À quoi sert une solution de bastion ?
La cible préférée des cybercriminels reste les identifiants de connexions (login et de mot de passe). Pourquoi est-ce une cible intéressante ? Pour profiter d’un vol d’identifiant pour élever ses privilèges afin de corrompre un serveur ou nuire à plus grande échelle encore. Il faut donc protéger ces fameux comptes à privilège.
C’est ici qu’intervient la notion de PAM, le Privileged Access Management. Le PAM répond à la question : Comment gérer les comptes à privilèges de façon transparente et sécurisée ? Extension du vaste domaine de l’IAM (Identity Access Management), le PAM a donné naissance à des solutions techniques bien connues aujourd’hui comme les bastions édités par Wallix ou CyberArk par exemple.
Ces solutions ont permis d’industrialiser la gestion sécurisée des comptes autour de 3 grands thèmes :
- La traçabilité
- La gestion des mots de passe (stockage et rotation)
- La détection des comportements anormaux
Ces solutions se sont rapidement développées ces dernières années, au point maintenant de devenir une solution pertinente pour les PME.
Ce que fait un bastion
Une solution de bastion a donc trois objectifs principaux :
- Assurer la traçabilité des comptes à privilège : il est essentiel de savoir qui fait quoi et à quel moment pour détecter une activité anormale. Le bastion permet de suivre toutes les actions des comptes supervisés, voire pour certaines d’enregistrer l’écran et la session. En cas d’attaque ou de compromission, on peut ainsi connaître précisément l’étendue des dégâts.
- Gérer le stockage et la rotation des mots de passe : avec des fonctions de coffres-forts les solutions de bastion permettent de protéger les mots de passe, à la manière d’un gestionnaire de mot de passe tel que Keepass. L’utilisateur n’aura qu’a se connecter à un compte pour pouvoir retrouver toutes ces informations. Ces solutions savent aussi gérer un pan essentiel de l’hygiène des mots de passe : la rotation. Le bastion est capable, à intervalle défini, de générer de nouveaux mots de passe. Le fameux mot de passe « admin » peut n’être connu que du seul bastion et être d’une complexité supérieure.
- Détecter les comportements anormaux des comptes à privilèges : les bastions pouvant suivre les actions des utilisateurs, il leur est facile de comparer les comportements à ceux définis comme normaux. On détecte ainsi des connexions depuis des IP étrangères ou à des heures indues, ce qui pourra constituer des indices de compromission ou d’attaque.
Nos conseils pour réussir son intégration Bastion
- Choisir la solution qui répond à vos besoins tout en respectant sa philosophie : chaque solution possède ses spécificités et elle doit être en phase avec vos choix et contraintes actuels ainsi que votre roadmap. Ceci est vrai pour n’importe quelle solution technique mais reste essentiel pour un tel projet. Vous allez indirectement transmettre les clés de votre SI à ce composant, qui deviendra de fait très sensible. Par exemple, si votre activité est sensible, vous pourriez opter pour un produit labelisé CSPN par l’ANSSI.
- Identifier les acteurs clés durant le projet et communiquer sur les bénéfices et les impacts d’un Bastion : pour faciliter l’adoption d’une telle solution il est nécessaire d’anticiper les freins qui peuvent apparaître en amont. Il faut donc bien expliquer les objectifs et enjeux d’un tel projet. Un projet de bastion est, selon notre expérience, aussi technique qu’organisationnel. Vous allez passer des mots de passe transmis par mail à une solution qui permet aux administrateurs de respecter les règles de sécurité. Leurs habitudes seront modifiées ! Prévoyez alors une séquence d’accompagnement et de sensibilisation, en expliquant pourquoi vous menez ce projet, comment il se découpe et ce qu’il apporte.
- Créer une roadmap solide : les projets bastion sont souvent des projets volumineux. Il faut donc commencer avec un périmètre raisonnable et prendre le temps de monter en charge. L’objectif d’une démarche par lot est de permettre à chaque groupe d’utilisateurs de s’approprier la solution dans son usage et son administration. Si vous procédez par changement d’échelle successive vous pourrez utiliser l’expérience acquise à chaque étape pour faciliter la transition vers la suite.
- Faire le choix d’un intégrateur agile et expérimenté : Définir ses besoins, choisir la bonne solution et la déployer sereinement… autant de sujets structurants qui pourront être accélérés et simplifiés par un accompagnement pertinent. L’objectif n’est pas simplement de « brancher les fils ». Il faut comprendre comment et par qui la solution sera utilisée pour la choisir au mieux et réaliser un vrai transfert de connaissance.
« Pour conclure, on peut dire qu’un projet bastion symbolise une vraie ambition tant sur le plan technique qu’organisationnel. Il vous permet de vous protéger et d’évoluer en termes de maturité : en somme, un vrai changement de dimension pour votre démarche de sécurité. »