Portail
Forum
Devolutions Force
Hub Business
Hub Personal
Devolutions Send
RDM
Workspace
Launcher
Dans la cadre du sondage sur le Portrait de la sécurité informatique dans les PME de 2022-2023, nous avons appris que seulement 12 % des PME s’étaient munies d’une solution de gestion des accès privilégiés (PAM) complètement déployée, et que 52 % d’entre elles ne disposaient pas du moindre contrôle PAM!
Pour bien comprendre tous les aspects du problème, nous avons posé la question suivante à notre communauté le mois dernier : Utilisez-vous une solution PAM?
Le camp du non l'emporte
Seulement 30 % des répondants disent se servir d’une solution PAM. Toutefois, 25 % de ceux qui ont répondu négativement disent qu’ils prévoient en implémenter une prochainement ou qu’ils sont actuellement en train de s’en procurer une.
De plus, 4 % d’entre eux ont déclaré que, bien qu’ils aient déjà implémenté une solution PAM, ils ne se servent d’aucune de ses fonctionnalités. À la place, ces répondants disent s’en servir comme un outil de gestion de mots de passe.
Les obstacles et défis du PAM
Mais qu’est-ce qui empêche l’adoption de solutions PAM? Voici les obstacles les plus souvent rapportés (les commentaires suivis d’un astérisque sont survenus à plusieurs reprises) :
- Une « vraie » solution PAM nous serait fort utile, mais d’autres projets plus urgents nous empêchent de consacrer toutes les ressources nécessaires à son implémentation dans à travers toute notre entreprise.
- Nous n’utilisons pas de produits PAM pour de nombreuses raisons, notamment la complexité de leur implémentation et les coûts qui y sont associés.*
- PAM ne fait pas partie de nos priorités.*
- Notre entreprise est actuellement trop petite pour PAM.
L'évaluation d'une solution PAM
Voici ce que plusieurs répondants avaient à dire à propos de leur solution PAM actuelle :
- Nous travaillons avec Delinea Secret Server, mais sans grand enthousiasme. La maintenance annuelle me donne des boutons. Les fournisseurs PAM passent beaucoup plus de temps à rédiger des documents détaillant les lacunes de leurs produits qu’à améliorer leurs capacités de prise en charge, car ils préfèrent de loin vendre des conseils. Notre solution actuelle requière beaucoup de travail et de nombreuses fonctionnalités sont en fait des extensions payantes.
- Nous nous servons d’IAM (de CyberArk), et il est d’une lenteur épouvantable.
- Nous utilisons aussi Secret Server, mais, en toute franchise, je trouve l’interface très médiocre et préfère ne pas m’en servir.
- Mon entreprise dispose d’outils PAM, mais nous passons à un fournisseur de documentation TI qui s’occupe aussi des mots de passe. Actuellement, certains de nos utilisateurs se servent encore de nos outils PAM, alors que d’autres utilisent des mots de passe dans le nouvel outil. C’est un véritable capharnaüm! Nous traitions avec Thycotic Secret Server et étions très satisfaits de l’outil. Il avait un module d’extension de navigateur qui permettait de copier-coller les mots de passe facilement à partir de l’outil. Le nouvel outil propose un module d’extension similaire, mais ce dernier écrase mes applications de gestion de mots de passe personnelles. Résultat : l’icône flottante pour remplir automatiquement les champs de saisie n’apparaît plus pour mon outil. Le seul problème que nous ayons jamais eu avec Secret Server, c’est que, parfois, le serveur local cesse de répondre et doit être redémarré.
- Notre entreprise se sert d’une solution PAM que je n’aime pas personnellement. Par contre, mon expérience est plutôt celle d’un utilisateur final puisque c’est notre équipe de sécurité numérique qui se charge de son fonctionnement. J’estime qu’elle complique certaines opérations, mais qu’elle est généralement tout à fait adéquate.
PAM ou pas PAM? Telle est la question…
Selon Gartner, la gestion des accès privilégiés (PAM) joue un rôle essentiel dans le principe de confiance zéro et les stratégies de défense en profondeur qui dépassent les normes de conformité de base.
Il est important de bien comprendre que les gestionnaires de mots de passe sont, en somme, des outils de continuité des affaires. Ils ne constituent pas des outils de sécurité robustes, car ils ne peuvent pas effectuer diverses tâches de sécurité telles que : l’injection sécurisée d’identifiants, la découverte de comptes, la rotation automatique des mots de passe, etc.
Notre gestionnaire des ventes, Gabriel, a récemment écrit un article fort intéressant sur le sujet. Jetez-y un œil et partagez-le avec les dirigeants de votre entreprise qui croient encore qu’un gestionnaire de mots de passe seul suffit.
Et les gagnants sont...
Le temps est venu de dévoiler les noms des deux participants tirés au sort qui gagneront chacun une carte-cadeau Amazon de 25 dollars. Félicitations à Darko Bazulj et Kjartan Konradsson! Veuillez m’envoyer un courriel à l’adresse lcadieux@devolutions.net pour réclamer votre prix.
Ne manquez pas le prochain sondage
Le sondage d’avril ne saurait tarder. Restez à l’affût de l’article détaillant les modalités du prochain concours!
