Le guide pratique de

la sécurisation des accès

Le guide pratique
de la sécurisation des accès
TABLE DES MATIÈRES

1. Résumé 2
2. Introduction à la sécurité des accès 3
a. En quoi consiste la sécurité des accès ? 3
b. Identifier, authentifier, autoriser 5
c. Les avantages d’une sécurisation forte des accès 6
3. Comprendre la sécurité des accès 8
a. La menace interne 8
b. Le modèle Zéro Trust 9
c. Le principe du moindre privilège 10
4. Gestion de la sécurité des accès 12
a. Gestion des identités et des accès (IAM) 12
b. Gestion des accès à privilèges (PAM) 13
c. Gestion des privilèges des endpoints 15
5. Conclusion 17

RÉSUMÉ

Ce guide complet s’adresse à tous ceux qui cherchent à appréhender les notions de base en
matière de sécurité des accès. La sécurité des accès est un cadre regroupant les principes et les
technologies qui permettent de gérer les accès des utilisateurs aux ressources informatiques
sensibles d’une organisation. La sécurisation forte des accès offre un certain nombre
d’avantages, parmi lesquels une cybersécurité renforcée, une meilleure conformité aux
réglementations et un contrôle plus étroit des prestataires externes accédant au réseau et aux
données d’une organisation.

Les entreprises modernes doivent assurer leur protection contre les menaces qui se présentent
à la fois à l’intérieur et à l’extérieur de leurs murs. La sécurité des accès leur apporte les outils
dont elles ont besoin pour repérer précisément qui accède à leurs ressources et contrôler
ensuite les niveaux de privilège de ces utilisateurs. Trois processus essentiels concourent à
cette fin : l'identification, l'authentification et l'autorisation. Le modèle Zéro Trust et le
principe du moindre privilège sont deux concepts cruciaux pour garantir une sécurité des
accès forte. Pour appliquer ces concepts au sein de leurs infrastructures informatiques, les
entreprises disposent d’un certain nombre de systèmes spécifiques : la gestion des identités, la
gestion des accès à privilèges et la protection des endpoints.

2
 Access
Security

Introduction à la sécurité des accès

En quoi consiste la sécurité des accès ? des niveaux d’accès appropriés à leurs ressources
informatiques et, inversement, qu’ils n’ont pas accès
Les entreprises ont mis en place des procédures de aux ressources dont ils n’ont pas besoin. Laisser les
sécurité physique pour empêcher les personnes qui gens accéder physiquement sans restriction aux
leur sont extérieures de pénétrer dans leurs bâtiments d’une organisation n’aurait aucun sens, et
bâtiments et d’y faire ce que bon leur semble. il en va de même pour les réseaux informatiques.
Chaque jour, des contrôles et des infrastructures
sont utilisés pour garantir que seuls les personnels Chaque individu utilisant le système d’une
autorisés peuvent accéder aux zones hébergeant entreprise doit disposer d’une identité numérique
des informations sensibles. Ces contrôles physiques propre. Ces identités doivent être gérées, modifiées
peuvent comprendre des passes d'accès, des points et contrôlées tout au long du « cycle de vie » de
de contrôle physiques, des codes, des clés, ou faire chaque utilisateur. Par exemple, un employé peut
appel à une technologie de reconnaissance faciale. voir son rôle évoluer, ou il peut quitter l’entreprise,
De nos jours, les informations sensibles et les auxquels cas son niveau d’accès numérique doit être
données des clients sont stockées dans des entièrement modifié ou annulé.
infrastructures informatiques. Il est donc logique
pour les entreprises d’appliquer le même niveau de En effet, la sécurité des accès dans son ensemble
contrôle à leurs réseaux informatiques. garantit que les bonnes personnes ont accès aux
bonnes ressources au sein de l’infrastructure
Nous avons tous une identité physique – et informatique. Elle établit des droits et des
désormais nous disposons aussi d’une identité restrictions pour toute personne qui a besoin
numérique. On peut repérer facilement un intrus sur d'utiliser un réseau. Lorsque des centaines
un site, mais il est plus difficile de pister les identités d’utilisateurs sont actifs au sein d’un réseau, il est
numériques. À tout instant, les organisations doivent crucial pour une entreprise de pouvoir dire qui est
savoir qui sont les utilisateurs et quels sont les qui et ce que chacun a fait et à quel moment. Trois
niveaux d'accès qu’ils devraient avoir au sein d’un processus se conjuguent pour parvenir à cette fin :
réseau informatique. Elles doivent garantir que leurs l'identification, l'authentification et l'autorisation.
salariés et leurs partenaires commerciaux disposent

3
 “La sécurité des accès
est un cadre regroupant
les principes et les
technologies qui permettent
de gérer les accès des
utilisateurs aux ressources
informatiques sensibles
d’une organisation.”
 Access
Security

Identifier, authentifier, autoriser loin d’être suffisants pour permettre de vérifier

l’identité des utilisateurs dans un environnement
Ces processus fonctionnent à l'unisson pour vérifier
informatique moderne. Après tout, il suffit à
qui sont les utilisateurs et quels sont les niveaux de
quelqu’un d’entrer le nom d’utilisateur d’une autre
privilèges dont ils disposent dans un réseau. À
personne pour accéder à ses fichiers depuis
première vue, la signification de ces trois mots
son compte. C’est pourquoi il est important
semble similaire. Il existe toutefois d'importantes
de s’authentifier.
différences entre ces aspects essentiels de la
sécurité des accès.
Authentification

Identification
Il doit exister un moyen de prouver qu’un utilisateur
correspond réellement à son identité numérique,
La sécurité des accès commence par l'identité. Pour
c’est-à-dire de l’authentifier. Ce moyen se présente
contrôler ce que les utilisateurs peuvent ou ne sous la forme d’un élément d’information confidentiel
peuvent pas faire au sein d’un réseau informatique, distinct, en général quelque chose que vous savez,
nous devons d’abord savoir qui est qui. Chaque que vous possédez ou qui fait partie de vous.
utilisateur d'un réseau dispose d’une identité
numérique associée à un nom d'utilisateur ou à une • Quelque chose que vous savez : l'exemple le
adresse e-mail uniques. Ces identités virtuelles ont plus courant est le mot de passe. Si votre
une relation spécifique avec une et une seule identifiant est un nom d'utilisateur, alors votre
personne correspondante dans le monde réel. forme d'authentification est votre mot de passe.
Un mot de passe est la forme la plus élémentaire
Les accès et les privilèges au sein du réseau de la sécurité des accès, une pratique qui expose
informatique sont accordés en fonction de ces à des risques comme le partage ou le vol de mot
identités uniques, garantissant ainsi aux personnes de passe.
l'accès aux applications dont elles ont besoin pour • Quelque chose que vous possédez : il peut
faire leur travail. Lorsque les organisations déploient s'agir d'un élément physique tel qu'une carte
un processus ou un système de gestion des identités, d'accès ou une clé de sécurité FIDO qui génère
leur motivation principale est d'accorder les privilèges un code d’accès temporaire.
appropriés aux utilisateurs via leurs identités. • Quelque chose que vous êtes : on parle ici de
facteurs d'authentification biométriques. Ils
Cependant, un identifiant d’utilisateur à lui seul ne authentifient l’identité d’un utilisateur en utilisant
doit pas être utilisé pour présumer de l’identité de une partie de son corps, par des moyens tels la
quelqu’un. Les identifiants d'utilisateur uniques sont lecture d’iris, la reconnaissance faciale ou la

5
 Access
Security

lecture d’empreintes digitales. La biométrie système informatique peuvent allouer les niveaux
comportementale peut également être utilisée, appropriés d’accès à privilèges aux ressources en
comme la reconnaissance de la dactylographie, fonction des rôles et des besoins de chaque utilisateur.
la voix ou la signature.
Cette étape est importante, car tous les utilisateurs
L'association d'une identité d’utilisateur avec une n'ont pas besoin d'avoir le même niveau d'accès. Un
méthode d'authentification crée un ensemble utilisateur peut avoir besoin d'utiliser uniquement
d'identifiants d’utilisateur – les clés pour accéder au Internet et un petit nombre d'applications – tandis
royaume de l’informatique. qu'un autre peut avoir besoin d'accéder en
modification à des serveurs et des bases de données
Le recours à des formes d’authentification importantes. Que ces deux utilisateurs aient le même
complémentaires en plus du mot de passe augmente niveau d’accès aux systèmes n’aurait aucun sens.
considérablement la probabilité d’exactitude de
l’identification. Il est plus difficile à un pirate La robustesse de l’environnement de sécurité des
informatique de voler deux (ou un plus grand accès d’une entreprise repose sur sa capacité à
nombre) des éléments mentionnés plus haut – ce qui identifier les utilisateurs, à les authentifier et à autoriser
renforce la crédibilité des connexions aux ressources leurs accès selon des niveaux appropriés. Les
informatiques sensibles. L'utilisation d’au moins deux entreprises qui mettent en œuvre efficacement cette
de ces méthodes d'authentification est connue sous approche peuvent profiter de tout l'éventail des
le nom d'authentification multi-facteurs (MFA). avantages qu'apporte une sécurité des accès forte.

Autorisation Les avantages d'une sécurisation

forte des accès
L’autorisation est le processus qui consiste à accorder
à quelqu’un la permission d’avoir ou de faire quelque Gestion des niveaux de privilège
chose. Dans un système informatique avec des
centaines d'utilisateurs, il s'agit d'une étape cruciale en Il n’est jamais bon que des identifiants d’utilisateur
matière de sécurité. Un utilisateur peut disposer des soient volés par une personne malveillante. Toutefois,
identifiants pour se connecter à un réseau, mais qu'est- l’ampleur des dommages éventuels – de même que
il autorisé à y faire ? L’autorisation accorde des niveaux leur atténuation – dépend du niveau d’accès accordé
de privilèges et protège les ressources sensibles de à cette identité particulière. Une sécurité des accès
l’entreprise en garantissant que seuls certains individus forte permet aux organisations de gérer les niveaux de
approuvés ont le droit d’y accéder. Une fois qu’il est privilège et de contrôler la visibilité qu’ont les
possible, via l’authentification, d’identifier de manière utilisateurs.
unique tous les utilisateurs et de vérifier qu’ils sont bien
ceux qu’ils prétendent être, les administrateurs du Tous les utilisateurs n'ont pas besoin des mêmes

6
 Access
Security

privilèges pour faire leur travail. La mise en place d'un • Qui accède à votre système ?
cadre de sécurité des accès pour gérer les niveaux de • De quels privilèges disposent ces personnes ?
privilège permet à une entreprise d’éviter que des • À quelles fins utilisent-elles leur accès ?
utilisateurs disposant de beaucoup de privilèges • Quand accèdent-elles au système ?
aient accès à trop de ressources sensibles au sein de
leurs réseaux informatiques. De cette façon, on Cela s’applique aux « personnes de l’intérieur »
limite le risque de voir des identifiants à privilèges comme les salariés présents sur site tout autant qu’aux
tomber entre de mauvaises mains et d’ouvrir une « personnes de l’extérieur » comme les sous-traitants
brèche de sécurité dans l’entreprise. ou les salariés travaillant à distance. Les identifiants
d'utilisateur compromis constituent souvent le point
Les solutions de sécurité des accès contribuent d’entrée dans un réseau pour se livrer à une activité
également à rationaliser la gestion effective des malveillante basée notamment sur les ransomware, les
privilèges. Il est ainsi possible pour les logiciels malveillants ou l’hameçonnage, plaçant ainsi
administrateurs du système informatique d’accorder le contrôle de la sécurité des accès au rang de priorité.
ou de révoquer des privilèges d’accès à toutes les
ressources à partir d’une plate-forme centralisée. Sécurisation du périmètre
Cela renforce la capacité d’organisation et de
gestion du processus du point de vue des Par le passé, le périmètre de sécurité informatique
administrateurs et facilite également la supervision. d’une entreprise était délimité par ses murs. De nos
jours, les entreprises ont des terminaux partout dans
Protection contre les cybermenaces le monde, les salariés et les sous-traitants pouvant
accéder aux réseaux à distance sur leurs appareils
Selon Gartner, les dépenses mondiales en personnels. L'Internet des objets (IoT) se développe,
cybersécurité atteindront 133,7 milliards de dollars ouvrant par là-même des boulevards comme jamais
en 2022. Les organisations modernes, quelles que auparavant au sein d’un réseau. Cela créé aussi des
soient leur forme et leur taille, prennent des mesures voies d’accès aux secteurs industriels qui étaient
raisonnables pour se protéger contre les jusqu’alors protégés du reste du monde connecté.
cyberattaques – et la sécurité des accès en fait partie
intégrante. La gestion des accès à privilèges (PAM) Ces considérations montrent que les terminaux en
a été citée par Gartner comme première priorité en dehors du réseau de l’entreprise ne sont pas protégés
matière de cybermenaces en 2019. par la sécurité périmétrique traditionnelle. Les
entreprises ont donc besoin d'une couche
Lorsque les menaces peuvent venir de l’intérieur ou supplémentaire de sécurité pour les terminaux
de l’extérieur d’une organisation, il est plus que permettant d’accéder de n’importe où aux ressources
jamais important de savoir : sensibles. Une solution de gestion d’accès peut
authentifier les utilisateurs travaillant depuis tout un

7
 Access
Security

éventail de terminaux différents, ces utilisateurs application, il est important de comprendre les
pouvant ainsi vérifier leur identité à distance sans concepts qui la sous-tendent ; des concepts tels que
incidence sur leur productivité. la menace interne, le Zéro Trust et le moindre
privilège sont cruciaux pour garantir la sécurité des
Conformité aux réglementations réseaux.

Savoir exactement qui entre dans un réseau et qui en Comprendre la sécurité des accès
sort – en identifiant également les privilèges dont
disposent ces personnes – est une politique La menace interne
raisonnable à adopter. Mais procéder ainsi n’est pas
seulement une bonne chose – c’est une obligation. Une personne de l’intérieur peut se définir comme
Cette approche est formalisée dans les règlements tout individu ayant un accès légitime aux données
en matière de conformité tels que ISO 27001 et sensibles d’une entreprise. Les salariés à plein temps,
RGPD, qui exigent des entreprises qu’elles instaurent les salariés à temps partiel et les sous-traitants
des contrôles renforcés, la transparence et des listes peuvent donc être considérés comme des personnes
de contrôle des sessions des utilisateurs à privilèges. de l’intérieur, car ils disposent tous de droits d’accès à
Disposer d’un cadre assurant une sécurité des accès l’infrastructure d’une organisation à différents
forte est la meilleure façon de se conformer à ces moments. À l’ère de la cybercriminalité, cela fait de
obligations, ainsi que d’éviter les sanctions pour le tout le personnel interne une porte d’entrée
non-respect des normes réglementaires. potentielle pour les pirates informatiques.

Les entreprises ne doivent pas attendre d’être Il peut sembler étrange de considérer des employés
confrontées à une atteinte à la sécurité des données appréciés et de confiance comme des « menaces »,
pour se protéger en instaurant une sécurité des mais en réalité une proportion significative des
accès robuste. Les bonnes solutions en la matière violations de données sont liées à des identifiants
permettent aux équipes informatiques d’assurer la d’accès de personnes de l’intérieur. Cela ne signifie pas
conformité sans surcharger les ressources dédiées à que toutes les personnes de l’intérieur sont traitées
la cybersécurité ou complexifier à l’excès les tâches comme si elles avaient des intentions malveillantes,
professionnelles. Une solution de sécurité des accès mais en termes de sécurité des accès, chaque jeu
bien gérée peut contribuer à rationaliser et à d’identifiants d’accès, quel que soit le niveau de
accélérer l'application des règles de conformité confiance accordé à l’utilisateur, représente un nouveau
dans l'ensemble d’une organisation. point de vulnérabilité. Même si la grande majorité des
employés ne mettraient jamais délibérément la sécurité
La sécurité des accès apporte un certain nombre de leur entreprise en danger, leurs identifiants peuvent
d'avantages à une organisation. Mais avant d’explorer être perdus, volés ou communiqués par inadvertance à
les systèmes spécifiques qui permettent sa mise en des personnes moins dignes de confiance.

8
 Access
Security

Quelle est l’ampleur du problème posé organisations doivent protéger leurs actifs contre les
par la menace interne ? utilisations abusives accidentelles qui créent des
vulnérabilités. À mesure que s’accroissent
La menace interne est la principale cause de l’exposition et les vulnérabilités, la probabilité d’une
cyberattaque. Selon un rapport de l'Institut attaque malveillante augmente.
Ponemon publié en 2020, le nombre d'incidents de
cybersécurité causés par des personnes de Nous allons dans ce qui suit approfondir deux
l’intérieur a augmenté de 47 % depuis 2018. Le principes qu’une entreprise peut appliquer pour se
rapport indique également que 62 % des incidents protéger contre les violations de données. Tout
découlent de négligence et non d’abord, en mettant en place
pas d’actes délictueux. une politique Zéro Trust en

Selon un rapport de matière d’identification et

La menace interne représente un l'Institut Ponemon publié d’autorisation afin de s’assurer
risque parce que même les en 2020, le nombre qu’elle sait qui accède à son
employés dignes de confiance d'incidents de réseau. Ensuite, en allouant aux
peuvent p ro v o q u e r par cybersécurité causés par personnels internes des
inadvertance une atteinte grave des personnes de autorisations selon le principe
à la sécurité des données par le l’intérieur a augmenté de de moindre privilège pour
biais de l’hameçonnage par 47 % depuis 2018. Le réaliser leur travail.
rapport indique
courriel, du partage
également que 62 % des
d’identifiants de compte et de Le modèle Zero Trust
incidents découlent de
mots de passe administrateur, ou
négligence et non pas
simplement de l’accès à des d’actes délictueux. Il est malheureusement vrai que
ressources critiques depuis des tout utilisateur peut être
terminaux en dehors du réseau considéré comme une menace
de l’entreprise. Selon l’étude de lorsqu’il s’agit de sécurité des
l’Institut Ponemon, les organisations dépensent en accès – même les personnels internes dignes de
moyenne 60 % de plus pour contrer la menace confiance. C’est pourquoi il est logique de mettre
interne qu’il y a trois ans. Le nombre d’entreprises en œuvre une approche Zero Trust pour les
qui prennent des mesures pour se protéger contre utilisateurs accédant au réseau de l’entreprise. Cela
cette vulnérabilité est en augmentation. ne signifie pas qu’il faut traiter tout le monde avec
suspicion ou comme une bombe à retardement.
Comment s’en protéger ?
Cela veut simplement dire que personne n’est
Les gens auront toujours besoin d'avoir accès aux implicitement considéré comme digne de confiance
ressources informatiques pour faire leur travail. Les quand il s’agit d’accéder aux données sensibles

9
 Access
Security

d’une organisation. Au lieu de supposer que toute accès, la confiance par défaut est une politique
activité est légitime jusqu'à preuve contraire, un dangereuse. Personne ne doit bénéficier d’une
modèle de sécurité Zero Trust nécessite confiance implicite lorsqu’il existe un risque
proactivement une preuve d'identité avant d’atteintes graves à la sécurité des données.
d'autoriser l'accès. Les utilisateurs doivent prouver
qu'ils ont à la fois le besoin et l'autorisation L’approche Zero Trust est la première ligne de
d'accéder à une ressource réseau avant que l'accès défense quand il s'agit d'empêcher le piratage
leur soit accordé. d’identifiants. Le principe du moindre privilège
constitue une partie importante du modèle Zero
Comment faire confiance aux utilisateurs ? Trust. Il garantit qu’en cas de vol d’identifiants, les
dommages causés par un pirate informatique seront
L'utilisation d'une approche Zero Trust pour la limités au minimum.
gestion d'accès n'élimine pas la menace interne,
mais elle contribue à l'atténuer. Faire confiance à un Le principe du moindre privilège
utilisateur uniquement parce qu’il possède un nom
d'utilisateur et un mot de passe n'assure pas une Le principe du moindre privilège consiste à accorder
protection suffisante. aux utilisateurs l'accès au minimum d’applications et
de fichiers dont ils ont besoin pour faire leur travail.
C'est là que l'authentification multi-facteurs (MFA) Limiter les droits d'accès au seul minimum de ce qui
entre en jeu. Comme précisé plus haut, le MFA est requis – ni plus, ni moins – élimine les utilisateurs
exige plus d'une forme de vérification pour prouver disposant de trop de privilèges et les risques
qu'un utilisateur potentiel est bien celui qu'il associés. Un pirate informatique peut faire plus de
prétend être. Il est beaucoup moins probable (mais dommages avec des droits d'administration
pas impossible) qu'un pirate informatique mette la importants qu’avec une petite quantité de privilèges
main sur deux formes de vérification plutôt qu'une. utilisateur attribués à un utilisateur compromis. Le
Par exemple, un pirate devrait voler à la fois le mot principe du moindre privilège peut également être
de passe d'un utilisateur et son jeton de sécurité, au étendu aux moments et aux endroits où les gens ont
lieu du seul mot de passe. Plus le nombre de besoin d'avoir accès à certaines ressources. Par
facteurs d’authentification utilisés est élevé, plus la exemple, les employés peuvent n’avoir accès aux
confiance dans l’identité d’un utilisateur est grande. fichiers que pendant certaines heures de travail et à
partir d'endroits précis.
L'authentification multi-facteurs
est-elle suffisante ? Avec la mise en place de politiques du moindre
privilège, la « surface d’attaque » potentielle qu’un
On fait confiance aux employés – et c’est une bonne pirate peut exploiter est réduite. Considérez cette
chose. Cependant, lorsqu'il s'agit de sécurité des analogie physique pour un système sans politique du

10
 Access
Security

moindre privilège. Ce serait comme aller dans un hôtel accès élevé à une zone sensible du réseau, elle peut
et recevoir une carte d'accès qui déverrouille n'importe toujours en faire la demande qui sera accordée ou
quelle porte de l'établissement aussi longtemps que non selon le besoin, et ce pour une tâche particulière.
vous le voulez. Au lieu de cela, on nous donne une
carte qui ne fonctionne que pour les zones communes Comment mettre en œuvre
et notre propre chambre – et seulement pour la durée le principe du moindre privilège ?
de notre séjour.
La notion de moindre privilège est en théorie simple
Pourquoi le principe du moindre privilège à appréhender. Toutefois, il pourrait être nécessaire
est-il si important ? de l'appliquer à des centaines, voire à des milliers
d'utilisateurs d'une organisation, qui ont tous des
Une politique du moindre privilège limite la visibilité rôles et des besoins d'accès différents au fil du
des ressources, que les utilisateurs n’ont pas besoin temps. Il faudrait également prendre en compte les
ou ne sont pas autorisés à voir. Par conséquent, si nombreux départs et arrivées de personnel. Afin de
un pirate informatique réussit à voler les identifiants mettre en œuvre avec succès et de manière durable
d’un utilisateur, il ne pourra accéder qu’à un nombre le principe du moindre privilège, les entreprises ont
limité de re s s o u rc e s ce qui ré d u i r a besoin de bien comprendre :
considérablement sa capacité à causer des
dommages. Le pirate ne serait pas en mesure de • Quels actifs sont considérés comme
passer d’une ressource à une autre selon son gré. En des ressources sensibles ?
limitant l'accès des utilisateurs, nous limitons leur • Qui a vraiment besoin d'accéder
exposition au risque en cas de compromission de à ces ressources sensibles ?
leurs identifiants. • Quelles règlementations l'entreprise
doit-elle respecter ?
Par exemple, un prestataire externe sous contrat pour
effectuer le travail administratif lié à un équipement L’application de la politique du moindre privilège en
spécifique n'a pas besoin des mêmes niveaux d'accès conjonction avec une approche Zéro Trust est une
et de permission que le responsable du service puissante méthode pour garantir la sécurité des
informatique. Il n'a besoin d'avoir accès qu’aux accès. Il est beaucoup plus facile d'identifier les
ressources nécessaires pour accomplir son travail. Il utilisateurs et d'administrer les privilèges lorsqu'ils
suffirait qu’un sous-traitant disposant de trop de sont gérés au moyen d'une solution de sécurité des
privilèges clique sur un lien d’hameçonnage, qui accès centralisée. Examinons maintenant plus en
télécharge des logiciels malveillants, pour qu’un détails les systèmes de gestion qui permettent la
pirate informatique avec des droits administrateur mise en œuvre des principes Zéro Trust et du
accède aux actifs les plus sensibles de l'organisation. moindre privilège.
Si une personne de l’intérieur a besoin d'avoir un

11
 Access
Security

Gestion de la sécurité des accès multi-facteurs (MFA). Cela permet aux organisations
d'appliquer une politique Zéro Trust chaque fois que
Gestion des identités et des accès (IAM) quelqu'un tente d'accéder à leur réseau.

Les environnements cloud, le travail à distance, les Les identités numériques au sein de l’infrastructure
politiques « apportez votre propre appareil » (BYOD) d’une organisation peuvent changer au fil du temps
et l’Internet industriel des objets (IIoT) ont rendu les et doivent donc être gérées avec souplesse au fur et
réseaux informatiques plus complexes que jamais. à mesure de l’évolution des utilisateurs tout au long
Cela peut rendre encore plus difficile la gestion des de leur « cycle de vie », avec la possibilité d’ajouter,
identités numériques. L'absence d'un système de supprimer ou de modifier facilement les
centralisé de surveillance et de gestion de l'accès identités. Une gestion efficace des accès permet
des utilisateurs laisse les organisations exposées à donc aux super administrateurs d'activer et de
des risques inutiles. désactiver les comptes, d'accorder et de révoquer
les droits d'accès et de stocker les informations sur
Nous avons vu comment la vérification de l’identité des les utilisateurs dans des bases de données. Le
utilisateurs d’un réseau fait partie intégrante de la système doit être facile à gérer pour les
sécurité des accès. La gestion des identités et des accès administrateurs informatiques. Si l’administration du
constitue un cadre de solutions qui identifient et système est compliquée ou répartie sur plusieurs
authentifient tous les utilisateurs ayant besoin ressources différentes, elle ne sera pas aussi efficace.
d’accéder au système d’une organisation. Ces solutions
permettent aux entreprises de définir qui est chaque De la même façon, les solutions de sécurité les plus
utilisateur et ce qu'il peut faire au sein d'un réseau. performantes offrent une expérience utilisateur
transparente. Si la connexion aux ressources est
Quelles sont les principales fonctions de l'IAM ? complexe, les utilisateurs chercheront des
échappatoires allant à l’encontre de l'objectif des
Les systèmes IAM comprennent une variété d'outils solutions et qui vont mettre l’entreprise encore plus
qui facilitent la mise en place des 3 piliers : identifier, en danger. Simplifier l'authentification par
authentifier, autoriser. Avec le bon panel de l'intermédiaire de l’identification unique (SSO) et
solutions, une organisation peut établir une défense centraliser l'accès via une seule plate-forme simplifie
solide pour protéger les identités, les accès et les l'expérience utilisateur et encourage l'adoption par
données d'une entreprise. celui-ci de processus de sécurité appropriés.

Qu'exige-t-on des solutions qui composent cet l’IAM est un terme-cadre pour la gestion de toutes
écosystème IAM ? Une solution de gestion des les identités numériques d’une organisation et de
identités doit être en mesure de vérifier l’identité ses accès. Ainsi, un environnement IAM robuste
des utilisateurs, de préférence par l'authentification devrait inclure une solution de gestion des accès à

12
 Access
Security

privilèges (PAM). Les solutions de PAM offrent une Le PAM permet d’atténuer cette menace en
solide couche de sécurité en facilitant la mise en facilitant un contrôle précis des personnes qui
œuvre des politiques du moindre privilège et Zéro disposent de privilèges administrateur pour accéder
Trust pour les droits d'accès élevés des utilisateurs. à des ressources données, et du moment où se fait
l’accès. Elle surveille les actions des utilisateurs, en
Gestion des accès à privilèges enregistrant une piste de vérification qui peut être
exploitée en cas d’atteinte à la sécurité. Une solution
La gestion des accès à privilèges, ou PAM, aide les de PAM efficace valide les tentatives d'accès à
organisations à surveiller et à vérifier toutes les privilèges aux ressources selon les critères suivants :
actions réalisées par les utilisateurs privilégiés. Les
solutions de gestion des identités et le MFA 1. L'utilisateur peut-il prouver qui il est ?
authentifient et autorisent tout utilisateur qui a
besoin d’accéder à un système, après quoi la PAM 2. L'utilisateur a-t-il les privilèges nécessaires
s’attache à rationaliser la gestion et la surveillance pour accéder à la ressource en question ?
des droits d’accès élevés des utilisateurs, en
prémunissant les organisations contre une utilisation 3. Y a-t-il des circonstances appropriées pour
abusive accidentelle ou délibérée d’un accès à l'accès à privilèges ?
privilèges.
4. Toutes les activités des utilisateurs sont-elles
Les dangers d'accorder une confiance surveillées et enregistrées à des fins de traçage
inconditionnelle à tout utilisateur sont clairs en et de vérification ?
raison de la menace interne, et l'approche Zéro Trust
de la sécurité exige que chaque tentative d'accès à 5. Peut-on mettre fin à la session
privilèges soit validée et surveillée. Il est risqué de (automatiquement ou manuellement) si
donner, même aux utilisateurs super l'activité est non-autorisée ou suspecte ?
administrateurs, des privilèges « root » comme la
possibilité de modifier les configurations du Les solutions de PAM peuvent varier en termes
système, d'installer des logiciels ou d'accéder à des d’architecture, mais la plupart comportent trois
données sécurisées. Les identifiants à privilèges composantes principales :
peuvent être perdus, partagés ou volés. Un
utilisateur malveillant avec des droits administrateur • l’Access manager
peut non seulement apporter des changements • Le Password manager
profonds à un système, mais il est également en • Le Session manager
mesure de dissimuler ses actions. Sans parler de la
négligence et des erreurs, qui favorisent les abus Ces modules travaillent en conjonction pour
accidentels des droits privilégiés. s'assurer qu’une réponse affirmative est apportée

13
 Access
Security

aux questions ci-dessus avant l'octroi d'un accès à accès externe aux sous-traitants, aux fournisseurs de
privilèges. services et aux salariés travaillant à distance, offrant
ainsi une couche supplémentaire de sécurité pour ces
L’Access Manager « personnes de l’intérieur » qui se connectent à partir
de l'extérieur du réseau d'entreprise.
La composante gestionnaire d'accès régit les accès
aux comptes à privilèges. Elle permet à l’équipe de Le Password Manager
sécurité informatique d’une organisation de
cartographier les rôles et les accès des utilisateurs, L'objectif d'une solution de PAM efficace est
ainsi qu’accorder, révoquer ou modifier leurs d'empêcher les utilisateurs à privilèges de connaître
privilèges d’accès à toutes les ressources, et ceci à les mots de passe réels des systèmes critiques. Le
partir d’une console unique. Le gestionnaire d’accès gestionnaire de mot de passe stocke toutes les clés
fournit les outils nécessaires pour accorder les accès SSH des mot de passe dans un coffre-fort sécurisé,
dont les utilisateurs (internes, externes et tiers) ont ce qui signifie que les utilisateurs n'ont jamais
besoin pour faire leur travail ainsi qu'un moyen pour besoin de connaître ou de partager les mots de
les super administrateurs de gérer les autorisations passe administrateur. L’utilisation d’un outil avancé
et de suivre les utilisateurs. de gestion des mots de passe réduit
considérablement le risque que les mots de passe
Il centralise l'accès à toutes les ressources ainsi que d’une organisation tombent entre de mauvaises
leur gestion au sein d'une même plateforme, sans mains. La complexité des mots de passe est
connexions séparées ni systèmes disparates. Les renforcée et grâce à la mise en place d’une rotation
utilisateurs ne voient que les ressources auxquelles ils automatique ce qui fait que les identifiants
ont le droit d'accéder, ni plus ni moins. Ils ne peuvent deviennent invalides même s'ils sont corrompus.
pas voir les autres ressources informatiques sur le
réseau, même s'ils peuvent deviner que ces Un gestionnaire de mot de passe est plus qu'un
ressources sont bien présentes. simple coffre-fort. Tout en stockant et cryptant les
mots de passe en toute sécurité, il contribue à
Un gestionnaire d'accès donne une image claire aux appliquer des politiques rigoureuses en la matière,
administrateurs de l'utilisation et de l'accès aux ainsi qu’à améliorer les bonnes pratiques au sein
ressources dans l'ensemble de leur organisation. Et d'une organisation. Le gestionnaire de mot de passe
elle simplifie la connexion aux ressources pour les est un élément clé du PAM, qui permet aux
utilisateurs internes et externes, en rationalisant organisations de réduire l'exposition aux risques et
l'accès à toutes les ressources autorisées par de satisfaire à une toute une variété d'exigences en
l'intermédiaire d'une seule plate-forme. Le matière de conformité.
gestionnaire d'accès est particulièrement important
pour les grandes organisations qui doivent fournir un

14
 Access
Security

Le Session Manager Gestion des privilèges des endpoints

Le gestionnaire de session constitue le cœur d'une En plus du PAM, la gestion des privilèges sur les
solution de PAM robuste ; il contrôle les accès à « endpoints » (EPM) est une composante essentielle
privilèges en temps réel et vérifie si les actions d’une stratégie d’IAM efficace, qui peut être utilisée
réalisées dans le cadre d'une session privilégiée sont pour sécuriser les appareils à partir desquels les
à la fois légitimes et autorisées. Il crée également utilisateurs accèdent au réseau d’une organisation et
une piste de vérification non modifiable de toutes d’autres équipements « terminaux ». L’EPM applique
les sessions, dont les journaux peuvent être le principe du moindre privilège à ces terminaux, en
consultés, ce qui facilite le respect des permettant aux organisations de définir des privilèges
règlementations en matière de conformité. Et en cas au-delà du niveau de l'utilisateur pour autoriser ou
de tentatives d’accès à des ressources sensibles sans bloquer des applications et des processus. Cela
autorisation, il peut y être mis fin de façon contribue à protéger le réseau contre les menaces
automatique. C’est la philosophie du principe Zero telles que les ransomware ou les logiciels malveillants.
Trust : « mieux vaut prévenir que guérir ». Qu’il s’agisse d’un téléphone, d’un ordinateur ou
d’un terminal de point de vente – tous les appareils
Le gestionnaire de session donne une visibilité doivent satisfaire à des critères spécifiques avant de
complète sur les actions privilégiées des utilisateurs, se voir accorder l’accès aux ressources du réseau.
réduisant ainsi le risque d'abus délibéré ou
accidentel de privilèges. Il enregistre les clics, les Pourquoi protéger les endpoints?
frappes de clavier et toutes les autres actions pour
permettre aux organisations de voir exactement ce Le temps où les employés accédaient à un réseau
qu'un utilisateur à privilèges a fait au cours d'une uniquement à partir de leurs postes de travail fixes
session. Cela inclut les actions qu'un utilisateur peut est depuis longtemps révolu. Les organisations
essayer de dissimuler, que ce soit sur un autre écran modernes peuvent avoir des centaines ou des
ou à l’aide de raccourcis-clavier. L'enregistrement milliers de terminaux – et ce nombre ne fera
des sessions peut également contribuer à repérer qu'augmenter à mesure que l'Internet industriel des
des erreurs légitimes en temps réel et à les rattraper. objets (IIoT) connectera encore plus d'appareils aux
Les enregistrements sont particulièrement utiles réseaux. L’employé moderne lambda peut accéder
lorsque des informations doivent être vérifiées dans au réseau d’une organisation à partir d’un ordinateur
le cadre d’un audit, ou comme outils de formation. de bureau, d’un ordinateur portable professionnel,
d’un téléphone professionnel et aussi de ses
Une solution de PAM complète est la meilleure appareils personnels, et ceci de n’importe où. Plus
façon d'optimiser la sécurité contre les risques les terminaux sont nombreux, plus les pirates
potentiels induits par les utilisateurs à privilèges. informatiques disposent de voies potentielles pour
s'infiltrer dans l'infrastructure informatique.

15
 Access
Security

Il est important de mettre en place des mesures de nécessaire d’appeler le service informatique pour
sécurité appropriées pour empêcher les appareils télécharger un outil important pour la productivité du
non autorisés d’accéder à un réseau. Toutefois, il travail – mais les terminaux restent sécurisés avec des
serait peu pratique d'appliquer ces mesures restrictions imposées aux processus que ces
individuellement à chaque appareil. La gestion des applications peuvent mettre en œuvre, même pour
privilèges au niveau des terminaux permet les utilisateurs ayant des privilèges élevés.
d’effectuer un contrôle et de respecter les
règlementations telles que RGPD, NIS et PCI-DSS –
sans pénaliser la productivité des utilisateurs.

Comment l’EPM fonctionne-t-il ?

La gestion des privilèges sur les terminaux offre une

approche logicielle centralisée qui permet aux
administrateurs d’identifier et de gérer l’accès des
appareils des utilisateurs finaux au réseau
d’entreprise. L’EPM élimine les risques associés aux
utilisateurs disposant de trop de privilèges, en
appliquant des privilèges au niveau de l'application et
du processus, plutôt qu'au niveau de l'utilisateur. Les
administrateurs peuvent définir des autorisations
d'accès de sorte que même les appareils personnels
à l'extérieur du périmètre du réseau ne puissent pas
présenter de risque pour les actifs de l'entreprise. Ils
peuvent également faire respecter le principe du
moindre privilège en établissant des politiques dans
lesquelles des critères d'accès précis et granulaires
sont accordés aux terminaux pour garantir la
protection de l'infrastructure informatique sans nuire
à la productivité des utilisateurs.

Avec des contrôles définis au niveau du processus,

l’équipe informatique peut mettre sur liste blanche,
sur liste noire ou même sur liste grise des applications
ou des actions spécifiques. Les tâches quotidiennes
des utilisateurs ne sont pas perturbées – il n’est pas

16
 Access
Security

Conclusion À la fin de la tâche, une fois le travail terminé, la

solution de PAM vérifie et change
Considérez cet exemple de sécurité des accès automatiquement le mot de passe de la
prise dans son ensemble. Un sous-traitant a ressource et révoque les privilèges élevés
besoin d'accéder à la base de données d'une attribués au sous-traitant. Grâce au PAM ses
organisation pour effectuer un certain travail, et privilèges d’accès au réseau de l’entreprise sont
il tente de se connecter au réseau de l'entreprise supprimés à l’expiration du besoin. Le système
par l'intermédiaire de sa tablette personnelle. La de gestion des privilèges des terminaux garantit
procédure IAM de l’organisation lui impose que l'appareil utilisé pour modifier la base de
d’authentifier son identité selon le MFA : à l’aide données dispose des paramètres de sécurité
d’un mot de passe temporaire qu’il s’est vu appropriés et permet d’effectuer des
attribuer ainsi que du code d’un token RSA. téléchargements et de travailler à partir
d'applications sur liste blanche.
Le PAM l’autorise à accéder au serveur dont il a
besoin, puis surveille et enregistre sa session au Ce scénario montre comment une organisation
fur et à mesure qu'il travaille. S’il a besoin d'avoir dotée d'une sécurité des accès forte peut utiliser
accès à d'autres ressources, des privilèges élevés les fonctions PAM et EPM en même temps pour
peuvent être demandés et accordés par l'équipe assurer la sécurité des systèmes et des données
informatique pour une période déterminée. critiques dans le cadre d'une stratégie IAM globale.

17
 A propos de
WALLIX
Editeur de logiciels de cyber sécurité, WALLIX Group
est le spécialiste Européen de la gouvernance des
comptes à privilèges. Répondant à l’évolution
réglementaire et aux enjeux de cybersécurité qui
touchent l’ensemble des entreprises, les solutions
WALLIX protègent des cybermenaces, vols et fuites
de données liés aux identifiants volés et
aux privilèges détournés.

WWW.WALLIX.COM