Téléchargez un exemplaire gratuit du rapport ici.
Les identifiants d’utilisateur privilégié sont une cible lucrative des attaquants, car ils donnent un accès de niveau élevé à des comptes et des données confidentiels. Le passé récent a montré que les attaquants n’ont plus besoin de pirater des comptes pour violer les données. Ils exploitent plutôt les identifiants faibles ou compromis pour avoir accès aux données lucratives. L’objectif premier d’une solution de gestion de l’accès privilégié doit viser la recherche automatique et la mise en coffre des identifiants, permettant aux administrateurs de sécuriser et de fournir un accès restreint aux comptes cruciaux. Ils parent ainsi aux vecteurs d’une attaque par accès privilégié.
ManageEngine PAM360 offre un coffre centralisé des identifiants d’entreprise pour regrouper, stocker, gérer et faire tourner les données sensibles partagées comme les mots de passe, les certificats numériques, les clés et les documents exclusifs. Ses options avancées de regroupement des mots de passe aident à organiser les mots de passe sous forme hiérarchique complète, pour mieux éviter la lassitude des mots de passe. De plus, on peut effectuer des opérations en masse, comme la réinitialisation de mot de passe, la modification ou le partage, pour certains groupes au besoin.
PAM360 garantit le plus haut niveau de protection des données en intégrant une norme de chiffrement (AES) 256 bits, reconnue par le NIST (National Institute of Standards and Technology) et la NSA (National Security Agency). La norme AES présente un double chiffrement, aux niveaux application et base de données. Le premier niveau de chiffrement a lieu au niveau application, où une clé unique générée automatiquement chiffre les données via la norme AES 256. Les données chiffrées sont ensuite transmises à la base de données pour stockage, où le second niveau de chiffrement a lieu.
Pour permettre d’autres niveaux d’authentification des comptes privilégiés, PAM360 offre des intégrations exclusives à Active Directory, des solutions d’authentification unique (SSO) de type SAML (Security Assertion Markup Language) et des outils d’authentification multifacteur (MFA) éprouvés.
PAM360 facilite l’analyse et la recherche automatique des comptes privilégiés pour les enregistrer dans un référentiel sécurisé et centralisé pour Windows, Solaris, Mac, Linux, Active Directory, VMware et une série de périphériques réseau et de bases de données. Le produit offre aussi une option pour définir des périodes et des limites de tentatives de recherche de mots de passe. Lors de la recherche, PAM360 permet de randomiser les mots de passe de ressources selon les stratégies de mots de passe prédéfinies.
Outre les mots de passe, PAM360 permet le stockage sécurisé des certificats numériques, des images, des clés de licence et d’autres documents exclusifs. De plus, les utilisateurs peuvent importer manuellement leurs mots de passe de fichiers CSV, TSV et KeePass.
PAM360 permet le partage de mots de passe et d’autres données sensibles pour choisir des utilisateurs et des groupes à divers niveaux d’autorisation, comme affichage, modification et gestion. Un administrateur peut aussi transférer la propriété de ses mots de passe à d’autres administrateurs et utilisateurs à son gré.
On peut affecter un accès à des ressources sans divulguer les mots de passe en format clair. De plus, les utilisateurs peuvent lancer des connexions d’un clic à des ressources partagées depuis l'interface Web de PAM360 sans avoir à taper manuellement les mots de passe.
PAM360 intègre des workflows de contrôle d'accès bien définis pour permettre le partage de mots de passe avec certains utilisateurs selon leurs rôles et responsabilités (par exemple, attribution d’identifiants de base de données uniquement aux administrateurs de base de données). PAM360 offre des options pour déléguer l’accès à des systèmes privilégiés à des non-administrateurs, souvent selon leurs besoins et rôles. On peut configurer un workflow de demande-approbation. L’utilisateur (non-administrateur) demande alors un accès à un actif/compte particulier pendant une durée donnée, l’administrateur approuvant/rejetant la demande selon sa validité. Lorsque le délai expire, on peut faire tourner les mots de passe des comptes pour prévenir un risque d’abus de privilèges.
PAM360 offre des rapports complets en temps réel sur l’accès aux mots de passe et l’activité des utilisateurs pour mieux suivre les événements relatifs à certains mots de passe ou comptes.
Si l’administrateur est indisponible, PAM360 permet de prévoir une approbation automatique des demandes d’accès pendant une durée fixée. On peut aussi accorder et révoquer l’accès à des mots de passe pour une durée précise. Cela assure la réinitialisation automatique des mots de passe pour éviter un accès non autorisé aux comptes privilégiés.
PAM360 permet de gérer et réinitialiser des mots de passe à distance pour une série de systèmes et appareils (comme Windows, AIX, UNIX, Linux, Solaris, ESXi, MS SQL Server, Oracle DS Server, HP ProCurve, Cisco ou Juniper NetScreen) ou des infrastructures et services cloud (comme AWS, Google Apps, Rackspace et Microsoft Azure)
PAM360 gère plus de 85 types de ressource et, pour les ressources et les appareils ne figurant pas dans la liste, offre une réinitialisation de mot de passe à distance via des plug-ins sur mesure, que l’on peut développer avec Java, C, PowerShell, Bash, Rust et autres. Sinon, les administrateurs peuvent aussi exécuter des commandes SSH par lot pour réinitialiser les mots de passe de ressources SSH via l’interface Web de PAM360.
L’une des fonctions exclusives réside dans l’option de faire tourner les mots de passe des comptes privilégiés détectés de façon régulière pour respecter des normes réglementaires comme PCI DSS (Payment Card Industry Data Security Standards), ISO (International Organization for Standardization) et NERC (North American Electric Reliability Corporation). PAM360 permet de randomiser les identifiants à distance et d’affecter des mots de passe forts à la réinitialisation automatique en configurant des stratégies personnalisées selon le besoin. Enfin, PAM360 élimine le codage en dur et la mise à jour manuelle des mots de passe avec une option pour établir une rotation de mots de passe complexes, notamment d’application à base de données et entre applications.
PAM360 permet d’organiser les mots de passe en groupes de ressources basés sur des critères, avec une mise à jour dynamique lorsqu’on ajoute au réseau des ressources correspondant aux critères ou en supprime. On peut aussi effectuer des opérations en masse, comme le partage de mot de passe, la rotation ou la mise à jour, pour certains groupes au besoin.