Quelle doit être la durée de validité d'une session et d'un mot de passe de comptes à privilèges ? Comme tout professionnel de la sécurité peut l'imaginer, il existe plusieurs approches et considérations à évaluer lorsqu'on essaie de déterminer quelle est la « meilleure pratique » pour définir la durée de validité des mots de passe et des sessions. 

L’évaluation des comptes

Il faut considérer les types et droits d'accès des comptes. Il peut s’agir de comptes administrateurs de contrôleur de domaine, des comptes de serveur d'application, des comptes de bases de données, des serveurs de ligne d'activité, des périphériques réseau, etc. Ils peuvent également avoir plusieurs droits d'accès, ce qui signifie qu'ils sont utilisés pour se connecter à plusieurs serveurs ou actifs, applications, bases de données et dispositifs réseau. La compréhension des droits d'accès aux comptes aidera à guider le processus d'évaluation.

Catégorisation des comptes à privilèges

Il existe plusieurs façons de classer les comptes. Il est important de se rappeler qu’il est question d’essayer de définir des « ensembles » d'accès privilégiés à des comptes afin de pouvoir les classer par ordre de priorité lors de la prochaine étape. En ce qui concerne la catégorisation des comptes privilégiés, il faut tenir compte de ce qui suit :

- Sont-ils dans un domaine de production ou de développement ?
- Ont-ils accès aux fleurons de l’environnement de production, tels que les contrôleurs de domaine ?
- Ont-ils accès à des environnements cloud critiques ?
- Qu'en est-il des applications financières à haut risque ou des bases de données critiques ?

Il y a plusieurs façons de classifier, mais l'objectif est ici la cohérence. Le cadre de la catégorisation des comptes privilégiés varie d'une organisation à l'autre, en fonction de différents facteurs tels que la taille, le nombre de comptes, l'accès, etc. Une fois les comptes répartis dans un format qui a du sens pour l’organisation, l'étape suivante consiste à classer chacune de ces catégories par ordre de priorité, à les hiérarchiser. La priorisation doit se faire en fonction des risques les plus élevés et les plus faibles. Si les administrateurs du contrôleur de domaine sont les comptes les plus importants ou présentent le plus grand risque pour l'organisation, alors ils doivent être considérés comme prioritaires. À l’inverse, les comptes de développement utilisés pour les tests sont considérés comme beaucoup moins prioritaires.

Considérations relatives à l'élaboration des longévités des mots de passe/sessions

Le plus dur est fait. La meilleure façon d’aborder cette question est de commencer par une base de référence pour les comptes de faible priorité. Cette base doit représenter le niveau minimum de contrôle sur la longévité qu'une organisation est prête à accepter. Dans certains cas, l'organisation choisit de les aligner sur les contrôles, normes ou politiques de sécurité. Le plus souvent, ces critères n'ont pas été définis, c'est pourquoi la question sur la durée de validité semble toujours se poser.

Lorsqu’on construit une base de référence, il est plus simple de commencer par les comptes de faible priorité pour définir la durée de validation la plus souple. En règle générale, ces durées varient entre 48 heures et 7 jours. Il s'agit de comptes à faible priorité et donc à risque minimal. L'intérêt de créer cette base de référence est qu’on dispose d'un point de départ et on peut optimiser les délais de validation pour chaque catégorie et priorité. Quand on en arrive aux comptes prioritaires représentant de plus grands risques pour une organisation, on peut envisager de limiter la durée de validité à une heure. Si un utilisateur a besoin de consulter ce type de compte, il ne pourra le faire que pendant une heure. Il devra ensuite demander de nouveau un mot de passe privilégié s'il souhaite continuer à l'utiliser. Dans certains cas, les organisations choisissent d'ajouter une étape supplémentaire exigeant une approbation avant de communiquer un mot de passe.

Atteindre les meilleures pratiques pour la durée de validités des mots de passe/sessions

Bien qu'il y ait plusieurs options et exceptions à prendre en compte, il faut garder à l'esprit que pour tout type d'accès à la production qui utilise un coffre-fort à mot de passe PAM où les identifiants privilégiés sont contrôlés, gérés et communiqués aux utilisateurs, les durées de validités ne doivent jamais dépasser une journée de travail typique de l'utilisateur. Les ingénieurs de sauvegarde, les opérations d'ingénierie critiques ou autres peuvent faire exception à cette règle. En effet, ils sont parfois amenés à effectuer des tâches qui dépassent une journée de travail dit normale de 8 à 12 heures. Ces types d'utilisateurs doivent être évalués, catégorisés et hiérarchisés.

L’objectif est d’essayer d'atténuer les risques associés aux accès privilégiés. Certains types d'accès privilégié représentent plus de risques que d’autres, mais construire un cadre et une base de référence solides permettent aux organisations d’avoir une approche standardisée à utiliser lorsqu'elles souhaitent répondre à la question : « Pendant combien de temps doivent être valides les mots de passe et les sessions des utilisateurs ? »