Qu’est-ce que la gestion des accès à privilèges (PAM) ?

Un accès à privilèges signifie que l’utilisateur dispose de droits d’accès de type administrateur à un système. Par exemple, un droit d’accès à privilèges sur Microsoft Exchange Server permet à l’utilisateur qui en dispose de créer, modifier et/ou supprimer des comptes e-mail sur ce serveur.

Plus généralement, un accès à privilèges, ou accès « root », permet de modifier les configurations d’un système, d’installer et désinstaller des programmes, de créer ou supprimer des comptes d’utilisateurs, ou encore d’accéder à des données sensibles.

En termes de sécurité, il n’est évidemment pas raisonnable d’accorder de tels droits de façon inconditionnelle. C’est la raison pour laquelle les accès à privilèges doivent être contrôlés et supervisés. Tout comme il doit être possible de révoquer ces droits à tout moment.

Sous quels autres noms désigne-t-on la gestion des accès à privilèges ?

La désignation de ce type de solution logicielle n’est pas établie de façon définitive. Une solution de gestion des accès à privilèges ou PAM (pour Privileged Access Management) peut également être désignée par la gestion des comptes à privilèges (Privileged Account Management) ou encore par la gestion des sessions à privilèges ou PSM (pour Privileged Session Management).

En quoi une solution de PAM est-elle utile ?

Une solution de PAM permet de protéger votre organisation de tout usage inapproprié, qu’il soit accidentel ou délibéré, d’un accès à privilèges. Cette protection est notamment pertinente lorsqu’une entreprise développe ses opérations. Plus les systèmes IT d’une société ou organisation s’étendent et se complexifient, plus la gestion des accès à privilèges devient critique. Les personnes disposant de tels droits peuvent être des employés ou encore des prestataires de service travaillant sur site ou à distance (remote), ou même des robots. Certaines organisations comptent 2 à 3 fois plus d’utilisateurs privilégiés que d’employés !

Parmi ces utilisateurs privilégiés, certains ont la possibilité de contourner les procédures de sécurité. Cela constitue une vulnérabilité de taille. Si des utilisateurs peuvent effectuer des modifications non autorisées sur un système, accéder à des données confidentielles, puis effacer les traces de leurs actions, la sécurité des informations est sérieusement compromise. Sans même parler des menaces en interne, les pirates tenteront toujours d’obtenir de telles permissions d’accès. Une solution de PAM permet de lutter contre ces menaces.

Une solution de PAM est un moyen fiable d’autoriser et de surveiller tous les accès à privilèges aux systèmes critiques. Elle permet notamment :

D’accorder des privilèges aux utilisateurs uniquement sur les systèmes auxquels ils sont autorisés à accéder.
D’accorder des permissions d’accès uniquement lorsque cela est nécessaire, et de révoquer ces permissions lorsque cela n’est plus le cas.
D’éviter que des utilisateurs privilégiés aient connaissance des mots de passe permettant d’accéder aux systèmes.
De gérer aisément et de façon centralisée les accès à un ensemble de systèmes hétérogènes.
De créer une trace d’audit inaltérable pour toute connexion perpétrée par des utilisateurs possédant des droits d’accès privilégiés.

Composants d’une solution de PAM

Les solutions de gestion des accès à privilèges varient, mais intègrent généralement les éléments suivants :

Gestionnaire d’accès – régit les accès des comptes à privilèges. Le Gestionnaire d’accès (ou Access Manager) constitue un point d’entrée unique pour l’élaboration et l’application des stratégies de gestion des accès à privilèges. Un utilisateur à privilèges demande l’accès à un système via le Gestionnaire d’accès. Le Gestionnaire sait à quels systèmes l’utilisateur peut accéder et avec quel niveau de privilège. Un super administrateur peut ajouter, modifier ou supprimer de façon centralisée les comptes d’utilisateurs à privilèges via le Gestionnaire d’accès. Cette approche réduit par exemple le risque qu’un ex-employé ou sous-traitant conserve un accès à privilèges à un système critique (un cas de figure bien moins rare que ce que les responsables IT aimeraient l’admettre !).
Coffre-fort à mots de passe – stocke les mots de passe de façon sécurisée. Tout accès à un système passe par le coffre-fort à mots de passe. Ainsi, les utilisateurs n’ont jamais une connaissance directe des mots de passe aux équipements cibles.
Gestionnaire de sessions – enregistre toutes les activités d’une session à privilèges en vue d’une analyse ou d’un audit. Certains systèmes peuvent en outre prévenir des actions malveillantes ou non autorisées et/ou en alerter les super administrateurs de manière automatique. Ce module permet également de fermer automatiquement une session à privilèges frauduleuse.

En quoi la gestion des accès à privilèges diffère-t-elle de la gestion des identités ?

Il arrive que les solutions de PAM soient classées dans la même catégorie que les solutions de gestion des identités (ou IAM, pour Identity and Access Management). Mais si elles présentent des similarités, ces solutions sont distinctes sur bien des points. Une solution de PAM gère spécifiquement les accès à privilèges. Une solution de gestion des identités se spécialise dans l’authentification des utilisateurs afin de vérifier leur identité notamment via des fonctionnalités d’authentification forte et à facteurs multiples (ou MFA, pour Multi-Factor Authentication) et de leur permettre d’accéder à des systèmes et/ou des ressources. Par exemple, un employé de banque souhaitant accéder à une application financière pourra s’authentifier auprès d’un système de gestion des identités tel que Microsoft Active Directory. Ici, Active Directory, qui s’appuie sur la norme LDAP (Lightweight Directory Access Protocol), ne peut être considéré comme une solution de PAM car non conçu pour contrôler les accès des comptes à privilèges.

D’autre part, les solutions de gestion des identités sont typiquement conçues pour être ouvertes alors que les solutions de PAM ont tendance à être fermées. La norme d’authentification OAuth, par exemple, permet à une application d’entreprise d’autoriser l’accès à une application mobile de tierce partie (le système IT d’une banque peut par exemple s’appuyer sur OAuth pour permettre à un utilisateur mobile de consulter le solde d’un compte d’actions géré par une entité tierce.) Les solutions de gestion des identités peuvent également s’appuyer sur des normes d’authentification telles que SAML pour s’assurer qu’un utilisateur dispose des autorisations nécessaires pour accéder à des ressources de tierce partie. Une solution de PAM ne s’appuie sur aucune norme ou méthode d’authentification de tierce partie mais se concentre sur la protection des actifs stratégiques au cœur de l’entreprise. Ensemble, la gestion des accès à privilèges et la gestion des identités renforcent la sécurité des systèmes d’information des entreprises.

contenus associés

Décembre 26, 2023

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Qu’est-ce que la gestion des accès à privilèges (PAM) ?

Sous quels autres noms désigne-t-on la gestion des accès à privilèges ?

En quoi une solution de PAM est-elle utile ?

Composants d’une solution de PAM

En quoi la gestion des accès à privilèges diffère-t-elle de la gestion des identités ?

contenus associés

Garantir la conformité aux normes de sécurité grâce à la gestion des accès à privilèges (PAM)

Le guide du RSSI pour la conformité aux exigences de sécurité (avec une solution de PAM)

Des privilèges et non des droits : Gardez le contrôle de la gestion des accès à privilèges

Comment WALLIX Bastion sécurise l’Active Directory ?

3 questions que les CISO devraient vraiment se poser

ressources associées

PRODUITS

RESSOURCES

SUPPORT

À PROPOS

SUIVEZ-NOUS

Qu’est-ce que la gestion des accès à privilèges (PAM) ?

Sous quels autres noms désigne-t-on la gestion des accès à privilèges ?

En quoi une solution de PAM est-elle utile ?

Composants d’une solution de PAM

En quoi la gestion des accès à privilèges diffère-t-elle de la gestion des identités ?

Partager cet article

contenus associés

ressources associées

PRODUITS

RESSOURCES

SUPPORT

À PROPOS

SUIVEZ-NOUS