Accueil Architectures "Zero Trust" : le PAM sort de son bastion

Architectures « Zero Trust » : le PAM sort de son bastion

> Microsoft implémente déjà dans Azure AD des fonctions de PIM (Privileged Identity Management) mais les éditeurs de PAM visent des populations bien plus larges que les administrateurs, et même au-delà, vers l’IoT notamment.

Alors que les entreprises vont de plus en plus vers le Cloud, basculent vers DevOps et automatisent de plus en plus de processus via les RPA, le rôle de la gestion des comptes à privilèges change littéralement de dimension et devient un composant clé d’une architecture « Zero Trust ».

« Admin/Admin », voilà comment était sécurisé l’accès de la machine qui a mené à l’une des fuites de données les plus massives de ces dernières années, celle de la société d’évaluation bancaire américaine Equifax. Les données personnelles de 147 millions de personnes, dont 143 millions d’américains, se sont retrouvées dans la nature à cause d’un mot de passe trivial et une cascade d’erreurs. Cette fuite a déjà coûté 1,4 milliard de dollars à l’entreprise, et ce n’est sans doute pas fini puisqu’Equifax fait maintenant face à une Class Action. L’attaque des comptes à privilèges reste le moyen le plus usité par les pirates pour s’emparer de données comme le rappelait Tim Steinkopf, CEO de Centrify, ) à l’occasion des Assises de la Sécurité : « Selon Forrester, 80 % des fuites de données sont la conséquence d’une mauvaise gestion des droits et privilèges des comptes utilisateurs. Mais j’en discutais récemment avec Kevin Mandia, aujourd’hui CEO de FireEye et qui avait fondé Mandiant il y a quelques années. Pour lui, ce taux est plutôt proche des 100 % ! » Le PAM permet de mieux protéger les comptes sensibles du fait qu’ils disposent de privilèges importants, de s’assurer que l’utilisateur ne dispose pas de plus de droits que ceux dont il a réellement besoin, d’auditer ses accès. Ce sont les briques de base du PAM (Privileged Acess Management). Aujourd’hui, ces solutions s’appuient désormais sur des moteurs de Machine Learning pour détecter tout comportement subitement anormal d’un compte. Utile si un pirate utilise un compte Admin pour télécharger dans un court laps de temps toutes les données auxquelles a habituellement accès sa victime.

Un niveau de maturité encore très variable

Les dernières méga fuites de données largement médiatisées l’ont bien montré, toutes les entreprises ne se sont pas encore dotées d’un bastion pour protéger les comptes à privilège alors que les fuites de données constituent un risque de plus en plus important pour elles. Certaines entreprises poussées par leur environnement réglementaire sont aujourd’hui les plus matures sur la question, estime Jean-Noël de Galzain, fondateur et directeur général de Wallix : « Les entreprises viennent vers nous avec des projets très élaborés dans leurs métiers et ne viennent plus nous voir à titre exploratoire.

Jean-Noêl de Galzain

Les entreprises adoptent désormais des approches de type Security by Design, Privacy by Design, veulent intégrer la sécurité par construction dans leurs systèmes, leurs applications et la protection des données dans les services qu’elles veulent délivrer. Il y a la mise en conformité notamment avec le RGPD, la LPM en France, avec la directive NIS, et des réglementations qui pèsent sur chacun des métiers, et qui de plus en plus incluent le risque IT. » Si la certification ANSSI de Wallix AdminBastion est un sérieux coup de pouce pour le Français sur le marché des OIV et des administrations, Wallix a franchi la barre des 1 000 clients en juin 2019 et sa solution est utilisée dans 55 pays.

Le PAM élargit son emprise

Comptes des administrateurs systèmes et réseaux, des DBA : tous ceux qui considèrent que la protection des comptes privilèges se limite à une poignée de collaborateurs très spécifiques vont devoir revoir leur conception de la sécurité. En effet, beaucoup d’utilisateurs qui ne sont pas de l’IT passent désormais sous le giron des PAM. L’exemple du PDG ou du VIP qui veut un accès administrateur sur sa machine pour installer ce qu’il veut est assez commun, mais ce n’est pas le seul. « La DSI doit être capable de proposer des solutions suffisamment flexibles pour résoudre ce genre de problématique, ce que nous traitons avec nos solutions endpoint » explique Mathieu Richard, directeur commercial de CyberArk France. Pour illustrer son propos, le responsable prend l’exemple des comptes de l’entreprise sur les divers réseaux sociaux, des comptes qui ne sont pas confiés à du personnel IT, souvent des agences extérieures, mais qui sont aussi des comptes extrêmement sensibles car ils engagent l’image de l’entreprise. « Pour ces nouvelles populations, il faut être capable de proposer des solutions très ergonomiques. On ne peut leur infliger trois rebonds pour accéder à leur espace de travail alors que c’est de plus en plus le cas pour accéder aux applications Cloud de l’entreprise. »

La transformation digitale des entreprises est en train de faire évoluer le rôle du PAM dans leur architecture de sécurité. Ainsi, avec le basculement des DSI vers DevOps, le PAM est désormais sollicité pour stocker dans son bastion les données secrètes partagées entre les différentes composantes logicielles des chaînes de développement et d’intégration continue (CI/CD). Autre exemple structurant, non plus seulement pour la DSI, mais pour l’entreprise dans son ensemble, le spectaculaire essor des RPA notamment dans le secteur Banque/Assurance : « Les entreprises déploient aujourd’hui énormément d’automatisations des processus avec les RPA, or cela sous-entend des comptes techniques, des comptes administrateurs qui, s’ils ne sont pas protégés, constituent une faille de sécurité énorme pour une entreprise qui a démultiplié les RPA dans son organisation. » L’éditeur a soigné son intégration avec les plateformes RPA de UIPath et de BluePrism, considérant qu’il s’agit d’un différenciant important pour CyberArk sur le marché. « Le PAM n’est pas seulement un bastion isolé mais bien une brique de sécurité qui doit s’intégrer pleinement à son environnement, avec des liens vers l’IAM, les applicatifs métiers et des intégrations natives avec les autres briques de sécurité qui, elles aussi, ont des comptes d’administration » ajoute Mathieu Richard.