Les dangers cachés des anciennes solutions PAM  : pourquoi votre solution de sécurité peut être source de risque

En tant qu’ancien RSSI fédéral ayant passé des décennies à concevoir et à sécuriser des infrastructures d’entreprise, je suis de plus en plus préoccupé par le fait que les entreprises continuent de s’appuyer sur des anciennes solutions de gestion des accès privilégiés (PAM) conçues pour une autre époque.

Ces systèmes, qui constituaient autrefois la référence en matière de sécurité, présentent désormais des risques dans le monde moderne cloud natif. Laissez-moi vous expliquer pourquoi votre solution PAM traditionnelle n’est pas seulement inefficace, mais représente un vrai danger pour votre entreprise.

L’erreur de la sécurité périmétrique

Le principal problème des anciennes solutions PAM réside dans leur architecture. Ces systèmes ont été conçus pour une époque où les limites des réseaux étaient claires, et où un périmètre solide suffisait à tenir les menaces à distance. Dans l’environnement actuel caractérisé par les clouds hybrides, le télétravail et les systèmes interconnectés, ce modèle n’est pas seulement obsolète ; il représente une menace importante.

Nous continuons à nous accrocher à l’idée de réseaux « dignes » et « indignes de confiance » régis par des contrôles de sécurité. Keeper facilite la mise en place d’un environnement sans périmètre en protégeant les secrets et les mots de passe tout au long de leur cycle de vie, où qu’ils se trouvent.

Considérez le déploiement classique d’une solution PAM fédérale traditionnelle : le système nécessite l’ouverture de nombreux ports de pare-feu (443, 80, 8080, 22, 23, 1434) rien que pour les fonctions de base. Chaque port représente un point d’entrée potentiel pour les attaquants, créant une « sécurité de type gruyère », c’est-à-dire un périmètre truffé de failles (les trous) susceptibles de compromettre l’entreprise.

En revanche, les solutions modernes telles que Keeper fonctionnent selon un modèle zero trust, où chaque demande d’accès est authentifiée et chiffrée au niveau de l’appareil, éliminant ainsi le besoin d’ouvertures permanentes du pare-feu.

Le cauchemar de la mise en œuvre

Ce qui m’inquiète, ce ne sont pas seulement les faiblesses architecturales, mais également la manière dont ces systèmes sont utilisés. D’après mon expérience, je n’ai cessé de constater que les entreprises mettaient en œuvre seulement 20 à 30 % des capacités de leur solution PAM traditionnelle. La raison est simple : ces systèmes sont si complexes et si lourds que leur mise en œuvre complète devient pratiquement impossible.

Cette implémentation partielle crée un faux sentiment de sécurité dangereux. Les entreprises pensent être protégées parce qu’elles disposent d’une solution PAM, mais elles ouvrent sans le vouloir la porte au shadow IT. Lorsque les utilisateurs trouvent le système officiel trop lourd, ils élaborent des solutions de contournement : stockage des mots de passe dans des emplacements non autorisés, partage des identifiants via des canaux non officiels et création de comptes d’administrateur non surveillés « juste pour accomplir la tâche ».

La déconnexion cloud native

La principale faille des anciennes solutions PAM réside dans leur incapacité à prendre en charge les opérations cloud natives modernes. Ces systèmes n’ont jamais été conçus pour la nature dynamique de l’infrastructure actuelle, où les conteneurs s’activent et se désactivent en quelques secondes et où l’infrastructure est définie par du code plutôt que par du matériel.

Les fonctionnalités non mises en œuvre dans votre anciennes solution PAM augmentent votre surface d’attaque et fragilisent la sécurité de votre entreprise. La surcharge de capacités est un défaut, pas un avantage.

Les conséquences sont graves : confrontées à des solutions PAM incapables de s’intégrer à leurs pipelines CI/CD ou de gérer l’injection dynamique de secrets, les équipes DevOps contournent souvent complètement les mesures de sécurité.

Les solutions modernes y remédient grâce à des conceptions axées sur les API et à une intégration native aux activités de développement. Par exemple, le Secrets Manager de Keeper offre un chiffrement zero knowledge tout en s’intégrant de manière transparente aux pipelines CI/CD. Il permet de procéder automatiquement à l’injection et à la rotation des secrets sans compromettre la sécurité ou la vitesse de développement.

L’impératif du zero trust

Compte tenu des menaces actuelles, on ne peut plus se permettre de faire confiance à quiconque une fois à l’intérieur du périmètre d’un réseau. Les anciennes solutions PAM continuent cependant de fonctionner selon ce principe obsolète. Une fois que les utilisateurs se sont authentifiés auprès du système PAM, ils bénéficient souvent d’un accès étendu avec une vérification continue limitée.

La sécurité moderne exige une approche zero trust où chaque demande d’accès est authentifiée, autorisée et chiffrée. Cela nécessite la mise en œuvre d’un chiffrement au niveau des entrées, d’une sécurité au niveau des appareils et d’une validation continue de la posture de sécurité. Par exemple, l’architecture de Keeper garantit que chaque entrée du coffre-fort est individuellement chiffrée via AES-256 Galois/Counter Mode (GCM), le chiffrement et le déchiffrement s’effectuant localement sur l’appareil, jamais dans le cloud ou sur des serveurs centraux.

Le bourbier de la conformité

Les implications des anciennes solutions PAM en matière de conformité deviennent de plus en plus problématiques. À mesure que les exigences réglementaires évoluent face aux menaces modernes, de nombreux systèmes traditionnels ont du mal à fournir les contrôles et la visibilité nécessaires. Leurs capacités de journalisation et d’audit passent souvent à côté d’événements d’accès critiques, si bien que la validation de la conformité nécessite une intervention manuelle et sujet aux erreurs.

Les solutions PAM modernes remédient à ce problème grâce à des capacités complètes de journalisation et de reporting qui s’intègrent directement aux systèmes SIEM. Par exemple, les fonctionnalités avancées de rapports et d’alertes de Keeper fournissent des pistes d’audit détaillées de toutes les tentatives d’accès et de toutes les modifications, tout en conservant un chiffrement zero knowledge en vue de garantir la confidentialité des données.

Une architecture zero knowledge repensée

Au cœur des solutions PAM modernes se trouve une architecture zero knowledge qui élimine les vulnérabilités traditionnelles. La mise en œuvre de Keeper va encore plus loin grâce à un modèle de chiffrement multicouche.

Chaque entrée du coffre-fort est chiffrée à l’aide d’une clé AES 256 bits unique en mode GCM générée sur l’appareil client. Ce chiffrement au niveau des entrées garantit que même si une entrée est compromise, les autres restent sécurisées. Le processus de chiffrement et de déchiffrement s’effectue entièrement sur l’appareil de l’utilisateur, jamais dans le cloud ou sur les serveurs de Keeper.

Déployer votre solution PAM sur site implique de faire confiance à toutes les couches de l’infrastructure que vous savez déjà non sécurisées : votre réseau, votre hyperviseur, vos systèmes d’exploitation.

Ce modèle s’étend encore davantage aux déploiements d’entreprise : les clés d’entrée dans les dossiers partagés sont encapsulées dans une clé de dossier partagé AES 256 bits, et les clés d’entrée et de dossier sont chiffrées à l’aide d’une autre clé AES 256 bits appelée « clé de données ». Ainsi, on obtient plusieurs couches de chiffrement qui doivent être franchies pour accéder à une seule information, ce qui empêche tout mouvement latéral et toute compromission supplémentaire.

Une authentification réinventée

Les solutions PAM modernes nécessitent de repenser la manière dont nous gérons l’authentification. L’approche de Keeper élimine les vulnérabilités traditionnelles grâce à un processus sophistiqué en plusieurs étapes :

1. Vérification des appareils : avant de pouvoir se connecter, les utilisateurs doivent passer par une étape d’approbation et de vérification des appareils. Cela empêche les attaques par énumération et protège contre les attaques par force brute.
2. Authentification unique (SSO) zero knowledge : Keeper maintient une sécurité zero knowledge en cas d’intégration avec des fournisseurs d’identité d’entreprise, tout en favorisant l’authentification unique. Ceci est rendu possible grâce à une approche exclusive : une clé privée à courbe elliptique est générée et stockée localement sur chaque appareil. Cette clé est stockée sous forme de CryptoKey non exportable dans les navigateurs modernes, dans le trousseau sur les appareils iOS/macOS ou chiffrée avec le système Android Keystore sur les appareils Android.
3. Authentification multifactorielle (MFA) : Keeper prend en charge de nombreuses options MFA, notamment les clés matérielles FIDO2 WebAuthn, les données biométriques et les mots de passe à usage unique basés sur le temps (TOTP). La particularité réside dans le fait que la MFA intervient après la vérification de l’appareil, mais avant la saisie du mot de passe principal, créant ainsi plusieurs couches de sécurité qui doivent être franchies successivement.

Une sécurité cloud native bien conçue

Plutôt que d’adapter les capacités du cloud à une architecture existante, nous avons conçu Keeper dès le départ pour les environnements modernes. La plateforme utilise AWS dans plusieurs régions (États-Unis, US GovCloud, UE, Australie, Canada, Japon) pour héberger et exploiter son infrastructure, ce qui permet aux entreprises de conserver la souveraineté de leurs données tout en garantissant une haute disponibilité.

Toutes les données au repos sont chiffrées sur l’appareil de l’utilisateur à l’aide de l’algorithme AES-256 GCM, et les données en transit sont protégées par le protocole TLS 1.3, ainsi que par une couche supplémentaire de chiffrement dans la charge utile. Cette approche à double chiffrement offre une protection même en cas de compromission du protocole TLS.

Une intégration DevOps réellement efficace

La Secrets Manager de Keeper offre une intégration DevOps adéquate pour les équipes de développement sans compromettre la sécurité. La mise en œuvre comprend :

1. Accès API zero knowledge : les applications récupèrent les secrets à l’aide d’une clé de chiffrement AES 256 bits générée côté client en mode GCM. Chaque secret est chiffré individuellement, et le chiffrement et le déchiffrement s’effectuant localement sur l’appareil.
2. Distribution sécurisée des clés : lorsque des secrets doivent être partagés entre des utilisateurs ou des applications, Keeper utilise le chiffrement à courbe elliptique afin de distribuer les clés en toute sécurité, ce qui garantit que même le processus d’échange de clés reste zero knowledge.
3. Rotation automatique des secrets : une passerelle unique est installée dans l’environnement du client, établissant des connexions sortantes sécurisées vers l’infrastructure de Keeper. Cela permet une rotation automatique des mots de passe sans exposer les systèmes internes.

Protection en temps réel contre les violations

Les solutions PAM modernes doivent offrir une protection active contre la compromission des mots de passe. La fonctionnalité BreachWatch® de Keeper illustre comment cela devrait fonctionner : le système maintient une architecture distincte et autonome sur AWS afin de traiter la détection de violation. Les mots de passe sont traités à l’aide du hachage HMAC_SHA512 avec un module de sécurité matériel (HSM) utilisant des clés non exportables. Lors de la vérification des mots de passe compromis, un hachage HMAC_SHA512 est généré sur l’appareil client, et un deuxième hachage est créé côté serveur via le HSM. Cette approche « hash-of-hashes » garantit que les mots de passe réels ne sont jamais exposés pendant le processus de détection de violation.

La sécurité des sessions repensée

Pour les scénarios d’accès à distance, Keeper Connection Manager réinvente la gestion sécurisée des sessions :

1. Connexions zero trust : lors de l’établissement de sessions à distance, le client du coffre-fort communique avec l’infrastructure du routeur Keeper à l’aide de connexions WebRTC protégées par des clés symétriques ECDH stockées dans l’entrée Keeper correspondante.
2. Tunnelisation sécurisée : dans le cadre des fonctionnalités de redirection de port, les données sont transmises via des connexions WebRTC à la passerelle Keeper, puis redirigées vers les terminaux cibles. Chaque session est protégée par une clé de chiffrement AES-256 générée sur la passerelle.
3. Enregistrement des sessions : tous les enregistrements de sessions sont protégés par une clé de chiffrement AES-256 unique générée pour chaque session, qui est ensuite encapsulée dans une clé de ressource AES-256 dérivée de HKDF.

La voie à suivre

La transition vers une solution PAM moderne ne consiste pas à adopter seulement une nouvelle technologie, mais également une approche fondamentalement différente de la sécurité. Les entreprises doivent reconnaître que leur ancienne solution PAM, loin d’être un atout en matière de sécurité, peut en réalité constituer un handicap important.

La bonne nouvelle, c’est que des solutions telles que Keeper démontrent comment les solutions PAM modernes peuvent offrir une sécurité à toute épreuve et une utilisabilité optimale. En combinant une architecture zero knowledge, un chiffrement au niveau des appareils et une intégration native aux flux de travail modernes, les entreprises peuvent parvenir à une véritable gestion des accès privilégiés sans compromettre la sécurité ou l’expérience utilisateur.

Face aux menaces actuelles, une solution PAM efficace ne se limite pas à la gestion des privilèges : elle doit également garantir que votre infrastructure de sécurité favorise l’agilité de l’entreprise plutôt que d’entraver son développement. La technologie existe ; la question est de savoir si les entreprises effectueront la transition avant que leurs anciennes solutions ne causent leur perte.

Réservez une démonstration dès maintenant pour découvrir comment KeeperPAM peut vous aider à sécuriser votre environnement.