Comment MFA et PAM fonctionnent ensemble

Les environnements de réseau d’entreprise sont généralement vastes, avec de nombreux points d’accès qui peuvent potentiellement être exploités pour obtenir un accès non autorisé au réseau ainsi qu’aux ressources et aux données au sein de ce réseau. Pour tenter de verrouiller les systèmes contre tout accès non autorisé, les équipes de cyber-sécurité ont souvent recours à une stratégie de « défense en profondeur » qui consiste à protéger le système dans son ensemble au moyen de plusieurs niveaux de défense qui visent à assurer la protection individuelle de chacune de ses composantes.

Les deux niveaux couramment utilisés sont l’authentification multifacteur (MFA) et la gestion des accès à privilèges (PAM). Pour illustrer le paradigme de la défense en profondeur, il est utile de comprendre ce que signifient la MFA et la PAM, et comment elles fonctionnent ensemble pour fournir une défense de plusieurs niveaux contre l’accès et l’exploitation non autorisés du système.

Une solution MFA forte avant la PAM permet de s’assurer que les utilisateurs sont bien ceux qu’ils prétendent être avant même qu’ils n’atteignent le point d’accès.

Fractionnement du MFA

Tout le monde connaît le système classique de nom d’utilisateur et de mot de passe permettant d’accéder à tout, des comptes e-mail et de sites Web aux ressources du réseau telles que les serveurs. Un tel processus, à lui seul, présente un seul facteur d’authentification : si vous connaissez l’identifiant, vous avez accès aux ressources protégées par un pare-feu qui se trouvent derrière cet identifiant. Le problème, bien sûr, est que par nature, l’authentification à un facteur n’est pas très sécurisée, ce qui crée un seul obstacle entre vous et la ressource. Les mots de passe sont volés dans des bases de données ou fournis aux fins d’une attaque par hameçonnage dont le but est de faire ressembler exactement un site au site légitime que l’utilisateur voulait visiter. Ils sont également vulnérables et facilement déchiffrables par un pirate disposant des bons outils.

L’authentification multifacteur apporte une solution à ce problème en exigeant que les utilisateurs s’authentifient avec plus d’un facteur. En d’autres termes, en plus d’un élément connu de l’utilisateur, tel qu’un mot de passe, un dispositif MFA exigera également de l’utilisateur un élément qui lui est particulier ou propre. Avec un mot de passe et un identifiant unique, le système reçoit deux niveaux – ou facteurs – de preuve que vous êtes qui vous prétendez être.

Lorsqu’un utilisateur tente de se connecter à un système et reçoit un message texte sur son téléphone avec un code d’autorisation, cela signifie que la MFA est à l’œuvre : elle tient compte du fait que même si le mot de passe d’un utilisateur peut avoir été piraté, il est peu probable que le pirate dispose également du téléphone de cet utilisateur. Sauf dans des situations rocambolesques du style Mission Impossible, il est extrêmement improbable qu’un pirate informatique possédant un mot de passe ait aussi l’empreinte digitale de l’utilisateur, par exemple.

Gestion des accès à privilèges : PAM

La gestion des accès à privilèges, quant à elle, consiste à protéger de manière appropriée les ressources privilégiées au sein d’un réseau. La PAM est rendue nécessaire par le fait que même au sein d’un réseau donné (ou en particulier), les utilisateurs ne sont pas tous sur un pied d’égalité – et chacun ne devrait recevoir que le minimum de privilèges requis pour accomplir les tâches qui lui incombent. En d’autres termes, certains utilisateurs ont des administrateurs de bases de données, par exemple, et doivent avoir un accès à privilèges aux serveurs de bases de données pour pouvoir effectuer leur travail tout en étant empêchés de voir d’autres éléments du réseau dont ils n’ont pas besoin dans leur rôle d’administrateur de bases de données. Il en va de même pour les ingénieurs de réseaux, qui ont besoin d’un accès à privilèges aux routeurs et aux pare-feu mais pas aux serveurs de bases de données.

Ainsi, les solutions PAM doivent savoir non seulement qui est un utilisateur, mais aussi à quelles ressources un accès à privilèges doit lui être attribué. Pour renforcer davantage la sécurité, les solutions PAM solides ont généralement leurs propres niveaux de capacité de sécurité. Autrement dit, elles sont à même de limiter l’accès utilisateur non seulement par rôle, mais aussi selon d’autres facteurs comme l’heure et le lieu, de sorte que même un utilisateur qui a été authentifié ne verra que la ressource spécifique à laquelle un accès lui est accordé, et uniquement au moment approprié. Ainsi, un utilisateur donné peut se voir accorder un accès à privilèges à un serveur pour effectuer une mise à jour parce qu’il agit en qualité d’administrateur du serveur, mais les administrateurs PAM peuvent aussi limiter cet accès à privilèges, pour des raisons professionnelles ou simplement à des fins de sécurité, à un créneau de deux heures à partir de minuit, par exemple. En dehors de cette période, même avec les identifiants de connexion, l’utilisateur ne pourra pas accéder au serveur, pour des raisons valables ou malveillantes.

Comment le PAM et le MFA fonctionnent ensemble

Dans une discussion sur la gestion des accès à privilèges, cependant, il convient de souligner un point important. Si un utilisateur s’est authentifié avec succès sur le système, le système PAM lui fournira l’accès à privilèges qui lui a été accordé. Bien sûr, ceci est tout à fait approprié lorsque l’utilisateur est celui qu’il prétend être, mais potentiellement désastreux quand un utilisateur à privilèges au sein du système n’est pas celui qu’il prétend être.

Des dispositifs de sécurité sont prévus dans les solutions PAM pour se prémunir contre cette situation précisément. Les outils de gestion de session, par exemple, alerteront l’équipe de sécurité (ou mettront automatiquement fin à la session) lorsque l’activité entreprise par un utilisateur à privilèges est en dehors des paramètres définis, tel qu’un prétendu administrateur de bases de données qui commence soudainement à exécuter rapidement un grand nombre de requêtes contre plusieurs bases de données.

Mais qu’en est-il du cas où un pirate informatique vole les informations d’identification d’un administrateur de bases de données, a accès au système puis se livre à une activité qui ne déclenche pas d’alarmes, comme par exemple exécuter une requête occasionnelle comme le ferait l’administrateur de bases de données légitime ?

C’est le genre de situation que les solutions MFA et PAM œuvrant ensemble évitent pour assurer véritablement une défense en profondeur à plusieurs niveaux. Lorsque les solutions PAM solides excellent pour donner uniquement l’accès approprié aux utilisateurs à privilèges, une capacité MFA puissante avant la solution PAM permet de s’assurer que les utilisateurs sont bien ceux qu’ils prétendent être avant même d’avoir atteint le stade où les privilèges doivent être déterminés et accordés.

Il s’agit d’une stratégie à plusieurs niveaux qui aide vraiment les équipes de sécurité et les administrateurs à créer une défense en profondeur – et dans les environnements en réseau d’aujourd’hui, soumis à des tentatives constantes de sondage et de piratage, c’est un moyen solide de renforcer la cybersécurité d’une entreprise.

Pour plus d’informations, n’hésitez pas à contacter nos équipes d’experts WALLIX. Elles se feront un plaisir de répondre à vos questions !