[TRIBUNE de Alaa El Banna, KEEPER SECURITY] Face à la montée des cyberattaques, les entreprises doivent choisir une solution de gestion des accès privilégiés (PAM, Privileged access management) qui est un volet de la gestion des identités et des accès (IAM, Identity and Access Management), destinée à contrôler l'accès aux systèmes et données sensibles. Notamment pour le personnel informatique et les équipes de développement qui travaillent en mode DevOps, en appliquant le principe du moindre privilège. Explications d’Alaa El Banna, EMEA MSP Manager chez Keeper Security. 

1 - Une sécurité fondée sur le cloud, le Zero Trust et le Zero Knowledge

Même si les environnements d'entreprise sont désormais majoritairement installés dans le cloud, de nombreux produits PAM, conçus initialement pour des infrastructures sur site, ne bénéficient pas pleinement des avantages du cloud comme l'auto scaling, le Zero Trust et le chiffrement Zero Knowledge.

Sans ce dernier, le fournisseur peut accéder aux données sensibles, exposant ainsi les utilisateurs à des risques de piratage et à des demandes d'accès par les régulateurs, tandis que le Zero Knowledge, en chiffrant les données dont seule l'organisation détient la clé, renforce la sécurité et la confiance. 

2 - Contrôle d'accès granulaire et application des politiques

Le contrôle d'accès granulaire, combiné au contrôle d'accès fondé sur le rôle (RBAC, Role-Based Access Control) et au principe du moindre privilège, sécurise l’accès aux ressources indispensables en ne fournissant que ce qui est strictement nécessaire – un pilier des environnements Zero Trust. 

Par ailleurs, l'accès “Just-in-Time” garantit un accès temporaire, activé à la demande et adapté au contexte, qui se révoque automatiquement une fois la tâche accomplie. 

3 - Gestion, surveillance et enregistrement des sessions Dans la gestion des accès privilégiés, la surveillance et l'enregistrement des sessions permettent de contrôler et d’auditer les activités des utilisateurs sensibles afin de réduire les risques et d’assurer la conformité au RGPD (Règlement Général sur la Protection des Données). Une solution PAM efficace doit ici faciliter l’ouverture de sessions sécurisées et limitées, appliquer des politiques strictes (temps, dispositifs…), clôturer automatiquement les sessions en cas d’inactivité, offrir une surveillance en temps réel et enregistrer les actions (frappes, commandes, écrans) pour détecter et contrer toute activité suspecte.

La notion de tunneling garantit à ce niveau une communication sécurisée à travers a un proxy renforçant le RBAC, tandis que le principe du BYOT (Bring Your Own Tools) autorise l’usage d’outils préférés sans compromettre la sécurité. 

4 - Prise en charge des passkeys

Les passkeys, méthode moderne d'authentification sans mot de passe fondée sur la cryptographie à clé publique, offrent une résistance efficace au phishing tout en simplifiant l'expérience utilisateur. Adoptées par Apple, Google et Microsoft et soutenues par l’alliance Fido (Fast IDentity Online) qui a développé des spécifications visant à favoriser une authentification forte pour l’accès à des services sécurisés, elles promettent de réduire les cyberattaques liées aux mots de passe et de transformer la vérification d'identité numérique. 

Il faut cependant s’assurez-vous dans ce cas que la solution PAM adaptés les les intègre pour renforcer la sécurité et simplifier la gestion des accès. 

5 - Gestion et stockage des mots de passe avec rotation automatisée 

La rotation automatisée modifie régulièrement les mots de passe selon des politiques prédéfinies, réduisant ainsi les risques d'accès non autorisé et assurant par exemple la conformité aux spécifications PCI DSS (Payment Card Industry Data Security Standard) pour les porteurs de cartes ou HIPAA (Health Insurance Portability and Accountability Act) dans le domaine de la santé. 

Le stockage en coffre-fort centralisé et chiffré, contrôlé grâce à des politiques telles que le RBAC, sécurise les identifiants en évitant leur dispersion et en enregistrant chaque accès. Bien que le partage de mots de passe soit déconseillé, les solutions PAM modernes offrent des options de partage sécurisé, temporaire ou autodestructeur. 

6 - Protection de l'ensemble d’une organisation, pas seulement le service informatique

Trop souvent, les produits PAM se limitent aux administrateurs, au DevOps et autres utilisateurs privilégiés. Pourtant, il est essentiel de sécuriser tous les utilisateurs, ce qui implique de déployer conjointement une solution PAM et une solution IAM, augmentant ainsi la charge pour les équipes IT et compliquant l'application uniforme des politiques de sécurité.