PAM 
Certaines des erreurs les plus courantes dans la gestion des secrets incluent le codage en dur des secrets, l'absence de rotation, la sur-attribution d'accès, le manque
La gestion des accès à privilèges (PAM) est un sous-ensemble de la gestion des identités et des accès (IAM) qui s’adresse spécifiquement au contrôle de l’accès pour les utilisateurs qui travaillent avec les systèmes et les données les plus sensibles au sein d’une organisation, tels que le personnel informatique, de sécurité de l’information et de DevOps. Parmi d’autres tâches, la gestion des accès à privilèges applique le principe du moindre privilège, qui accorde aux utilisateurs le niveau minimum d’accès aux systèmes et aux données dont ils ont besoin pour faire leur travail.
Alors que les cyberattaques augmentent en fréquence, en intensité et en impact financier, de plus en plus d’organisations ajoutent des solutions de PAM à leurs piles technologiques de sécurité. Cependant, l’évaluation et le choix du bon peuvent s’avérer difficiles avec autant de produits de PAM concurrents disponibles.
Examinons les six principales fonctionnalités de gestion des accès à privilèges dont vous avez réellement besoin pour sécuriser votre organisation.
1. Sécurité cloud-based, Zero-Trust et Zero-Knowledge
Même si les environnements de données organisationnelles d’aujourd’hui sont fortement, voire entièrement cloud-based, de nombreux produits de PAM « modernes » ont été développés à l’origine pour des infrastructures sur site, avec les fonctionnalités cloud ajoutées par la suite. Les produits de PAM qui n’ont pas été développés dans le cloud ne tirent pas pleinement parti des fonctionnalités du cloud telles que la possibilité d’augmenter et de réduire automatiquement les ressources du cloud selon les besoins (mise à l’échelle automatique), la sécurité Zero-Trust et le chiffrement Zero-Knowledge.
Les produits qui ne sont pas Zero-Knowledge sont intrinsèquement moins sécurisés, car le fournisseur de services a accès à des données utilisateur sensibles. Les fournisseurs non Zero-Knowledge stockent les données dans un format lisible ou ont la possibilité de déchiffrer les données des utilisateurs. Si leurs systèmes sont violés, les attaquants peuvent potentiellement accéder à ces données sensibles. À l’inverse, les fournisseurs Zero-Knowledge ne peuvent pas lire les données des utilisateurs, même en cas de violation, car les données sont chiffrées et seul l’utilisateur détient les clés.
En plus de prévenir les violations de données utilisateur sensibles par des acteurs de menaces externes ou des initiés malveillants, le chiffrement Zero-Knowledge garde les données sensibles hors des mains des régulateurs gouvernementaux. Les données stockées par le fournisseur sont soumises aux lois locales et peuvent être consultées ou surveillées sans le consentement de l’utilisateur, et les gouvernements ou les organismes de réglementation peuvent demander à accéder aux données des utilisateurs. Une entreprise qui n’utilise pas le chiffrement Zero-Knowledge peut être légalement obligée de fournir des données utilisateur en réponse à une telle demande. Si une organisation utilise le chiffrement Zero-Knowledge, elle n’est pas en mesure de se conformer à de telles requêtes, car elle ne peut tout simplement pas déchiffrer les données des utilisateurs.
Enfin, le Zero-Knowledge renforce la confiance entre les fournisseurs de services et leurs clients. Les organisations doivent faire confiance à leur fournisseur de services pour gérer et protéger leurs données de manière responsable.
Dans un environnement Zero-Knowledge, cette confiance est plus facile à accorder car le fournisseur de services ne peut pas accéder aux informations utilisateur sensibles, peu importe la situation.
KeeperPAM® : Sécurité Zero-Knowledge construite dans le cloud, pour le cloud
Contrairement à beaucoup de nos concurrents, KeeperPAM n’est pas un produit sur site avec des fonctionnalités cloud ajoutées ultérieurement. KeeperPAM a été construit dans le cloud, pour le cloud, en utilisant l’architecture de sécurité Zero-Knowledge de Keeper. Cela signifie que personne d’autre que l’utilisateur final ne peut voir les mots de passe, les fichiers ou d’autres données stockées dans son Keeper Vault, même pas votre administrateur local ou les employés de Keeper. Les courtiers d’infrastructure de Keeper courent les connexions et les connexions chiffrées de bout en bout et de pair à pair sont créées à partir du navigateur de l’utilisateur vers l’infrastructure cible.
2. Contrôle d’accès granulaire et application des politiques
Le contrôle d’accès granulaire aide les organisations à créer un environnement sécurisé, efficace et conforme en limitant l’accès à exactement ce dont les utilisateurs ou les systèmes ont besoin. Il est généralement associé avec le contrôle d’accès basé sur les rôles (RBAC) et l’accès au moindre privilège (également appelé privilège juste suffisant) ou JEP), où les autorisations d’accès aux systèmes et aux données sont sur la base de la fonction professionnelle d’un employé, dans le but final de s’assurer que les utilisateurs ne peuvent accéder qu’aux ressources dont ils ont besoin pour effectuer leur travail, et pas plus. Étant donné que le contrôle d’accès granulaire, le contrôle d’accès basé sur les rôles et le moindre privilège/JEP sont des piliers des environnements de sécurité Zero-Trust modernes, il est impératif que votre solution de PAM les prenne en charge.
L’accès juste à temps (JIT) est une autre fonctionnalité importante pour garantir un accès à privilèges sécurisé. L’accès juste à temps accorde aux utilisateurs ou aux systèmes un accès temporaire et limité dans le temps aux ressources uniquement lorsqu’ils en ont besoin pour effectuer des tâche spécifiques. Cela signifie que l’accès est :
- Provisionné à la demande : Activé lorsqu’il est demandé ou déclenché par un événement spécifique.
- Limité dans le temps : Automatiquement révoqué après une période prédéfinie ou une fois la tâche terminée.
- Sensible au contexte : Peut intégrer des conditions telles que le rôle de l’utilisateur, l’emplacement, l’appareil ou la posture de sécurité.
Comment KeeperPAM simplifie-t-il le contrôle d’accès granulaire et l’application des politiquesKeeperPAM peut fournir un accès juste à temps à n’importe quelle infrastructure ou système cible sans exposer les identifiants. Une fois que l’accès expire, les identifiants peuvent être automatiquement remplacés. En mettant en place les principes juste è temps et du moindre privilège, KeeperPAM réduit les privilèges permanents, atténuant les vulnérabilités de sécurité et réduisant le risque de permissions excessives. |
3. Gestion, suivi et enregistrement des sessions
Dans le contexte de la gestion des accès à privilèges, la gestion des sessions, la surveillance et l’enregistrement sont des fonctionnalités essentielles qui fournissent la surveillance, le contrôle et la responsabilité sur les activités des utilisateurs à privilèges. Ces fonctionnalités garantissent que les actions effectuées par les comptes à privilèges sont soigneusement suivies, enregistrées et examinées afin d’atténuer les risques associés à leur accès élevé.
La gestion des sessions implique de contrôler les sessions d’utilisateurs à privilèges, y compris le lancement, le maintien et la fin de l’accès aux systèmes sensibles. Assurez-vous que votre solution de PAM a les capacités suivantes :
- Le lancement de sessions : Facilitant les connexions sécurisées et limitées dans le temps aux systèmes cibles.
- Le contrôle d’accès : Application de politiques telles que des limites de temps ou l’utilisation d’appareils spécifiques pendant les sessions.
- La fin de session : Fin automatique des sessions en fonction de l’inactivité ou de la violation des politiques.
- La surveillance des sessions : Suivi en temps réel des activités des utilisateurs pendant les sessions à privilèges qui permet au personnel informatique et de sécurité de voir quelles actions sont effectuées, souvent par le biais de tableaux de bord en direct ou de mécanismes de partage d’écran.
- L’enregistrement des sessions : La capture et le stockage de journaux détaillés et, souvent, une lecture de type vidéo des sessions à privilèges. Les enregistrements incluent généralement des frappes au clavier, des commandes exécutées, des écrans visualisés et plus encore.
La gestion, la surveillance et l’enregistrement des sessions aident à prévenir les activités malveillantes en permettant aux équipes de sécurité d’intervenir si des actions suspectes ou non autorisées sont détectées au cours d’une session à privilèges. Ils réduisent les menaces internes en décourageant l’utilisation abusive des privilèges et en fournissant des preuves pour des enquêtes médico-légales si des incidents se produisent. La gestion des sessions, en particulier l’enregistrement des sessions, est également essentielle pour la conformité. De nombreuses normes industrielles et cadres réglementaires (par exemple, HIPAA, PCI DSS et RGPD) exigent le suivi, la documentation et la création de rapports sur les activités des utilisateurs à privilèges afin de protéger les données sensibles.
Assurez-vous de sélectionner une solution de PAM qui prend en charge le tunnel et les outils BYOT. Le tunneling fait référence à la capacité d’acheminer et de gérer en toute sécurité les communications ou les interactions avec des systèmes distants par le biais d’un intermédiaire ou d’un proxy sans nécessiter d’accès direct au système cible. Ceci est particulièrement important dans les solutions de PAM, car il permet une communication sécurisée et chiffrée entre l’appareil de l’utilisateur et le système cible ; route toutes les communications via une passerelle de PAM ou un proxy qui applique le contrôle d’accès basé sur les rôles et permet la gestion des sessions. Il prend en charge plusieurs protocoles (par exemple, SSH, RDP, les HTTP) pour permettre aux utilisateurs de gérer divers environnements en toute sécurité.
Le BYOT est une fonctionnalité dans les solutions de PAM complètes qui permet aux utilisateurs d’utiliser en toute sécurité leurs outils et applications préférés pour interagir avec les systèmes plutôt que de se fier uniquement aux outils fournis par la plateforme de PAM. Par exemple, il permet aux administrateurs système d’utiliser leur client SSH préféré, comme PuTTY ou Terminal, pour se connecter à un serveur par le biais de la plateforme de PAM. Cela s’adapte aux flux de travail qui nécessitent des outils spécialisés ou des préférences des utilisateurs tout en maintenant la sécurité et la gouvernance.
Comment KeeperPAM améliore-t-il la gestion, la surveillance et l’enregistrement des sessions ?
Les outils de gestion des sessions à privilèges (PSM) de KeeperPAM utilisent l’archivage des secrets, le juste à temps, l’enregistrement et la lecture des sessions à distance pour s’assurer que les identifiants et l’infrastructure critiques sont protégés. Grâce à l’enregistrement des sessions et à la journalisation des frappes, l’activité des utilisateurs pendant les connexions et sur les sites web protégés peut être enregistrée à des fins de révision, de conformité ou de sécurité. Cela permet de garantir des interactions correctes et de réduire les menaces internes et la fraude.
Les actions des utilisateurs dans Keeper Vault sont également enregistrées, ainsi que dans le module de rapports et d’alertes avancés de Keeper L’outil de module de rapports et d’alertes avancés permet aux organisations de mettre en place des alertes en cas d’activité suspecte, telles que les tentatives de connexion infructueuses, les changements de politique administrative, le partage d’enregistrements et les changements du cycle de vie des utilisateurs. Le module de rapports et d’alertes avancés peut également générer des rapports spécifiquement pour s’adresser à des cadres de conformité tels que FedRAMP, SOC 2, ISO 27001 et HIPAA.
Les organisations peuvent intégrer Keeper à leur outil de gestion des informations et des événements de sécurité (SIEM) existant pour une analyse plus sophistiquée. Keeper s’intègre à n’importe quel SIEM qui prend en charge syslog push et a des intégrations prêtes à l’emploi pour beaucoup, y compris mais sans s’y limiter à Splunk, Datadog, Azure et LogRythm.
KeeperPAM donne aux développeurs le choix d’accéder aux systèmes. Ils peuvent utiliser l’interface visuelle de Keeper Connection Manager pour accéder aux ressources, ou ils créent des tunnels TCP chiffrés pour accéder aux systèmes en utilisant leurs outils préférés, tels que des bases de données ou des émulateurs de terminaux.
KeeperPAM offre également l’isolation du navigateur à distance qui isole l’activité de navigation web d’un utilisateur de son appareil local en l’exécutant dans un environnement virtuel isolé, tel qu’un bac à sable ou une machine virtuelle, sur un serveur distant. Le contenu web est rendu sur le serveur distant, de sorte que les scripts malicieux, les logiciels malveillants ou les exploits ne peuvent pas atteindre l’appareil de l’utilisateur.
4. Prise en charge des clés d’accès
Les clés d’accès sont une méthode d’authentification moderne et résistante au phishing conçue pour remplacer les mots de passe traditionnels. Ce sont un type de système de connexion sans mot de passe qui utilise la cryptographie à clé publique pour renforcer la sécurité et la facilité d’utilisation. Les clés d’accès sont adoptées par de grandes entreprises de technologie, y compris Apple, Google et Microsoft et sont soutenues par l’alliance FIDO. AU fur et à mesure qu’elles deviennent de plus en plus répandues, elles devraient réduire radicalement les cyberattaques liées aux mots de passe, rendre les expériences en ligne plus sûres et plus ergonomiques, et transformer la vérification de l’identité numérique en normalisant des méthodes sécurisées et faciles à utiliser.
En adoptant des clés d’accès, les organisations peuvent renforcer de manière significative la sécurité tout en réduisant les complexités associées à la gestion des mots de passe traditionnelle. Alors assurez-vous que votre solution de PAM les prend en charge.
KeeperPAM facilite le stockage et l’utilisation des clés d’accès en toute sécurité
KeeperPAM est le moyen simple et sécurisé pour votre organisation de stocker des mots de passe, des clés d’accès et des fichiers pour chaque employé sur chaque appareil. Lorsqu’il est associé à l’intégration SSO, KeeperPAM permet à vos utilisateurs de profiter d’une expérience transparente et sans mot de passe.
5. Mise en coffre et gestion des mots de passe avec rotation automatisée
La rotation et la mise en coffre automatisée des mots de passe sont des fonctionnalités des solutions de PAM modernes qui renforcent la sécurité et la gestion des comptes à privilèges en automatisant le traitement des mots de passe et en les stockant en toute sécurité.
La rotation automatisée des mots de passe modifie automatiquement les mots de passe des comptes à privilèges à des intervalles spécifiés ou après chaque utilisation. Le processus est régi par des politiques prédéfinies et ne nécessite pas d’intervention manuelle. La rotation automatisée des mots de passe réduit le risque d’accès non autorisé en raison d’identifiants compromis ou obsolètes, garantit qu’aucun utilisateur ne conserve un accès persistant aux comptes à privilèges et répond aux exigences réglementaires, telles que le PCI DSS et l’HIPAA qui imposent la rotation des mots de passe.
La mise en coffre de mot de passe fait référence au stockage en toute sécurité des identifiants de comptes à privilèges dans un référentiel chiffré et centralisé (le « coffre »). Les utilisateurs ou les systèmes doivent s’authentifier avec la solution de PAM pour récupérer des mots de passe pour accéder aux ressources. L’accès au coffre-fort est restreint sur la base de politiques telles que le contrôle d’accès à bases de rôles. Les identifiants peuvent être récupérés pour des sessions spécifiques et sont cachés à l’utilisateur. Cela élimine le stockage dispersé d’identifiants sensibles dans des systèmes ou des appareils personnels, s’intègre aux politiques de contrôle d’accès pour restreindre qui peut récupérer ou utiliser des mots de passe spécifiques et enregistre chaque accès au coffre-fort, fournissant une visibilité sur l’utilisation des identifiants.
En général, les meilleures pratiques en matière de cybersécurité déconseillent le partage de mots de passe. Idéalement, tous les utilisateurs devraient avoir des logins uniques pour chaque système et application. Cependant, en pratique, cela n’est pas toujours réaliste. Il est donc important de vous assurer que votre solution de PAM permet à vos utilisateurs de partager des mots de passe en toute sécurité. En plus des comptes partagés, recherchez des fonctionnalités telles que le partage temporaire (accès limité dans le temps), des partages uniques et des partages qui s’autodétruisent.
Comment KeeperPAM sécurise-t-il la mise en coffre de mots de passe et automatise la rotation ?
KeeperPAM permet aux utilisateurs de partager en toute sécurité l’accès aux comptes sans exposer les identifiants. L’accès partagé peut être indéfini ou limité dans le temps, y compris des partages uniques et des partages qui s’autodétruisent après une période spécifiée. Une fois que l’accès expire, les identifiants peuvent être automatiquement remplacés. KeeperPAM donne aux équipes informatiques et de sécurité un contrôle total sur les utilisateurs qui peuvent partager des identifiants et des fichiers. En s’assurant que seuls les utilisateurs autorisés peuvent initier des partages, les organisations peuvent prévenir la perte de données et adhérer plus facilement aux réglementations de conformité.
L’architecture de sécurité Zero-Knowledge de KeeperPAM garantit des coffres de mots de passe complètement sécurisés. Keeper ne peut pas accéder à quoi que ce soit à l’intérieur des coffres-forts des utilisateurs, et aucun trafic n’est routé à travers le réseau de Keeper, garantissant une confidentialité totale des données. Personne, pas même les employés de Keeper, ne peut accéder ou déchiffrer les données des coffres-forts des utilisateurs.
La rotation automatisée des mots de passe de KeeperPAM permet aux administrateurs de découvrir, de gérer et de faire pivoter les identifiants pour les comptes de service ou d’administrateur dans le cadre de leurs environnements de données d’entreprise. La fonctionnalité de mise en coffre centralisée et de rotation des mots de passe de Keeper s’aligne sur le modèle Zero-Trust en garantissant que les identifiants ne sont pas accessibles de manière persistante et que tous les accès sont vérifiés et surveillés.
6. Protège l’ensemble de votre organisation, pas seulement le service informatique
Certains produits de PAM sur le marché aujourd’hui sont conçus uniquement pour protéger les administrateurs informatiques, le personnel DevOps et d’autres utilisateurs à privilèges. Cependant, il est d’une importance cruciale de sécuriser tous les utilisateurs au sein de votre organisation, pas seulement ceux qui ont un accès à privilèges. Cela signifie que vous auriez à déployer à la fois une solution de PAM et une solution d’IAM générale. Ensuite, vous devriez gérer et maintenir les deux produits. Cela crée plus de travail pour vos équipes informatiques et de sécurité et rend plus difficile la garantie que les politiques et les contrôles internes sont appliqués de manière cohérente sur l’ensemble de votre base d’utilisateurs.
KeeperPAM a été fait pour sécuriser l’ensemble de votre base d’utilisateurs
Avec KeeperPAM, tout ce que les organisations ont à faire est de déployer le Keeper Vault à tous les autres utilisateurs pour une couverture complète. KeeperPAM fournit un contrôle d’accès basé sur les rôles et le moindre privilège, adapté aux fonctions de travail. Cela permet aux organisations de rationaliser l’accès des utilisateurs tout en maintenant des politiques de sécurité robustes, réduisant les tâches administratives pour les équipes informatiques et les frictions pour les utilisateurs finaux.
KeeperPAM est facile à utiliser pour tout le monde dans votre organisation. Il n’exige pas que les utilisateurs aient un accès direct à l’infrastructure ou à Keeper Gateway. Il suffit de déployer le coffre-fort web de Keeper à vos utilisateurs, et tout est entièrement intégré, sans aucune installation de bureau ou d’agents nécessaires.
Choisir KeeperPAM comme solution de PAM pour votre organisation
KeeperPAM est la première solution à apporter des fonctionnalités de PAM critiques dans un coffre-fort cloud qui fournit un accès sécurisé à l’ensemble de votre base d’utilisateurs, pas seulement à votre service informatique. En tant que plateforme entièrement cloud natif, KeeperPAM consolide les coffres-forts, la gestion des secrets, la gestion des connexions, l’accès Zero-Trust et l’isolation du navigateur à distance dans une interface unifiée.
Planifiez une démo de KeeperPAM pour en savoir plus sur l’approche proactive de Keeper pour sécuriser l’accès et unifier la gestion pour toutes vos ressources critiques.
