Catégorie outil
PAM : Privileged Access Management
Le PAM (Privileged Access Management) est un ensemble de technologies et un cadre de cybersécurité qui sécurisent, surveillent et contrôlent les accès privilégiés — les permissions élevées permettant de modifier des configurations système, d'accéder à des données sensibles ou d'administrer des infrastructures critiques. Le PAM s'appuie sur le principe du moindre privilège, garantissant que chaque utilisateur ne dispose que des droits strictement nécessaires à ses fonctions.
Détails et contexte
Une solution PAM contrôle, surveille, sécurise et audite toutes les identités et activités privilégiées humaines et non-humaines (comptes de service) dans un environnement IT. Elle protège notamment les comptes administrateurs locaux ou domaine, qui représentent des cibles privilégiées pour les attaquants.
Concrètement, le PAM fonctionne comme un coffre-fort centralisé : les identifiants privilégiés sont stockés dans un coffre chiffré, et le système PAM fournit un jeton temporaire ou injecte directement les identifiants dans la session, évitant que le mot de passe ne réside dans la mémoire d'un poste compromis. Chaque session privilégiée est enregistrée et peut être rejouée à des fins d'audit ou d'investigation. Les architectures modernes privilégient l'élévation Just-in-Time (JIT), où aucun droit permanent n'est accordé.
Le PAM couvre la rotation automatique des mots de passe, l'authentification multifacteur renforcée, l'analyse comportementale pour détecter les comportements suspects, et la gestion des secrets (clés SSH, certificats).
Lien avec NIS2
La directive NIS2 impose dans son article 21 le principe du moindre privilège et la gestion des accès privilégiés. Les solutions modernes de gestion des comptes et des accès à privilèges (PAM) aident à répondre de manière significative aux exigences de la directive NIS2, notamment pour tracer chaque accès au système d'information de façon justifiable.
Les entités régulées doivent pouvoir démontrer la maîtrise de leurs comptes à privilèges : qui accède, à quoi, quand, et sous quelle autorisation. Le PAM facilite la conformité en fournissant des journaux d'audit détaillés, en limitant la surface d'attaque par l'élimination des privilèges permanents, et en permettant une révocation rapide en cas d'incident.
Les solutions PAM adressent également la sécurisation de la chaîne d'approvisionnement (article 21 §2 b) en contrôlant les accès des prestataires externes, avec enregistrement de session et provisionnement temporaire.
Pour aller plus loin
- Guide d'hygiène informatique de l'ANSSI (point 3.1 sur les comptes à privilèges)
- Article 21 de la directive NIS2 (UE) 2022/2555