Il s’agit d’une session Web lancée par un utilisateur doté de privilèges administratifs pour accéder à un système, un appareil ou une application de l'infrastructure informatique, localement ou à distance. Cela comprend toute l’activité effectuée pendant la session.
Par exemple : un administrateur de base de données ou de sécurité accède à des données d’entreprise confidentielles du siège via une session RDP ou SSH ; un fournisseur tiers accède à distance à certaines applications via un outil dédié ; un ingénieur de maintenance accède à des serveurs sensibles résidant dans divers sites industriels et systèmes d’automatisation, de type PLC et SCADA, pour le dépannage ou la mise à jour corrective de logiciel.
Un administrateur informatique sait que le lancement d’une session privilégiée reste une tâche risquée, mais inévitable. Bien que l’entreprise dispose d’une série d’outils et de technologies modernes ou classiques pour faciliter l’accès à distance et gagner en efficacité opérationnelle, un accès privilégié sans contrôle crée aussi divers défis en termes de sécurité et de conformité.
Les comptes privilégiés et les identifiants qui les sécurisent servent pour les systèmes les plus vitaux d’une organisation, à cause de leurs niveaux d'autorisation élevés. Logiquement, les comptes privilégiés restent la cible des cybercriminels. Si un attaquant parvient à accéder à un seul compte privilégié mal géré, il peut facilement naviguer jusqu’aux systèmes les plus sensibles du réseau. Une session privilégiée piratée bénéficie du doute, car un attaquant la lance via un compte privilégié légitime en se faisant passer pour un utilisateur privilégié.
Les données d’entreprise sensibles, comme les comptes privilégiés, les certificats, les jetons, les clés et les mots de passe, sont une cible de choix des cybercriminels, car elles offrent un accès privilégié illimité à chaque recoin de l’infrastructure. Pour atténuer les risques et concilier sécurité informatique et productivité, l’organisation doit établir un accès contrôlé adéquat des utilisateurs privilégiés pour protéger les systèmes vitaux. Si on ne gère pas les sessions privilégiées avec des contrôles étroits, des acteurs malveillants, externes et internes, peuvent les compromettre, avec des dommages irréversibles pour les données d’entreprise.
L’un des enjeux majeurs se présentant à une organisation réside dans une bonne connaissance de ses relations avec des tiers et des risques inhérents. Selon un rapport du Ponemon Institute en 2020 (via Security Boulevard), 53 % des organisations ont subi au moins une violation de données due à un tiers au cours des deux dernières années. Les hackers utilisent aussi des points d’accès à distance tiers pour s’immiscer et lancer des attaques en temps voulu. Le recours croissant à des partenaires tiers et l’évolution constante du cadre des menaces empêchent d’identifier les menaces et vulnérabilités externes sans outils d’analyse adaptés.
Dans la plupart des organisations, le personnel possède souvent des privilèges et des autorisations d’accès élevés que son rôle n’exige pas en fait, ouvrant la voie à un abus. Ces privilèges échappent en général au contrôle, créant des risques de sécurité et mettant en péril l’activité. La DSI néglige souvent de gérer les conséquences d’un accès excessif, surtout concernant d’anciens employés. Un défaut de révocation de l’identité et des autorisations d’accès d’un ancien employé permet à celui-ci d’accéder à des données sensibles même s’il a quitté l’organisation.
Nombre d’organisations utilisent toujours plusieurs outils et des processus manuels, partiels, pour affecter un accès à distance au personnel à cause de contraintes budgétaires ou d’une pure ignorance des risques des modes d’accès non sécurisés. Un tel système décentralisé peut créer de grandes divergences des règles et workflows d’accès à distance, d’où des lacunes de sécurité. Il complique aussi la tâche de la DSI pour gérer toutes les sessions privilégiées d’une organisation.
Comment un administrateur peut-il maîtriser le cadre de menaces actuel et établir une stratégie fiable pour fournir un accès privilégié au personnel, aux fournisseurs tiers, aux applications et aux appareils ? Comment gérer et analyser chaque activité privilégiée survenant dans une infrastructure sur site, hybride et cloud et assurer la détection de toute activité malveillante ? Comment bloquer toutes les portes dérobées que créent des acteurs malveillants pour concilier sécurité et productivité ?
La tâche de gérer ces questions peut sembler aujourd’hui un défi de taille pour nombre de DSI. C’est alors qu’entre en jeu la gestion des sessions privilégiées.
La gestion des sessions privilégiées (PSM) constitue un aspect clé de la sécurité informatique dans une stratégie de gestion des identités et des accès qui régule l’accès privilégié aux systèmes vitaux tout en régissant strictement les sessions via leur enregistrement et audit.
Un outil PSM permet d’améliorer le contrôle et la responsabilité et prévient le risque d’abus d’accès privilégié en gérant, analysant et vérifiant constamment l’activité des utilisateurs privilégiés, comme le personnel approuvé et les prestataires tiers, des applications et des systèmes. Il fait aussi partie intégrante du nouveau modèle Zero Trust qui invite l’organisation à ne pas croire systématiquement que les utilisateurs emploient toujours leur accès élevé à bon escient et à veiller à un strict respect des bonnes pratiques de sécurité.
Un outil analyse et enregistre l’activité de chaque utilisateur privilégié entre l’instant où il lance une session privilégiée et la fin de cette session. Les administrateurs de la sécurité peuvent identifier et arrêter de façon proactive une activité suspecte ou non autorisée en temps réel. Ils disposent d’une piste d’audit fiable de toute l’activité privilégiée qui assure la conformité et facilite l’examen forensique. L’adoption d’un outil PSM dans le cadre de sa stratégie de cybersécurité aide l’entreprise à prévenir les risques, réduire la complexité opérationnelle, améliorer le suivi de l’accès privilégié et se conformer aux normes.
La gestion des sessions privilégiées offre aux équipes informatiques et de la sécurité une console centrale pour gérer l’accès aux ressources sensibles n’importe où dans le monde, avec des contrôles précis des voies d’accès. Elle définit comment d’autres utilisateurs distants privilégiés se connectent aux systèmes vitaux.
Un solide outil PSM offre un workflow pratique qui permet une affectation-révocation facile de l’accès privilégié tout en assurant une responsabilité complète des utilisateurs privilégiés. Il fournit à des tiers (prestataires, fournisseurs et intérimaires) un accès temporaire, basé sur le rôle, à certains systèmes d’entreprise ou applications sans besoin d’identifiants de compte privilégié.
Le déploiement d’un outil PSM facilite une administration centralisée des ressources informatiques distantes distribuées via une seule console. Les utilisateurs privilégiés peuvent mettre à jour, dépanner et gérer des systèmes de centre de données de façon centralisée, pour une administration facile et efficace. Cela améliore aussi la qualité du travail et la responsabilité grâce à des stratégies normalisées et une bonne supervision.
Outre l’accès granulaire, un outil PSM offre aussi aux administrateurs les contrôles requis pour analyser et gérer des ressources géographiquement distribuées. L’analyse en temps réel des sessions à distance privilégiées favorise la transparence opérationnelle et permet de prévenir de façon proactive les menaces internes en enregistrant et contrôlant à distance les sessions.
Un outil PSM aide l’organisation à respecter des normes de conformité sectorielles comme SOX, HIPAA, ICS CERT, GLBA, PCI DSS, FDCC et FISMA, et à mieux protéger toutes ses données. Son déploiement dans le cadre d’une stratégie de cybersécurité complète permet d’enregistrer toute l’activité liée à l’infrastructure informatique et l’accès privilégié, pour répondre facilement aux exigences d’audit et de conformité.
La gestion des sessions privilégiées aide à protéger les systèmes vitaux en évitant un accès direct. Elle fournit un serveur de passerelle proxy pour transférer les connexions privilégiées de l’appareil de l’utilisateur au système cible. Cela empêche un accès imprévu de systèmes non autorisés, limite toutes les voies d’accès à des systèmes d’entreprise à l’outil et sécurise la communication sans avoir à utiliser des mots de passe confidentiels.
Access Manager Plus offre un outil de gestion des sessions privilégiées et d’accès à distance sécurisé pour réguler et analyser tout l’accès privilégié dans l’organisation. Il établit un serveur proxy entre l’appareil de l’utilisateur et le système cible tout en évitant l’exposition des identifiants et l’accès direct aux systèmes vitaux via un moyen non sécurisé et autorisé. Access Manager Plus améliore le contrôle et la responsabilité de l’activité des utilisateurs privilégiés via la copie shadow, l’enregistrement et l’audit des sessions.
Chaque jour, une DSI gère de nombreuses demandes d’accès permanent ou temporaire formulées par les utilisateurs et les acteurs tiers pour accéder à divers systèmes d’entreprise. Pour assurer une bonne gestion des demandes d’accès privilégié et une exécution continue des opérations courantes, la DSI doit intégrer un workflow simple à sa stratégie PSM.
Configurez des contrôles d’accès dans Access Manager Plus en fixant des conditions d’approbation des sessions privilégiées, obligeant l’utilisateur à fournir un motif ou un ID de ticket figurant dans un système de gestion des tickets actuel. On peut aussi associer certaines ressources ou applications à un utilisateur autorisé à demander à y accéder et veiller à n’octroyer que l’accès minimum requis pour une durée minimale.
Access Manager Plus sert de proxy via lequel on lance une session privilégiée et la transmet à un système cible. Comme il n’existe aucun accès direct entre l’appareil de l’utilisateur et le système cible, le réseau de l’entreprise est protégé contre un accès non autorisé ou un virus ou malware pouvant résider sur le système de l’utilisateur.
Affectez à des employés ou des acteurs externes unaccès RDP, SSH, SQL ou VNC sécurisé et contrôlé à des systèmes sensibles via l’infrastructure sur site, cloud et hybride sans exposer les identifiants privilégiés. Permettez aux utilisateurs de lancer plusieurs sessions à distance simultanément pour gagner en productivité.
Access Manager Plus favorise la collaboration dans une session à distance active pour partager un savoir, vérifier la conformité de l’activité avec les stratégies de sécurité établies ou aider à résoudre des problèmes.
Contrôlez à distance les sessions privilégiées concernant des systèmes et des acteurs sensibles pour déceler de façon proactive une activité illicite et veiller à ce que seuls les utilisateurs autorisés accèdent à des systèmes confidentiels conformément au type d’opérations qu’ils ont le droit d’effectuer. Si on détecte une activité suspecte ou non autorisée pendant une session privilégiée, on peut l’arrêter immédiatement et avertir l’équipe de sécurité concernée.
L’enregistrement de session privilégiée apporte une preuve irréfutable de l’accès privilégié d’un utilisateur. En cas d’attaque liée à un compte privilégié, il suffit de filtrer et d’examiner les anciens enregistrements de session pour découvrir l’origine et ajuster les stratégies afin d’éviter un autre risque.
Par défaut, Access Manager Plus enregistre toutes les sessions RDP, VNC, SSH et SQL lancées de l’application. On peut suivre les sessions enregistrées à l’aide de détails comme le nom de la connexion, l’utilisateur qui a lancé la session ou l’heure du lancement.
Les pistes d’audit permettent d’identifier une conduite suspecte. Les journaux d’audit automatisé aident à identifier les problèmes de déploiement de système ou opérationnels, l’activité inhabituelle ou suspecte et d’autres erreurs système. Diverses normes de conformité, comme HIPAA, SOX et PCI DSS, obligent l’organisation à suivre et enregistrer toutes les actions exécutées par des comptes privilégiés. La gestion des sessions fournit des journaux d’audit inaltérables que l’on peut transmettre aux auditeurs pour prouver la conformité.
Dans Access Manager Plus, ces journaux contiennent un registre de tous les événements liés à l’activité des comptes privilégiés, les tâches prévues et terminées et les accès à distance. Ces données aident à répondre aux audits internes réguliers et aux examens forensiques et indiquent qui a eu accès à une ressource ou un fichier donné, où, quand et pourquoi.
On peut aussi intégrer Access Manager Plus à l’outil de gestion des événements et des informations de sécurité actuel pour exporter les données sur l’accès privilégié via des messages Syslog ou à une solution de gestion réseau pour recevoir des journaux d’accès via des interruptions SNMP. On peut ainsi informer les équipes concernées d’une violation de données et prioriser et exécuter des mesures correctives selon le besoin.
