Comment choisir une solution de gestion des accès à privilèges ?

Une solution PAM est déployée pour sécuriser les accès à privilèges des administrateurs internes et des prestataires de services externes. Chaque solution du marché offre certaines fonctionnalités. Quelles sont celles qu’il faut privilégier ?

Voici une liste de ce qu’il faut rechercher dans une solution PAM :

• La solution doit être simple, facile à déployer et à gérer :

Une solution PAM ne doit pas forcément prendre du temps, être complexe à déployer et à maintenir, ou être restrictive. Lors du choix d’une solution PAM, il est important de rechercher la simplicité, la rapidité de déploiement ainsi que la facilité de maintenance. Par exemple, une solution qui peut être déployée en quelques clics et qui ne nécessite pas de revoir l’infrastructure actuelle. Un point essentiel est de trouver une solution qui fournit régulièrement des mises à jour automatiques sans que votre équipe informatique ait besoin de les gérer.

• Choisissez une solution rentable :

Le mode de licence est également un point important à considérer. Par exemple, les coûts peuvent être échelonnés dans le temps en fonction de la consommation réelle et inclure la gestion de la maintenance et des mises à jour.

• Résilience, adaptabilité aux différents cas d’usage :

Le profil des administrateurs a changé au fil des années, et il continue d’évoluer. L’administrateur physiquement présent dans le bureau et sur le même réseau que les ressources n’est plus le seul cas d’usage. Il existe d’autres profils qui peuvent être amenés à administrer ces ressources. Par exemple, les prestataires de services, qui par définition travaillent à distance, ou un administrateur d’entreprise qui travaille depuis son domicile.

Une solution PAM doit fournir un certain niveau de résilience pour tous les utilisateurs privilégiés dans tous les contextes possibles. Un cas ultime est celui où le système informatique est caché et protégé derrière une plateforme de services.

• Coffre-fort et gestion des mots de passe :

Outre les profils des administrateurs mentionnés ci-dessus, nous pouvons citer également le cas d’anciens administrateurs qui peuvent avoir connaissance de comptes d’accès, d’adresses IP, etc. Un coffre-fort de mots de passe vous permet de stocker en toute sécurité toutes les informations d’identification et les clés de l’entreprise. Avec la rotation des mots de passe et l’injection automatique, la solution vous évite de divulguer les mots de passe aux administrateurs.

• Enregistrement et surveillance des sessions :

Une solution PAM doit aller au-delà du simple enregistrement des sessions. En effet, l’enregistrement des sessions à privilèges vous permet d’observer en temps réel toutes les actions effectuées par les administrateurs et d’interagir. Cependant, elle devrait également inclure des fonctions d’automatisation telles que la détection et le blocage automatiques des activités suspectes, ainsi que la recherche et le repérage rapides des actions suspectes dans une multitude d’enregistrements vidéo.

• Politiques d’accès basées sur l’identité :

Pour améliorer le niveau de sécurité, un contrôle d’accès avancé est nécessaire, basé à la fois sur l’identité/le profil et le contexte de connexion. Les administrateurs doivent avoir accès aux ressources nécessaires en fonction de leurs profils, grâce à des politiques prédéfinies. Selon la structure de l’organisation, des groupes d’utilisateurs peuvent être définis. Par conséquent, des politiques peuvent être facilement assignées pour déterminer à quelle application un administrateur peut avoir accès et dans quel contexte (lieu de connexion, adresse IP, etc.).

• Authentification multi-facteurs (MFA) :

Supposons que tous les points mentionnés ci-dessus soient respectés, nous devons encore nous assurer que c’est la bonne personne qui se trouve derrière le PC. De nombreuses organisations utilisent leurs solutions d’authentification multi-facteurs comme Yubico, Google Authenticator, Office-365, et plus encore. Pour cela, nous devons nous assurer que la solution PAM peut être connectée aux authentificateurs actuels en place.