Livres blancs

Aperçu

Sécuriser et gérer l'accès aux comptes privilégiés est crucial pour la stratégie de sécurité de toute organisation. Cela est particulièrement vrai dans le climat actuel d'attaques de plus en plus nombreuses de maliciels, de rançongiciels et d'expositions à des failles de sécurité. La pandémie a certainement contribué à cette situation en poussant un bien plus grand nombre d'employés à télétravailler, ce qui a accru ces expositions et risques de sécurité. De nombreuses entreprises poursuivent également en même temps des efforts de modernisation des données.

Les nouvelles technologies, telles que l'Hybrid et le Multi Cloud, l'IA, l'automatisation des processus, l'Internet des objets, DevOps, l'Edge, et l'analytique offrent des opportunités significatives pour permettre aux entreprises de devenir plus flexibles et d'accroître leur capacité à être compétitifs. Cependant, elles augmentent également la complexité et les risques de sécurité. L'augmentation de l'accès à distance et de ces nouvelles technologies de transformation numérique augmente la surface d'attaque de l'organisation, rendant plus difficile que jamais la sécurisation de l'accès à vos applications et services critiques pour l'entreprise.

Défis de l'accès à distance

Certains des principaux problèmes auxquels les entreprises font face aujourd'hui sont centrés sur les employés et leur utilisation ou leur mauvaise utilisation des identifiants et autorisations de sécurité. Bien sûr, les mots de passe représentent un problème majeur. Les employés utilisent souvent des mots de passe faibles, et ils tendent à réutiliser ces mots de passe entre plusieurs sites et applications différents – les affichant souvent sur des notes autocollantes jaunes.

Il n'est pas surprenant que les employés choisissent généralement la productivité plutôt que la sécurité et la protection. De plus, les entreprises accordent souvent aux employés plus de privilèges qu'ils n'en ont réellement besoin parce que cela peut faciliter un peu les tâches différentes qu'ils doivent accomplir.

Au-delà de cela, les administrateurs eux-mêmes peuvent également représenter un risque pour la sécurité — particulièrement dans les petites et moyennes entreprises. Les comptes administratifs, comme Root pour les systèmes Unix/Linux ou Administrateur pour les systèmes Windows, incluent souvent des niveaux élevés d'accès non restreint à vos serveurs ; y compris un accès complet aux fichiers, répertoires et ressources avec des privilèges de lecture-écriture-exécution. Ils peuvent également effectuer des modifications du système comme arrêter des systèmes, charger des pilotes de périphériques, configurer des paramètres système et réseau, ainsi que créer et configurer des comptes et même des ressources cloud.

Pire encore, dans bien des cas, ces administrateurs vont par ailleurs utiliser ces comptes hautement privilégiés pour l'accès quotidien aux applications et autres travaux de bureau - ouvrant la porte pour que les maliciels et les rançongiciels accèdent à votre réseau avec des privilèges élevés. Il n'y a souvent pas de moyen sécurisé de partager des identifiants privilégiés, mis à part divulguer effectivement des informations de compte et de mot de passe, et il n'y a souvent pas de trace d'une activité hautement autorisée. De plus, les entreprises peuvent également être vulnérables en ayant des comptes encore ouverts pour des personnes qui ne sont plus dans l'organisation ou pour des personnes qui n'ont plus besoin de comptes privilégiés.

Les cybercriminels, hackers et maliciels deviennent tous meilleurs pour voler et utiliser les identifiants pour accéder sans autorisation à des ressources et des données commerciales critiques. La main-d'œuvre à distance accrue d'aujourd'hui complique davantage la sécurité et la gestion des privilèges. Les employés à distance utilisent souvent des appareils personnels et des réseaux domestiques non sécurisés pour des activités liées au travail. Dans de nombreux cas, ces travailleurs à distance sont le maillon faible de la sécurité de votre entreprise. Cela est particulièrement critique pour les utilisateurs nécessitant un accès privilégié. Les organisations d'aujourd'hui ont besoin d'une stratégie et d'outils solides pour gérer l'accès à distance et les comptes privilégiés afin de les empêcher de devenir des vulnérabilités et des violations de sécurité potentielles.

Utiliser la gestion des accès privilégiés (PAM) pour gérer la sécurité des comptes

PAM vous permet de maintenir le contrôle et la visibilité sur les systèmes et les données les plus critiques de votre organisation. PAM est l'un des domaines les plus importants de la gestion des identités et des accès (IAM). PAM peut aider à détecter et à prévenir les violations de données causées par des initiés malveillants et des cybercriminels externes. La menace d'accès non autorisé augmente en même temps que la possibilité d'une exposition accrue des données et autres actifs critiques.

L'accès privilégié permet des fonctions de sécurité et de maintenance ainsi que des modifications de configuration à l'échelle du système en fournissant un accès administrateur ou super utilisateur hautement autorisé. Les solutions PAM modernes sont conçues pour prévenir les violations de sécurité et fournir un accès efficace aux ressources commerciales au personnel qui en a besoin. PAM permet d'injecter des identifiants dans des comptes lorsque cela est nécessaire - et plus important encore de les retirer lorsqu'ils ne sont plus nécessaires.

Par exemple, les employés peuvent avoir besoin d'un accès privilégié pour accomplir une certaine tâche, puis ne plus en avoir besoin une fois que cette tâche est accomplie. De même, les contractuels peuvent être sur site ou travailler à distance pendant une courte durée et ils pourraient avoir besoin d'un accès à un compte privilégié pour tout ou partie de leurs missions. Les solutions PAM peuvent fournir ce type d'accès limité tout en suivant l'activité privilégiée et en mettant fin à cet accès lorsqu'il n'est plus nécessaire.

PAM doit faire plus que fournir un accès à des comptes privilégiés. PAM est également capable de surveiller l'accès des employés locaux ainsi que des contractuels et des travailleurs à distance. Certaines solutions PAM permettent différents niveaux d'accès aux privilèges afin que les chefs de ligne puissent accorder l'accès à certains employés et groupes. Les problèmes que les solutions PAM doivent résoudre incluent :

• Mots de passe faibles
• Réutilisation des mots de passe
• Rotation des mots de passe
• Trop de privilèges d'accès
• Utilisation des comptes privilégiés pour un travail régulier
• Aucun moyen sécurisé de partager des identifiants privilégiés
• Pas de moyen de déléguer la sécurité et l'accès de plusieurs rôles
• La nécessité d'une intégration avec Active Directory
• Pas de journalisation de l'activité hautement autorisée

Il est important de rappeler qu'aujourd'hui sécuriser votre entreprise n'est plus seulement une question de lieu physique unique. Au lieu de cela, votre solution PAM doit pouvoir être accessible dans toute votre organisation et capable de sécuriser plusieurs emplacements – y compris la main-d'œuvre à distance d'aujourd'hui.

Composants de la gestion des accès privilégiés (PAM)

Les solutions PAM se composent typiquement des composants suivants :

• Coffre-fort de mots de passe partagé chiffré – Le coffre-fort de mots de passe fournit un endroit sécurisé pour stocker et protéger les mots de passe et les identifiants.

• Gestionnaire des accès – Le gestionnaire des accès contrôle l'accès aux comptes des employés. Il est utilisé pour créer, ajouter, supprimer et gérer l'accès pour les détenteurs de comptes privilégiés.

• Gestionnaire de session – Le gestionnaire de session suit l'activité des comptes et peut fournir une trace de ce que font les utilisateurs de comptes privilégiés. Les entreprises peuvent utiliser les journaux de session pour suivre un comportement suspect et trouver des vulnérabilités potentielles de sécurité.

Fonctionnalités indispensables pour la gestion des accès privilégiés à distance (PAM)

Les solutions PAM d'aujourd'hui doivent répondre à la fois aux besoins des utilisateurs locaux et également à un nombre de plus en plus important d'utilisateurs distants. Pour être une solution efficace pour une main-d'œuvre à distance, votre solution PAM doit se concentrer sur trois zones clés : un stockage de mots de passe sécurisé, une manière efficace d'accéder de manière sécurisée aux applications, et une manière sécurisée de partager des mots de passe avec les collègues.

Stockage sécurisé des mots de passe

Bien que certaines organisations aient commencé à s'éloigner des mots de passe, il ne fait aucun doute que les mots de passe sont encore le moyen par défaut de sécuriser l'accès aux ressources informatiques. Malheureusement, de nos jours, les utilisateurs doivent souvent gérer une multitude de mots de passe avec des exigences différentes. Et pour ce faire, ils ont souvent recours à un certain nombre de méthodes différentes et très peu sûres, notamment les écrire sur des notes Post-It et les coller sur des écrans, réutiliser le même mot de passe sur plusieurs sites, et stocker les mots de passe dans divers documents non sécurisés comme des feuilles de calcul Excel et des fichiers texte.

Un sondage Google a révélé qu'au moins 65% des personnes réutilisent des mots de passe sur plusieurs, sinon tous, sites. Ces solutions de fortune ne sont pas conçues pour gérer les mots de passe et laissent les comptes vulnérables à l'exposition. Le rapport d'enquête sur les violations de données de Verizon a révélé que les mots de passe compromis sont responsables de 81% des expositions de sécurité liées aux piratages.

Un coffre-fort de mots de passe partagé chiffré est essentiel pour protéger les mots de passe et l'identifiant des employés réguliers et administrateurs. Un coffre-fort de mots de passe sûr offre aux utilisateurs un emplacement centralisé et sécurisé pratique pour stocker leurs mots de passe. Pour l'accès administratif, les solutions PAM prennent les identifiants de compte privilégié et les stockent dans ce dépôt sécurisé. Ce dépôt peut être soit local soit stocké dans le nuage.

Les administrateurs doivent passer par le système PAM pour accéder à ces identifiants privilégiés. Ils peuvent réserver les identifiants, à quel point ils sont authentifiés sur l'application, le service ou le site dont ils ont besoin, et leur accès est consigné. Lorsqu'ils ont terminé, les identifiants sont restitués et automatiquement renouvelés. La prochaine fois qu'ils veulent utiliser ces identifiants, ils doivent à nouveau passer par le système PAM. La sécurité est bien plus forte car les employés ne sont pas obligés de recourir à des solutions simplistes et à faire soi-même. Les mots de passe ne sont pas exposés et un coffre-fort de mots de passe partagé chiffré vous donne l'assurance que les mots de passe de votre organisation sont sécurisés et qu'ils peuvent être facilement récupérés sur demande.

En plus de fournir un entreposage partagé sécurisé pour les mots de passe, les solutions PAM peuvent également offrir plusieurs autres fonctionnalités de gestion des mots de passe. Elles peuvent fournir des modèles de mots de passe et imposer des règles de mots de passe personnalisables avec une variété de spécifications de complexité et d'exigences. Elles peuvent également générer des mots de passe forts sur demande tout en offrant une rotation et une régénération et un renouvellement automatiques des mots de passe.

Sécuriser efficacement l'accès aux applications et services

Fournir le bon niveau d'accès à vos applications et services est vital pour une solution PAM à distance efficace. Gérer les permissions d'accès pour différents utilisateurs et groupes peut devenir compliqué même dans les petites entreprises. Le soutien pour le contrôle d'accès basé sur les rôles (RBAC) peut aider à rationaliser la gestion continue d'une solution PAM. La capacité de déléguer l'autorité simplifie la gestion en assignant des utilisateurs à différents ensembles de rôles qui leur fournissent l'accès uniquement aux identifiants privilégiés qu'ils sont autorisés à utiliser. RBAC facilite pour les organisations la séparation des tâches et garantit que les identifiants ne sont pas accidentellement fournis à des utilisateurs non autorisés. Il est également important pour une solution PAM avec RBAC d'être capable de s'intégrer avec Active Directory de sorte que vous puissiez utiliser les utilisateurs et groupes existants.

Ensuite, vous voulez vous assurer que vos administrateurs n'utilisent pas un accès élevé pour exécuter des applications normales comme Office, courriel ou navigation Web. Lorsque vous utilisez une solution PAM, les administrateurs de système doivent passer par le système PAM pour accéder à leurs identifiants. Les identifiants hautement privilégiés sont essentiellement réservés lorsqu'ils sont en cours d'utilisation, les comptes sont authentifiés et leur accès est consigné et enfin restitué lorsque cette utilisation est terminée. La solution PAM devrait pouvoir enregistrer ce que, qui, quand et où les identifiants sont utilisés ainsi que pouvoir enregistrer toute l'activité liée aux mots de passe, y compris les tentatives de connexion et l'historique ainsi que fournir des rapports qui offrent une visibilité dans l'activité des comptes hautement privilégiés.

Partage sécurisé des mots de passe

Partager des mots de passe - surtout des mots de passe administratifs - peut être un véritable risque de sécurité pour la plupart des entreprises. Cela est particulièrement vrai pour le partage de mots de passe avec du personnel distant car les mots de passe sont souvent communiqués par courriels non chiffrés qui peuvent être facilement compromis. Si le compte est un compte administratif Active Directory, cela peut être une énorme exposition potentielle à la sécurité pour l'ensemble de l'organisation.

En centralisant les identifiants privilégiés en un seul endroit, les systèmes PAM garantissent un haut niveau de sécurité pour l'accès privilégié. Cependant, certaines solutions PAM ne se contentent pas de stocker les mots de passe en sécurité et de contrôler l'accès. Elles transmettent également de manière sécurisée des identifiants entre le serveur de mots de passe et le logiciel client de sorte que les utilisateurs n'ont jamais besoin de connaître le mot de passe réel pour un compte privilégié. Cette capacité porte PAM à un autre niveau de sécurité en permettant aux administrateurs d'accéder et de partager des identifiants hautement autorisés sans jamais avoir besoin de voir les mots de passe. Ce type d'injection des identifiants permet aux utilisateurs et administrateurs de lancer des connexions à distance vers des serveurs, applications et sites Web sans jamais avoir besoin de connaître les mots de passe qui sont utilisés, permettant un partage sécurisé des mots de passe et identifiants entre les employés.

Solutions PAM à distance de Devolutions

Devolutions Server répond à ces exigences critiques de PAM pour les connexions locales et à distance. Il fournit des fonctionnalités de niveau entreprise sur une plateforme suffisamment facile à utiliser pour les petites et moyennes entreprises (PME). Devolutions Server offre un niveau de protection généralement disponible uniquement pour les grandes organisations, mais il est facile à déployer et à gérer. Devolutions Server traite directement les exigences de gestion des accès privilégiés à distance (PAM) principalement avec les capacités suivantes :

Coffre-fort de mots de passe sécurisé

Au cœur de Devolutions Server se trouve le coffre-fort de mots de passe sécurisé. Le coffre-fort protège les identifiants ainsi que d'autres informations privilégiées telles que les certificats, les clés secrètes, les fichiers, les images, les clés de licence, les cartes de crédit et l'accès à des comptes privilégiés en utilisant le chiffrement AES 256 bits. Il peut être déployé soit localement soit dans votre nuage privé Azure. Le coffre-fort de mots de passe fournit la capacité de scanner automatiquement et de détecter les comptes privilégiés. Il peut également être utilisé pour fournir aux employés leur propre coffre-fort utilisateur personnel pour stocker à la fois des mots de passe privés et d'autres informations connexes au travail.

Gestion sécurisée des sessions privilégiées

La solution PAM de Devolutions a la capacité d'effectuer une injection des identifiants où les identifiants sont introduits directement dans des sessions à distance sans jamais les exposer à l'utilisateur. Les comptes privilégiés sont demandés pour réservation, ce qui informe automatiquement les administrateurs pour approbation et commence à enregistrer l'activité des comptes. Cette capacité d'injection des comptes vous permet de partager des identifiants sans jamais exposer ou même avoir besoin de connaître les mots de passe derrière les comptes hautement privilégiés.

Elle vous permet également d'ajouter une sécurité supplémentaire en imposant des limites de temps sur les sessions privilégiées. Cela garantit qu'elles ne sont pas laissées sans surveillance là où elles pourraient potentiellement être exposées. Elle peut également imposer une rotation des mots de passe chaque fois que vous restituez un compte privilégié, ce qui change à la fois les identifiants du système et ceux de Devolutions Server. Ce type d'automatisation de la gestion des mots de passe allège le fardeau des administrateurs de devoir modifier manuellement les comptes selon un calendrier. Devolutions Server peut également être combiné avec Devolutions Remote Desktop Manager pour l'accès à distance au système. Vous pouvez lancer des sessions à distance depuis le navigateur Web en utilisant des identifiants du coffre-fort de mots de passe partagé.

Gestion des mots de passe et authentification à deux facteurs

Devolutions Server offre également différents niveaux de protection des mots de passe. D'abord, il vous permet d'établir et d'appliquer une grande variété de règles de mots de passe avec de multiples personnalisations. Vous avez la possibilité d'utiliser des modèles de mots de passe spécifiques qui vous permettent de répondre à vos propres exigences de politique de mot de passe personnalisée. Il existe la possibilité de générer des mots de passe forts en utilisant le générateur de mots de passe intégré. Il offre également une détection de compte et un accès à distance sécurisé. Les capacités d'accès à distance sont vastes et il existe un soutien pour divers types d'accès à distance à travers divers systèmes.

L'authentification à deux facteurs peut être implantée à l'échelle du système ou sur une base par utilisateur. Devolutions Server peut être intégré avec une variété de solutions d'authentification à deux facteurs et multifacteurs, y compris : Office 365, SMS, courriel, Devolutions Workspace, Duo, Google Authenticator, Yubikey, Radius Server, Multi-Factor Azure et SafeNet.

Contrôle d'accès basé sur les rôles et intégration Active Directory

Le RBAC dans Devolutions Server permet une gestion flexible des droits d'accès avec la capacité de déléguer différents niveaux de permissions. Vous pouvez assigner des permissions granulaires contrôlant qui a accès pour voir, éditer et supprimer des coffres-forts, des dossiers et des entrées dans le coffre-fort de mots de passe. La capacité de déléguer ces responsabilités enlève une partie du fardeau de gestion aux administrateurs de sécurité. Devolutions Server peut également s'intégrer avec Microsoft Active Directory. Les utilisateurs et groupes peuvent être synchronisés avec Active Directory pour refléter votre infrastructure utilisateur existante.

Journalisation et enregistrement des sessions

Comme vous l'avez vu plus tôt, la transparence sur l'activité des comptes privilégiés est vitale pour s'assurer qu'ils ne sont pas mal utilisés. Devolutions Server offre une transparence des comptes privilégiés en suivant toutes les actions liées aux comptes privilégiés, aux mots de passe et aux sessions. Vous pouvez surveiller comment les comptes ont été utilisés, quand ils ont été utilisés et qui y a accédé. De plus, il journalise l'accès privilégié et peut envoyer le fichier Syslog aux outils externes à des fins de rapport et d'audit. Devolutions Server vous permet de sauvegarder les enregistrements de sessions à distance et d'accéder à ces sessions enregistrées pour les lire et les revoir. Il offre également des capacités de rapport d'activités de comptes qui fournit des informations sur l'utilisation des comptes, les tentatives de connexion réussies et échouées, les historiques de connexion par utilisateur et comptes.

Éditions de Devolutions Server

Il existe trois éditions de Devolutions Server conçues pour des entreprises de tailles différentes. Toutes les éditions prennent en charge les utilisateurs, groupes et RBAC, l'authentification à deux facteurs, l'intégration Active Directory et Microsoft 365, l'historique des mots de passe, l'historique des connexions, les journaux de connexion, les notifications par courriel et les abonnements à des événements.

Les trois éditions de Devolutions Server sont :

• Team – 15 utilisateurs, 1 source de données, 1 domaine - 499,99 $
• Enterprise – 50 utilisateurs, 3 sources de données, 1 domaine - 1 999,99 $
• Platinum – 51+ utilisateurs, sources de données, domaines – Par contact commercial

Devolutions Server résout les défis de la gestion des accès privilégiés à distance (PAM)

Dans cet âge de menaces de sécurité de plus en plus nombreuses, de rançongiciels et de violations de sécurité, la gestion des accès privilégiés (PAM) est devenue une technologie essentielle pour les entreprises de tous types et tailles afin de protéger leurs informations et ressources vitales. La main-d'œuvre distante dispersée d'aujourd'hui ajoute à ces risques de sécurité. Les solutions PAM, comme Devolutions Server, peuvent combler les lacunes de sécurité de votre organisation et vous donner le contrôle sur l'utilisation de vos comptes privilégiés pour les utilisateurs locaux et distants.