Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Démarrer un projet PAM dans les meilleures conditions

juillet 2021 par Fabien Tézé - Product Owner Ignimission Protec

La gestion des accès à privilèges est un des points clés de la mise en place d’une stratégie de sécurité en entreprise. Pour rappel, un accès à privilège permet à celui qui en prend le contrôle d’avoir accès à des ressources particulières, qui pourraient avoir un impact négatif sur l’entreprise si elles étaient altérées, divulguées, ou manipulées. Par exemple, on peut imaginer les dégâts en termes d’image si une personne malveillante venait à prendre le contrôle du compte Twitter de l’entreprise. Ou encore, si une personne révélait à la concurrence des stratégies commerciales, des accords ou des plans de production. Enfin, que se passerait-il si des groupes mafieux prenaient le contrôle sur les données du SI d’un hôpital en pleine période de pandémie … ?

Dans le contexte de gestion des accès à privilèges (en anglais Privileged Access Management, PAM), il s’agit de contrôler qui a la possibilité de prendre la main sur ces accès, à quel moment et pour quelle raison. Une des premières étapes de ce projet de sécurisation sera d’identifier quelle solution vous retiendrez pour gérer ces accès. Il en existe de nombreuses sur le marché, telles que « Enterprise Password Vault » de CyberArk, « Bastion » de Wallix ou encore « Vault » de HashiCorp.

Après avoir sélectionné la solution qui répond à vos besoins (en termes de fonctionnalités, coût, etc.), vous allez faire face à un nouveau défi : que devez-vous protéger ? Si la réponse à cette question parait évidente (tous les accès à privilèges), la mise en pratique l’est beaucoup moins. Comment identifier la liste exhaustive des comptes à protéger ? Qui est responsable de ces comptes ? Quel est l’impact d’une rotation de mot de passe sur tel ou tel compte ? Qui sont les acteurs autorisés à utiliser les accès à privilèges ? Prioriser les actions

Avant de mobiliser toutes les équipes, il faudra avoir une idée relativement claire des éléments que vous voulez embarquer dans votre solution PAM : type de compte (système, base de données, applicatif, …), type de propriétaire (comptes génériques utilisés par plusieurs personnes, comptes nominatifs, compte de service). Sans cette structure, vous obtiendrez des résultats partiels ou exotiques !

Votre première analyse vous présente une liste trop longue d’accès à mettre sous contrôle ? Priorisez ! Vous allez devoir identifier les périmètres prioritaires en fonction de votre contexte. Par exemple, privilégier les infrastructures les plus critiques (qui mettraient en risque votre compagnie si elles étaient compromises) ou privilégier un périmètre technique particulier que vous savez facilement mettre sous contrôle (« quick win »).

L’essentiel est de ne pas lancer tous les chantiers en même temps : vous risqueriez de faire face à tous les obstacles d’un coup (problèmes techniques, problèmes utilisateurs, gestion du changement).

Une stratégie de gestion qui a fait ses preuves est d’utiliser un tableau Kanban.

Vous regroupez / associez vos comptes à embarquer en « périmètre d’embarquement ». Ce périmètre doit être suffisamment grand pour être représentatif (ça n’aurait pas de sens d’avoir un périmètre par compte), mais pas trop grand pour pouvoir suivre son avancement de semaine en semaine : le périmètre « Tous les comptes applicatifs » par exemple serait bien trop gros, et resterait dans la colonne « En cours d’embarquement » pendant des mois, voire des années.

Ensuite, vous priorisez les périmètres à embarquer les uns par rapport aux autres en prenant en compte vos critères (criticité, difficulté, disponibilité des ressources et contacts, etc.).

Vous démarrez la tâche qui est en haut de la liste, puis vous vous concentrez sur la résolution de cet embarquement (on tire de la droite vers la gauche, plutôt que pousser de la gauche vers la droite). Le défi ici, est d’arriver à aller au terme d’un embarquement avant de penser à l’industrialisation. Il est toujours plus facile / plus intéressant / plus enthousiasmant de démarrer les tâches plutôt qu’achever celles qui sont en cours et font faces à certaines difficultés. C’est pourtant contre-productif : toutes les tâches se trouvent dans la colonne « En cours de traitement », aucune d’entre elles n’arrive au bout, vous devez gérer toutes les difficultés d’un coup. On en revient au point « ne pas démarrer tous les chantiers en même temps », qu’on pourrait étendre ici à « ne pas avoir tous les chantiers ouverts en même temps ».

Pour chaque périmètre, votre première tâche sera d’identifier un contact que vous impliquerez dans le projet.

Déléguer, impliquer

L’équipe en charge de mettre sous contrôle les comptes à privilèges (appelons-là « l’équipe PAM ») ne peut pas agir seule. Quel que soit l’outillage mis en place, vous aurez besoin de l’appui des responsables des comptes à privilèges que vous devrez mettre sous contrôle. Par exemple, pour savoir qui sera autorisé à les manipuler. Ou encore, pour connaitre le rayon d’action d’un compte (local sur une machine ? sur une application ? Sur un domaine ?).

Identifier le contact : est-ce si simple ?

Associer un compte à privilège à un responsable. Le défi parait simple, mais il ne doit surtout pas être pris à la légère. Vous aurez besoin de trouver le bon contact, celui qui pourra à la fois lister les comptes à privilèges utilisés dans un cadre fonctionnel, mais aussi vous donner les contraintes d’exploitation liées à ces comptes, et vous donner un feu vert pour que les comptes soient mis sous contrôle dans votre solution PAM. 

Vous avez déjà un référentiel qui liste les responsables ? C’est un bon début, mais attention à sa date de mise à jour ! Les retours d’expériences montrent que ces outils ne sont pas toujours à jour dans les grands groupes, et par conséquent il faut s’attendre à passer du temps à enquêter pour trouver le responsable actuel.

Faites (partiellement) confiance aux équipes.

Pour avoir une liste la plus exhaustive possible des comptes à embarquer, vous pouvez croiser les informations de deux sources : les responsables d’un côté, un système automatisé de l’autre.

Il existe sur le marché des outils de scan des comptes : soit par analyse de log, soit par installation d’un agent. Ces outils vous donneront une liste de comptes utilisés au moins une fois sur la période d’analyse, ou la liste des comptes locaux. Les défauts : vous obtiendrez une liste hétérogène de comptes, sans savoir qui en sont les responsables. Et surtout, vous n’aurez aucune information sur les comptes qui n’ont pas été utilisés pendant votre analyse !

Pour compléter cette liste, vous pouvez demander aux responsables de périmètres fonctionnels (infrastructures, applicatifs, …) de lister les comptes à privilèges utilisés pour leurs activités, en spécifiant la typologie de comptes à lister (ce que vous avez fait dans l’étape « prioriser les actions »).

Le recoupement des deux informations doit vous donner une liste exhaustive des comptes liés à un périmètre.

Maintenant que vous avez des listes de comptes à embarquer et les responsables associés, impliquez-les dans votre stratégie de déploiement : ces responsables doivent devenir vos ambassadeurs auprès de leurs équipes. Informez-les sur les objectifs du projet, formez-les sur les bases de la gestion des comptes à privilèges. Montrez-leur l’intérêt de votre solution (plus de mot de passe stocké dans un bloc note, plus de question à se poser pour savoir quels accès donner aux nouveaux collaborateurs, …).

Enfin, responsabilisez-les : vous pouvez par exemple leur demander de vous donner un feu vert à l’embarquement de leurs comptes à privilèges (ce qui implique qu’ils ont formé leur équipe, qu’ils se sont assurés qu’il n’y aura pas d’effet de bord, etc.). Ou encore, mettre entre leurs mains la gestion des personnes qui auront accès aux comptes à privilèges (les membres de leur équipe).

Automatiser / Systématiser

Dès que vous en aurez la possibilité, automatisez la mise sous contrôle de vos comptes à privilèges : aussi bien l’embarquement que le décommissionnement. Un des grands défis de votre projet PAM sera de maintenir à jour la liste des comptes protégés. Votre environnement va, lui, évoluer, pendant votre lancement de projet, et après.

De nouvelles machines vont être mises en service, de nouvelles applications vont être déployées, des machines sortiront du parc ou seront réaffectées. De quoi ralentir votre progression, voir la rendre obsolète dans certains cas (les comptes que vous avez identifiés n’existent plus, les responsables ont changé de poste, …).

L’automatisation de l’embarquement vous permettra d’assurer, sur un périmètre donné, une synchronisation continue entre votre environnement et votre solution PAM. 

La principale difficulté sera de trouver le bon référentiel. Votre CMDB est-elle fiable et à jour au point que de lui faire confiance lorsqu’une machine sort des inventaires pour supprimer les comptes de votre solution PAM ?

Lorsque vous aurez trouvé la bonne source autoritaire, celle qui représente de manière fiable la réalité, vous pourrez mettre en place des stratégies d’embarquements automatisés. Par exemple, lorsqu’une machine « Windows 10 » apparait dans la CMDB, embarquer automatiquement le compte « Administrateur » dans votre solution PAM, en forçant le changement de mot passe via un compte de domaine. Lorsqu’un serveur est décommissionné, supprimer tous les comptes locaux de cette machine embarqués dans la solution PAM. 

Si vous n’avez pas d’outil, ou trop de restrictions techniques pour pouvoir mettre en place cette automatisation, pensez à la systématisation. Servez-vous des workflows existants. Par exemple, celui permettant la création d’une machine pour un collaborateur ; ou encore le workflow de commande d’un nouveau serveur. Ajoutez une étape « embarquement des comptes à privilèges ». Demandez une « preuve » que l’embarquement a été réalisé pour passer à l’étape suivante (id du compte embarqué, impression écran, …).

Le ticket ne pourra pas être fermé tant que les comptes ne seront pas déclarés comme « embarqués », et cet embarquement pourra être pris en compte dans les SLAs.

L’idée est que la gestion des comptes à privilèges à travers une solution dédiée fasse partie du processus de gestion des composants et ne soit pas un processus « à côté ».

S’outiller

Quelle que soit la stratégie d’embarquement que vous adopterez, il faudra mesurer l’avancement. Une manière « naturelle » d’avancer est d’utiliser Excel. Vous avez vos listes de comptes à embarquer, la liste des contacts (et leur backups), le statut de chaque périmètre (contact pris, premiers échanges, démarrage de l’embarquement …).

Vous pouvez même créer vos tableaux de bord pour piloter l’activité. Mais rapidement, vous allez avoir une feuille Excel complexe et chargée, que vous serez seul.e à savoir utiliser, et donc seul.e à maintenir. Surtout, votre équipe / management n’aura de visibilité sur le projet qu’en vous sollicitant.

Autre point, comment allez-vous échanger des informations avec vos contributeurs ? Que ce soit par mail ou fichier partagé, le risque est d’atteindre rapidement les problèmes utilisateurs (« je n’ai pas utilisé le bon template », « j’ai une sauvegarde locale avec d’autres informations », « c’est mon collègue qui a envoyé le mail pendant mes congés sans me mettre en copie », …).

Le défi technique de mettre sous contrôle les comptes à privilèges est suffisamment grand pour ne pas s’encombrer de problèmes mineurs irritants.

Au plus tôt dans votre projet PAM, équipez-vous d’une solution qui fluidifiera le projet : échange de données avec les contributeurs, pointage / suivi de l’avancement, focus sur les tâches en cours, etc.

Si vous partez sur un développement spécifique, attention au temporaire à long terme. Si l’idée parait évidente d’avoir un outil pour démarrer le projet, celui-ci devra - au choix - être conçu pour un usage long terme ou avoir une date d’expiration. Le risque ici, est de traiter des données confidentielles (que l’on cherche justement à gérer via la solution PAM) dans un outil qui ne serait pas lui-même sécurisé ou qui ne serait pas maintenu.

Si possible, pensez également à un outil qui vous permettra d’industrialiser votre embarquement…




Voir les articles précédents

    

Voir les articles suivants