Aller au contenu
CIEM ?
« Ça s’écrit SIEM, non ? » Telle pourrait-être la première réaction à cet article, car le sujet est encore relativement récent. Et pourtant non, le CIEM (que l’on prononce donc « KIEM ») est l’acronyme de « Cloud Infrastructure Entitlement Management ». C’est donc, comme son nom l’indique, une approche de la gestion des accès dans le cloud, et en particulier des accès à privilège sur les infrastructures cloud.
Mais pourquoi une approche particulière sur la gestion des accès dans le cloud ?
De plus en plus, les entreprises déploient leurs applications métier dans le cloud. Pour déployer ces applications, pour les faire fonctionner, pour les maintenir, de multiples accès à privilèges sont créés à destination :
- des administrateurs qui construisent l’infrastructure ;
- des ingénieurs DevOps qui scriptent les routines de déploiement automatique ;
- aux comptes applicatifs (“app registration” par exemple) auxquels on donne des accès aux ressources nécessaires pour faire fonctionner l’application métier.
La granularité des accès est très fine. Les droits à privilège les plus sensibles peuvent être donnés à travers des rôles personnalisés. Par ailleurs, la plupart des organisations s’engage dans une approche « multi-cloud », multipliant de fait les permissions à gérer dans les “cloud” Azure, AWS ou GCP pour les plus importants.
Quelques chiffres qui expliquent la complexité croissante à gérer les ressources cloud :
- Les fonctionnalités et ressources d’AWS sont passées de 1 400 en 2017 à 2400 en 2019
- Les permissions unitaires sont passées de 2,500 à 7,100 sur la même période chez AWS
- Sur Azure, on trouve plus de 5 000 permissions unitaires
- Et pour GCP, nous avons plus de 3 200 permissions.
En prenant en compte cette multiplicité de ressources, fonctionnalités et de permissions pour en accorder les accès : il devient impossible de gérer efficacement une bonne visibilité des accès les plus sensibles et d’analyser le risque sans un outillage adéquat.
Les bonnes pratiques
L’un des objectifs de l’IAM dans le cloud est de donner les droits les plus fins possibles pour que l’utilisateur puisse réaliser ses tâches sans avoir de droits superflus. C’est le principe de moindre privilège (least privilege).
Pour respecter cet objectif, voici quelques bonnes pratiques à respecter :
- Mettre en place un suivi de l’activité sur les groupes, profils, permissions, droits.
- Retirer les profils ou droits inutilisés depuis plus de 90 jours.
- Retirer l’utilisateur des groupes qui accordent des droits non utilisés.
- Encourager les administrateurs à créer des profils personnalisés avec les droits nécessaires et suffisants. (Les profils Built-in sont souvent trop permissifs)
- Sécuriser les comptes administrateurs ou Shadow Admin avec une méthode d’authentification forte (MFA).
- Sécuriser les comptes administrateurs ou Shadow Admin avec une solution de PAM (Privileged Access Management)
Les Shadow Admins sont des utilisateurs avec des permissions leur permettant de réaliser une élévation de privilèges sur leur compte et ainsi s’attribuer des droits d’administrateur.
Mise en œuvre
La mise en œuvre d’une bonne gestion des accès à privilèges, dans un environnement multi-cloud, consiste à tirer profit des solutions de PAM et d’IAG :
L’IAG (Identity and Access Governance) permet de réduire le risque avec une approche basée sur l’identité, la cartographie des droits d’accès et la détection de permissions à risques ou suspectes, tout en assurant une vérification de la mise en place du principe de moindre privilège.
Le PAM (Privileged Access Management) vient compléter cette approche en permettant de gérer l’accès privilégié vers les ressources de l’entreprise. Combiné à une gouvernance des identités et des accès, on pourra contrôler qu’il n’y a pas de backdoor et d’évitement possible à la connexion monitorée par le PAM.
PAM et IAG aident les RSSI à renforcer une sécurité basée sur une gouvernance robuste des identités et des accès.
