Construire une infrastructure informatique résiliente : PAM vs IAM ?

L’évolution vers des modèles de travail hybrides a élargi les périmètres de travail, ajoutant à la charge des équipes informatiques qui luttent pour rester résilientes face à l’augmentation des surfaces d’attaque. Il suffit d’une seule identité compromise pour que l’infrastructure informatique d’une entreprise soit envahie. Alors, que sont les identités d’entreprise ?

Il s’agit des noms d’utilisateur, des mots de passe, des réseaux, des terminaux, des applications, etc. qui servent de passerelles vers des informations sensibles pour l’entreprise. La sécurisation des identités d’entreprise nécessite une stratégie de gestion des identités et des accès (IAM) et de privilèges (PAM) bien définie.

Qu’est-ce qu’une stratégie IAM ? 

Une stratégie IAM fonctionne en fournissant les bons accès aux bonnes personnes en authentifiant et en autorisant leur identité. En fait, il est essentiel pour les entreprises de concevoir une stratégie IAM idéale et complète pour déjouer les attaques et maintenir une infrastructure résiliente.

La nécessité de l’IAM 

La gestion efficace des identités par une stratégie IAM appropriée garantit la mise en place de flux d’accès sécurisés pour les utilisateurs dans les organisations. L’IAM offre une expérience transparente aux utilisateurs finaux et réduit la charge des équipes informatiques. Elle sert également de base à une analyse efficace des causes racines en cas de violations de données, qui se produisent généralement en raison de la compromission des informations d’identification, et permet un processus d’atténuation plus rapide.

Comment fonctionne l’IAM ?     

En ce qui concerne l’accès aux données, l’IAM adopte une approche à deux volets : l’authentification et l’autorisation.

L’authentification est le processus de vérification de l’identité de l’utilisateur. Plus précisément, il s’agit du mode d’entrée dans un réservoir de données à l’aide d’informations d’identification. Il existe différentes façons d’authentifier les utilisateurs :

  • Authentification via leurs informations d’identification primaires (noms d’utilisateur et mots de passe)

  • Authentification unique (SSO) pour plusieurs comptes d’utilisateur

  • Authentification multifactorielle (MFA) via des OTP, des données biométriques, etc.

L’autorisation est le processus de validation et de gestion de l’accès des utilisateurs. Cela se fait généralement par le biais de la gouvernance et de l’administration des identités (IGA) et de la gestion des accès privilégiés (PAM), qui fonctionnent comme des unités intégrées de gestion des accès.

AUTHENTIFICATION

AUTORISATION

Un point d’entrée permettant à tout utilisateur d’accéder à une ressource.

Processus de validation qui détermine qui a accès à quoi.

Une étape préliminaire pour accéder aux terminaux de l’entreprise tels que les serveurs, les applications, les bases de données, etc.

En fonction des rôles des utilisateurs, le provisionnement des privilèges peut varier.

Comment fonctionne l'IAM ?  

Par exemple, lors d’un achat en ligne, l’accès d’un utilisateur à la passerelle de paiement est authentifié en vérifiant le numéro de carte à 16 chiffres et la valeur de vérification de la carte (CVV). Une fois ces détails traités, la validité de la carte et la disponibilité des fonds sont vérifiées, et l’accès autorisé est accordé pour l’exécution du paiement.

Un bon équilibre entre ces processus permet de préserver la confidentialité des données et de limiter les interventions extérieures ou l’utilisation abusive des informations d’identification des utilisateurs par des personnes malveillantes.

Présentation de l’IGA et de PAM 

L’IAM consiste généralement en un ensemble prédéterminé de politiques, de bonnes pratiques et de flux de travail visant à réglementer les activités d’accès des utilisateurs dans une organisation. À la base, l’IAM se compose de deux modules : IGA et PAM.

L’IGA est une discipline de l’IAM qui fournit un cadre centralisé pour la gestion des identités d’entreprise. L’IGA implique généralement la création de comptes d’utilisateurs, le provisionnement, la régulation et l’audit de leurs accès. L’IGA garantit une mise en œuvre efficace de l’IAM et répond également aux exigences d’audit et de conformité.

PAM est une discipline de l’IAM qui permet la gestion sécurisée des identités privilégiées. Étant donné qu’il n’est pas possible de fournir un accès hiérarchisé à chaque utilisateur, les solutions PAM fonctionnent en offrant le moindre privilège et un accès administratif de type “Zero Trust” à ses utilisateurs, entièrement basé sur le mérite.

 

PAM vs IAM

Par exemple, le processus d’intégration d’un employé relève de la compétence d’un cadre IGA. Il comprend l’attribution d’un identifiant à l’employé, le mappage des terminaux, l’établissement de comptes d’utilisateurs et d’informations d’identification, et l’octroi de l’accès aux ressources de l’entreprise.

Toutefois, si le rôle de l’employé nécessite un accès exclusif à des terminaux informatiques critiques tels que des serveurs, des bases de données, des centres de données et des périphériques réseau, entre autres, la PAM entre en jeu. Le PAM s’adresse aux utilisateurs ayant des besoins d’accès critiques et comprend des mécanismes de contrôle d’accès granulaires pour garantir que seuls les utilisateurs administratifs ont accès aux informations sensibles de l’entreprise.

En d’autres termes, alors que l’IGA s’occupe du provisionnement et de la gestion des accès dans l’ensemble de l’organisation, la PAM s’occupe de sécuriser et de gérer l’accès administratif aux identités privilégiées.

Explorez PAM en profondeur 

La PAM est une stratégie de cybersécurité qui vise à accorder un accès sécurisé et progressif des utilisateurs aux identités privilégiées.

Les identités privilégiées sont présentées comme une nouvelle monnaie, c’est-à-dire qu’elles constituent les modes de navigation les plus faciles vers les informations critiques illimitées d’une entreprise. Les comptes de service, les mots de passe, les jetons d’authentification et les clés SSH sont quelques exemples de ces identités.

Un utilisateur privilégié peut être un utilisateur humain ou non humain qui dispose d’un accès sécurisé à des terminaux tels que des bases de données, des réseaux, des applications en cloud, etc. À mesure que les entreprises évoluent vers des données plus sensibles, il est essentiel de restreindre l’accessibilité afin de maintenir un environnement sécurisé.

Comment les utilisateurs privilégiés peuvent-ils accéder à des données aussi critiques ? Un ensemble d’entités numériques comme les noms d’utilisateur, les mots de passe et d’autres informations d’identification deviennent la passerelle pour accéder aux ressources de l’entreprise en toute sécurité.

Gestion des identités privilégiées à l’aide de PAM  

Les méthodes traditionnelles de gestion des identités privilégiées s’articulent autour de coffres-forts de mots de passe. Cependant, avec l’augmentation des terminaux hybrides et des applications basées sur le cloud, il est important pour les organisations d’adopter le principe du moindre privilège, qui réduit la surface d’attaque des données critiques en accordant un accès limité aux ressources de l’entreprise en fonction des rôles.

Le champ d’application de l’accès privilégié s’étendant au-delà des équipes informatiques, la gestion aisée des identités exige des stratégies qui vont au-delà de la mise en coffre traditionnelle des justificatifs.

 Comment PAM peut-elle faire la différence ? 

  • PAM protège les actifs d’une organisation en offrant plusieurs niveaux d’accès, rendant les systèmes critiques accessibles uniquement aux utilisateurs privilégiés.

  • Une mise en œuvre correcte de PAM peut permettre de contrôler les comptes sensibles et de prévenir l’apparition de menaces internes en régissant et en auditant les accès privilégiés dans toute l’entreprise.

Un programme PAM bien planifié comprend des processus d’audit avant, pendant et après l’activité privilégiée d’un utilisateur, garantissant ainsi un environnement d’entreprise sécurisé.

Le besoin de PAM : Cas d’utilisation en entreprise 

Pour comprendre la portée de PAM dans un environnement informatique, considérons les cas d’utilisation suivants.

Scénario 1 : Les développeurs partagent leurs extraits de code sur les forums de développeurs sans se rendre compte des informations sensibles, telles que les jetons d’authentification, les clés privées, etc. qui se cachent dans ces scripts. Cela peut exposer des données critiques à toute personne mal intentionnée.

Solution : Les équipes informatiques qui déploient une solution PAM lancent un processus automatisé de réinitialisation du mot de passe qui génère un nouveau mot de passe et protège les informations critiques contre tout accès public. Ainsi, toute tentative de révéler les informations d’identification, sciemment ou non, se termine en vain, car elles ne sont plus valides. Les terminaux de l’entreprise restent intacts.

Scénario 2 : lorsque des employés quittent une organisation, les équipes informatiques doivent s’assurer que leurs privilèges d’accès sont annulés ou transférés. Les privilèges permanents, qui sont “toujours actifs” et disponibles en permanence sans utilisateur actif, peuvent accroître le risque de cybermenaces. Ce sont des fruits faciles à cueillir pour les attaquants, et leur disponibilité illimitée peut exposer les données critiques de l’entreprise.

Solution : Un outil PAM permet aux équipes informatiques de s’assurer que les privilèges existants sont révoqués et transférés à un autre utilisateur privilégié. Cela empêche l’exploitation des informations d’identification de l’ex-employé par des initiés malveillants.

 Conditions requises pour un programme PAM idéal  

Un programme PAM idéal doit s’occuper du cycle de vie des identités privilégiées, et passe par les étapes suivantes :

  • Découverte : L’étape initiale de PAM consiste à identifier ou découvrir toutes les identités privilégiées dans l’organisation. Cela permet de faire progresser et de distribuer l’accès aux utilisateurs et groupes d’utilisateurs appropriés.

  • Stockage : Les identités identifiées sont stockées dans un coffre-fort numérique crypté pour un accès répété et une gestion efficace. En cas de violation des données, des données correctement stockées permettent un processus de récupération plus rapide.

  • Gestion : Un réservoir d’identités d’entreprise nécessite une gestion appropriée en effectuant des contrôles d’intégrité périodiques et en restant à jour avec les normes. Cela permet d’instaurer la confiance et de prendre des décisions efficaces.

  • Réglementation : L’accès à chaque donnée privilégiée doit être réglementé et effectué en fonction des mérites du demandeur et des demandes.

  • Audit : PAM permet à une organisation de réexaminer toutes les activités des utilisateurs, offrant ainsi une plongée en profondeur dans le quoi, le qui, le quand et le comment des accès privilégiés, ce qui facilite le respect des normes de conformité.

 Éléments essentiels d’une solution PAM 

Le principe sous-jacent de la PAM est de devancer les cybermenaces plutôt que d’atténuer les invasions qui ont déjà porté atteinte à la réputation de l’organisation. Si l’on considère ces exigences sous un même toit, une solution PAM idéale doit :

  • Prenez en charge le travail hybride en fournissant un accès sécurisé en un seul clic aux ressources distantes.

  • Identifiez les points aveugles en matière de sécurité en offrant une vision approfondie des activités d’accès privilégié.

  • Assurez la rotation périodique et l’accès sécurisé aux informations d’identification privilégiées.

  • Catalysez le respect des exigences d’audit et de conformité.

  • Étendez la sécurité des accès privilégiés à toutes les fonctions de l’entreprise.

  • Assurez la sécurité des accès privilégiés pour les cadres internes, les chaînes d’intégration et de déploiement continus (CI/CD), l’automatisation des processus, etc.

  • Proposez des contrôles pour respecter les réglementations du secteur et les normes de conformité.

L’abus d’identité à privilèges peut avoir des conséquences majeures pour les entreprises, notamment une perte de revenus et de réputation. Investir dans une solution PAM permet aux équipes informatiques de gérer et d’automatiser leurs routines d’accès privilégié, complétant ainsi leur stratégie PAM. En outre, les solutions de PAM offrent des informations en temps réel et exploitables sur les activités d’accès privilégié afin de faciliter la gestion et la prévention efficaces des incidents de sécurité.

 Source : Building a resilient IT infrastructure: Where do enterprises start?   – by Sruthi