Skip to main content

Skillber v1.0 is here!

Learn more

Comptes Privilégiés

Checking access...

La première étape d’un programme PAM est la découverte et la classification de tous les comptes privilégiés. On ne peut pas protéger ce que l’on ne voit pas.

Taxonomie des Comptes Privilégiés

Type de CompteDescriptionRisquePriorité PAM
Administrateur localCompte administrateur intégré sur chaque serveur/workstationÉlevéHaute
Administrateur de domaineCompte avec privilèges d’administration Active DirectoryCritiqueTrès haute
Administrateur d’applicationCompte avec droits élevés dans une application métierÉlevéHaute
Compte de serviceCompte utilisé par un service Windows ou un démon LinuxMoyen-ÉlevéHaute
Compte A2ACompte utilisé par une application pour communiquer avec une autre applicationMoyen-ÉlevéHaute
Clé SSHPaire de clés pour l’authentification sur les serveurs Linux/UnixÉlevéTrès haute
Rôle cloud IAMRôle avec privilèges élevés dans AWS/Azure/GCPCritiqueTrès haute
Compte break-glassCompte d’urgence pour accès de secoursÉlevéHaute
Compte de base de donnéesCompte administrateur SQL/Oracle/MySQLCritiqueTrès haute
Compte réseauCompte administrateur sur équipements réseau (routeurs, pare-feux)ÉlevéHaute

Comptes Administrateurs

Comptes Locaux vs Domaine

CaractéristiqueAdministrateur LocalAdministrateur de Domaine
PérimètreUn seul serveur/workstationTout le domaine
CréationAutomatique (intégré au système d’exploitation)Manuel via Active Directory
Mots de passeSouvent identiques sur tous les serveurs (LAPS résout ce problème)Unique, mais partagé entre les admins
DétectionDifficile — chaque machine a son propre compte localFacile — liste dans le groupe Domain Admins
RotationManuelle sans outil (LAPS automatise)Manuelle sans PAM

Comptes de Service

Type de Compte de ServiceWindowsLinux
Compte de service localNetworkService, LocalSystemCompte système standard
Compte de service géré (gMSA)gMSA (géré par AD, rotation auto)N/A (equivalent partiel avec systemd DynamicUser)
Compte de service virtuelvSA (Windows 2012+)N/A
Compte de service standardCompte utilisateur avec LogonAsServiceCompte utilisateur dans /etc/passwd

gMSA (Group Managed Service Account) :

AvantageDescription
Rotation automatiqueMot de passe changé automatiquement tous les 30 jours par AD
SPN géréService Principal Name automatiquement géré
Pas d’intervention humaineAucun administrateur ne connaît le mot de passe
DélégationPrise en charge de la délégation Kerberos

Comptes Application-à-Application (A2A)

Les comptes A2A sont utilisés par des applications pour s’authentifier auprès d’autres applications ou bases de données :

Application A (API) ──> Compte A2A ──> Base de données
Identifiants stockés dans :
- Fichier de configuration (RISQUÉ)
- Variable d'environnement
- Coffre-fort PAM (RECOMMANDÉ)
- Service de secrets cloud
Méthode de Gestion A2ASécuritéOpérationnelRecommandé
Fichier de configurationTrès faibleSimpleNon
Variable d’environnementFaibleSimpleNon
Registre WindowsFaibleSimpleNon
Service de secrets cloudÉlevéeMoyenOui (cloud)
Coffre-fort PAMTrès élevéeIntégration SDKOui (sur site + cloud)

Clés SSH

Cycle de Vie des Clés SSH

1. GÉNÉRATION : ssh-keygen -t ed25519 -a 100
└── Clé privée (NE JAMAIS partager) + Clé publique (déployée)
2. DÉPLOIEMENT : Clé publique ajoutée à ~/.ssh/authorized_keys
└── Manuel (ssh-copy-id) ou automatisé (Ansible, Puppet)
3. UTILISATION : Authentification SSH par paire de clés
└── Optionnellement avec passphrase ou agent SSH
4. ROTATION : Remplacement périodique des paires de clés
└── Automatisé par PAM (rotation après chaque utilisation)
5. RÉVOCATION : Retrait des clés compromises
└── Retrait de authorized_keys, mise à jour de la CRL SSH

Gestion des Clés SSH par PAM

Fonctionnalité PAMClé SSHAvantage
Coffre-fort de clésStockage chiffré des clés privéesÉlimination des fichiers de clés non sécurisés
Rotation automatiqueNouvelle paire de clés après chaque connexionLimitation de la fenêtre de compromission
Déploiement automatiséDéploiement de la clé publique sur les serveurs ciblesGestion centralisée des authorized_keys
Enregistrement de sessionSession SSH via proxy PAMTraçabilité des commandes exécutées

Découverte de Comptes Privilégiés

Méthodes de Découverte

MéthodePérimètrePrécisionEffort
Scan réseauTous les systèmes joignablesFaible (comptes identifiés)Faible
Analyse Active DirectoryDomaine entierHaute (groupes, ACL)Faible
Analyse de base de donnéesServeurs SQL, Oracle, MySQLHaute (users, roles)Moyenne
Analyse de configurationFichiers de config, scriptsTrès élevée (mots de passe codés en dur)Élevée
Analyse de code sourceDépôts Git, code legacyTrès élevée (secrets dans le code)Élevée
Déclaratif (inventaire)Déclaration manuelle des administrateursVariableFaible

Classification des Comptes Découverts

Compte découvert ──> Critères de classification :
├── Type de compte (local, domaine, service, A2A, SSH)
├── Niveau de privilège (root, admin, user, read-only)
├── Système cible (Windows, Linux, DB, cloud, réseau)
├── Environnement (production, développement, test, DR)
├── Propriétaire (équipe, application, responsable)
└── Risque (critique, élevé, moyen, faible)

Points Clés à Retenir

  • La taxonomie des comptes privilégiés inclut 10 types principaux : administrateur local, domaine, application, service, A2A, clé SSH, rôle cloud, break-glass, base de données et réseau — chaque type a un niveau de risque et une priorité PAM spécifiques
  • Les comptes de service gérés (gMSA) offrent une rotation automatique des mots de passe via AD — privilégiez les gMSA aux comptes de service standards pour les applications Windows
  • Les comptes A2A (Application-à-Application) sont souvent négligés mais contiennent les identifiants les plus critiques — stockez-les dans un coffre-fort PAM plutôt que dans des fichiers de configuration ou des variables d’environnement
  • La gestion des clés SSH par PAM inclut le stockage sécurisé des clés privées, la rotation automatique après chaque connexion, le déploiement automatisé des clés publiques et l’enregistrement des sessions
  • La découverte de comptes est la première étape de tout programme PAM — utilisez le scan réseau, l’analyse AD, l’analyse de base de données, l’analyse de configuration et l’analyse de code source pour une couverture complète
  • La classification des comptes découverts (type, niveau de privilège, système, environnement, propriétaire, risque) permet de prioriser l’intégration PAM et d’appliquer des politiques différenciées