Skip to main content

Skillber v1.0 is here!

Learn more

Accès Juste-à-Temps (JIT)

Checking access...

L’accès juste-à-temps (JIT) est le principe selon lequel les privilèges ne sont accordés que lorsqu’ils sont nécessaires, pour la durée exacte de la tâche, puis automatiquement révoqués. Le JIT remplace le modèle traditionnel des privilèges permanents (standing privileges) par un modèle d’élévation temporaire.

Risques des Privilèges Permanents

RisqueImpactStatistique
Fenêtre d’exposition permanenteUn compte compromise donne un accès admin permanentDurée de vie moyenne d’un accès permanent : années
Dérive des privilègesAccumulation de droits sans révision30% des comptes privilégiés ont plus de droits que nécessaire
Impossible de distinguer accès légitime et abusToutes les actions admin se ressemblent60% des attaquants utilisent des comptes privilégiés existants
Rotation impossibleMot de passe rarement changé40% des organisations n’ont jamais changé le mot de passe admin par défaut
Conformité non respectéeAuditeurs rejettent les privilèges permanentsPCI DSS v4.0 exige JIT ou justification d’accès admin

Architecture JIT

Flux JIT Standard

1. DÉCLENCHEUR : Administrateur a besoin d'accès
├── Manuel : Demande via portail PAM
│ └── "Je besoin d'accès admin au serveur DB-Prod pour 2 heures"
├── Automatique : Déclenché par ticket ITSM
│ └── "Ticket INC-12345 : Incident de performance DB"
└── Programmé : Déclenché par calendrier
└── "Fenêtre de maintenance DB : mardi 22h-23h"
2. APPROBATION (si requise)
├── Automatique : Politique JIT (heure, jour, serveur)
├── Manager : Approbation par le responsable
└── Double : Deux approbations pour les accès critiques
3. ÉLÉVATION
├── Ajout temporaire au groupe AD "DB-Admins"
├── Attribution de rôle cloud (Azure PIM / AWS IAM)
└── Élévation sudo (sudoers temporaire)
4. ACCÈS
└── Session via proxy PAM avec enregistrement
5. EXPIRATION (automatique)
├── Retrait du groupe AD
├── Expiration du rôle cloud
└── Suppression de la règle sudoers

Méthodes d’Élévation JIT

MéthodePlateformeDélai d’ÉlévationRéversibilité
Groupe AD temporaireWindows, AD1-5 minutes (réplication AD)Retrait automatique du groupe
Role cloud (Azure PIM)Azure1-2 minutesExpiration du rôle configurée
IAM Identity CenterAWS1-2 minutesFin de session SSO
Just Enough Admin (JEA)Windows PowerShellInstantanéFin de session PowerShell
sudo temporaireLinuxSecondesSuppression du fichier sudoers
Conteneur éphémèreKubernetes, DockerMinutesDestruction du conteneur

Azure PIM (Privileged Identity Management)

Azure PIM est l’implémentation JIT native de Microsoft pour les rôles Azure AD et Azure RBAC :

FonctionnalitéDescription
Activation JITActivation temporaire d’un rôle (1-8 heures)
ApprobationWorkflow d’approbation pour les rôles critiques
MFA obligatoireActivation requise avec MFA
JustificationChamp obligatoire pour chaque activation
NotificationsAlertes par email aux approbateurs et administrateurs
AuditJournalisation complète de chaque activation
DélégationDélégation de la gestion des rôles aux approbateurs

Workflows d’Approbation

Niveaux d’Approbation

NiveauType d’AccèsApprobateurDélai d’Approbation
1 — AutomatiqueServeur de dev/test, heures ouvrables, utilisateur autoriséPolitique (automatique)Instantané
2 — ManagerServeur de production, heures ouvrablesResponsable directMinutes-heures
3 — DoubleServeur de production critique, base de données financièreManager + Responsable sécuritéHeures
4 — UrgenceTout serveur, dehors des heures ouvrablesComité d’urgence (pré-défini)Minutes (appel téléphonique + ticket)

Intégration ITSM (ServiceNow, Jira)

Portail PAM ──> Ticket ITSM créé ──> Approbateur notifié
│ │ │
│ "Accès admin DB-Prod "Approuvez-vous ?
│ pour incident INC-12345" Jean D. demande
│ accès admin DB
│ pour 2 heures"
│ │
│ Approuvé ─┴── Refusé
│ │ │
│<── JIT accordé ───────────── │ │
│ (durée: 2h) │ │
│ (justification: incident) │ │
│ (approbateur: Marie M.) │ │

Défis du JIT

DéfiDescriptionAtténuation
Latence d’élévationRéplication AD peut prendre 5-15 minutesPré-staging des groupes, scripts de réplication forcée
Fenêtre de maintenance longueCertaines tâches dépassent la fenêtre JIT standardDemande de prolongation avec justification, JIT flexible
Automatisation incompatibleScripts legacy qui supposent un accès permanentRéécriture des scripts avec API PAM, secrets management
Réticence des adminsLes admins résistent au changement (“on a toujours fait comme ça”)Communication, formation, preuve de valeur
Comptes de serviceLes services ne peuvent pas faire de JIT humainIdentité de charge de travail, certificats, rotation automatique
UrgencesPas le temps pour un workflow d’approbationBreak-glass avec procédure d’urgence et revue post-accès

Points Clés à Retenir

  • Les privilèges permanents créent une fenêtre d’exposition permanente et empêchent la distinction entre accès légitime et abus — le JIT remplace ce modèle par une élévation temporaire avec expiration automatique
  • L’architecture JIT suit cinq étapes : déclencheur (manuel, automatique via ITSM, ou programmé) → approbation (automatique, manager, double) → élévation (groupe AD, rôle cloud, sudo) → accès (via proxy PAM) → expiration automatique
  • Les méthodes d’élévation incluent les groupes AD temporaires (1-5 min), les rôles cloud Azure PIM/AWS IAM Identity Center (1-2 min), JEA PowerShell (instantané), sudo temporaire Linux (secondes), et les conteneurs éphémères (minutes)
  • Azure PIM est l’implémentation JIT native la plus mature : activation temporaire (1-8h), workflow d’approbation, MDA obligatoire à l’activation, justification requise, notifications et journalisation complète
  • Les workflows d’approbation JIT ont quatre niveaux : automatique (dev/test, heures ouvrables), manager (production), double (critique), urgence — l’intégration ITSM (ServiceNow, Jira) automatise la création de tickets et la notification des approbateurs
  • Les défis du JIT incluent la latence de réplication AD, les fenêtres de maintenance longues, l’automatisation legacy, la réticence des admins, les comptes de service et les urgences — chaque défi a une atténuation spécifique