La Gestion des Comptes à Privilèges (PAM) est devenu une exigence réglementaire depuis quelques années (Voir RGPD chapitre 4).
En effet, un accès à privileges ou accès « Root »/ « Admin », permet de modifier les configurations d’un système, d’installer et désinstaller des programmes, de créer ou supprimer des comptes d’utilisateurs, ou encore d’accéder à des données sensibles.
Cela concerne à la fois les:
- « admin » internes / externes
- « télé mainteneurs » ou des « prestataires »
- ou toute personne ayant des droits à privilèges
Il est impératif de savoir « Qui » fait « Quoi » sur le serveur / équipement sécurité réseau et assurer la traçabilité de ces actions. Il est conseillé:
- D’octroyer des privilèges aux utilisateurs uniquement sur les systèmes auxquels ils sont autorisés à accéder.
- D’éviter que des utilisateurs privilégiés aient connaissance des mots de passe permettant d’accéder aux systèmes.
- Avoir une politique de gestion des mots de passe
des équipements/serveurs à administrer (voir notre offre)