L'utilisation d'un gestionnaire de mot de passe s'est démocratisée ces dernières années avec le nombre grandissant de fuites de données causées le plus souvent par des fuites d'identifiants.
Les entreprises sont ainsi de plus en plus nombreuses à proposer un logiciel de gestion de mots de passe à leurs collaborateurs leur permettant de stocker leurs identifiants dans un espace sécurisé.
Grâce à la centralisation et à la sécurisation du stockage et de la gestion de identifiants, les organisations limitent donc le risque de phishing et contrôle de manière fine l’utilisation des accès.
Plus de sécurité pour la DSI, plus de fluidité dans l’accès aux applications et équipements pour les collaborateurs, l’intérêt est double d’autant qu’il est également possible d’augmenter le niveau de sécurité via la mise en place de politique de mots de passe par exemple.
Jusqu’ici rien de vraiment nouveau dans l’écosystème bien fournis des gestionnaires de mots de passe, l’objectif étant finalement de fournir aux collaborateurs un coffre-fort pour éliminer les mauvaises pratiques (post-it, fichier excel, partage « sauvage » d’identifiant) et simplifier la gestion des mots de passe qui, souvent, se compte par centaines ou milliers au sein des organisations.
Pour autant, il n'y a pas que les collaborateurs d'une entreprise qui utilisent des mots de passe.
En effet, les logiciels métiers ainsi que les microservices doivent eux aussi se connecter à des bases de données ou à des services internes et ces identifiants sont rarement stockés dans un gestionnaire de mots de passe, et pourtant !
En utilisant l'API (Application Programming Interface) de votre gestionnaire de mot de passe vous pouvez étendre encore plus votre politique de gestion d'identifiants.
L’objectif de cet article est donc de vous partager quelques exemples et cas d’usages afin de faire passer votre solution de gestion des mots de passe d’un « simple » coffre-fort vers une plateforme de gestion des accès sécurisée…et automatisée.
Si votre SI à l'habitude de déployer de nouveaux serveurs ou applications il est fréquent que des scripts soient utilisés pour faciliter leur déploiement et leur configuration.
Lors de ces actions, des identifiants sont créés et utilisés.
Vous pouvez alors vous reposer sur l'API de votre gestionnaire de mots de passe pour automatiser ses actions et vous assurer que chaque mot de passe :
- Est uniquement utilisé pour cet usage (et non mutualisé avec d'autres serveurs/applications).
- Respecte la politique de robustesse que vous avez définie.
- Sera facilement accessible lors d'interventions par vos équipes techniques.
- Sera traçable dans son utilisation et ses modifications.
- Ne sera pas écrit en dur dans vos scripts et vos configurations.
Quand un collaborateur ou un prestataire arrive dans votre entreprise, il faut souvent lui créer un compte sur l'annuaire de l'entreprise afin qu'il puisse accéder à une boite mail, à une session windows et aux ressources internes de l'entreprise.
Il est alors rapide d'automatiser une liaison par l'API pour que les identifiants créés pour l'occasion soient directement stockés dans votre gestionnaire de mots de passe.
Cela permettra au nouvel arrivant d'accéder facilement et de manière sécurisé à tous les accès qu'il aura à utiliser pour sa mission.
Dans des cas d'exigences élevés de sécurité il est fréquent d'anticiper des fuites d'identifiants et de prévoir un moyen quasi instantané de modifier les accès administrateurs des différents services de l'entreprise.
En exécutant un script relié à l'API de votre coffre-fort de mot de passe, vous modifiez immédiatement tous les mots de passes sensibles et vous ne prenez pas le risque d'attendre d'être certain ou non d'avoir subi une fuite d'identifiants.
Il est demandé, dans le cadre de certification par exemple de modifier ses identifiants tous les 90 jours.
En vérifiant la date de dernière modification de chaque mot de passe via l'API, vous pouvez ainsi modifier ou demander au collaborateur de modifier les identifiants trop anciens.
Au même titre que lors de la création d'un serveur ou d'un accès collaborateur, lorsque que celui-ci vient à son terme il faut supprimer ses accès, voir modifier ceux qui ne peuvent être supprimés.
Une fois de plus, l'utilisation de l'API de votre gestionnaire d'identifiants vous permettra d'être certain qu'aucun accès ne pourra être utilisé après le départ du collaborateur.
Vous l’aurez compris, les possibilités sont multiples et peuvent permettre de :
1. Faire gagner du temps aux équipes de développement.
2. Fluidifier/simplifier les process internes liés à votre SI.
3. Renforcer la sécurité globale du SI et notamment sur des infrastructures de microservices nécessitant la gestion d’une multitude de token d’accès.