adempercem - stock.adobe.com

Gestion des comptes à privilèges : une adoption difficile

Gartner estime que 70 % des organisations auront généralisé la pratique de la gestion des comptes à privilèges à tous ses cas d’usage en entreprise pour l’horizon 2022. Les défis n’en restent pas moins nombreux.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 16 : La gestion des comptes à privilèges n’est plus une option

La gestion des comptes à privilèges (PAM, Privileged Access Management) n’est pas un luxe. Selon Gartner, la prise de conscience progresse rapidement, même si elle n’est pas encore complète. À l’automne 2019, le cabinet estimait que 90 % des organisations auraient compris, à l’horizon 2022, que réduire le risque associé à ces comptes à privilèges est fondamental, contre 70 % l’an dernier. Et à ce même horizon, 60 % des organisations devraient avoir compris les bénéfices métiers à en retirer également, contre seulement 30 % il y a un an.

Des défis multiples

Las, gérer les comptes à privilèges ne se fait pas en se contentant de déployer un outil : « le but de tout programme de PAM est d’assurer que la bonne personne dispose des droits appropriés à la ressource voulue, et au bon moment, pour les bonnes raisons », expliquent les analystes Michael Kelley et Felix Gaehtgens. Et cela passe « par une combinaison d’outils et de processus appliqués aux niveaux appropriés ».

« Beaucoup d’organisations peinent à traiter les bases du PAM »
Étude Gartner

Mais voilà, « beaucoup d’organisations peinent à traiter les bases du PAM », et même celles qui y parviennent échouent à aller au-delà et à retirer toute la valeur de l’approche. Et les raisons ne manquent pas.

Cela commence par un manque de compréhension de tous les cas d’usage du PAM – pour du patrimonial, mais également pour des environnements cloud et hybrides. Qui plus est, expliquent les analystes, « les responsables de la sécurité et de la gestion du risque concentrés sur l’IAM placent souvent trop de confiance en leurs outils de PAM, s’attendant à ce que l’implémentation de ces technologies compense leur manque de vision, de pratiques et de processus PAM ».

Une démarche en quatre piliers

Pour réussir à retirer tous les bénéfices – en termes de sécurité, mais également de métiers, via l’automatisation – de la PAM, Gartner identifie quatre piliers d’égale importance.
Le premier ne surprendra personne, mais renvoie à l’une premières difficultés de la gestion des comptes à privilèges : la découverte et leur suivi.

Car l’éventail de comptes à privilèges est important : comptes nominatifs, comptes partagés, comptes d’administration intégrés aux systèmes (comme root ou l’administrateur local), mais aussi les identifiants associés aux échanges interapplicatifs, les comptes de services, ou encore les identifiants embarqués dans le code. De fait, pas question de prendre le risque de passer à côté d’un cas d’usage : « l’existence d’accès à privilèges non pris en compte, même pour une courte durée, comporte un risque significatif ».

« Il faut mettre en place un processus automatique de découverte des comptes à privilège »
Gartner

Dès lors, les recommandations du cabinet sont sans ambiguïté : il faut mettre en place un processus automatique de découverte des comptes à privilège, couvrant tous leurs cas d’usage, mais également découvrir et noter les cibles auxquelles ces comptes donnent accès, ainsi que leurs propriétaires. Puis en gérer le cycle de vie.

Au bon moment, pour la bonne durée

C’est le second pilier : identifier correctement les processus liés au cycle de vie de ces comptes à privilèges. Et pour les analystes, il convient là d’avoir une approche dite just-in-time, permettant de n’accorder l’accès que pour une durée limitée, et à un moment précis, afin d’éviter de laisser traîner inutilement et dangereusement des droits trop puissants. Cela peut passer par une solution de gestion des sessions et des comptes à privilèges (PASM), ou par une solution de gestion des délégations et élévations de privilèges (PEDM). Et les deux peuvent même être combinés.

Le troisième volet est l’enregistrement et l’audit des activités des comptes à privilèges : « un programme de PAM efficace nécessite de la visibilité sur ce que font les utilisateurs à privilèges et sur les changements qui ont eu lieu ». Les éditeurs de solutions de PAM proposent justement l’enregistrement de session, en vidéo, mais aussi en ligne de commande, ou encore les saisies clavier. La différence peut se faire sur les capacités de parcours des enregistrements : devoir visualiser plusieurs heures d’enregistrement vidéo pour détecter une anomalie comportementale, sans l’aide du moindre automatisme, peut vite s’avérer chronophage, fastidieux, et inefficace. Les analystes de Gartner recommandent alors sans surprise de s’assurer qu’il est possible « d’exporter les logs vers un outil d’analyse comportementale (UEBA) ou un système de gestion des informations et des événements de sécurité (SIEM) ».

La carte de l’automatisation

« Un programme de PAM efficace nécessite de la visibilité sur ce que font les utilisateurs à privilèges et sur les changements qui ont eu lieu »
Gartner

Le dernier pilier est celui qui doit effectivement permettre de récolter tous les bénéfices de sa stratégie PAM, notamment « pour accompagner de nouvelles initiatives DevOps ou RPA, ou déléguer des accès à privilège à des tiers ». Il s’agit de supprimer, autant que possible, et de manière sûre et fiable, « le facteur humain » des processus liés à la gestion des comptes à privilèges.

Bien sûr, pas question de chercher à viser trop large : il s’agit de se concentrer sur « des tâches prévisibles et répétables, comme de simples changements de configuration, des installations de logiciels, des redémarrages programmés », etc. Et il s’agit ainsi de miser sur les possibilités d’intégration entre outils de sécurité (notamment automatisation et gestion de vulnérabilités) et PAM, mais aussi avec les outils de gouvernance des identités (IGA), ou encore d’ITSM, et bien sûr les SIEM et les systèmes d’UEBA.

Pour approfondir sur Gestion d’identités

Close