<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1033252670099820&amp;ev=PageView&amp;noscript=1">
New Call-to-action

Implémenter une Solution de Gestion des Accès à Privilèges en 3 étapes

› › › RETOUR AU BLOG

[fa icon="calendar"] 19 janv. 2017 09:44:14 / by Cécile Garrett

En cybersécurité, les solutions de gestion des accès à privilèges (PAM) sont de plus en plus attractives pour les entreprises et organisations publiques car elles protègent leurs données et systèmes les plus sensibles des cyber-menaces. Alors comment bien implémenter une telle solution? Réponse de notre expert dans cette interview exclusive.

 

gestion-des-acces-a-privileges.jpg 

 

Bien implémenter une solution de gestion des accès à privilèges est essentiel pour assurer votre sécurité informatique. Dans cette interview, notre expert cybersécurité, Julien Patriarca, dévoile les 3 étapes clés à l'implémentation d'une solution de PAM dans les règles de l'art.

 

Bonjour Julien. Concrètement, quelle est la marche à suivre lorsque l'on implémente une solution de gestion des accès à privilèges? 

Bonjour ! Avant tout, il est plus simple selon moi d'avoir une vision claire de ce qu'il se passe dans son IT pour ensuite aller vers le changement de mot de passe, bien que les deux soient liés. Concrètement, cela se traduit en 3 étapes clés. 

 

Favoriser la visibilité grâce au session management

Etape 1 : Mettre en place un monitoring des sessions privilégiées

Le session management permet de reprendre la main sur son IT très rapidement. En effet, il permet aux super-administrateurs de savoir exactement ce qu'il s'est passé lors d'un incident de sécurité, mais aussi d'être alertés d'événements potentiellement dangereux en temps réel. Le monitoring des sessions offre alors aux administrateurs une visibilité complète (qui fait quoi, où, comment…). Pour un monitoring optimal, il est donc nécessaire de faire en sorte d'obliger les utilisateurs à passer par la solution de gestion des accès à privilèges.

 

Etape 2 : Empêcher les flux directs en implémentant des règles réseau

Dans le cas de comptes nominatifs où les utilisateurs se connectent sur les serveurs cibles avec leur propre compte, nous incitons fortement chez WALLIX à implémenter des règles réseau comme de l'isolation de serveur pour faire en sorte qu'il n'y ait que le Bastion qui puisse se connecter au travers du réseau sur les serveurs cibles, le prérequis indispensable étant d'empêcher les flux directs.

Contrairement aux idées reçues, cette étape est plutôt simple à mettre en place ; nous nous sommes aperçus que nos clients adoptent généralement la solution au moment où ils redéfinissent leur politique de sécurité globale. Le changement d’attitude vis-à-vis des mesures de sécurité est donc intégré. Mais afin de faciliter encore plus l’adoption utilisateur, notre conseil est de d’abord laisser aux personnes la possibilité d'utiliser leur mot de passe sur leur compte nominatif, en priorisant la possibilité d’enregistrer et monitorer leurs actions au travers de la solution et du session monitoring avant de les amener progressivement à changer les mots de passe des serveurs cibles.

 

Renforcer la sécurisation des accès grâce au contrôle des mots de passe

Etape 3 : Intégrer la gestion des mots de passe

Une fois cette étape de gestion des sessions à privilèges implémentée, l’organisation a une vraie vision de ce qu’il se passe son sur SI, que ce soit en interne ou en externe, dans le cadre des tiers mainteneurs. Il est alors intéressant de pousser la politique de sécurité plus loin avec la gestion des mots de passe, le mot de passe étant aujourd’hui le moyen le plus fiable pour pouvoir se connecter à un serveur à distance.

Bien qu'ils soient considérés comme plus fiables, les mots de passe peuvent également être le maillon le plus faible dans la chaîne de sécurité car ils sont généralement choisis de manière simple et très facilement devinable, soit avec des outils en ligne ou bien seulement avec un peu de réflexion. Les utilisateurs n'ont donc pas encore le réflexe de durcir réellement les mots de passe, et le fait de pouvoir confier la gestion des mots de passe à une solution externe comme le Bastion WALLIX permet de s'affranchir d'une éventuelle faille qui se trouverait dans la non complexité des mots de passe mis en place sur les serveurs. Dans le cas des comptes génériques (hôte/administrateur), changer tous les mots de passe des serveurs cibles est nécessaire afin qu’ils ne soient plus connus que de la solution et que seule la solution puisse se connecter pour eux sur les serveurs.

 

En quoi le Bastion WALLIX facilite-t-il ces étapes tout en s'adaptant aux enjeux et aux environnements des entreprises et organisations? 

Aujourd'hui, le Bastion s'intègre de manière très facile dans le SI et s'adpate aux besoins des entreprises en se présentant sous deux offres distinctes:

Lorsqu'une solution de gestion des accès à privilèges est implémentée, l'étape de provisioning, au cours de laquelle la solution est remplie avec les utilisateurs, les équipements, éventuellement les mots de passe, etc. reste un aspect incontournable et important de son intégration au sein d'un système d'information ou d'une machine virtuelle. Ce processus peut prendre du temps et doit être maintenu. En parallèle, les environnements des clients évoluent vers toujours plus d'automatisation; on le voit lorsqu’ils vont vers le cloud pour que l'IT soit de plus en plus simple et automatisé, par exemple.

La Bastion WALLIX propose une palette d'outils tels que des APIs de provisioning, de reporting, etc. permettant de s'interfacer directement avec le système d'information du client pour provisionner de manière automatique les équipements, les utilisateurs et tout ce qui concerne les droits d'accès. Les plages horaires et autres fonctionnalités vont donc pouvoir être créées de manière automatique en suivant l'évolution des outils des clients (CMDB, annuaires, etc.). Le Bastion va alors venir s'intégrer de plus en plus avec l'existant afin d'éviter la double maintenance du référentiel client d'origine et du nôtre pour une unification des systèmes et une synchronisation automatique. La solution WALLIX est donc constamment enrichie pour répondre à la demande du marché et créer toujours plus d'automatisation, plus de rapidité, de déploiement etc.

 

Pour en savoir plus, rendez-vous sur www.wallix.com ou  :

New Call-to-action

 

Topics: WALLIX Products

Cécile Garrett

Written by Cécile Garrett