BLOG - PAM pour les intimes… et pour votre sécurité

10 mars 2020

PAM pour les intimes… et pour votre sécurité 

Christophe Hohl, IT Technical Advisor chez Cyber Security Management 

Vous souvenez-vous de la célèbre série télévisée Alerte à Malibu, ayant en vedette des sauveteurs sur les plages de Californie ? David Hasselhoff et Pamela Anderson – Pam pour les intimes – y assuraient la sécurité des vacanciers et le sauvetage de vies en péril. Eh bien, le monde de l'IT a aussi son PAM. Non pas Pamela Anderson, mais bien le Privileged Access Management. Leurs fonctions sont assez comparables : le sauvetage. À ceci près que le PAM agit de façon préventive, pour éviter tout drame. 

Avec peu d'imagination, on pourrait parfaitement comparer les réseaux de maintes entreprises avec les célèbres plages de Malibu. Chacun y est admis. Et tout comme les maîtres-nageurs veillent sur la sécurité des vacanciers, ce sont aujourd'hui les admins et les gestionnaires de réseau qui sécurisent l'accès aux réseaux. Ce qui, évidemment, suscite un vif intérêt chez les cybercriminels. Car ces admins connaissent les principaux identifiants et mots de passe de toute l'entreprise. Or si l'on a accès à ses serveurs et pare-feu, on peut lui causer d'énormes dommages : empêcher l'accès des commerciaux au CRM, ouvrir une brèche dans les données cruciales de la société, etc. 

On pourrait penser qu'il suffit de protéger suffisamment les comptes internes. Or c'est précisément là que le bât blesse. De plus en plus souvent, des tiers (fournisseurs, services techniques, SOC…) ont accès à ces comptes 'privilégiés'. Et comme il est fréquent que plusieurs personnes travaillent sur un seul et même compte, le mot de passe dudit compte n'est pas modifié régulièrement. N'étant plus individuel, on ne sait jamais qui s'est identifié, ni quand. 

Et nous n'avons encore rien dit des conséquences de la transformation numérique. Les entreprises sont de plus en plus nombreuses à héberger leurs données et travaux sur le cloud, pour augmenter la flexibilité opérationnelle et accorder un accès rapide à leur personnel, leurs clients, partenaires, fournisseurs, prestataires, collaborateurs logistiques toujours plus dispersés. Selon un récent rapport de Forrester Research, 58 % des entreprises interrogées sous-traitent déjà plus de la moitié de leurs centres de données, serveurs, réseaux et infrastructures de stockage. 

Les grands risques encourus concernent des données plus éparpillées, des comptes abandonnés, des comptes partagés mais mal gérés, des méthodes toujours plus sournoises de dérober les identifiants de comptes privilégiés. Pour s'en prémunir – et pour maintenir un strict respect des procédures –, une solution PAM performante et à prix raisonnable s'avère essentielle. Le Privileged Access Management est l'un des principaux domaines de gestion des risques et de protection des données de toute entreprise. 

Avec le PAM, on réduit d'abord le 'périmètre d'accès'. Concrètement : il n'accorde au collaborateur externe que l'accès à la partie du serveur sur lequel il doit travailler. Cet accès est limité dans le temps : un délai déterminé ou des plages horaires spécifiques (par exemple, durant les heures de bureau). 

Deuxièmement, le PAM est un outil d'analyse intéressant. Comme il permet d'octroyer un droit d'accès à certains individus, personne ne peut s'identifier de façon anonyme avec des droits d'administration critiques. Ces données d'identification privilégiées sont toujours couplées à une personne déterminée, et l'on sait exactement qui s'est identifié, à quel moment, de quel endroit, et même avec quel appareil. Une simple pression sur un bouton, et l'on obtient un rapport détaillé de toutes les tentatives (externes) d'accès. 

Dans un rapport récent, Gartner recommande l'emploi du PAM afin de gérer et de contrôler l'accès des fournisseurs externes, surtout dans la configuration actuelle des milieux IT, dotés d'infrastructures toujours plus complexes. Cette solution est plus sûre qu'un VPN, qui accorde, certes, un accès sécurisé, mais ne dit pas ce que ces tiers ont fait précisément sur le réseau pendant une séance VPN. Le PAM, lui, permet une gestion et une surveillance plus fine. Voire une limitation d'accès à certains appareils. Si vous voulez un système de traçabilité, le PAM est la solution. 

Ce sera certainement un grand défi, car nous savons par expérience que moins de 10 % des clients utilisent actuellement un PAM. Il nous incombe de sensibiliser et de protéger toujours plus les entreprises. Ou comme on le disait dans Alerte à Malibu : “We protect when other people don’t want to protect, and we go above and beyond.”