Skip to main content

Skillber v1.0 is here!

Learn more

Coffre-fort d'Identifiants

Checking access...

Le coffre-fort d’identifiants est le cœur de toute plateforme PAM. Il stocke de manière sécurisée les mots de passe, clés SSH, certificats et autres secrets, et contrôle qui peut y accéder et quand.

Architecture du Coffre-fort

Composants Fondamentaux

ComposantFonctionConsidération de Sécurité
Module de stockage chiffréStockage des identifiants chiffrés au reposChiffrement AES-256, clés gérées par HSM
Moteur de contrôle d’accèsVérification des autorisations avant le check-outRBAC/ABAC, workflow d’approbation
Moteur de rotationChangement automatique des mots de passeRotation post-check-in, politique configurable
Journal d’auditEnregistrement de chaque check-out/in, rotationHorodatage, utilisateur, cible, immuable
API d’intégrationREST API pour l’accès programmatiqueAuthentification forte, limitation de débit
Interface d’administrationConsole de gestionAccès restreint aux administrateurs PAM

Flux de Check-out/Check-in

1. Check-out : Administrateur demande un mot de passe
├── Authentification (MFA obligatoire)
├── Autorisation (politique RBAC/ABAC)
├── Workflow d'approbation (si requis)
├── ✅ Approuvé → Coffre délivre le mot de passe (session temporaire)
│ └── Mot de passe marqué comme "extrait" (checked out)
├── ❌ Refusé → Événement journalisé, alerte de sécurité
2. Utilisation : Administrateur utilise le mot de passe
3. Check-in : Administrateur termine (manuel ou automatique)
├── Coffre verrouille le mot de passe
├── Rotation automatique (si configurée)
└── Nouveau mot de passe stocké dans le coffre

Politiques de Rotation

Fréquence de Rotation par Type de Compte

Type de CompteFréquence de RotationDéclencheurConsidération
Administrateur localAprès chaque utilisationCheck-inRotation post-session (risque zéro)
Administrateur de domaineHebdomadaire ou post-utilisationCalendrier ou check-inCoordonner avec les équipes AD
Compte de serviceMensuelleCalendrierNécessite coordination avec les applications
Clé SSHAprès chaque utilisationCheck-inRotation de la paire complète
Compte A2AMensuelle ou trimestrielleCalendrierImpact potentiel sur les applications
Compte de base de donnéesAprès chaque utilisationCheck-inImpact sur les connexions actives
Compte break-glassAnnuelle ou après utilisationCalendrier ou utilisationScellé après rotation

Implémentation de la Rotation

Plateforme CibleMéthode de RotationDélaiComplexité
Windows (AD)PowerShell via API AD2-5 secondesFaible
Windows (local)PowerShell via WinRM1-3 secondesFaible
LinuxSSH + passwd/chage1-3 secondesFaible
Base de données SQLALTER LOGIN/ALTER USER1-2 secondesFaible-Moyenne
API RESTPUT/PATCH sur endpoint0.5-2 secondesMoyenne
Clé SSHssh-keygen + authorized_keys3-10 secondesMoyenne
Compte de service géréDéclenché par AD (gMSA)30 jours (AD gère)Aucune (automatique)

Gestion des Secrets

Types de Secrets

Type de SecretStockage PAMRotationUtilisation Typique
Mot de passeTexte chiffréOuiAccès humain aux systèmes
Clé SSHFichier clé privée chiffréOuiAuthentification SSH automatisée
Jeton APIChaîne chiffréeOuiAccès API programmatique
CertificatPKCS12 ou PEM chiffréOuimTLS, signature de code
Clé de chiffrementHSM ou clé dédiéeNon (sauf compromission)Chiffrement des données
Secret de base de donnéesChaîne de connexion chiffréeOuiConnexion applicative

Intégration DevOps pour les Secrets

Application (Pod) ──> Sidecar (Vault Agent) ──> Coffre-fort PAM
│ │
Requête de secret Vérification
via API REST d'identité (JWT)
│ │
Secret injecté Secret délivré
dans mémoire (TTL: 24h)
(pas de fichier) │
Rotation automatique
après expiration

Caution

Ne JAMAIS stocker les mots de passe dans le code source, les fichiers de configuration versionnés, ou les variables d’environnement non sécurisées. Les scanners de secrets (GitLeaks, TruffleHog, GitGuardian) trouvent des milliers de secrets exposés chaque jour dans les dépôts publics. Utilisez toujours un coffre-fort PAM ou un service de gestion de secrets pour les mots de passe de production.

Opérations du Coffre-fort

Meilleures Pratiques

PratiqueDescriptionRationale
Rotation post-check-inRotation automatique après chaque utilisationAucune fenêtre d’exposition pour l’identifiant
Check-out avec durée limitéeExpiration automatique du check-outPas d’identifiants extraits oubliés
Double approbation pour les comptes critiquesApprobation de deux managers pour les comptes sensiblesSéparation des devoirs pour l’accès privilégié
Notifications de check-outAlerte instantanée pour les extractions de comptes sensiblesDétection rapide des accès inhabituels
Vérification périodique des mots de passeVérification automatique que les mots de passe stockés sont validesDétection des changements hors PAM
Journalisation immuableLogs d’audit non modifiablesIntégrité de la piste d’audit

Points Clés à Retenir

  • Le coffre-fort d’identifiants est le cœur de la PAM — il stocke les identifiants chiffrés (AES-256 avec clés gérées par HSM), contrôle l’accès par RBAC/ABAC, automatise la rotation, et journalise chaque opération dans un journal immuable
  • Le flux check-out/check-in est fondamental : extraction → authentification MFA → autorisation → workflow d’approbation → utilisation → check-in → rotation automatique — ce cycle garantit qu’aucun identifiant n’est exposé plus longtemps que nécessaire
  • La fréquence de rotation varie par type de compte : après chaque utilisation pour les administrateurs locaux et clés SSH, hebdomadaire pour les administrateurs de domaine, mensuelle pour les comptes de service et A2A
  • La gestion des secrets DevOps (HashiCorp Vault, AWS Secrets Manager) complète le coffre-fort PAM pour les secrets d’application — les sidecars injectent les secrets dans la mémoire du conteneur avec des TTL courts
  • La rotation des identifiants doit être coordonnée avec les systèmes cibles — la plupart des rotations prennent 1-10 secondes, mais les comptes de service gérés (gMSA) sont automatiquement gérés par AD