Protéger les accès privilégiés avec PIM (Privileged Identity Management)

Protéger les accès privilégiés avec PIM (Privileged Identity Management)

15/04/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la mise en œuvre et la gestion de la gestion des identités privilégiées (PIM) dans Microsoft Entra ID (anciennement Azure Active Directory). PIM est un service qui vous permet de gérer, contrôler et surveiller l'accès aux ressources importantes de votre organisation, en fournissant un accès juste à temps (JIT) et juste assez d'accès (JEA) aux fonctions privilégiées, minimisant ainsi le risque d'utilisation abusive des privilèges [1].

Présentation

Les comptes dotés de privilèges administratifs sont des cibles privilégiées des cyberattaques, car leur compromission peut conduire à un contrôle total sur les systèmes et les données d'une organisation. Le modèle de sécurité traditionnel, dans lequel les comptes privilégiés sont attribués en permanence, augmente la surface d'attaque et le risque de mouvement latéral des attaquants. PIM relève ce défi en introduisant le concept d'accès « juste à temps » (JIT) et « juste assez d'accès » (JEA), garantissant que les utilisateurs disposent de privilèges élevés uniquement lorsque cela est nécessaire et pour le temps strictement requis [2].

Ce guide pratique couvrira la configuration PIM dans Microsoft Entra ID, de l'activation du service à l'attribution de l'éligibilité aux rôles, en passant par la configuration des politiques d'activation et le processus d'activation d'un rôle privilégié. Des instructions étape par étape, des exemples pratiques et des méthodes de validation seront fournis afin que le lecteur puisse mettre en œuvre et renforcer la sécurité des accès privilégiés dans son environnement Microsoft, réduisant ainsi l'exposition aux risques et garantissant la conformité.

Pourquoi la gestion des identités à privilèges est-elle cruciale ?

  • Réduction de la surface d'attaque : minimise la durée pendant laquelle les comptes privilégiés restent actifs, réduisant ainsi les opportunités pour les attaquants.
  • Accès JIT/JEA : accorde un accès temporaire avec le moins de privilèges, conformément aux principes Zero Trust.
  • Visibilité et audit : fournit des journaux détaillés de toutes les activations de fonctions privilégiées, facilitant ainsi l'audit et la conformité.
  • Flux d'approbation : vous permet d'exiger une approbation pour l'activation de fonctions critiques, ajoutant ainsi une couche de sécurité supplémentaire.
  • Révisions d'accès : facilite les révisions d'accès périodiques pour garantir que les privilèges accordés sont toujours appropriés.

Prérequis

Pour mettre en œuvre la gestion des identités privilégiées (PIM), vous aurez besoin des éléments suivants :

  1. Licence : une licence Microsoft Enroll ID Premium P2 (anciennement Azure AD Premium P2). PIM est une fonctionnalité unique de cette licence [3].
  2. Accès administrateur : Un compte avec le rôle d'« Administrateur global » ou d'« Administrateur de rôles privilégiés » dans Microsoft. Entrez l'ID pour configurer PIM.
  3. Utilisateurs et groupes : Utilisateurs et/ou groupes de sécurité sur Microsoft Entra ID qui auront besoin d'un accès privilégié.

Étape par étape : configuration et utilisation de PIM

Nous configurerons PIM pour un rôle administratif critique, tel que « Administrateur global », et démontrerons le processus d'activation.

1. Activation de PIM sur Microsoft Entra ID

Si le PIM n'est pas déjà actif dans votre locataire, vous devrez l'activer.

  1. Accédez au portail du centre d'administration Microsoft Entra : « https://entra.microsoft.com ».
  2. Dans le volet de navigation de gauche, sélectionnez Identity Governance > Privileged Identity Management.
  3. Si c'est votre première fois, vous verrez une option pour Activer PIM. Cliquez dessus.

2. Attribution de l'éligibilité à un rôle

Tout d'abord, rendons un utilisateur éligible au rôle « Administrateur global ».

  1. Dans le volet de navigation de gauche PIM, sélectionnez Rôles Microsoft Entra > Rôles.
  2. Dans la liste des rôles, recherchez « Administrateur global » et cliquez dessus.

  3. Sur la page de détails du rôle « Administrateur global », cliquez sur Ajouter des rôles.

  4. Dans la section Ajouter des affectations, cliquez sur Sélectionner des membres.

  5. Recherchez et sélectionnez le(s) utilisateur(s) ou groupe(s) que vous souhaitez rendre éligible pour ce rôle. Cliquez sur Sélectionner.
  6. Sous Type d'affectation, sélectionnez « Éligible ».
  7. Sous Affectation permanente, vous pouvez définir une date de début et de fin d'éligibilité, ou la rendre permanente. Pour les rôles hautement privilégiés, l'affectation permanente doit être évitée, mais dans le butÀ des fins de démonstration, nous pouvons le laisser tel quel.
  8. Cliquez sur Attribuer.

3. Configuration des paramètres de rôle

Les définitions de rôle contrôlent la manière dont les utilisateurs peuvent activer leurs privilèges.

  1. Dans le volet de navigation de gauche du PIM, sélectionnez Microsoft Entra Functions > Paramètres.

  2. Dans la liste des rôles, recherchez « Administrateur global » et cliquez sur Modifier.

  3. Dans la section Activation :

    • Durée maximale d'activation : Définissez la durée maximale pendant laquelle un utilisateur peut avoir la fonction active (ex : « 4 » heures). Une courte période est recommandée.
    • Exiger une authentification multifacteur lors de l'activation : cochez cette option. Fortement recommandé pour tous les rôles privilégiés.
    • Exiger une justification lors de l'activation : sélectionnez cette option. Les utilisateurs devront fournir une raison pour l'activation.
    • Exiger une approbation pour l'activation : cochez cette option pour ajouter un flux d'approbation. Cliquez sur Sélectionner les approbateurs et ajoutez un ou plusieurs utilisateurs/groupes pouvant approuver les demandes d'activation.
  4. Dans la section Affectation :
    • Autoriser les affectations permanentes éligibles : pour « Administrateur global », envisagez de désactiver cette option pour forcer toutes les affectations à être temporaires.
  5. Dans la section Notification :
    • Configurez qui doit être informé de l'activation de la fonction.
  6. Cliquez sur Mettre à jour pour enregistrer les paramètres.

4. Activation d'une fonction privilégiée (expérience utilisateur)

Montrons maintenant comment un utilisateur éligible active le rôle « Administrateur global ».

  1. L'utilisateur éligible accède au portail du centre d'administration Microsoft Entra : « https://entra.microsoft.com ».
  2. Accédez à Gouvernance des identités > Gestion des identités privilégiées.
  3. Dans le volet de navigation de gauche, sélectionnez Mes rôles > Rôles de connexion Microsoft.
  4. Dans l'onglet Rôles éligibles, l'utilisateur verra le rôle « Administrateur global ».

  5. Cliquez sur Activer à côté du rôle « Administrateur global ».

  6. Dans la fenêtre d'activation :

    • Durée : L'utilisateur peut préciser la durée d'activation (limitée par la durée maximale définie dans les définitions des fonctions).
    • Raison : L'utilisateur doit fournir une justification de l'activation (par exemple « Effectuer la maintenance sur le serveur X »).
    • (Si configuré) Contrôle de sécurité : L'utilisateur peut être invité à effectuer une vérification MFA.

  7. Cliquez sur Activer.

  8. Si une approbation est requise, la demande sera envoyée aux approbateurs. L'utilisateur verra le statut comme « En attente d'approbation ».

5. Approuver une demande d'activation (expérience de l'approbateur)

Un approbateur désigné recevra une notification (par e-mail ou sur le portail PIM) concernant la demande d'activation.

  1. L'approbateur accède au portail du centre d'administration Microsoft Entra : « https://entra.microsoft.com ».
  2. Accédez à Gouvernance des identités > Gestion des identités privilégiées.
  3. Dans le volet de navigation de gauche, sélectionnez Approuver les demandes.
  4. L'approbateur verra la demande en attente. Cliquez dessus pour voir les détails.

  5. L'approbateur peut Approuver ou Refuser la demande, en fournissant une justification.

  6. Après approbation, l'utilisateur demandeur aura le rôle actif pour la période spécifiée.

Validation et tests

La validation de votre implémentation PIM est cruciale pour garantir que les contrôles d'accès privilégiés fonctionnent comme prévu.

1. Vérification de l'état d'activation

  1. Après l'activation (et l'approbation, le cas échéant), l'utilisateur peut revenir à la page Mes rôles > Rôles de connexion Microsoft dans PIM.
  2. Dans l'onglet Rôles actifs, le rôle « Administrateur global » doit apparaître avec le statut « Actif » et le temps restant.

2. Test de l'accès à privilèges élevés

  1. Avec la fonction activée, l'utilisateur doit essayer d'accéder aux ressources ou d'effectuer des actions qui nécessitent le rôle « Administrateur global » (par exemple créer un nouvel utilisateur dans Microsoft Entra ID).
  2. L'action doit être réussie.

3. Vérification des journaux d'audit PIM

  1. Dans le volet de navigation de gauche PIM, sélectionnez Audit > Microsoft Entra Role Audit.
  2. Filtrez les journaux pour voir les activations de rôles, les approbations et d'autres activités liées au PIM. Cela fournit un enregistrement complet de qui a activé quelle fonction, quand, pendant combien de temps et avec quelle justification.

4. Test de l'expiration de l'activation

Après l'expiration du délai d'activation, l'utilisateur doit perdreprivilèges automatiquement élevés. Essayez à nouveau d'effectuer l'action privilégiée ; elle doit échouer.

Conseils de sécurité et bonnes pratiques

  • Principe du moindre privilège : attribuez uniquement les rôles nécessaires à un utilisateur pour effectuer ses tâches. Évitez d'attribuer un « Administrateur global » si un rôle moins privilégié suffirait.
  • Affectation d'éligibilité vs affectation active : Dans la mesure du possible, utilisez des affectations « Éligible » plutôt que des affectations « Actives » permanentes pour les rôles privilégiés.
  • MFA obligatoire : exigez toujours que MFA active les fonctions privilégiées. Cela ajoute une couche de sécurité critique.
  • Justification requise : obliger les utilisateurs à fournir une justification pour chaque activation. Cela facilite l’audit et la compréhension du but de l’accès.
  • Flux d'approbation : pour les fonctions critiques, configurez les flux d'approbation pour garantir que les activations sont examinées et autorisées par quelqu'un d'autre.
  • Révisions d'accès : planifiez des révisions d'accès régulières dans PIM pour garantir que l'éligibilité aux rôles privilégiés est toujours appropriée et supprimez les affectations inutiles.
  • Notifications : configurez les notifications pour les administrateurs lorsque des rôles privilégiés sont activés ou qu'une activité suspecte se produit.
  • Intégration avec accès conditionnel : utilisez l'accès conditionnel pour appliquer des politiques supplémentaires lors de l'activation des fonctions PIM (par exemple, exiger que l'activation se produise à partir d'un appareil pris en charge ou d'un emplacement réseau approuvé).

Dépannage courant

  • L'utilisateur ne peut pas activer la fonction : Vérifiez si l'utilisateur dispose d'une licence Microsoft Entra ID Premium P2. Vérifiez s'il figure sur la liste des personnes éligibles pour le rôle. Vérifiez les paramètres du rôle (par exemple, si MFA est requis et si l'utilisateur ne l'a pas configuré).
  • Échec de l'activation de la fonction : vérifiez les journaux d'audit PIM pour les messages d'erreur. Cela peut être dû à un échec de l’AMF, à un manque de justification ou au rejet d’un approbateur.
  • Les approbateurs ne reçoivent pas de notifications : vérifiez les paramètres de notification dans les paramètres de rôle. Assurez-vous que les adresses e-mail des approbateurs sont correctes et qu'aucune règle de boîte de réception ne bloque les notifications.
  • La fonction ne se désactive pas automatiquement : Vérifiez la durée maximale d'activation dans les paramètres de la fonction. Si le problème persiste, cela peut être dû à un retard dans la synchronisation du service.
  • Conflits d'autorisations : si un utilisateur dispose de la même autorisation via un rôle PIM et un rôle standard, le rôle standard prévaudra. Il est recommandé de supprimer les attributions de rôles privilégiés permanents pour les utilisateurs également éligibles via PIM.

Conclusion

Microsoft Entra Privileged Identity Management (PIM) est un outil indispensable pour toute organisation cherchant à protéger ses accès privilégiés et à renforcer sa posture de sécurité. En adoptant les principes d'accès juste à temps et juste assez, le PIM contribue à réduire considérablement la surface d'attaque, fournit une piste d'audit détaillée et impose des contrôles stricts sur les fonctions administratives. La mise en œuvre minutieuse du PIM, combinée aux meilleures pratiques de sécurité et à la formation des utilisateurs, permet aux équipes informatiques et de sécurité de gérer efficacement les privilèges, atténuant les risques associés aux comptes privilégiés compromis et garantissant un environnement plus sécurisé et plus conforme.

Références :

[1] Microsoft Apprendre. Qu'est-ce que la gestion des identités privilégiées Microsoft Entra ?. Disponible sur : https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] Microsoft Apprendre. Principes directeurs du Zero Trust. Disponible sur : https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] Microsoft Apprendre. Exigences de licence pour Microsoft Entra Privileged Identity Management. Disponible sur : https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements