Qu'est-ce que l'accès juste-à-temps ?
- Glossaire IAM
- Qu'est-ce que l'accès juste-à-temps ?
L'accès juste à temps est une pratique de gestion des accès à privilèges (PAM) dans laquelle les utilisateurs humains et non humains obtiennent des privilèges élevés en temps réel pour une période déterminée et pour effectuer une tâche spécifique. Cela garantit que tous les utilisateurs autorisés peuvent accéder aux systèmes, applications et données à privilèges uniquement lorsqu'ils en ont besoin. Au lieu d’accorder des privilèges permanents, les entreprises peuvent utiliser l’accès juste à temps pour limiter l’accès à des ressources spécifiques et empêcher les abus de privilèges de la part d’acteurs malveillants internes et externes.
Poursuivez votre lecture pour en savoir plus sur l’accès juste à temps et sur la manière dont vous pouvez l’utiliser pour protéger le réseau de votre organisation.
Comment fonctionne l'accès juste à temps
Lorsqu'un utilisateur humain ou non humain a besoin de privilèges pour accéder à des ressources sensibles, il en fait la demande à l'administrateur ou au système automatisé. La demande sera ensuite soumise à une procédure d'approbation afin de vérifier si la demande d'accès à privilèges est valable ou non. Une fois la demande approuvée, l'administrateur ou le système automatisé accorde à l'utilisateur un accès juste à temps, dans lequel l'utilisateur dispose de privilèges élevés ou d'un accès à un compte à privilèges, pour une durée limitée, jusqu'à ce que l'utilisateur ait terminé sa tâche. Une fois la tâche terminée, l'utilisateur se déconnecte et son accès est révoqué ou supprimé jusqu'à ce qu'il en ait à nouveau besoin.
L’importance de l’accès juste à temps
L'accès juste à temps est important pour contribuer à l'application de l'accès selon le principe de moindre privilège. Le principe de moindre privilège est un concept de cybersécurité qui accorde aux utilisateurs un accès au réseau de systèmes et de données d’une organisation juste suffisant pour qu'ils puissent faire leur travail, et rien de plus. L’accès selon le principe de moindre privilège sépare et limite l’accès aux ressources d’une organisation. Les utilisateurs ne peuvent accéder qu’à ce dont ils ont besoin pour faire leur travail et ne devraient pouvoir accéder à rien d'autre, sauf si cela est nécessaire pour une tâche spécifique et approuvé. Avec l'accès juste à temps, les organisations peuvent accorder aux utilisateurs un accès à privilèges temporaire et le révoquer pour s'assurer que le plus petit nombre d'utilisateurs puisse accéder à leurs ressources sensibles.
En utilisant l’accès juste à temps pour prendre en charge l’accès selon le principe de moindre privilège, les entreprises peuvent réduire leur surface d’attaque et sécuriser leurs données confidentielles. La surface d’attaque désigne l'ensemble des points d’entrée possibles que les cybercriminels peuvent utiliser pour obtenir un accès non autorisé au réseau d’une organisation. En limitant l'accès à privilèges à une durée prédéterminée, les organisations limitent l'accès excessif et réduisent les points d'entrée possibles dans leur réseau. Cela garantit que les données confidentielles d’une organisation ne sont accessibles qu'aux utilisateurs autorisés, et uniquement lorsque cela est nécessaire.
Types d'accès juste à temps
Voici les trois types d’accès juste à temps que les organisations peuvent utiliser pour fournir un accès à privilèges temporaire.
Attribution et suppression de l'accès
L'attribution et suppression de l'accès, également connu sous le nom d'accès basé sur la justification, exige des utilisateurs qu'ils justifient l'obtention d'un accès à privilèges pour une période définie. Ces utilisateurs disposeront d’un compte partagé permanent et à privilèges et des identifiants qui seront gérés, sécurisés et conservés dans un coffre-fort central auquel l'utilisateur n'aura pas accès. Cela permet de s'assurer que les identifiants à privilèges ne sont pas utilisés de manière abusive.
Compte éphémère
Les comptes éphémères sont des comptes à usage unique qui donnent aux utilisateurs un accès limité pour accomplir une tâche spécifique. Les administrateurs créeront des comptes de courte durée, à usage unique, pour des utilisateurs de bas niveau ou des tiers, afin qu'ils puissent accéder à une ressource dont ils ont besoin. Les comptes éphémères permettent de donner aux utilisateurs un accès temporaire jusqu'à ce que la tâche soit terminée. Une fois la tâche accomplie, le compte est automatiquement désactivé ou supprimé. Cela évite aux organisations de donner à des utilisateurs de bas niveau ou à des tiers l'accès à des ressources sensibles pendant une longue période, ce qui peut facilement être exploité.
Élévation des privilèges
L'élévation des privilèges, également connue sous le nom d'élévation temporaire, se produit lorsqu'un utilisateur demande à obtenir des niveaux d'accès à privilèges plus élevés pour effectuer une tâche spécifique. La demande est approuvée et accordée soit par un système automatisé, soit manuellement par l'administrateur, avec des précisions sur la durée de la tâche. Une fois approuvé, l'utilisateur est autorisé à accéder à des comptes à privilèges ou à exécuter des commandes privilégiées pendant une durée limitée. Une fois le délai écoulé, l'accès est retiré à l'utilisateur.
Les avantages de la mise en œuvre de l'accès juste à temps
Voici les avantages de la mise en œuvre de l'accès juste-à-temps.
Améliore la posture de sécurité
L’accès juste à temps améliore la posture de sécurité d’une organisation en limitant l’accès aux ressources sensibles et en réduisant les risques de failles de sécurité. En limitant l’accès à privilèges aux ressources sensibles d’une organisation, celle-ci peut empêcher les abus de privilèges par des acteurs malveillants externes et internes. L’accès juste à temps garantit que les utilisateurs ne peuvent pas abuser de leurs privilèges et les empêche de se déplacer latéralement sur le réseau d’une organisation pour accéder à des systèmes, des applications et des bases de données hautement sensibles.
Améliore le workflow d'accès pour les administrateurs
Avec l'accès juste à temps, les administrateurs peuvent améliorer les workflows d'accès en donnant aux utilisateurs l'accès aux ressources sensibles dès qu'ils en ont besoin, plutôt que de devoir passer par un long processus d'examen pour accorder un accès complet à des comptes à privilèges permanents. L'accès juste à temps permet d'approuver automatiquement les demandes et de révoquer les privilèges.
Aide à respecter les exigences en matière de conformité réglementaire
Les organisations doivent adhérer aux exigences de conformité industrielle et réglementaire telles que SOX et RGPD dans lesquelles elles doivent surveiller et auditer l’activité des utilisateurs à privilèges. L’accès juste à temps limite le nombre d’utilisateurs à privilèges et fournit aux organisations une piste d’audit pour toutes les activités à privilèges.
Comment mettre en œuvre l'accès juste à temps
Pour mettre en œuvre l’accès juste à temps, les organisations doivent suivre les étapes suivantes :
Maintenez un compte partagé permanent et à privilèges à l'aide d'un coffre-fort automatisé de mots de passe qui gère de manière centralisée les identifiants et les fait régulièrement pivoter.
-
Créez des politiques granulaires qui exigent des utilisateurs humains et non humains qu'ils fournissent des détails et des justifications spécifiques pour demander un accès à privilèges temporaire à des ressources sensibles.
Accordez temporairement des privilèges élevés pour permettre aux utilisateurs humains et non humains d'accéder à des ressources sensibles spécifiques ou d'exécuter des commandes privilégiées pendant une période limitée.
Enregistrez et vérifiez les privilèges de tous les comptes à privilèges afin de détecter les comportements suspects et les activités inhabituelles et d'y répondre.