PAM 
Une méthode utile pour évaluer une plateforme moderne de sécurité des identités consiste à examiner trois piliers fondamentaux : des contrôles d’accès et d'authentification robustes, une gestion
Les identités non humaines (NHI) et les agents d’IA, notamment les comptes de service, les identifiants CI/CD et les identités de charge de travail dans le cloud, surpassent désormais les identités humaines dans les systèmes d’identité des entreprises avec un rapport de 50:1 à 100:1. Les plateformes modernes de sécurité des identités doivent attribuer des identités à ces actifs et, en outre, appliquer des rôles, des politiques de contrôle d’accès, de la gouvernance et donner de la visibilité afin de sécuriser l’entreprise moderne.
Alors que les agents d’IA et l’automatisation se développent dans les environnements cloud, CI/CD et SaaS, les bots, les comptes de service et les identités de charge de travail se multiplient plus rapidement que les équipes de sécurité ne peuvent les inventorier et les gouverner, ce qui entraîne leur prolifération. Cela est souvent accompagné d’un étalement des secrets, car les clés API, les jetons et les certificats prolifèrent sans propriétaire ou rotation claire, créant davantage de voies d’accès privilégiées qui disposent d’autorisations excessives et d’une visibilité limitée.
Dans ce blog, nous expliquons pourquoi la prolifération des identités s’accélère, les risques de sécurité et de conformité qu’elle engendre et comment les organisations peuvent la maîtriser grâce à une plateforme de sécurité des identités et de gouvernance telle que Keeper.
Pourquoi la prolifération des identités augmente-t-elle ?
Les agents d’IA sont souvent conçus pour exécuter, pas pour rester dans une file d’attente en attendant que quelqu’un clique sur « approuver ». Donnez-leur un objectif comme « provisionner un nouvel environnement », et ils se mettront au travail : mise en route des ressources cloud, appel d’API, lancement de tâches CI/CD, extraction à partir de référentiels, interrogation des bases de données et vérification de paramètres dans les consoles d’administration. Mais pour aller aussi vite, il faut un accès de machine à machine, ce qui implique généralement de créer (ou de réutiliser) des comptes de service, des identités de charge de travail, des rôles cloud, des certificats et d’autres NHI.
C’est là que les identités commencent à proliférer. Les identités humaines et les identités non humaines se propagent à travers les outils et les plateformes plus vite que les équipes ne peuvent attribuer des responsabilités claires, appliquer des contrôles cohérents ou révoquer l’accès une fois la tâche terminée.
Les risques de la prolifération des identités
Alors que les NHI se multiplient, l’accès privilégié est distribué à travers les pipelines, les rôles cloud, les intégrations et les scripts, souvent sans appartenance cohérente ni date d’expiration. Cela crée plus de moyens pour les attaquants d’entrer, de se déplacer latéralement et d’augmenter leurs privilèges, tout en rendant les audits et les enquêtes plus difficiles qu’ils ne devraient l’être.
La plupart des problèmes apparaissent selon certains schémas prévisibles :
- Les comptes de service sont créés pour un projet ou une charge de travail, puis deviennent orphelins en cas de changement de propriétaire. Les clés et les jetons restent actifs car personne n’est chargé de les révoquer.
- L’automatisation est souvent surprovisionnée pour éviter les échecs, puis ces autorisations persistent longtemps après la fin de la tâche. Le privilège permanent devient insidieusement la règle par défaut.
- Les identifiants partagés, les secrets codés en dur, les fichiers de configuration et les pipelines rendent l’accès difficile à tracer et facile à réutiliser.
- Lorsqu’un agent ou une automatisation touche des systèmes sensibles, les équipes ont du mal à répondre à des questions élémentaires : à quoi a-t-on accédé, qu’est-ce qui a été modifié et pourquoi ce niveau d’accès.
Ces défaillances techniques se transforment rapidement en un véritable risque opérationnel :
- Le vol d’identifiants permet des mouvements latéraux et facilite l’escalade de privilèges, car les secrets de longue durée et les autorisations persistantes donnent aux attaquants le temps et la marge nécessaires pour élargir l’accès.
- Les réponses aux incidents ralentissent lorsque l’appartenance n’est pas claire et que les voies d’accès sont fragmentées entre outils, équipes et environnements.
- La préparation aux audits se détériore lorsque les approbations ne sont pas cohérentes et que les preuves sont incomplètes, en particulier lorsque vous ne pouvez pas produire des journaux clairs ou une activité de session liée à une identité spécifique.
Comment Keeper contribue à réduire la prolifération des identités
Réduire la prolifération des identités ne consiste pas à courir après chaque nouvelle identité qui apparaît. Il s’agit de changer le système afin que les accès privilégiés soient gérés de manière cohérente, même lorsque le nombre d’identités augmente. Voici comment Keeper peut vous aider :
1. Contrôle d’accès privilégié centralisé
Lorsque l’accès privilégié est dispersé dans les consoles cloud, les outils CI, les jump boxes et les secrets partagés, vous ne pouvez pas avoir une vue d’ensemble complète. La centralisation des flux de travail d’accès privilégiés vous permet de répondre rapidement aux questions de base :
- Quelles identités ont un accès privilégié ?
- Où s’authentifient-elles ?
- Qui a approuvé l’accès et pour combien de temps ?
- Que s’est-il passé lors de la session ?
KeeperPAM® centralise l’accès privilégié aux serveurs, bases de données, applications web et autres, dans les environnements cloud et sur site, avec une prise en charge intégrée des protocoles tels que SSH, RDP, VNC, HTTPS et des bases de données courantes.
2. Application du principe du moindre privilège avec accès limité dans le temps
Le privilège permanent est l’un des principaux moteurs de la prolifération des identités. Les agents d’IA et autres identités non humaines ont tendance à fonctionner en continu, les équipes accordant souvent des autorisations étendues pour éviter de briser les automatisations. Au fil du temps, ces autorisations « temporaires » se transforment en voies d’accès permanentes que personne ne revisite.
KeeperPAM vous aide à passer à un accès juste-à-temps et à réduire les privilèges permanents en autorisant l’accès aux ressources pour une durée limitée. Lorsque la fenêtre approuvée se termine, l’accès est automatiquement révoqué, de sorte que les privilèges ne persistent pas silencieusement longtemps après la fin de la tâche.
3. Keeper évite l’exposition des identifiants à chaque fois que c’est possible
Pour permettre aux agents d’IA de faire leur travail, les équipes leur fournissent souvent des secrets, comme des clés API ou des jetons d’accès. Ces secrets se propagent rapidement, et c’est alors que la prolifération des identités devient dangereuse.
KeeperPAM réduit cette exposition en facilitant l’accès privilégié à la fois aux personnes et à l’automatisation pilotée par l’IA. Avec les sessions privilégiées à distance, les utilisateurs et les agents n’ont jamais accès aux identifiants sous-jacents ni aux clés SSH. Au lieu de disperser les secrets entre les personnes, les agents et les charges de travail, l’accès est acheminé via la plateforme, de sorte que les identifiants sont protégés et que chaque action est visible et auditable.
4. Automatisation de la rotation et de la gestion de cycle de vie
Même une détection forte ne résout pas le problème sous-jacent si les secrets divulgués restent valides. Plus longtemps un identifiant existe, plus il est susceptible d’être réutilisé, copié et oublié, en particulier lorsque les NHI sont créées pour des charges de travail de courte durée, mais que les secrets qui les sous-tendent sont de longue durée. GitGuardian rapporte que 70 % des secrets exposés dans les référentiels publics en 2022 sont encore valides aujourd’hui, ce qui indique un manque de rotation et de mesures correctives.
KeeperPAM prend en charge la rotation automatisée des identifiants afin que les identifiants privilégiés ne restent pas statiques. Cela réduit la fenêtre d’exposition et diminue le risque qu’un identifiant divulgué devienne un chemin d’accès permanent.
5. Capture des activités de la session et journaux pour la responsabilité et les audits
Si un agent d’IA ou un pipeline d’automatisation touche un système sensible, il vous faut des preuves.
KeeperPAM fournit l’enregistrement et la relecture des sessions pour les sessions avec accès privilégié. Les sessions à distance peuvent enregistrer l’activité de l’écran et du clavier pour tous les protocoles, y compris SSH, RDP, VNC, les sessions de base de données et les sessions de navigateur web, constituant ainsi des preuves cohérentes, même dans les environnements hybrides.
Pour la conformité et la réponse aux incidents, KeeperPAM associe les enregistrements à des journaux détaillés et à des rapports automatisés pour vous aider à répondre rapidement aux questions d’audit telles que qui a initié l’accès, quand il a eu lieu, à quelle ressource il a été accédé et quelle activité a eu lieu. KeeperAI fournit des résumés chiffrés des activités et met automatiquement fin aux sessions à haut risque. Les événements peuvent également être enregistrés sur les principales plateformes de gestion des informations et des événements de sécurité (SIEM), ce qui aide à corréler l’activité des sessions privilégiées avec les alertes provenant des outils du terminal, du cloud et du réseau.
Contrôlez la prolifération des identités
Les agents d’IA accélèrent l’automatisation dans toute l’entreprise, et ils accélèrent également la création de NHI, par exemple les comptes de service, les identités de charge de travail, les rôles cloud et les certificats — ainsi que les secrets que ces identités utilisent, comme les clés API et les jetons. Lorsque le nombre de ces identités augmente plus rapidement que la gouvernance, l’accès privilégié se propage, les autorisations permanentes persistent et les équipes de sécurité perdent la visibilité sur ce qui a été consulté et pourquoi.
KeeperPAM contribue à maîtriser la prolifération des identités en centralisant l’accès privilégié, en appliquant le principe du moindre privilège limité dans le temps, en réduisant l’exposition des identifiants et en capturant des preuves de session prêtes pour l’audit.
Demandez une démonstration pour voir comment KeeperPAM peut vous aider à maîtriser la prolifération des identités.
