Le coffre-fort d’identifiants est le cœur de toute plateforme PAM. Il stocke de manière sécurisée les mots de passe, clés SSH, certificats et autres secrets, et contrôle qui peut y accéder et quand.
Architecture du Coffre-fort
Composants Fondamentaux
Composant
Fonction
Considération de Sécurité
Module de stockage chiffré
Stockage des identifiants chiffrés au repos
Chiffrement AES-256, clés gérées par HSM
Moteur de contrôle d’accès
Vérification des autorisations avant le check-out
RBAC/ABAC, workflow d’approbation
Moteur de rotation
Changement automatique des mots de passe
Rotation post-check-in, politique configurable
Journal d’audit
Enregistrement de chaque check-out/in, rotation
Horodatage, utilisateur, cible, immuable
API d’intégration
REST API pour l’accès programmatique
Authentification forte, limitation de débit
Interface d’administration
Console de gestion
Accès restreint aux administrateurs PAM
Flux de Check-out/Check-in
1. Check-out : Administrateur demande un mot de passe
│
├── Authentification (MFA obligatoire)
├── Autorisation (politique RBAC/ABAC)
├── Workflow d'approbation (si requis)
│
├── ✅ Approuvé → Coffre délivre le mot de passe (session temporaire)
│ └── Mot de passe marqué comme "extrait" (checked out)
│
├── ❌ Refusé → Événement journalisé, alerte de sécurité
│
2. Utilisation : Administrateur utilise le mot de passe
│
3. Check-in : Administrateur termine (manuel ou automatique)
Ne JAMAIS stocker les mots de passe dans le code source, les fichiers de configuration versionnés, ou les variables d’environnement non sécurisées. Les scanners de secrets (GitLeaks, TruffleHog, GitGuardian) trouvent des milliers de secrets exposés chaque jour dans les dépôts publics. Utilisez toujours un coffre-fort PAM ou un service de gestion de secrets pour les mots de passe de production.
Opérations du Coffre-fort
Meilleures Pratiques
Pratique
Description
Rationale
Rotation post-check-in
Rotation automatique après chaque utilisation
Aucune fenêtre d’exposition pour l’identifiant
Check-out avec durée limitée
Expiration automatique du check-out
Pas d’identifiants extraits oubliés
Double approbation pour les comptes critiques
Approbation de deux managers pour les comptes sensibles
Séparation des devoirs pour l’accès privilégié
Notifications de check-out
Alerte instantanée pour les extractions de comptes sensibles
Détection rapide des accès inhabituels
Vérification périodique des mots de passe
Vérification automatique que les mots de passe stockés sont valides
Détection des changements hors PAM
Journalisation immuable
Logs d’audit non modifiables
Intégrité de la piste d’audit
Points Clés à Retenir
Le coffre-fort d’identifiants est le cœur de la PAM — il stocke les identifiants chiffrés (AES-256 avec clés gérées par HSM), contrôle l’accès par RBAC/ABAC, automatise la rotation, et journalise chaque opération dans un journal immuable
Le flux check-out/check-in est fondamental : extraction → authentification MFA → autorisation → workflow d’approbation → utilisation → check-in → rotation automatique — ce cycle garantit qu’aucun identifiant n’est exposé plus longtemps que nécessaire
La fréquence de rotation varie par type de compte : après chaque utilisation pour les administrateurs locaux et clés SSH, hebdomadaire pour les administrateurs de domaine, mensuelle pour les comptes de service et A2A
La gestion des secrets DevOps (HashiCorp Vault, AWS Secrets Manager) complète le coffre-fort PAM pour les secrets d’application — les sidecars injectent les secrets dans la mémoire du conteneur avec des TTL courts
La rotation des identifiants doit être coordonnée avec les systèmes cibles — la plupart des rotations prennent 1-10 secondes, mais les comptes de service gérés (gMSA) sont automatiquement gérés par AD