Gestion des identifiants d’administrateur
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Définir les systèmes de gestion des accès privilégiés
- Expliquer le principe du moindre privilège.
Gestion des accès privilégiés
Bien que les gestionnaires de mots de passe soient formidables pour générer et sécuriser vos mots de passe personnels, vous avez besoin d’un système plus sécurisé pour protéger les identifiants de vos utilisateurs avec privilèges (également appelés utilisateurs administratifs). Les identifiants privilégiés sont un sous-ensemble d’identifiants (tels que les mots de passe) qui fournissent un accès et des autorisations élevés sur les comptes, les applications et les systèmes. Les mots de passe privilégiés peuvent être associés à des humains, à des applications, à des comptes de service, etc.
Les solutions de gestion des accès privilégiés (PAM) offrent un moyen de stocker des secrets, tels que des mots de passe et des clés cryptographiques (un mot, un nombre ou une phrase utilisés en combinaison avec un algorithme pour chiffrer [ou brouiller] du texte en clair). Les solutions PAM utilisent un outil central pour gérer, déléguer et auditer les accès privilégiés. La PAM aide les organisations à mettre en œuvre le principe du moindre privilège, qui veut que les utilisateurs ne reçoivent que le niveau d’accès nécessaire pour faire leur travail.
Politique concernant les mots de passe des comptes privilégiés
Pour protéger vos systèmes, votre organisation doit développer et appliquer une politique claire pour les mots de passe des comptes privilégiés et la partager avec toutes les parties concernées qui utilisent et gèrent ces comptes.
Les organisations ont tout intérêt à développer ce type de stratégie quelle que ce soit l’entité qui accède aux comptes : humains ou autres systèmes. Ces politiques doivent inclure l’utilisation obligatoire de longues phrases secrètes et l’authentification multifacteur (MFA) pour les comptes humains.
Des standards de rotation des mots de passe peuvent garantir la rotation systématique des mots de passe pour chaque compte, système, appareil en réseau, application et service. Vos standards de rotation doivent inclure une notification automatique aux parties prenantes lorsqu’il est temps de mettre à jour les mots de passe.
Mise en œuvre du principe du moindre privilège
Défendre vos périmètres ne suffit pas pour la sécurité et la protection des données. De nombreuses violations de données se produisent dans les systèmes gouvernementaux et du secteur privé en raison d’identifiants réseau compromis. Dans ces cas, les pirates cherchent à accéder à des comptes privilégiés afin de pouvoir accéder à des données sensibles et à des enregistrements privés.
Lors de la configuration des identifiants d’administration, pensez à mettre en œuvre le principe du moindre privilège (POLP). Si nous parlons si souvent de POLP dans les formations à la sécurité, c’est parce qu’il s’agit de l’un des moyens fondamentaux par lesquels nous pouvons sécuriser nos systèmes. Pour rappel, le principe du moindre privilège est un principe de conception en sécurité informatique qui limite les droits d’accès et les privilèges des programmes à ceux qui sont nécessaires pour le travail demandé. C’est la différence entre avoir une clé qui fonctionne sur chaque porte et une qui n’ouvre que certaines pièces.
L’un des aspects de la mise en œuvre du principe du moindre privilège est que vous retirez l’accès administrateur local complet aux points de terminaison du système. Par exemple, un compte d’utilisateur qui a besoin d’une autorisation uniquement pour créer des sauvegardes n’a pas besoin de la capacité d’installer un logiciel. Le compte sera donc uniquement autorisé à exécuter les applications de sauvegarde et liées aux sauvegardes. Tous les autres privilèges, tels que l’installation de nouveaux logiciels, doivent être bloqués.
Pour faciliter la gestion des privilèges, il est judicieux d’automatiser l’octroi des droits d’accès en fonction de l’identité de l’utilisateur, de ce à quoi il demande l’accès et du contexte de la demande. Les utilisateurs ne doivent pouvoir accéder qu’aux systèmes dont ils ont besoin pour faire leur travail et ne doivent pas bénéficier d’un accès général aux informations.
Cela signifie par exemple que Sally, du service RH, ne doit pas avoir accès à la base de données de Bilal, du service Finance, qui gère des transactions à l’international. Une bonne gestion des accès privilégiés signifie que Sally a accès à tous les dossiers RH dont elle a besoin pour faire son travail, et Bilal a accès à tous les dossiers financiers dont il a besoin pour faire le sien, mais ils n’ont pas accès aux dossiers de l’autre.
Choix d’une solution de gestion des accès privilégiés (PAM)
Il existe de nombreuses solutions PAM qui offrent diverses fonctionnalités et options de déploiement. Vous pouvez en tester et en évaluer quelques-unes avant de décider laquelle mettre en œuvre. Un facteur important de la mise en œuvre d’une solution PAM est de veiller à avoir des cas d’utilisation et des profils d’utilisateurs bien définis. Utilisez un PAM pour attribuer des niveaux d’accès pour la gestion des comptes de service, les fonctions de découverte, la gestion des actifs et des vulnérabilités, l’analyse, et bien plus encore.
Si votre organisation ne dispose pas des ressources nécessaires pour maintenir un personnel de sécurité formé à l’installation, à la configuration et à la gestion de ces solutions, vous pouvez faire appel à un fournisseur de services gérés (MSP) qui effectuera ces tâches pour vous.
Découverte continue des comptes privilégiés
L’une des tâches les plus importantes en vue de sécuriser les accès privilégiés consiste à identifier toutes les utilisations valides de l’accès privilégié aux serveurs, aux services cloud, aux bases de données et aux autres systèmes. Cela garantit que les comptes privilégiés sont valides, mais identifie également les comptes qui ne le sont pas. Par exemple, il est important de garder une trace non seulement de l’octroi mais aussi de la suppression des privilèges lorsque les personnes changent de service ou lorsqu’elles quittent l’entreprise.
Les comptes privilégiés doivent être surveillés à tout moment à l’aide de mécanismes automatisés pour identifier les activités malveillantes ou accidentelles. L’analyse de cette activité vous permet de mieux comprendre le comportement des utilisateurs, garantit que vos systèmes d’accès sont à jour et vérifie que le principe du moindre privilège est appliqué correctement.
Évaluation de vos connaissances
Prêt à réviser ce que vous venez d’apprendre ? L’évaluation ci-dessous n’est pas notée, elle vous permet simplement de faire le point. Pour commencer, faites glisser la description de la colonne de gauche vers le terme correspondant à droite. Lorsque vous avez fini d’associer tous les éléments, cliquez sur Soumettre pour vérifier votre travail. Pour recommencer du début, cliquez sur Réinitialiser.
Vous avez bien travaillé !
Ressources
- Lien externe : National Institute of Standards and Technology (NIST) : Guide de gestion des comptes privilégiés
- Trailhead : Gestion de l’identité et de l’accès