable de l’entreprise. Il doit pour cela utiliser le compte administrateur local de cet ordinateur portable. Les identifiants du compte étant stockés dans un coffre de mots de passe, le membre de l’équipe informatique commence par demander le mot de passe du compte.
Le membre de l’équipe doit d’abord se soumettre à une authentification forte, telle que l’authentification multifactorielle (MFA), pour prouver son identité. Ensuite, le coffre-fort utilise des contrôles d’accès basés sur les rôles (« role-based access controls » ou RBAC) ou des stratégies similaires pour déterminer si cet utilisateur est autorisé à accéder aux identifiants de ce compte.
Ce membre de l’équipe informatique est autorisé à utiliser ce compte d’administrateur local, et le coffre des identifiants accorde l’accès. Le membre de l’équipe informatique peut désormais utiliser le compte administrateur local pour apporter les modifications nécessaires à l’ordinateur portable de l’entreprise.
Pour une meilleure sécurité, de nombreux coffres d’identifiants ne partagent pas directement les identifiants avec les utilisateurs. Ils utilisent plutôt la connexion unique (SSO) et la répartition de session pour lancer des connexions sécurisées sans que l’utilisateur ne voie jamais le mot de passe.
L’accès de l’utilisateur au compte expire généralement après une durée définie ou une fois la tâche terminée. De nombreux coffres d’identifiants peuvent effectuer automatiquement une rotation des identifiants selon un calendrier ou après chaque utilisation, ce qui rend plus difficile le vol et l’utilisation abusive de ces identifiants par des acteurs malveillants.
La PAM remplace les modèles à privilèges perpétuels, dans lesquels un utilisateur dispose toujours du même niveau statique d’autorisations, par des modèles d’accès juste-à-temps qui permettent aux utilisateurs de bénéficier de privilèges élevés lorsqu’ils ont besoin d’effectuer des tâches spécifiques. La gestion des privilèges est la façon dont les organisations mettent en œuvre ces modèles d’accès dynamiques à moindre privilège.
Les coffres d’identifiants sont un moyen pour les organisations d’éliminer les privilèges perpétuels, car les utilisateurs ne peuvent accéder aux comptes privilégiés que pour une durée et à des fins limitées. Mais les coffres ne sont pas le seul moyen de contrôler les privilèges des utilisateurs.
Certains systèmes de PAM utilisent un modèle appelé élévation de privilèges juste-à-temps (« just-in-time » ou JIT). Au lieu de se connecter à des comptes privilégiés distincts, les utilisateurs voient leurs autorisations temporairement augmentées lorsqu’ils doivent effectuer des actions qui nécessitent des privilèges.
Dans le modèle d’élévation des privilèges JIT, chaque utilisateur dispose d’un compte standard avec des autorisations standard. Lorsqu’un utilisateur doit faire quoi que ce soit qui nécessite des autorisations élevées, par exemple un membre de l’équipe informatique qui doit modifier des paramètres importants sur un ordinateur portable de l’entreprise, il soumet une demande à un outil de PAM. La demande peut inclure une sorte de justification décrivant ce que l’utilisateur doit faire et pourquoi.
L’outil de PAM évalue la demande par rapport à un ensemble de règles prédéfinies. Si cet utilisateur est autorisé à effectuer la tâche sur ce système, l’outil de PAM élève ses privilèges. Ces privilèges élevés ne sont valides que pour une courte période, et ils ne permettent à l’utilisateur que d’effectuer des tâches précises.
La plupart des organisations utilisent à la fois l’élévation des privilèges et la sauvegarde des identifiants pour la gestion des privilèges. Certains systèmes ont besoin de comptes privilégiés dédiés, tels que les comptes administratifs par défaut intégrés à certains appareils, mais ce n’est pas le cas pour tous.
La gestion des sessions privilégiées (« privileged session management » ou PSM) est l’aspect de la gestion des comptes privilégiés qui supervise les activités privilégiées. Lorsqu’un utilisateur accède à un compte privilégié ou qu’une application voit ses privilèges élevés, les outils PSM suivent la façon dont ils utilisent ces privilèges.
Les outils de PSM peuvent sauvegarder l’activité des sessions privilégiées en enregistrant les événements et les frappes. Certains outils de PSM réalisent également des enregistrements vidéo des sessions privilégiées. Les dossiers de PSM aident les organisations à détecter les activités suspectes, à attribuer des activités privilégiées à des utilisateurs individuels et à créer des pistes d’audit à des fins de conformité.
La gestion des identités privilégiées (« privileged identity management » ou PIM) et la gestion des utilisateurs privilégiés (« privileged user management » ou PUM) sont des sous-domaines de la gestion des accès privilégiés, qui se chevauchent. Les processus de PIM se concentrent sur l’attribution et le maintien de privilèges pour les identités individuelles dans un système. Les processus de PUM se concentrent sur la maintenance des comptes utilisateur privilégiés.
Cependant, les distinctions entre la PIM, la PUM et les autres aspects de la PAM ne font pas l’unanimité. Certains techniciens de l’informatique utilisent même les termes de manière interchangeable. En fin de compte, l’important est que tout cela entre dans le champ de l’acronyme PAM. Différentes organisations peuvent conceptualiser les tâches de PAM différemment, mais toutes les stratégies de PAM partagent l’objectif de prévenir l’utilisation abusive des accès privilégiés.
Il est inefficace, et souvent impossible, d’effectuer manuellement les tâches essentielles de la PAM, à savoir l’élévation des privilèges ou la rotation régulière des mots de passe. La plupart des organisations utilisent des solutions de gestion des comptes privilégiés pour rationaliser et automatiser une grande partie du processus.
Les outils de gestion des comptes privilégiés peuvent être installés sur site sous forme de logiciels ou de dispositifs matériels. De plus en plus, ils sont fournis sous la forme d’applications SaaS dans le cloud.
Le cabinet d’analystes Gartner classe les outils de gestion des comptes privilégiés en quatre catégories :
Les outils de gestion des comptes et des sessions privilégiés (« privileged account and session management » ou PASM) gèrent le cycle de vie des comptes, les mots de passe, le stockage des identifiants et la surveillance des sessions privilégiées en temps réel.
Les outils de gestion de l’élévation et de la délégation des privilèges (« privilege elevation and delegation management » ou PEDM) permettent d’élever les privilèges juste-à-temps en évaluant, puis en approuvant ou en refusant automatiquement les demandes d’accès privilégié.
Les outils de gestion des secrets se concentrent sur la protection des identifiants et la gestion des privilèges des utilisateurs non humains (comme les applications, les workloads et les serveurs).
Les outils de gestion des droits d’utilisation de l’infrastructure cloud (« Cloud infrastructure entitlement management » ou CIEM) sont conçus pour la gestion des identités et des accès dans les environnements cloud, où les activités et les utilisateurs sont plus distribués et nécessitent des contrôles différents de ceux de leurs équivalents sur site.
Alors que certains outils de PAM sont des solutions ponctuelles qui couvrent une classe d’activités, de nombreuses organisations adoptent des plates-formes complètes qui combinent des fonctions de PASM, de PEDM, de gestion des secrets et de CIEM. Ces outils peuvent également permettre des intégrations avec d’autres outils de sécurité, comme une solution de gestion des informations de sécurité et des événements (« security information and event management » ou SIEM), qui peut recevoir de leur part des journaux de sessions privilégiées.
Certaines plateformes de PAM complètes ont des fonctions supplémentaires, telles que :
La possibilité de découvrir automatiquement les comptes privilégiés auparavant inconnus
La possibilité d’appliquer l’authentification multi-facteur (MFA) aux utilisateurs qui demandent un accès privilégié
L’accès à distance sécurisé pour les activités et les utilisateurs privilégiés
Les capacités de gestion des accès privilégiés pour les fournisseurs (« Vendor privileged access management » ou VPAM) pour les prestataires et les partenaires tiers
Les analystes prévoient que les outils de PAM, comme les autres contrôles de sécurité, intégreront de plus en plus l’IA et le machine learning (ML). En fait, certains outils de PAM utilisent déjà l’IA et le ML dans les systèmes d’authentification basés sur les risques.
L’authentification basée sur les risques évalue en permanence le comportement des utilisateurs, calcule le niveau de risque associé à ce comportement et modifie dynamiquement les exigences d’authentification en fonction de ce risque. Par exemple, un utilisateur qui demande des privilèges pour configurer un seul ordinateur portable peut être soumis à une authentification à deux facteurs. Un utilisateur qui souhaite modifier les paramètres de tous les postes de travail d’un domaine peut devoir fournir encore plus de preuves pour vérifier son identité.
Les recherches d’OMDIA2 prédisent que les outils de PAM pourraient utiliser l’ IA générative pour analyser les demandes d’accès, automatiser l’élévation des privilèges, générer et affiner les politiques d’accès et détecter les activités suspectes dans les enregistrements de sessions privilégiées.
Alors que les outils et les tactiques de la PAM régissent les activités privilégiées au sein d’une organisation, ils peuvent également aider à résoudre des problèmes spécifiques de sécurité d’identité et d’accès.
- Réduire la surface d’attaque des identités
- Gérer la prolifération des identités
- Conformité réglementaire
- Gestion des secrets DevOps
Les acteurs malveillants utilisent de plus en plus de comptes valides pour s’introduire dans les réseaux. Dans le même temps, de nombreuses organisations souffrent d’une véritable dérive dans l’utilisation des privilèges. Les utilisateurs disposent de privilèges plus élevés que ce dont ils ont besoin, et les comptes privilégiés obsolètes ne sont pas correctement désactivés.
Par conséquent, les identités sont devenues les plus grands facteurs de risque pour de nombreuses organisations. Les outils et les tactiques de PAM peuvent aider à corriger ces vulnérabilités.
Les coffres d’identifiants compliquent le vol des comptes privilégiés, et les outils de PEDM imposent un accès granulaire selon le principe du moindre privilège, qui limite les mouvements latéraux. Les organisations peuvent utiliser ces solutions de PAM et d’autres pour remplacer les privilèges perpétuels par un modèle de sécurité Zero Trust, où les utilisateurs doivent être authentifiés et autorisés pour chaque connexion et chaque activité. Ce modèle contribue à réduire la surface d’attaque des identités et à limiter les possibilités des pirates informatiques.
La transformation numérique a entraîné une explosion des identités privilégiées sur les réseaux d’entreprise, ce qui représente un défi majeur pour la sécurité de l’information.
En moyenne, un service d’entreprise utilise 87 applications SaaS différentes3, sans parler des différents appareils IdO, des services d’infrastructure cloud et des utilisateurs distants dotés d’appareils BYOD, qui remplissent désormais les réseaux d’entreprise. Bon nombre de ces actifs et de ces utilisateurs ont besoin de comptes privilégiés pour interagir avec les ressources informatiques.
Et comme de plus en plus d’organisations intègrent l’IA générative dans leurs opérations, ces nouvelles applications et intégrations d’IA font entrer en scène un autre ensemble d’identités privilégiées.
Bon nombre de ces identités privilégiées appartiennent à des utilisateurs non humains, par exemple des applications d’IA et des appareils IdO. Aujourd’hui, les non-humains sont plus nombreux que les utilisateurs humains dans de nombreux réseaux, et ils ont la réputation de mal garder le secret de leurs identifiants. Par exemple, certaines applications transmettent leurs identifiants en texte brut aux journaux système et aux rapports d’erreur.
La PAM peut aider les organisations à gérer la prolifération des identités en mettant en coffre-fort les identifiants privilégiés pour les utilisateurs humains et non humains et en contrôlant de manière centralisée l’accès à ceux-ci. La rotation automatique des identifiants peut limiter les dommages causés par les fuites de ces identifiants, et les outils de surveillance des sessions permettent de suivre l’utilisation que font tous ces utilisateurs de leurs privilèges.
Les réglementations de confidentialité et de sécurité des données, comme la loi Health Insurance Portability and Accountability Act (HIPAA), la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et le Règlement général sur la protection des données (RGPD) , exigent que les organisations contrôlent l’accès aux informations relatives à la santé, aux numéros de carte de crédit et à d’autres données sensibles.
La gestion des comptes privilégiés peut aider les organisations à répondre aux exigences de conformité de plusieurs façons. Les outils de PAM peuvent appliquer des privilèges d’accès granulaires afin que seuls les utilisateurs qui en ont besoin puissent accéder aux données sensibles, et uniquement pour des raisons autorisées.
Les coffres d’identifiants et l’élévation des privilèges éliminent le besoin de comptes administrateur partagés, ce qui peut empêcher des utilisateurs non autorisés d’accéder à des données sensibles.
La surveillance des sessions privilégiées aide les organisations à attribuer l’activité à un utilisateur et à produire des pistes d’audit pour prouver la conformité en cas de violation ou d’enquête.
La gestion des identifiants privilégiés, souvent appelés « secrets » dans les environnements DevOps, peut être particulièrement difficile pour les équipes DevOps.
La méthodologie DevOps utilise largement les services cloud et les processus automatisés, ce qui signifie qu’il existe de nombreux utilisateurs humains et non humains privilégiés dispersés dans de nombreuses parties différentes du réseau.
Il n’est pas rare que les clés SSH (« secure shell »), les mots de passe, les clés API et d’autres secrets soient codés en dur dans des applications ou stockés sous forme de texte brut dans des systèmes de contrôle de version et à d’autres endroits. Ceci permet aux utilisateurs d’obtenir facilement des identifiants lorsqu’ils en ont besoin et évite que les workflows ne soient perturbés, mais il est également plus facile pour les acteurs malveillants de voler ces identifiants.
Les outils de PAM peuvent vous aider en stockant les secrets DevOps dans un coffre-fort centralisé. Seuls les utilisateurs et les workloads légitimes peuvent accéder aux secrets, et uniquement pour des raisons légitimes. Les coffres-forts peuvent effectuer une rotation automatique des secrets, de sorte que les identifiants volés deviennent rapidement obsolètes.
Protégez et gérez les identités des clients, du personnel et des comptes à privilèges dans le cloud hybride en intégrant l’IA
Protégez vos utilisateurs et vos applications, à la fois au sein et en dehors de l’entreprise, grâce à une approche fluide, cloud native et SaaS.
Découvrez un système de gestion complet, sécurisé et conforme des identités et des accès pour les entreprises modernes.
Préparez-vous aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations.
Comprenez les tactiques courantes des attaquants pour mieux protéger votre personnel, vos données et votre infrastructure.
Découvrez l’orchestration des identités et la coordination de systèmes disparates de gestion des identités et des accès (IAM) dans des workflows fluides.
Notes de bas de page
Tous les liens sont externes au site ibm.com
1 CIS Critical Security Controls, Center for Internet Security, juin 2024.
2 Generative AI Trends in Identity, Authentication and Access (IAA), Omdia, le 15 mars 2024.
3 2023 State of SaaS Trends, Productiv, le 21 juin 2023.