Un accès privilégié est un droit qui permet d'effectuer des opérations critiques dépassant les capacités d'un utilisateur standard. L'ISO 27002 mesure 8.2 recommande cinq principes de gestion :

• Principe du moindre privilège : attribuer uniquement les privilèges strictement nécessaires à la fonction, jamais plus, révision régulière pour retirer les privilèges devenus inutiles
• Comptes nominatifs obligatoires : interdiction absolue des comptes partagés ou génériques, chaque accès privilégié doit être rattaché à une personne physique identifiable
• Authentification renforcée : MFA obligatoire pour tous les comptes privilégiés, authentification forte (certificat, token, biométrie) pour accès critiques
• Journalisation exhaustive : logs détaillés de toutes actions réalisées avec privilèges élevés, conservation prolongée, alertes sur actions sensibles
• Révision et validation régulières : audit trimestriel ou semestriel des privilèges accordés, suppression privilèges obsolètes, revalidation par hiérarchie

Ces principes visent à garantir que les pouvoirs étendus restent sous contrôle strict et traçable.

Comptes administrateurs système

Accès complet aux systèmes d'exploitation : Windows : Administrateur local, Administrateurs de domaine, Administrateurs d'entreprise, Linux : root, comptes dans groupe wheel/sudo, Pouvoirs : installer/désinstaller logiciels, modifier configuration système, accéder à tous fichiers, créer/supprimer comptes utilisateurs, arrêter/redémarrer serveurs.

Criticité maximale : compromission = contrôle total du système.

Comptes administrateurs applicatifs

Droits élevés sur applications métier : ERP : administrateur SAP, Oracle, CRM : admin Salesforce, Microsoft Dynamics, Bases de données : DBA (Database Administrator) sur SQL Server, Oracle, PostgreSQL, Pouvoirs : modifier données directement en base, créer/supprimer utilisateurs applicatifs, modifier workflow et règles métier, accéder à toutes les données (y compris sensibles).

Comptes de service

Comptes techniques utilisés par applications : exemples : compte pour sauvegardes automatiques, compte pour réplication base de données, compte pour agent de supervision, compte pour service web accédant à la base, caractéristiques : non utilisés interactivement (pas de connexion humaine), souvent privilèges élevés pour fonctionner, mots de passe longs et complexes (32+ caractères), pas d'expiration mot de passe (sinon service s'arrête).

Risque : si compromis, attaquant a accès permanent avec privilèges élevés

Comptes d'urgence (break glass)

Comptes de secours pour situations critiques : usage : accès dernier recours si tous systèmes authentification hors service (AD down, MFA indisponible), récupération catastrophe, protection : mot de passe dans coffre scellé physique (enveloppe signée en coffre-fort), MFA matériel dédié (token physique), alerte immédiate si utilisé, investigation systématique après usage.

Exemple : compte "EMERGENCY-ADMIN" jamais utilisé sauf catastrophe majeure.

Comptes développeurs/DevOps

Accès privilégiés environnements techniques : production : aucun accès direct normalement (déploiement via pipeline), accès lecture seule logs pour debug si absolument nécessaire, pré-production/staging : droits admin pour tests, développement : admin complet sur environnement dev, principe : jamais de droits admin développeurs sur production (séparation stricte).

Définition stricte des besoins

Analyser précisément les privilèges nécessaires : question : cette personne a-t-elle VRAIMENT besoin de ce privilège pour faire son travail ?, par défaut : refuser, accorder uniquement si justification métier claire, exemples : support helpdesk → réinitialiser mots de passe utilisateurs (pas besoin admin complet), technicien réseau → modifier configuration switches (pas besoin admin serveurs), DBA → admin bases de données (pas besoin admin OS sous-jacent).

Privilèges temporaires vs permanents

Adapter durée selon besoin : permanents (rares) : administrateurs systèmes dédiés qui font ce travail quotidiennement, même eux sur compte nominatif séparé, temporaires : projet nécessitant privilèges pendant 3 mois → accorder pour durée projet puis retirer, consultant externe → privilèges durée mission uniquement, just-in-time : élévation ponctuelle pour tâche précise (1-2h) puis révocation automatique.

Séparation des comptes

Comptes différents selon usage : utilisateur standard : pour usage quotidien normal (email, bureautique, navigation), aucun privilège élevé, compte administrateur : séparé, nominatif, utilisé uniquement pour tâches admin, impossible de lire emails ou naviguer avec ce compte (réduit risque phishing).

Exemple : Jean Dupont a deux comptes (jean.dupont = compte standard quotidien, jean.dupont-admin = compte admin pour tâches système).

Révision régulière

Nettoyage périodique des privilèges : fréquence : trimestrielle minimum (semestrielle acceptable pour petites structures), processus : lister tous comptes privilégiés, pour chacun vérifier : personne toujours dans l'entreprise ?, privilèges toujours justifiés par fonction actuelle ?, suppression privilèges obsolètes, responsabilité : managers valident privilèges de leurs équipes, RSSI/DSI valident comptes administrateurs globaux.

MFA obligatoire pour comptes privilégiés

Multi-Factor Authentication non négociable : facteur 1 : mot de passe (ce que je connais), facteur 2 : code OTP app mobile ou token matériel (ce que je possède), idéalement facteur 3 : biométrie (ce que je suis) pour accès ultra-critiques.

Technologies : Microsoft Authenticator, Google Authenticator, Duo Security, YubiKey (token matériel FIDO2), Azure AD MFA, Okta.

Pas d'exception : même "juste 5 minutes" → MFA obligatoire.

Certificats clients pour comptes de service

Authentification machine-to-machine : certificats numériques X.509 au lieu de mots de passe, rotation automatique possible, révocation immédiate si compromission, tracé dans PKI (Public Key Infrastructure).

Avantage : impossible de voler certificat sans accès physique au système.

Sessions limitées dans le temps

Timeout automatique : session interactive : déconnexion automatique après 15-30 min inactivité, reconnexion nécessite MFA complète, élévation temporaire : privilèges accordés pour 1-4h maximum, révocation automatique expiration délai, nouvelle demande si besoin prolongé.

Pas de connexion à distance non sécurisée

Accès admin uniquement via canaux protégés : VPN obligatoire : aucun accès admin direct depuis Internet, connexion via VPN avec MFA d'abord, bastion/jump server : serveur intermédiaire durci, accès admin passent par bastion uniquement, sessions enregistrées (audit), interdiction : RDP direct depuis Internet, SSH direct exposition publique.

Logs détaillés obligatoires

Tracer toutes actions privilégiées : quoi logger : qui (identité précise), quoi (commande/action exacte), quand (timestamp précis), où (système/serveur cible), résultat (succès/échec), exemples : création compte utilisateur, modification droits, accès base de données, modification configuration réseau, installation logiciel, arrêt/redémarrage service.

Centralisation dans SIEM

Agrégation et corrélation : SIEM (Security Information and Event Management) : Splunk, QRadar, Microsoft Sentinel, ELK Stack, centralise logs de tous systèmes, corrélation multi-sources (détection patterns suspects), avantages : vision globale, détection anomalies, protection logs (impossible de les effacer localement).

Alertes temps réel

Notification immédiate sur actions sensibles : triggers : utilisation compte d'urgence break glass, échec authentification multiple (tentative brute force), action admin hors horaires habituels (3h du matin), création nouveau compte admin, modification droits critiques, réaction : notification SOC ou administrateur senior, investigation immédiate, blocage si suspect.

Conservation prolongée

Rétention logs privilèges : minimum : 1 an pour logs comptes privilégiés (vs 90 jours logs standards), recommandé : 2-3 ans pour conformité et investigations, conformité : vérifier obligations sectorielles (PCI DSS = 1 an minimum, RGPD variable selon contexte).

Qu'est-ce que le PAM ?

Système centralisé de gestion accès privilégiés : coffre-fort mots de passe : stockage sécurisé credentials privilégiés, rotation automatique mots de passe, accès contrôlé et tracé, session recording : enregistrement vidéo sessions admin, rejouable pour audit, workflow approbation : demande accès temporaire, validation hiérarchique, octroi automatique après approbation.

Solutions : CyberArk, BeyondTrust, Delinea (ex-Thycotic), Microsoft Entra Privileged Identity Management (PIM).

Coffre-fort centralisé

Stockage sécurisé credentials : fonctionnement : administrateur ne connaît pas le mot de passe admin réel, demande accès via PAM pour tâche spécifique, PAM injecte credentials automatiquement, administrateur se connecte sans voir mot de passe, **rotation** : PAM change mot de passe après chaque usage (ou quotidiennement), impossible de réutiliser credentials après session.

Élévation de privilèges contrôlée

Just-in-time access : demande : administrateur demande élévation pour tâche précise (ex: "installer patch sécurité serveur PROD-DB-01"), spécifie durée (1-4h), justification métier, approbation : manager ou sénior admin valide (workflow automatisé), octroi temporaire : privilèges accordés durée demandée uniquement, révocation automatique expiration, logs : tout tracé (qui a demandé, qui a approuvé, qu'est-ce qui a été fait).

Enregistrement sessions

Audit et forensic : toutes sessions admin enregistrées (vidéo + frappes clavier), stockage chiffré inaltérable, visionnage lors audits ou investigations, preuve indiscutable des actions réalisées.

Utilité : investigation incident (qu'est-ce qui a été modifié exactement ?), formation (rejouer sessions pour formation nouveaux admins), conformité (preuve traçabilité pour auditeurs).

Inventaire exhaustif

Recenser tous comptes techniques : identifier tous services/applications, lister comptes associés, documenter : quelle application utilise ce compte ?, sur quels systèmes ?, quels privilèges ?, maintenir inventaire à jour.

Problème fréquent : comptes de service oubliés avec privilèges élevés (porte ouverte non surveillée).

Mots de passe robustes et uniques

Sécurisation renforcée : longueur : minimum 32 caractères (recommandé 64), complexité : aléatoire total (générateur), unicité : chaque compte de service a mot de passe différent (jamais réutiliser), stockage : dans PAM ou coffre-fort (pas en clair dans fichiers config).

Pas d'expiration automatique

Éviter interruptions service : mot de passe compte de service ne doit PAS expirer automatiquement (sinon service s'arrête brutalement), à la place : rotation manuelle planifiée (1-2 fois/an), lors de rotation : changer mot de passe, redémarrer service, vérifier fonctionnement.

Privilèges minimaux stricts

Réduire surface d'attaque : principe : compte service doit avoir UNIQUEMENT privilèges nécessaires à sa fonction, exemples : service backup → droits lecture fichiers + écriture destination sauvegarde (pas admin complet), service web → accès base de données applicative uniquement (pas accès bases système), vérification : tester que service fonctionne avec privilèges réduits.

Demande formelle

Process structuré pour accorder privilèges : formulaire : nom demandeur, privilèges demandés (précis), justification métier, durée (temporaire ou permanent), validation manager, validation : responsable IT vérifie cohérence technique, RSSI/DSI valide si privilèges critiques, documentation : demande archivée (traçabilité).

Délai de traitement

Réactivité vs sécurité : standard : 24-48h pour demande normale, urgence : 2-4h si justification valide (mais tracé et validé quand même), refus : si demande non justifiée, proposition alternative avec privilèges moindres.

Provisioning automatisé

Intégration SIRH et IAM : onboarding : nouvel employé → création automatique compte standard selon poste, privilèges selon rôle défini (RBAC - Role-Based Access Control), changement poste : modification automatique privilèges selon nouveau rôle, offboarding : départ employé → désactivation immédiate tous comptes (standard + privilégiés).

Révocation immédiate

Désactivation rapide nécessaire : départ employé : désactivation jour même (avant qu'il ne parte physiquement si possible), fin mission : prestataire/consultant → suppression accès fin de contrat, incident sécurité : suspicion compromission → blocage immédiat en attente investigation, changement fonction : privilèges ancienne fonction retirés même si nouveaux pas encore accordés.

Principe des 4 yeux

Contrôles croisés pour opérations critiques : exemples : virement bancaire important → demandeur + validateur différents, modification configuration pare-feu production → technicien configure + senior valide avant application, création compte admin → demandeur + approbateur + exécutant (3 personnes), objectif : fraude ou erreur nécessite collusion ou échec de plusieurs personnes.

Séparation dev/ops/sécu

Rôles distincts : développeurs : droits sur environnements dev/test (pas production), opérations : droits production pour exploitation (pas droits dev), sécurité : monitoring et audit (pas droits modification systèmes surveillés), interdiction : même personne développeur ET exploitant même application (conflit d'intérêt).

Rotation des tâches

Prévention fraude interne : administrateurs critiques tournent sur postes/responsabilités, détection anomalies (successeur découvre manipulations prédécesseur), évite dépendance unique (connaissance partagée).

Exemple : admin principal prend congés → suppléant reprend temporairement → occasion de vérifier tout est normal.

Comptes partagés - Interdits mais...

Si absolument inévitable : justification : technique (ancienne application ne supporte pas comptes multiples), temporaire (le temps migration vers solution moderne), compensations obligatoires : logs exhaustifs (impossible de savoir qui exactement mais horodatage), seconde authentification (chacun a code PIN personnel en complément), révision mensuelle (plan migration vers nominatif), objectif : éliminer ces comptes progressivement.

Administrateurs tiers (prestataires)

Gestion accès externes : compte nominatif : même prestataire externe → compte personnel (pas générique "prestataire"), temporalité : activation uniquement durée intervention, désactivation immédiate fin mission, supervision : escorte virtuelle (monitoring renforcé actions), logs détaillés, VPN dédié : connexion via VPN entreprise (pas accès direct Internet).

Environnements de test

Privilèges en environnements non-prod : développement : privilèges larges acceptables (pas données réelles), recette/staging : privilèges contrôlés (réplique production), production : privilèges minimaux stricts (aucune exception).  Attention : même en test, pas de vrais mots de passe admin production (risque fuite).

• Compte "admin" partagé : avoir un compte "administrateur" utilisé par 5 personnes rend toute traçabilité impossible. Comptes nominatifs obligatoires sans exception.
• Pas de MFA sur comptes admin : laisser comptes privilégiés sans MFA est l'erreur la plus dangereuse. Un mot de passe volé = compromission totale.
• Privilèges jamais révisés : accorder privilèges et ne jamais les revoir crée accumulation de droits obsolètes. Révision trimestrielle obligatoire.
• Logs non conservés : supprimer logs admin après 30 jours empêche investigations. Conservation minimum 1 an pour comptes privilégiés.

La gestion des droits d'accès privilégiés repose sur le principe du moindre privilège (accorder uniquement le strict nécessaire avec révision trimestrielle). Les comptes nominatifs obligatoires interdisent tout partage de credentials privilégiés, chaque accès admin étant rattaché à une personne identifiable. L'authentification renforcée impose MFA obligatoire sur tous comptes privilégiés (app mobile, token matériel, certificats pour services).

La journalisation exhaustive trace toutes actions avec conservation 1-2 ans minimum et centralisation SIEM. Les solutions PAM (Privileged Access Management) fournissent coffre-fort centralisé, rotation automatique credentials, élévation temporaire just-in-time, et enregistrement sessions. La séparation stricte impose comptes standard et admin distincts pour chaque administrateur.

Les comptes de service nécessitent mots de passe 32+ caractères uniques, privilèges minimaux stricts, et inventaire exhaustif. La révocation immédiate désactive accès dès départ employé ou fin mission. Les alertes temps réel notifient actions sensibles (compte urgence, création admin, accès hors horaires).