Chapitre 2 — Gestion des Comptes & Accès Privilégié (PAM)
La gestion du cycle de vie des comptes et des accès privilégiés est critique. Ce module couvre les types de comptes, le provisionnement/déprovisionnement, PAM, et les politiques de mots de passe.
| Type | Description | Risque |
|---|---|---|
| Utilisateur standard | Accès limité aux ressources nécessaires | Faible si bien géré |
| Administrateur local | Contrôle total sur un seul système | Élevé — souvent même mot de passe partout |
| Administrateur de domaine | Contrôle total sur l'AD entier | Très élevé — compromis = compromis total |
| Compte de service | Utilisé par des applications/services | Élevé — rarement surveillés, mots de passe qui n'expirent pas |
| Compte partagé | Partagé entre plusieurs personnes | Très élevé — pas de responsabilité individuelle |
| Compte générique | guest, admin, default — non nominatif | Très élevé — désactiver ou renommer |
| Compte invité | Accès très limité et temporaire | Risque si mal configuré |
Mémorisez ! Désactiver les comptes par défaut (guest, administrator), renommer les comptes administrateur, et ne jamais utiliser de comptes partagés pour les accès privilégiés. Chaque personne = un compte nominatif.
- Provisionnement : création du compte avec les accès appropriés. Idéalement automatisé via HR → IAM.
- Révision des accès (Access Review) : audit périodique des comptes et leurs privilèges. Identifier les accès excessifs (permission creep).
- Permission creep : accumulation progressive de droits d'accès au fil du temps (changements de poste, projets). L'utilisateur garde les accès des rôles précédents.
- Déprovisionnement : désactivation immédiate du compte lors du départ d'un employé. Ne jamais supprimer immédiatement — désactiver d'abord pour conserver l'audit trail.
- Offboarding : processus formel de départ — récupérer équipements, révoquer accès, transférer données.
Scénario : Un développeur est promu chef de projet puis devient responsable RH. Il conserve ses accès aux systèmes de développement ET aux ressources RH. C'est du permission creep. Solution : révision des accès à chaque changement de poste et révoquer les accès devenus inutiles.
PAM est une solution qui contrôle, surveille et audite l'utilisation des comptes à privilèges élevés.
- Coffre-fort de mots de passe (Password Vaulting) : stocke les credentials privilégiés chiffrés. Rotation automatique des mots de passe. Personne ne connaît le mot de passe actuel — PAM le fournit à la demande.
- Just-In-Time (JIT) Access : l'accès privilégié est accordé temporairement pour une tâche spécifique, puis révoqué. Réduit la surface d'attaque.
- Session Recording : enregistre toutes les sessions privilégiées (vidéo + frappe). Forensique + dissuasion.
- Least Privilege Enforcement : PAM garantit que même les admins n'ont que les droits nécessaires pour leur tâche du moment.
- Dual Control : certaines actions critiques nécessitent l'approbation de deux personnes.
Astuce Examen
PAM résout le problème des comptes de service : les mots de passe sont gérés automatiquement, personne ne les connaît directement. Si un employé quitte, les credentials restent dans le vault et peuvent être immédiatement révoqués ou rotés.
| Politique | Recommandation actuelle (NIST SP 800-63) |
|---|---|
| Longueur minimale | 12 caractères minimum (NIST recommande 15+) |
| Complexité | Favoriser les passphrases longues plutôt que complexité forcée |
| Expiration | Ne PAS forcer l'expiration périodique sauf si compromission détectée |
| Historique | Mémoriser les 24 derniers mots de passe pour éviter la réutilisation |
| Verrouillage | Verrouiller après 5-10 tentatives échouées (lockout policy) |
| Stockage | Jamais en clair — toujours hashé + salé (bcrypt, Argon2) |
Mémorisez ! NIST recommande de ne plus forcer l'expiration périodique des mots de passe — les utilisateurs créent des mots de passe prévisibles ("P@ssw0rd1!" → "P@ssw0rd2!"). Mieux vaut un long mot de passe stable qu'un court mot de passe qui change tous les 90 jours.