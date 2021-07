Démarrer un projet PAM dans les meilleures conditions

juillet 2021 par Fabien Tézé, Product Owner Ignimission Protec chez Ignimission

Dans le contexte de gestion des accès à privilèges (en anglais Privileged Access Management, PAM), il s’agit de contrôler qui a la possibilité de prendre la main sur ces accès, à quel moment et pour quelle raison. Une des premières étapes de ce projet de sécurisation sera d’identifier quelle solution vous retiendrez pour gérer ces accès. Il en existe de nombreuses sur le marché, telles que « Enterprise Password Vault » de CyberArk, « Bastion » de Wallix ou encore « Vault » de HashiCorp.

Après avoir sélectionné la solution qui répond à vos besoins (en termes de fonctionnalités, coût, etc.), vous allez faire face à un nouveau défi : que devez-vous protéger ? Si la réponse à cette question parait évidente (tous les accès à privilèges), la mise en pratique l’est beaucoup moins. Comment identifier la liste exhaustive des comptes à protéger ? Qui est responsable de ces comptes ? Quel est l’impact d’une rotation de mot de passe sur tel ou tel compte ? Qui sont les acteurs autorisés à utiliser les accès à privilèges ?

Prioriser les actions

Avant de mobiliser toutes les équipes, il faudra avoir une idée relativement claire des éléments que vous voulez embarquer dans votre solution PAM : type de compte (système, base de données, applicatif, …), type de propriétaire (comptes génériques utilisés par plusieurs personnes, comptes nominatifs, compte de service). Sans cette structure, vous obtiendrez des résultats partiels ou exotiques !

Votre première analyse vous présente une liste trop longue d’accès à mettre sous contrôle ? Priorisez ! Vous allez devoir identifier les périmètres prioritaires en fonction de votre contexte. Par exemple, privilégier les infrastructures les plus critiques (qui mettraient en risque votre compagnie si elles étaient compromises) ou privilégier un périmètre technique particulier que vous savez facilement mettre sous contrôle (« quick win »).

L’essentiel est de ne pas lancer tous les chantiers en même temps : vous risqueriez de faire face à tous les obstacles d’un coup (problèmes techniques, problèmes utilisateurs, gestion du changement).

Une stratégie de gestion qui a fait ses preuves est d’utiliser un tableau Kanban. Vous regroupez / associez vos comptes à embarquer en « périmètre d’embarquement ». Ce périmètre doit être suffisamment grand pour être représentatif (ça n’aurait pas de sens d’avoir un périmètre par compte), mais pas trop grand pour pouvoir suivre son avancement de semaine en semaine : le périmètre « Tous les comptes applicatifs » par exemple serait bien trop gros, et resterait dans la colonne « En cours d’embarquement » pendant des mois, voire des années.

Ensuite, vous priorisez les périmètres à embarquer les uns par rapport aux autres en prenant en compte vos critères (criticité, difficulté, disponibilité des ressources et contacts, etc.).

Vous démarrez la tâche qui est en haut de la liste, puis vous vous concentrez sur la résolution de cet embarquement (on tire de la droite vers la gauche, plutôt que pousser de la gauche vers la droite). Le défi ici, est d’arriver à aller au terme d’un embarquement avant de penser à l’industrialisation. Il est toujours plus facile / plus intéressant / plus enthousiasmant de démarrer les tâches plutôt qu’achever celles qui sont en cours et font faces à certaines difficultés. C’est pourtant contre-productif : toutes les tâches se trouvent dans la colonne « En cours de traitement », aucune d’entre elles n’arrive au bout, vous devez gérer toutes les difficultés d’un coup. On en revient au point « ne pas démarrer tous les chantiers en même temps », qu’on pourrait étendre ici à « ne pas avoir tous les chantiers ouverts en même temps ».

Pour chaque périmètre, votre première tâche sera d’identifier un contact que vous impliquerez dans le projet.