virtu-desk VIRTU-DESK - Technologies de virtualisation et sécurisation de l'environnement utilisateurs.

Automatisez vos tâches d’administration en toute sécurité…

Francis MILLOT Par Le dimanche, 17 septembre 2023 0

Dans Cybersécurité

Dans des contextes à hauts privilèges, les identifiants d'accès aux ressources ne sont pas uniquement utilisés par des personnes, mais également par des applications (scripts, batchs, logiciels, ...) qui exécutent des tâches et des services d'administration planifiés.

Le problème avec les applications, c’est que les identifiants d’accès et leurs mots de passe, sont bien souvent stockés en clair dans le code de l'application (on parle alors de Hardcoding). On imagine aisément que des personnes malveillantes peuvent facilement découvrir ces informations d'identification, ce qui est un véritable casse-tête pour les Directions informatiques, car le risque d’usurpation d’identités est réel et maximal. Au-delà de cet aspect et pour des raisons de sécurité, les mots de passe doivent être régulièrement modifiés, ce qui oblige les équipes informatiques à mettre à jour l’ensemble des applications qui les utilisent. Non seulement ce processus est manuel, il prend du temps, mais en plus, il est source d’erreurs.

Une solution PAM (Privileged Access Management) est capable de modifier dynamiquement dans son coffre-fort, les mots de passe des comptes à privilège, mais de là à aller les changer automatiquement dans les applications, c'est une autre paire de manches. Des fonctionnalités de gestion des mots de passe d'application à application, plus connues sous l’acronyme AAPM (Application-to-Application Password Management), permettent quant à elles, de s’affranchir du stockage des informations d'identification dans le code source ou dans les fichiers de configuration des applications. Bingo, car couplées, ou nativement intégrées à la solution PAM, elles permettent aux applications d’aller directement dans le coffre-fort récupérer les mots de passe, donc plus besoin d'aller les changer manuellement. Cette approche contrôle et protège les informations d'identification dans les applications.

Et là, on obtient un double effet « Kiss cool » :

  1. Suppression des mises à jour des applications lors du changement de mots de passe
  2. Confidentialité garantie car les DevOps, ou autres personnels à hauts privilèges, n’auront plus connaissance des mots de passe des comptes d'administration.

Les avantages de l’AAPM

Ci-dessous quelques-uns des nombreux avantages qu’offre la gestion des mots de passe d'application à application (AAPM) :

  • Elle centralise et sécurise le stockage des informations d'identification des applications dans un endroit inviolable.
  • Elle protège les mots de passe des identités d’accès en les séparant du code de l’application
  • Elle empêche les utilisateurs non autorisés d'accéder aux informations d'identification
  • Elle bénéficie des modifications dynamiques des informations d'identification, au travers des politiques de mot de passe, liées à la sensibilité de l'application et de son accès (les mots de passe peuvent faire l'objet d'une rotation)
  • Elle s'appuie sur des protocoles de cryptage et des autorisations d’accès. Toutes les demandes de mot de passe faites par les applications sont authentifiées de manière fiable
  • Elle supprime les besoins de mises à jour des applications lors du changement des mots de passe

Pour conclure...

De nombreuses réglementations gouvernementales stipulent qu’une information confidentielle ne doit jamais être codée en dur dans une application. Avec une solution PAM, telle que Systancia Cleanroom par exemple, qui veille à ce que les comptes à privilège fassent l'objet de réinitialisations périodiques de mot de passe et qui s’affranchit du stockage des identités d'accès dans les applications (fonctionnalité AAPM), les entreprises respectent les exigences en matière d'audit, de conformité et de sécurité.

  • 20 votes. Moyenne 5 sur 5.
Vous devez être connecté pour poster un commentaire