Matt Miller
L’accès privilégié représente les « clés du royaume ». Une fois que des attaquants obtiennent des identifiants valides assortis de privilèges élevés, les défenses périmétriques et l’authentification multifacteur (AMF) ne suffisent plus, surtout dans des environnements où les comptes privilégiés ont accumulé des droits au fil des ans à la suite de correctifs rapides et de travaux d’urgence. Pour les équipes TI modernes, le concept d’aucun privilège permanent et le principe de moindre privilège sont essentiels à la sécurité et à la conformité.
Le juste-à-temps (JAT) est au cœur de la mise en œuvre concrète du concept d’aucun privilège permanent. Dans cet article, nous examinons deux approches complémentaires — l’élévation JAT et le provisionnement JAT — et la façon dont Devolutions PAM vous aide à utiliser les deux afin de réduire la surface d’attaque sans ralentir votre équipe.
Élévation juste-à-temps : augmentation temporaire des privilèges d’un compte existant
L’élévation JAT vous permet d’accorder des privilèges élevés à un compte utilisateur existant uniquement lorsque nécessaire, et seulement pour la durée requise. Plutôt que d’accorder aux administrateurs des droits étendus et permanents, vous augmentez temporairement leurs privilèges pour une tâche précise, puis les ramenez automatiquement à leur niveau de base une fois la tâche terminée. Cela empêche l’accumulation de privilèges et limite l’exposition des autorisations sensibles.
Avec Devolutions PAM, l’élévation JAT fonctionne généralement en ajustant dynamiquement les appartenances à des groupes ou les attributions de rôles dans Active Directory ou Microsoft Entra ID (anciennement Azure AD) :
- Un utilisateur demande un accès pour effectuer une tâche privilégiée.
- Un processus d’approbation est déclenché.
- Lors de la réservation, Devolutions PAM ajoute temporairement le compte aux groupes ou rôles requis.
- Lors de la restitution, les identifiants ou rôles élevés sont automatiquement révoqués.
Cette approche prend en charge à la fois les comptes de niveau intermédiaire qui nécessitent occasionnellement des droits supplémentaires et les comptes de type aucun privilège permanent qui n’ont aucun privilège au repos et obtiennent tout par élévation JAT.
Vous voulez voir comment cela fonctionne dans votre propre environnement?
Commencez un essai PAM de 30 jours et testez l’élévation JAT et le provisionnement JAT dans l’écosystème Devolutions.
Provisionnement juste-à-temps : comptes privilégiés jetables
Le provisionnement JAT va encore plus loin. Plutôt que d’élever un compte existant, il crée un tout nouveau compte privilégié temporaire pour la tâche à accomplir, puis le supprime une fois la tâche terminée. Cela réduit considérablement le risque de comptes administratifs oubliés ou inactifs qui persistent dans votre service de répertoire.
Avec Devolutions PAM :
- Lors de la réservation, un nouveau compte (par exemple dans Active Directory) est créé avec exactement les autorisations que vous avez définies.
- Le compte n’existe que pendant la fenêtre de réservation approuvée.
- Lors de la restitution, le compte est supprimé du répertoire.
Vous pouvez activer ce comportement en configurant le fournisseur PAM approprié et en sélectionnant l’option « compte juste-à-temps (JAT) » lors de l’ajout d’une nouvelle entrée utilisateur dans le coffre PAM, afin que le provisionnement et le nettoyage soient automatiques et entièrement audités.
Élévation ou provisionnement : principales différences et cas d’utilisation
Même si les deux stratégies éliminent l’accès permanent, elles contrôlent des aspects différents du problème.
Voyez l’élévation JAT comme le fait de prêter à un collègue une « super carte d’accès » pendant trois heures, puis de lui retirer les accès supplémentaires aux portes. La carte existe toujours. Le provisionnement JAT, quant à lui, revient à imprimer une carte à usage unique pour une tâche précise, puis à la détruire ensuite. Rien ne subsiste.
| Objet du contrôle | Risque permanent | |
|---|---|---|
| Élévation JAT | Le compte est permanent ; les privilèges sont temporaires | Supprime les droits administratifs permanents, mais le compte de base demeure |
| Provisionnement JAT | Le compte est temporaire ; les privilèges sont temporaires | Supprime à la fois les privilèges permanents et les identités privilégiées permanentes pour la tâche |
Renforcer la sécurité et la conformité avec Devolutions PAM
En combinant l’élévation JAT et le provisionnement JAT, les équipes TI des PME et des MSP peuvent appliquer le principe de moindre privilège et le ZSP d’une manière adaptée aux opérations réelles : moins de risques permanents, plus de contrôle et moins de compromis entre agilité et sécurité. Limiter la durée d’existence des comptes et des autorisations privilégiés aide également les organisations à s’aligner sur des cadres de sécurité tels que le NIST, SOC 2 et ISO/IEC 27001, ainsi que sur des exigences de cyberassurance de plus en plus strictes.
Disponible en déploiement infonuagique ou auto-hébergé, Devolutions PAM offre un flux de travail unifié pour la gestion des accès privilégiés. Que vous accordiez des droits temporaires à un opérateur connu ou que vous créiez un compte privilégié temporaire pour une tâche à haut risque, Devolutions PAM garantit que chaque action privilégiée est contrôlée, auditée et temporaire.
Commencez un essai PAM gratuit de 30 jours ou essayez Devolutions PAM dans une session de laboratoire gratuite accessible par navigateur pour découvrir comment nous aidons les professionnels TI à obtenir une excellente couverture PAM avec moins d’accès permanents dans leurs organisations.
Marc Beausejour
