La gestion des utilisateurs privilégiés, élément clé de la sécurité

L'approche Privileged Access Group facilite la gestion des accès au niveau d’un groupe tout en garantissant un niveau de sécurité optimal.

Afin de limiter les risques de compromission de vos systèmes informatiques, il est recommandé d’appliquer le principe du moindre privilège à chaque utilisateur. Au niveau de l’environnement Cloud Azure, la nouvelle approche Privileged Access Group facilite la gestion des accès au niveau d’un groupe de personnes tout en garantissant un niveau de sécurité optimal.

Pour se prémunir de tout risque de compromission de l’environnement informatiques, la pratique idéale consiste à prôner une gestion rigoureuse des utilisateurs privilégiés, comme les personnes disposant d’un rôle d’administrateur. 

« C’est en effet un élément clé de la sécurité, explique Mickaël Delarche, Azure Cloud Architect au sein de la société Elgon. En la matière, il est le plus souvent recommandé de recourir au principe du moindre privilège, autrement dit de n’accorder l’accès aux ressources que pour une période bien déterminée, le temps de mener à bien des opérations programmées. » 

De cette manière, on limite le risque de compromission pouvant découler d’une usurpation d’identité ou encore d’actes volontaires d’un collaborateur disposant d’un niveau d’autorisation élevé.

Limiter les accès dans le temps

Au sein d’Azure, le Privileged Identity Management (PIM) permet de gérer assez facilement ces accès. Au départ du répertoire des collaborateurs, on peut facilement assigner un rôle à une personne pour une période donnée. 

« La fonctionnalité permet même à des utilisateurs considérés comme éligibles à certains rôles de demander des accès limités dans le temps, suivant éventuellement une procédure de validation par une personne tierce, poursuit Mickaël Delarche. De cette manière, on peut mieux veiller à la traçabilité des opérations tout en limitant les risques de compromission. »

Cependant, l’approche présentait jusqu’il y a peu certaines limites. L’une réside dans le fait que la gestion des privilèges ne s’effectuait qu’au niveau de l’utilisateur et du rôle que l’on peut lui assigner. 

« A l’activation d’un membre, celui-ci hérite d’un rôle unique. Sur certains projets, un utilisateur privilégié appartenant par exemple à une équipe Support aura besoin quotidiennement de plusieurs rôles. Il doit alors effectuer une demande par rôle. Cela peut être long et fastidieux », explique Mickaël Delarche.

Gérer les rôles au niveau des groupes

Azure a donc souhaité remédier avec cela en proposant, à travers PIM, une nouvelle approche appelée Privileged Access Group. 

« Microsoft propose désormais une nouvelle approche permettant d’activer plusieurs rôles en même temps ou encore un rôle pour plusieurs personnes d’un même groupe de sécurité pour une durée variable, avec ou sans validation par un tiers, précise Mickaël Delarche. Le recours à cette possibilité, si l’on reprend l’exemple évoqué, permet d’envisager que chaque membre de l’équipe Support active son appartenance à un groupe de Sécurité Support, héritant ainsi en une fois des rôles nécessaires à ses activités. »

Autrement dit, une fois l’accès autorisé, le membre considéré comme éligible à un groupe déterminé peut hériter de l’ensemble des rôles associés au groupe. 

« Il est nécessaire que les groupes de Sécurité soit configurés comme « Azure AD rôle assignable », qui est un paramètre à configurer à la création du groupe et non modifiable après sa création », précise Mickaël Delarche, en guise de recommandation.

Des approches complémentaires

L’Azure Cloud Architect d’Elgon precise que « ces deux approches sont complémentaires. La première, celle du rôle assignable à une personne, est à privilégier dans le cas où certains rôles ne sont utilisés que très rarement. La seconde s’applique parfaitement à des groupes, actifs régulièrement, devant recourir à plusieurs rôles, tout en s’assurant de limiter les accès dans le temps, par exemple pour désactiver les droits en dehors des heures de travail. »

Publié sur le site d'IT Nation