Vous souhaitez être appelé gratuitement par un de nos conseillers ?

Nos conseillers sont disponibles du lundi au vendredi de 9h à 12h et de 14h à 18h

Merci, nos conseillers vont vous rappeler.

 /

📢 ESBD devient BlueFinch-ESBD

😀 Nous sommes heureux d’annoncer la fusion entre ESBD et BlueFinch. Les deux sociétés continuent leur aventure sous le nom de BlueFinch-ESBD

En savoir plus
Demander une démo
fr / en /
Demander une démo
fr / en /

La sécurité des accès à privilèges (PAM)

par Eloïse • 07 Juin 2022

Alors que les cyberattaques et les logiciels malveillants font les gros titres, l’une des plus grandes menaces de sécurité auxquelles les entreprises sont confrontées proviennent d’utilisateurs de confiance ayant un accès privilégié aux données sensibles. Nombre d’entreprises déclarent que les attaques internes sont de plus en plus fréquentes et qu’elles s’y sentent vulnérables.

La sécurité des comptes à privilèges permanents

En matière de sécurité, l’un des principes de base consiste à fournir un accès avec le moins de privilèges possible afin de réduire sa surface d’attaque. Les autorisations sont donc attribuées à des fins spécifiques. Cependant, ce fondement est facilement oublié pour les privilèges permanents. Les comptes à privilèges permanents représentent des accès toujours disponibles, même lorsqu’ils ne sont pas nécessaires, offrant ainsi une surface d’attaque opérationnelle aux hackers.

L’utilisation de comptes avec des privilèges permanents est très courante. De nombreuses entreprises attribuent des comptes avec des privilèges à tous les administrateurs, croyant à tort qu’ils ont besoin d’un accès illimité à tout pour effectuer leur travail efficacement. Ces comptes comprennent souvent l’accès à plus de systèmes que nécessaire et sont toujours disponibles pour être utilisés, ce qui déroge donc au principe du moindre privilège.

Qu’est-ce qu’une autorisation « just-in-time » ?

Un modèle d’autorisation « just-in-time » est, comme son nom l’indique, une autorisation « juste à temps ». Cette dernière permet de réduire la surface d’attaque, car les permissions sont activées seulement au moment où l’utilisateur en a besoin.

Lorsqu’un utilisateur doit effectuer une activité nécessitant une autorisation élevée, il effectue une demande décrivant la nature de la tâche et les ressources dont il a besoin pour l’accomplir. Si la demande est approuvée, il reçoit une identité temporaire avec juste assez de privilèges pour remplir la tâche. Une fois la tâche terminée, l’identité est désactivée ou supprimée.

Cependant, il est important de savoir que toutes les solutions d’accès temporaires ne réduisent pas totalement la surface d’attaque. Certains fournisseurs créent des comptes qui sont fournis aux utilisateurs sur demande. Toutefois, ces comptes restent actifs après utilisation, avec toutes leurs autorisations intactes, au lieu d’être désactivés ou supprimés.

Pourquoi les autorisations juste-à-temps sont-elles importantes pour votre organisation ?

Ces permissions temporaires offrent de multiples avantages comme :

Quelle approche retenir des comptes à privilèges ?

Dans le cadre de la gestion continue des risques et de la stratégie de sécurité des données de votre organisation, vous devriez vous efforcer d’atteindre l’objectif de zéro privilèges permanents. L’élimination de l’accès privilégié « permanent » permet de garantir que les systèmes et les données ne sont accessibles que lorsqu’il existe une raison valable d’y accéder.

Toutefois, votre approche doit être celle qui concilie le mieux les objectifs de votre entreprise en matière de sécurité, de risque et d’exploitation. Voici 3 différentes approches :

  1. L’élévation de droits temporaires : le compte d’un utilisateur se voit accordé des autorisations supplémentaires pour une durée limitée. À la fin de cette période, l’accès supplémentaire est révoqué.
  2. Le coffre-fort : un ou plusieurs comptes privilégiés permanents sont créés et leurs informations d’identification sont stockées dans un coffre-fort central. Les utilisateurs doivent fournir une justification lorsqu’ils demandent à utiliser l’un de ces comptes pour accéder à des systèmes spécifiques pendant une durée déterminée.
  3. Privilège permanent zéro pour un risque zéro : ici, il n’y a pas de comptes privilégiés permanents. Au lieu de cela, des comptes privilégiés temporaires sont activés ou créés en fonction de besoins spécifiques. Ils sont ensuite détruits ou désactivés après utilisation. L’accès privilégié doit être demandé pour la durée nécessaire à l’accomplissement de la tâche. Si la demande est approuvée, l’accès est accordé. Une fois la tâche terminée, l’accès est révoqué.

En résumé, le privilège permanent zéro permet :

– La séparation des tâches : aucun utilisateur ou dispositif ne doit avoir un accès complet à toutes les ressources informatiques. Les utilisateurs et les dispositifs ne peuvent accéder qu’aux ressources dont ils ont besoin.

– La micro-segmentation : l’environnement informatique doit être divisé en différentes zones de sécurité qui nécessitent des autorisations distinctes.

– L’accès « juste à temps » : les utilisateurs et les appareils n’obtiennent un accès privilégié que lorsque cela est nécessaire et pour la durée déterminée.

– L’audit et le suivi : un journal est tenu pour chaque demande d’accès élevé, pour savoir si cet accès a été accordé et quand il a été révoqué.

Comment Netwrix SbPAM peut vous aider ?

Netwrix SbPAM élimine les privilèges permanents. Avec cette solution logicielle, vous pouvez créer des comptes « just-in-time » avec juste assez de privilèges pour réaliser votre tâche, puis supprimer le compte. Par conséquent, il n’y a pas de compte utilisateur avec des privilèges permanents que les pirates informatiques pourraient compromettre.

Netwrix SbPAM est la seule solution de PAM du marché à proposer la destruction des comptes à privilèges après leur utilisation.

Netwrix SbPAM vous aide à :

Demandez une démonstration ou un essai gratuit, quelques minutes suffiront à vous convaincre de la richesse de cette solution de PAM.

Je book une démo

 

S'inscrire à la newsletter

Restez informé de l’actualité ESBD

Merci de vous être abonné(e) à notre newsletter.