La présence durable du PAM à l'avant-garde des stratégies de défense en matière de cybersécurité a toujours reposé sur sa capacité à s'adapter à l'évolution des cybermenaces. Ces dernières années, des fonctionnalités PAM modernes ont émergé pour combler des lacunes critiques en matière de sécurité des identités d'entreprise.
Les failles critiques de sécurité des identités actuelles
Se concentrer sur les comptes disposant d'un accès privilégié aux systèmes, données, applications et autres ressources sensibles est depuis longtemps l'un des moyens les plus efficaces de se protéger contre les cybermenaces. Cependant, dans les environnements IT complexes et dynamiques d'aujourd'hui, protéger les accès privilégiés est beaucoupplus complexe.
Les accès élevés ne sont plus toujours évidents. Dans la plupart des environnements, de nombreux niveaux de privilèges confèrent l'accès aux systèmes, aux ressources et aux données, soit via des modèles de privilèges sur site, soit via des rôles et des droits dans les systèmes cloud et SaaS. Si les entreprises concentrent généralement leurs contrôles PAM presque exclusivement sur les privilèges administratifs directement attribués, les droits attribués à un utilisateur classique, non administrateur, peuvent également être détournés et causer des dommages importants.
Avec la multiplication des appartenances à des groupes, des erreurs de configuration d'identité et des autorisations cloud négligées, même un utilisateur apparemment peu privilégié peut accéder à des privilèges cachés ou indirects. De nos jours, les attaquants exploitent fréquemment les chemins d'accès aux privilèges plutôt que de cibler directement les comptes privilégiés. Ces chemins se multiplient à mesure que la complexité informatique augmente, tout en devenant plus difficiles à détecter et à protéger.
D'un côté, il y a le PAM traditionnel, axé sur la visibilité et le contrôle des privilèges et accès privilégiés attribués, mais qui n'offre guère de visibilité en dehors de ce domaine. De l'autre, d'autres outils traditionnels de sécurité des identités, qui souffrent eux aussi d'une vision étroite par rapport à leurs propres domaines d'expertise. Les identités et les accès pouvant toucher tous les domaines, il est essentiel pour les organisations d'envisager l'identité et les privilèges sous un angle holistique et transversal, sans cloisonnement. Les organisations doivent être capables de passer habilement de cette visibilité à un contrôle précis, même dans des environnements très dynamiques.
Certains des défis les plus urgents en matière de sécurité des identités modernes incluent :
- La visibilité et compréhension insuffisantes de ce qui est nécessaire pour améliorer l'hygiène et la posture de sécurité des identités
- Un nombre croissant d'utilisateurs dotés de privilèges élevés sont répartis sur l'ensemble de l'infrastructure IT (y compris le parc d'identités), combinés à des quantités élevées de privilèges permanents présentant une surface d'attaque persistante.
- La difficulté à gérer et sécuriser de manière cohérente les identités dans des environnements IT hybrides et différents domaines, en particulier sans entraver la productivité.
- Les attaquants exploitent des identifiants faibles ou compromises pour accéder à des comptes privilégiés, offrant ainsi un chemin direct vers des systèmes et
des données critiques.
Qu'est-ce qui définit le PAM moderne ?
Les solutions PAM modernes permettent de combler les lacunes critiques en matière de sécurité des identités décrites ci-dessus. Ces solutions permettent aux organisations d'étendre la visibilité, la protection et le contrôle au-delà des comptes à privilèges directs. Idéalement, cela implique une couverture inter-domaines (sur site, cloud, SaaS, OT, etc.) des modes d'accès aux privilèges, tout en prenant en compte les véritables privilèges, qui englobent tous les droits et voies d’élévation d'une ou plusieurs identités.Outre ses capacités de prévention et de réduction de la surface d'attaque, qui ont toujours fait la renommée du PAM, ce dernier doit exploiter l'intelligence artificielle et/ou le machine learning pour détecter et atténuer proactivement les menaces. Ces technologies peuvent contribuer à positionner le PAM comme un élément clé de la détection et de la réponse aux menaces d'identité.
Cependant les solutions PAM modernes doivent absolument être plus qu'un simple ensemble d'outils de sécurité. Elles doivent permettre aux administrateurs, aux services support et aux utilisateurs finaux de travailler plus efficacement à grande échelle. Cela implique un accès plus rapide, avec moins d'obstacles, une charge de travail administrative réduite et moins de tickets de support, tout en maintenant une sécurité robuste et respectueuse des identités.
Par exemple, les solutions PAM traditionnelles peinent à mettre en œuvre des approches d'accès Just-in-Time (JIT) dans les environnements cloud et SaaS, sans ajouter de workflows onéreux qui nuisent à la productivité. Les solutions PAM modernes sont conçues pour ces cas d'usage, garantissant des workflows agiles et rationalisés qui éliminent les délais d'accès, tout en préservant la sécurité et l'auditabilité. La possibilité d'éliminer facilement les privilèges permanents et de rendre l'accès JIT pratique à grande échelle représente un véritable changement pour la sécurité des entreprises.
Alors que les PAM fondamentaux (PASM, PEDM, etc.) restent essentiels à la défense proactive, les PAM modernes répondent à des cas d’usages uniques en matière de sécurité des identités ; ils complètent et améliorent les points forts des solutions plus traditionnelles.
Par Thomas Manierre, directeur EMEA Sud de BeyondTrust
