Dans le monde de l'informatique, les privilèges ont un poids considérable et comportent des risques tout aussi importants. Les équipes informatiques et de sécurité sont chargées d'assurer le bon fonctionnement et la sécurité de l'entreprise, mais pour ce faire, elles doivent avoir accès aux systèmes et processus critiques. La plupart des utilisateurs en entreprise disposent d'un ensemble limité de privilèges, tels que la navigation sur Internet et l'utilisation de certaines applications (Office 365, Salesforce, etc.), mais ce sont souvent les quelques puissants, les comptes et les utilisateurs privilégiés, qui peuvent causer le plus de dégâts.
Les utilisateurs et les comptes privilégiés ont accès aux systèmes et aux processus critiques de l'entreprise. Pensez, par exemple, à tous vos comptes d'administrateur local, d'administrateur de domaine ou d'AD et d'application. Une mauvaise utilisation, un abus ou une compromission de ces identifiants de comptes privilégiés peut avoir des conséquences désastreuses. Les utilisateurs de l'entreprise peuvent avoir beaucoup plus de privilèges qu'ils n'en ont besoin, ce qui crée une grande surface d'attaque involontaire. Les comptes et les mots de passe partagés présentent également un risque sérieux, en particulier au sein des équipes informatiques et de sécurité.
Selon un rapport Ponemon de 2019, 69 % des entreprises interrogées "admettent partager des mots de passe avec leurs collègues de travail pour accéder à des comptes, et plus de la moitié des personnes interrogées (51 %) réutilisent en moyenne cinq mots de passe sur leurs comptes professionnels et/ou personnels."
Ce n'est pas la première étude à montrer la même tendance dans les pratiques de sécurité. En fait, nous savons également que la plupart des mots de passe composés par des particuliers peuvent être déchiffrés avec suffisamment de temps et de ressources, en raison de leur manque de complexité ou de leur longueur limitée. Bien entendu, ce comportement conduit inévitablement à une augmentation des compromissions de comptes par des pirates informatiques, de simples erreurs d'utilisateurs, voire des initiés malhonnêtes.
L'une des méthodes pour résoudre ce problème est l'authentification multifactorielle (MFA) ou l'authentification à deux facteurs (2FA), mais les faibles taux d'adoption signifient que le partage d'informations d'identification et les mots de passe faibles restent un problème très répandu. L'une des explications est que l'authentification à deux facteurs ne se prête pas bien à l'automatisation de l'entreprise. De nombreux flux de travail, tels que l'installation d'un nouveau serveur, sont devenus un processus automatisé déclenché par une demande ou un clic sur un bouton. Ce processus n'est tout simplement pas efficace si un administrateur doit participer au processus d'authentification à deux facteurs au moment de la demande.
Entrer dans la gestion des accès privilégiés (PAM)
À un niveau élevé, une solution PAM aide les organisations à obtenir une visibilité et un contrôle sur leurs comptes et utilisateurs privilégiés. Elle leur permet de gérer et de surveiller en toute sécurité les accès privilégiés afin de réduire la surface d'attaque potentielle, de prouver la conformité et de prévenir les menaces connues, notamment les escalades de privilèges non autorisées, les attaques "Pass-the-Hash" et "Pass-the-Ticket". Il est également possible d'atteindre ces objectifs sans entraver les flux de travail automatisés en s'intégrant directement aux applications pour fournir l'accès aux informations d'identification requises, sans qu'il soit nécessaire d'impliquer les administrateurs.
Il n'est pas surprenant que la gestion des accès privilégiés ait figuré en tête de la liste des 10 meilleurs projets de sécurité informatique recommandés par le Gartner au cours des deux dernières années. Mais quelle est la place de PAM dans votre infrastructure à clé publique (PKI) ? Et comment Keyfactor permet-il une automatisation sécurisée ? Rassemblons les pièces du puzzle.
Quelle est la place de la PAM sur le site PKI?
PKIComme son nom l'indique, le système de certification ne se limite pas aux certificats numériques que vous utilisez pour sécuriser vos serveurs web et vos serveurs d'application (et autres). Il s'agit d'un écosystème ou d'une "infrastructure" d'autorités de certification (AC), de hardware et software sous-jacents, de personnes et de politiques et, bien sûr, d'appareils, d'utilisateurs et d'applications qui consomment les certificats. Si des informations d'identification faibles ou des pratiques de partage de mots de passe sont utilisées dans l'un de ces composants, il est tout à fait possible que votre infrastructure PKI , et plus particulièrement vos clés privées, soient en danger.
Les opérations de renouvellement, de remplacement des certificats et de rotation des clés nécessitent généralement un accès privilégié aux magasins de clés et de certificats de votre infrastructure, tels que F5 BIG-IP, Amazon Web Services (AWS), Azure KeyVault et Java Key Stores (JKS). Le stockage ou le partage de ces informations d'identification privilégiées en dehors du coffre-fort des mots de passe de l'entreprise pose un problème de sécurité, mais impliquer les administrateurs pour récupérer manuellement ces informations d'identification est également risqué et ne facilite pas du tout l'automatisation.
Keyfactor Intégration PAM
Keyfactor nécessitait auparavant un accès direct aux informations d'identification des comptes privilégiés pour effectuer les tâches d'automatisation des clés et du cycle de vie. Tout cela a changé avec Keyfactor 7. Keyfactor peut désormais récupérer automatiquement les informations d'identification détenues par votre solution PAM pour permettre l'automatisation sécurisée des clés et des certificats.
En d'autres termes, les administrateurs de PKI n'ont pas besoin d'enregistrer les informations d'identification privilégiées pour les magasins de clés et de certificats dans les applications Keyfactor Command ou dans les applications de contrôleKeyfactor . Au lieu de cela, ils fournissent à Keyfactor les informations nécessaires pour accéder à n'importe quel coffre-fort, autorisent le serveur Keyfactor à récupérer les informations d'identification requises et les utilisent pour acheminer vos certificats là où ils doivent aller. Ainsi, toutes les opérations relatives au cycle de vie des certificats et des clés sont soumises aux mêmes politiques et pratiques que celles mises en place pour tous les autres comptes à privilèges de votre infrastructure.
Cela permet une véritable communication de machine à machine en automatisant la récupération du mot de passe requis pour accéder au magasin de clés ou de certificats de votre solution PAM, sans aucune intervention humaine. De plus, si vous avez mis en place un processus de rotation du mot de passe de vos magasins après y avoir accédé via votre solution PAM, Keyfactor utilisera automatiquement le nouveau mot de passe la prochaine fois que l'accès au magasin sera nécessaire, sans qu'aucune mise à jour ne soit requise de la part de l'administrateur de PKI . Cela vous permet de bénéficier pleinement d'une infrastructure automatisée et de sécuriser vos magasins de clés et vos clés privées, en une seule fois.
Vous voulez en savoir plus ? Consultez le site Keyfactor Command sur la CyberArk Marketplace ou regardez une présentation et une démo de 15 minutes.