Téléchargez un exemplaire gratuit du rapport ici.
Les identifiants d’utilisateur privilégié sont une cible lucrative des attaquants, car ils donnent un accès de niveau élevé à des comptes et des données confidentiels. Le passé récent a montré que les attaquants n’ont plus besoin de pirater des comptes pour violer les données. Ils exploitent plutôt les identifiants faibles ou compromis pour avoir accès aux données lucratives. L’objectif premier d’une solution de gestion de l’accès privilégié doit viser la recherche automatique et la mise en coffre des identifiants, permettant aux administrateurs de sécuriser et de fournir un accès restreint aux comptes cruciaux. Ils parent ainsi aux vecteurs d’une attaque par accès privilégié.
ManageEngine PAM360 offre un coffre centralisé des identifiants d’entreprise pour regrouper, stocker, gérer et faire tourner les données sensibles partagées comme les mots de passe, les certificats numériques, les clés et les documents exclusifs. Ses options avancées de regroupement des mots de passe aident à organiser les mots de passe sous forme hiérarchique complète, pour mieux éviter la lassitude des mots de passe. De plus, on peut effectuer des opérations en masse comme la réinitialisation de mot de passe, la modification et le partage pour certains groupes, selon le besoin.
PAM360 garantit le plus haut niveau de protection des données en intégrant une norme de chiffrement (AES) 256 bits, reconnue par le NIST (National Institute of Standards and Technology) et la NSA (National Security Agency). La norme AES présente un double chiffrement, aux niveaux application et base de données. Le premier niveau de chiffrement a lieu au niveau application, où une clé unique générée automatiquement chiffre les données via la norme AES 256. Les données chiffrées sont ensuite transmises à la base de données pour stockage, où le second niveau de chiffrement a lieu.
Pour permettre d’autres niveaux d’authentification des comptes privilégiés, PAM360 offre des intégrations exclusives à Active Directory, des solutions d’authentification unique (SSO) de type SAML (Security Assertion Markup Language) et des outils d’authentification multifacteur (MFA) éprouvés.
PAM360 facilite l’analyse et la recherche automatique des comptes privilégiés pour les enregistrer dans un référentiel sécurisé et centralisé pour Windows, Solaris, Mac, Linux, Active Directory, VMware et une série de périphériques réseau et de bases de données. Le produit offre aussi une option pour définir des périodes et des limites de tentatives de recherche de mots de passe. Lors de la recherche, PAM360 permet de randomiser les mots de passe de ressources selon les stratégies de mots de passe prédéfinies.
Outre les mots de passe, PAM360 permet un stockage sécurisé de certificats numériques, d’images, de clés de licence et d’autres documents exclusifs. De plus, les utilisateurs peuvent importer manuellement leurs mots de passe de fichiers CSV, TSV et KeePass.
PAM360 permet le partage de mots de passe et d’autres données sensibles avec certains utilisateurs et groupes selon divers niveaux d'autorisation comme affichage, modification et gestion. Un administrateur peut aussi décider de transférer la propriété de ses mots de passe à d’autres administrateurs et utilisateurs.
On peut attribuer un accès aux ressources sans divulguer les mots de passe en clair. De plus, les utilisateurs peuvent lancer des connexions d’un clic à des ressources partagées depuis l'interface Web de PAM360 sans avoir à taper manuellement les mots de passe.
PAM360 intègre des workflows de contrôle d'accès bien définis pour permettre le partage de mots de passe avec certains utilisateurs selon leurs rôles et responsabilités (par exemple, attribution d’identifiants de base de données uniquement aux administrateurs de base de données). PAM360 offre des options pour déléguer l’accès à des systèmes privilégiés à des non-administrateurs, souvent selon leurs besoins et rôles. Une option permet de configurer un workflow de demande-approbation via lequel un utilisateur (non-administrateur en lecture) peut demander l’accès à un actif/compte particulier pour une durée donnée, un administrateur approuvant/rejetant la demande selon sa validité. Une fois la durée écoulée, les mots de passe de ces comptes peuvent tourner, aidant à parer aux vecteurs d’un abus de privilèges.
PAM360 offre des rapports complets en temps réel sur l’accès aux mots de passe et l’activité des utilisateurs. Les administrateurs restent donc informés des événements liés à certains mots de passe et comptes.
Si l’administrateur est indisponible, PAM360 permet de planifier une approbation automatique des demandes d’accès pendant une période fixée. On peut aussi accorder ou révoquer l’accès aux mots de passe pendant une période donnée. Cela assure la réinitialisation automatique des mots de passe pour éviter un accès non autorisé aux comptes privilégiés.
PAM360 permet de gérer à distance et de réinitialiser des mots de passe pour une série de systèmes et d’appareils (Windows, AIX, UNIX, Linux, Solaris, ESXi, MS SQL Server, Oracle DS Server, HP ProCurve, appareils Cisco, Juniper NetScreen) et des infrastructures ou des services cloud comme AWS, Google Apps, Rackspace et Microsoft Azure.
PAM360 prend en charge plus de 85 types de ressources. Pour les ressources et les appareils ne figurant pas dans cette liste, la réinitialisation de mot de passe à distance est possible via des plug-ins sur mesure, que l’on peut développer avec Java, C, PowerShell, Bash, Rust et d’autres outils. Sinon, les administrateurs peuvent aussi exécuter des commandes batch SSH (Secure Shell) pour réinitialiser les mots de passe des ressources SSH via l’interface Web de PAM360.
L’une des fonctions exclusives réside dans l’option de faire tourner les mots de passe des comptes privilégiés détectés de façon régulière pour respecter des normes réglementaires comme PCI DSS (Payment Card Industry Data Security Standards), ISO (International Organization for Standardization) et NERC (North American Electric Reliability Corporation). PAM360 permet de randomiser les identifiants à distance et d’affecter des mots de passe forts à la réinitialisation automatique en configurant des stratégies personnalisées selon le besoin. De plus, PAM360 élimine le codage en dur et la mise à jour manuelle des mots de passe en offrant l’option d’établir une rotation des mots de passe complexes, notamment ceux d'application à base de données et entre applications.
PAM360 permet d’organiser les mots de passe en groupes de ressources basés sur des critères, avec une mise à jour dynamique lorsqu’on ajoute au réseau des ressources correspondant aux critères ou en supprime. Enfin, on peut effectuer des opérations en masse comme le partage de mot de passe, la rotation et la modification pour certains groupes, selon le besoin.
