Sécurisez vos accès à privilèges avec un bastion d’administration.

Dans un environnement informatique, un « accès à privilèges » désigne tout accès, permission et capacité ayant un niveau plus avancé que celui généralement donné à un utilisateur standard.
La définition d’accès à privilèges pour une personne ou un groupe d’utilisateurs permet de segmenter l’accès aux données et aux applications en préservant un degré de confidentialité et de protection de l’infrastructure.
Voici quelques exemples de compte à privilèges que l’on retrouve dans la majorité des entreprises :

• Super-utilisateur : Compte utilisé par les administrateurs du SI servant à configurer des applications et des comptes. Le super-utilisateur a la possibilité d’ajouter, modifier ou supprimer des utilisateurs.
• Administrateur de domaine : Compte qui fournit les accès à privilèges aux postes de travail et serveurs. L’administrateur possède l’accès le plus complet au réseau et est donc l’un des comptes les plus sensibles avec celui du super-utilisateur.
• Administrateur local : Il est situé sur une machine en local et permet aux utilisateurs d’accéder à leurs postes avec un identifiant/mot de passe.
• Métiers à privilèges : Utilisateur ne travaillant pas dans le département informatique mais qui dispose de droits avancés pour accéder à certaines ressources parfois sensibles (RH, finance…).

Pourquoi les sécuriser ?

L’intégrité d’un compte utilisateur est essentiel dans toute organisation. Les identités sont un vecteur très populaire et simple à exploiter pour les attaquants. L’Active Directory par exemple est un outil ultra-sensible dans le domaine des identités. En cas de compromission, il permet à un pirate d’usurper le compte d’un collaborateur, de se latéraliser sur le réseau, de faire du social-engineering depuis le système interne…
Dans ses recommandations à l’administration sécurisée des systèmes d’information, l’ANSSI recommande de mettre en place un bastion informatique pour administrer les accès à privilèges. Mais l’autorité met en garde sur sa configuration, car il doit être impérativement intégré dans un SI d’administration au risque d’être une porte d’entrée vulnérable et exposée depuis n’importe quel poste de travail.

Gestion des accès à privilèges : une solution dédiée

La connexion des accès distants, que ces derniers soient à privilèges ou non, se fait dans la majorité des cas à travers un VPN. Mais cette solution n’est pas suffisante si elle est déployée seule.
Les solutions de gestion des accès à privilèges ou PAM (Privileged Access Management) définissent clairement quel compte à le droit d’accéder à telle application, donnée… Elle est alors un point d’entrée unique en centralisant l’accès à toutes les ressources de l’entreprise.

La gestion des accès privilégiés (PAM) est un outil qui permet d'administrer ou de configurer des systèmes et des applications afin de fournir un niveau élevé d'accès technique par le biais de la gestion et de la protection des comptes, des informations d'identification et des commandes – Définition du cabinet Gartner

Limiter l’accès aux ressources sensibles et confidentielles aux seules personnes ayant le bon niveau de droits est une chose, mais la configuration doit être réfléchie et faire l’objet d’un suivi régulier. Il faut rédiger une politique claire et structurée pour ne pas donner des accès trop avancées aux mauvaises personnes.

Le Bastion d’administration

Une solution reconnue pour faire du « PAM » est le bastion d’administration. Il recueille toutes les informations sur les différentes parties qui accèdent aux actifs.
Installé dans une DMZ, le bastion est accessible depuis Internet mais reste isolé du réseau interne. Il fait la passerelle vers les ressources internes (applications web, service AD/LDAP, messagerie…) en envoyant des requêtes à travers un ou plusieurs pares-feux. Il peut aussi se déployer sur des Clouds privés et publics (AWS, AZURE, …).
Voici quelques fonctionnalités clés des outils bastion :

• Enregistrement et replay de la session utilisateur en vidéo ;
• Gestion de l’authentification multifacteur (MFA) ;
• Changement régulier des mots de passe.

SNS SECURITY vous accompagne dans le déploiement de votre bastion

Si vous ne disposez pas du temps ou des équipes nécessaires pour déployer et administrer une solution PAM, SNS SECURITY peut vous accompagner dans la protection de vos accès à privilèges.
SNS SECURITY délivre un service dédié à cette problématique en s’appuyant sur les solutions logicielles de WALLIX.
WALLIX, entreprise française créé en 2003, est nommée “Overall Leader” dans le KuppingerCole Analyst 2023 « Leadership Compass for Privileged Access Management » et est reconnue par Gartner, Forrester et Frost & Sullivan pour ses produits avant-gardistes. De plus, le bastion WALLIX est certifié par l’ANSSI.
Sa solution est composée de 3 parties distinctes :

• Le Session Manager permet de contrôler et accorder les accès à privilèges, tout en protégeant les identifiants des systèmes cibles. Les sessions peuvent être enregistrées et partagées.
• Le Password Manager est un module pour mettre en œuvre des politiques de renforcement et de rotation des mots de passe pour les systèmes critiques.
• L’Access Manager est la console web qui permet aux personnes externes de se connecter en toute sécurité à votre infrastructure. Ce module se substitue au déploiement d’une solution VPN.

L’offre [S]CONTROL

Notre offre d’accompagnement [S]CONTROL se construit avec vous selon vos besoins. Ce service à la carte vous fait notamment bénéficier des éléments suivants :

• Concession de la licence d’utilisation ;
• Exploitation ou cogérance de la solution : ajout et modification des ressources, ajout et modification des utilisateurs et groupe, aide à l’exploitation des enregistrements et audit des accès ;
• Aide à la mise en place d’une politique de durcissement de votre système d’information conformément aux bonnes pratiques de l’ANSSI ;
• Gestion des politiques de sécurité (modification et mise à jour) et des backups ;
• Extranet client ;
• Résolution des incidents ;
• Accès illimité à notre support technique d’ingénieurs certifiés ;
• Support téléphonique direct (sans filtrage ni sélection) 5j/7 de 8h à 18h.

Retrouvez le replay de notre session du 21 mars

Le 21 mars dernier nous avons eu le plaisir de recevoir WALLIX pour coanimer une session en direct à 14h30 sur la plateforme WEBIKEO. Étaient présents le jour J Ludovic RANCOUL, Directeur technique, Anthonin FLEURUS, Consultant sécurité réseaux SNS SECURITY, ainsi que Ronan CROGUENNEC, Channel Head of MSP WALLIX. Après de brèves présentations des sociétés respectives, nos experts du jour ont fait démonstration en live des usages et bénéfices d’une solution de bastion informatique. Ils ont ensuite pris une quinzaine de minutes en fin de session pour échanger avec les personnes présentes sur le chat et répondre à toutes leurs interrogations. La session de rattrapage est disponible en cliquent sur le lien juste en-dessous.