PAM Privileged Access Management.

PAM est le sous-ensemble de l'IAM centré sur les comptes à privilèges : administrateurs, root, comptes de service, break-glass. Il coffre les credentials, mandate les sessions et enregistre l'activité. C'est la première cible de l'attaquant après la compromission initiale, et le contrôle que les auditeurs examinent avec le plus de rigueur dans le cadre de NIS 2 et DORA.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La vision de Cyber Academy

PAM est le sous-ensemble de l'IAM centré sur les comptes à privilèges : administrateurs, root, comptes de service, break-glass. Il coffre les credentials, mandate les sessions et enregistre l'activité. C'est la première cible de l'attaquant après la compromission initiale, et le contrôle que les auditeurs examinent avec le plus de rigueur dans le cadre de NIS 2 et DORA.

Pourquoi les comptes à privilèges constituent un problème à part

Tout programme de gestion des identités commence par les utilisateurs ordinaires : qui ils sont, ce qu'ils peuvent ouvrir, comment ils s'authentifient. La gestion des accès à privilèges (PAM) traite des comptes qui se situent au-dessus de cette couche. Administrateurs de domaine, comptes root et administrateurs locaux, propriétaires de bases de données, consoles d'hyperviseur, identités root dans le cloud, comptes de service qui s'exécutent sans surveillance, et comptes de secours conservés pour les urgences.

Ces identités peuvent modifier la configuration, lire ou détruire des données, désactiver la journalisation et créer de nouveaux comptes. Le rayon d'impact d'un seul identifiant administrateur compromis correspond à l'ensemble de l'environnement, ce qui explique pourquoi le PAM est traité comme une discipline à part entière plutôt que comme une fonctionnalité de l'IAM général.

Le geste fondateur du PAM consiste à cesser de considérer les identifiants à privilèges comme quelque chose qu'une personne connaît simplement. Au lieu de cela, le secret réside dans un coffre-fort, l'accès est demandé et approuvé, la session est relayée par une passerelle contrôlée, et tout ce que fait l'utilisateur à privilèges est enregistré. L'humain ne voit souvent jamais le mot de passe. Cette séparation entre l'opérateur et le secret est ce qui rend l'activité à privilèges auditable et révocable.

Ce qu'un programme PAM contrôle réellement

En pratique, un déploiement PAM mature combine plusieurs mécanismes qui correspondent directement à ce que les auditeurs s'attendent à voir :

  • Mise en coffre-fort des identifiants : les mots de passe à privilèges, les clés SSH et les secrets d'API sont stockés de manière centralisée, font l'objet d'une rotation automatique et ne sont jamais intégrés dans des scripts ou des fichiers de configuration.
  • Courtage et enregistrement des sessions : les administrateurs se connectent via un proxy qui injecte l'identifiant, de sorte que la session peut être surveillée, enregistrée et interrompue sans que l'opérateur ne détienne jamais le secret.
  • Élévation juste-à-temps : les droits sont accordés pour une tâche définie et une fenêtre définie, puis révoqués, plutôt que de rester attribués au compte de manière permanente.
  • Procédures de secours (break-glass) : les comptes d'urgence sont scellés, sous alarme et passés en revue après chaque utilisation, de sorte qu'ils existent pour de véritables incidents sans devenir une porte dérobée silencieuse.
  • Découverte et responsabilité : l'outil détecte les comptes à privilèges et les comptes de service sur l'ensemble du parc et rattache chaque action à privilèges à un humain nommément identifié.
Le PAM comparé à l'IAM général
DimensionIAM généralPAM
PérimètreToutes les identités et tous les accèsComptes à privilèges uniquement (admin, root, service, break-glass)
Question centraleCette personne devrait-elle avoir accès ?Comment cet accès élevé est-il mis en coffre-fort, courté et journalisé ?
Gestion des identifiantsL'utilisateur s'authentifie avec son propre identifiantLe secret est mis en coffre-fort et injecté ; l'opérateur peut ne jamais le voir
Posture par défautHabilitations persistantes gérées dans le tempsJuste-à-temps, limité dans le temps, révoqué après usage
Objet de l'auditRevues d'accès et processus arrivée-mobilité-départEnregistrement des sessions, rotation, revue des accès de secours

La place du PAM dans l'IAM et le paysage réglementaire

Le PAM est un sous-ensemble de la gestion des identités et des accès, restreint aux comptes qui portent le plus de risque, et c'est la pointe avancée du principe du moindre privilège. L'IAM général se demande si une personne devrait avoir accès tout court. Le PAM part du principe que l'accès est légitime mais exige qu'il soit temporaire, courté, journalisé et réversible. Les attaquants comprennent cette hiérarchie : après une première implantation par hameçonnage ou via un service exposé, l'objectif suivant est de remonter vers un compte à privilèges, car c'est ce qui transforme un seul hôte en contrôle du domaine.

Les superviseurs le savent aussi. En vertu de la directive NIS 2, le contrôle d'accès et la gestion des comptes à privilèges relèvent pleinement des mesures de gestion des risques de cybersécurité que les entités essentielles et importantes doivent mettre en œuvre. Le règlement DORA fixe des attentes comparables pour le secteur financier, où l'authentification forte et le contrôle strict des accès à privilèges font partie du cadre de gestion du risque lié aux TIC.

L'Annexe A de l'ISO/IEC 27001 traite des droits d'accès à privilèges et de la gestion des informations secrètes d'authentification en tant que contrôles nommés. Lors d'un audit, l'accès à privilèges est invariablement l'un des domaines examinés le plus durement, car un contrôle faible à ce niveau compromet toutes les autres protections.

Modes de défaillance courants

Les programmes PAM échouent de manière prévisible. Comptes de service avec mots de passe sans expiration codés en dur dans l'automatisation. Comptes admin partagés où personne ne peut dire qui a agi. Droits d'administrateur local permanents sur chaque poste de travail. Une adoption du coffre-fort qui couvre les administrateurs interactifs mais laisse de côté les identités machine. La discipline ne vaut que par sa couverture, de sorte que le travail concret consiste en une découverte continue et le retrait régulier des privilèges permanents plutôt qu'en un déploiement unique.

Frequently asked questions

01Le PAM est-il la même chose que l'IAM ?

Non. Le PAM est un sous-ensemble de l'IAM axé uniquement sur les comptes à privilèges tels que les administrateurs, root, les comptes de service et les identités de secours. L'IAM gouverne tous les accès ; le PAM applique une mise en coffre-fort, un courtage et un enregistrement plus stricts aux comptes ayant le plus grand rayon d'impact.

02Qu'est-ce qu'un compte de secours (break-glass) ?

Il s'agit d'un compte à privilèges d'urgence maintenu scellé pour les situations où les voies d'accès normales échouent, comme une panne du fournisseur d'identité. Ses identifiants sont mis en coffre-fort et sous alarme, et chaque utilisation déclenche une revue afin que le compte ne devienne pas une porte dérobée silencieuse.

03Pourquoi les attaquants ciblent-ils d'abord les accès à privilèges ?

Après une première implantation, un seul identifiant à privilèges peut conférer le contrôle de l'ensemble de l'environnement : modifier la configuration, désactiver la journalisation et créer de nouveaux comptes. L'escalade vers les privilèges est ce qui transforme un hôte compromis en une compromission à l'échelle du domaine.

04NIS 2 ou DORA exigent-ils le PAM ?

Aucun des deux ne nomme un produit, mais tous deux exigent le contrôle des accès à privilèges. NIS 2 inclut le contrôle d'accès parmi ses mesures de gestion des risques, et DORA attend une authentification forte et une gestion stricte des accès à privilèges dans le cadre de gestion du risque lié aux TIC. Le PAM est la façon dont les organisations apportent la preuve du respect de ces obligations.

05Qu'est-ce que l'accès à privilèges juste-à-temps ?

Cela signifie accorder des droits élevés pour une tâche spécifique et une fenêtre de temps limitée, puis les révoquer automatiquement, au lieu de laisser les privilèges attribués au compte de manière permanente. Cela réduit la fenêtre durant laquelle un identifiant compromis est utile.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.