Gestion sécurisée des accès privilégiés

Surveillez les utilisateurs privilégiés et limitez les risques d'infractions

Les mesures de sécurité informatiques périphériques traditionnelles – telles que les logiciels pare-feu, DRM, politiques de mots de passe complexes et rotations fréquentes - ont prouvé qu'elles avaient leurs limites. Si un utilisateur non-autorisé obtient des informations relatives aux comptes et données de connexion, il peut facilement contourner ces systèmes traditionnels. Récemment, plusieurs cyber-attaques de grande envergure ont été attribuées à des utilisateurs non-autorisés tirant parti de codes d'accès d'utilisateurs privilégiés pour accéder à un compte, puis à un réseau.

Les professionnels en cyber-sécurité sont confrontés à un problème de taille. Ils doivent faire en sorte de protéger les utilisateurs et de gérer les risques sans limiter la productivité ni la satisfaction de leurs clients. Avec BeyondTrust, les professionnels de la sécurité peuvent contrôler et surveiller les accès privilégiés tout en donnant à leurs utilisateurs privilégiés la liberté nécessaire à l’exercice de leurs fonctions. Dans le cadre de ses systèmes d'accès privilégiés, BeyondTrust organise la sécurité autour des quatre « A » : Architecture, Authentification, Accès contrôlé, Audit.

Architecture : un déploiement discret

Privileged Remote Access de BeyondTrust est conçu de façon à fonctionner au sein d'un réseau déjà sécurisé. Puisque le client et l'utilisateur privilégié se connectent au système BeyondTrust par le biais de connexions sortantes, il n'est pas nécessaire de modifier le logiciel pare-feu. Cela permet d'élargir un protocole RDP ou SSH au-delà de la connexion LAN, sans exposer les ports ni nécessiter de connectivité VPN.

De plus, BeyondTrust fonctionne sur tous les systèmes d'exploitation. Les utilisateurs privilégiés peuvent se connecter à des systèmes Windows au sein d'un réseau sans avoir à lancer de logiciel. Les solutions BeyondTrust peuvent également être déployés sur des systèmes d'exploitation Mac et Linux, ou tout autre serveur / ordinateur en dehors de votre réseau géré. La connexion aux systèmes Linux et UNIX a lieu avec SSH. Les utilisateurs peuvent même se connecter sur des appareils Android ou iOS.

Toutes les connexions à distance sont protégées par un encodage sécurisé qui passe par le boîtier BeyondTrust. BeyondTrust peut résider dans votre réseau et bénéficier des mêmes mesures de sécurité que celles que vous avez déjà mises en place.

Authentification : tirez parti des annuaires existant

La gestion des codes d'accès est un élément essentiel de la gestion des accès privilégiés. C'est pour cela que BeyondTrust s'intègre parfaitement à vos annuaires, comme LDAPS et Active Directory. Si vous changez un élément du compte d'un utilisateur dans Active Directory, BeyondTrust est automatiquement mis à jour.

De plus, BeyondTrust peut être connecté à RADIUS pour une authentification multi-facteurs, ou au système d'authentification unique Kerberos. Enfin, les utilisateurs privilégiés BeyondTrust peuvent utiliser une carte à puce pour s'identifier sur un ordinateur externe.

Et ce n'est pas tout. BeyondTrust permet aux utilisateurs privilégiés de se connecter à partir d'appareils mobiles. Vous pouvez donc créer une liste d'appareils autorisés et déterminer les emplacements du réseau à partir desquelles ils peuvent se connecter. Vous avez fait en sorte que vos systèmes d'authentification soient parfaitement sécurisés. BeyondTrust fait en sorte de bénéficier de ces mêmes sécurités.

Accès contrôlés : définissez plus de 50 niveaux de permission

BeyondTrust offre plus de 50 niveaux de permission pour les utilisateurs. Vous pouvez donc déterminer un niveau d'accès précisément défini pour chaque utilisateur privilégié. Il est très facile d'attribuer un niveau de permission à un utilisateur ou à un groupe d'utilisateurs. Vous pouvez même créer des profils types sur l'interface BeyondTrust et utiliser Active Directory pour affecter des utilisateurs à ces profils. Si vous déplacez un utilisateur d'un groupe à un autre sous LDAPS, le niveau de permission attribué à cet utilisateur sera automatiquement mis à jour.

Au lieu d’octroyer un accès de type « tout ou rien » à vos utilisateurs, BeyondTrust vous aide à mettre en œuvre les meilleures pratiques d’affectation de privilèges limités à tous vos utilisateurs. Vous définissez les terminaux et les applications accessibles et décidez des périodes ou plages horaires pendant lesquelles ils sont accessibles. Par exemple, vous pouvez autoriser la connexion instantanée des utilisateurs, ou exiger la notification et la permission d'un utilisateur autorisé au début de chaque session.

  • Limitez l'accès à distance à certains terminaux définis.
  • Paramétrez des périodes et plages horaires pendant lesquelles l'accès à des terminaux donnés est autorisé.
  • Exigez la notification et l'autorisation de tout accès.
  • Empêchez tout accès à des programmes non autorisés, grâce à l'option de liste blanche.
  • Gérez votre politique de contrôle d'accès à l’aide de politiques de groupe.

Audit : créez des rapports de session détaillés

BeyondTrust permet non seulement d’empêcher tout accès non-autorisé, mais il vous fournit également des informations détaillées sur les utilisateurs autorisés, notamment lorsque ceux-ci tentent d'accéder à des dossiers non-autorisés.

BeyondTrust enregistre toutes les sessions de manière centralisée. Vous pouvez ainsi savoir qui se connecte à quels terminaux, à quel moment, et suivre les événements de chaque session. Outre les rapports journalisés, BeyondTrust conserve un enregistrement vidéo de chaque session. Grâce à ces enregistrements, vous pouvez retracer toutes les démarches qui ont eu lieu lors de chaque session de prise en main à distance, SSH ou Telnet.

Il est également possible d'exporter ces vidéos et ces rapports de BeyondTrust et de les sauvegarder en externe pour une traçabilité intégrale et détaillée. Vous pouvez aussi assurer le suivi des données de sessions et des changements de configuration, à l'aide de vos solutions SIEM existantes.