PAM évolutif : adapter le niveau de contrôle au contexte des interventions Le PAM (Privileged Access Management) revêt un enjeu de sécurité majeur pour les organisations dans la mesure où il permet à la DSI de maîtriser qui fait quoi sur son système d’information et de s’assurer de la totale sécurité des comptes à pouvoirs. Cependant, certains produits de PAM offrent un large spectre de fonctionnalités parfois inadaptées à certaines organisations qui peuvent avoir un recours limité à ces utilisateurs à privilèges. C’est pourquoi, le déploiement d’un produit de PAM évolutif, qui s’adapte au contexte actuel de l’organisation et peut évoluer en fonction de ses besoins, s’avère essentiel pour les entreprises qui souhaitent assurer un contrôle proportionné des utilisateurs à pouvoirs tout en gardant une marge d’évolution du niveau de sécurité, rapidement activable en cas d’évolution des besoins. Pourquoi déployer un produit de PAM évolutif ? L’intérêt principal d’un produit de PAM évolutif est de permettre à une organisation, ne disposant potentiellement d’aucune solution de surveillance des accès à privilèges, de maîtriser ses accès à privilèges avec un produit adapté à ses besoins au moment du déploiement de la solution. Les besoins ne sont en effet pas les mêmes selon que l’organisation ait recours à des administrateurs internes, au sein de ses locaux ou en mobilité ou encore à des prestataires externes, pour des tâches usuelles, sensibles ou bien dans un cadre hautement réglementé. L’objectif est le même dans tous les cas : le contrôle des accès et des actions des utilisateurs à pouvoirs. Un niveau standard de PAM va permettre d’atteindre cet objectif dès lors que l’organisation fait appel à des administrateurs internes, opérant sur des tâches d’administration usuelles depuis les locaux de l’organisation. Le produit de PAM doit notamment être capable de sécuriser l’accès au compte à privilège et de tracer et enregistrer les actions de l’utilisateur. Un niveau avancé de PAM, va pour sa part, s’adresser à ces administrateurs internes qui sont potentiellement en mobilité et qui effectuent des tâches sensibles sur le système d’information. L’enjeu, pour le produit de PAM, est tout d’abord d’être en mesure de sécuriser les flux de connexions étant donné que l’administrateur peut alors être connecté depuis un réseau non maitrisé par son organisation. Des mécanismes de rotation des mots de passe et de blocage automatique et en temps réel de certaines actions d’administration vont s’avérer importants étant donné la criticité du niveau d’intervention. Enfin, un niveau que l’on peut qualifier de « complet » et dédié à des accès à pouvoirs de prestataires informatiques et/ou dans des contextes hautement réglementés tels que ceux des OIV et OSE va quant à lui apporter un niveau de sécurité supérieur en fournissant, par exemple, un poste virtuel stérile et jetable aux administrateurs, ou encore en associant le PAM à des solutions tierces telles que des terminaux clients légers durci ou encore en y intégrant une appliance CDS (Cross Domain Solution) pour sécuriser les échanges entre 2 réseaux de niveaux de sensibilité différents. Un produit de PAM évolutif revêt aussi, plus globalement, un intérêt financier pour l’entreprise étant donné qu’il permet de n’activer des fonctionnalités avancées de sécurité que lorsque l’organisation en a besoin. Ainsi un produit de PAM évolutif limite l’impact sur les budgets alloués à la sécurité du système d’information par rapport à un produit de PAM non évolutif. Quel niveau de contrôle choisir ? Trois éléments susmentionnés entrent donc en compte lorsqu’il est question de définir le niveau de contrôle adéquat du produit de PAM évolutif : les profils des utilisateurs à pouvoirs (administrateur interne au sein des locaux de son organisation, administrateur interne en mobilité et administrateur externe / prestataire), le niveau de criticité des tâches d’administration (tâches usuelles ou sensibles) et le type de société (son domaine d’activité ou encore son appartenance à un secteur réglementé). Le niveau de PAM choisi sera déterminé en fonction de ces éléments mais devra toujours s’adapter à la variable la plus stricte en termes de sécurité. Si un niveau standard peut par exemple suffire à une entreprise d’agroalimentaire d’importance régionale faisant appel à ses seuls administrateurs internes sur site propre, un fournisseur d’électricité d’envergure nationale devra lui, s’orienter vers un niveau « complet » quand bien même il n’aurait recours qu’à ses seuls administrateurs internes sur site propre, dès lors que son secteur d’activité, stratégique, est soumis à des réglementations strictes en matière de cybersécurité. Systancia Cleanroom, le produit de PAM évolutif de Systancia permet ainsi aux organisations d’adapter le niveau contrôle de leurs utilisateurs à pouvoirs au contexte des interventions mais aussi aux spécificités intrinsèques de l’organisation.
Conformité réglementaire Moindre privilège : un principe clé pour la sécurité du système d’information
Blog Recommandations de l’ANSSI relatives à l’administration sécurisée des systèmes d’information : quelles nouveautés dans cette 3ème version du PA-022 ?