Pourquoi en finir avec les administrateurs permanents grâce à PIM ?

Dans une entreprise, certains employés ont besoin de droits « Administrateur ». Microsoft Entra PIM (Privileged Identity Management) est l’outil qui permet de donner ces droits de façon temporaire.

Aujourd’hui, laisser des accès administrateurs ouverts 24h/24 est un risque majeur. PIM permet d’appliquer la règle du « juste ce qu’il faut, quand il le faut ».

Contexte et problématique

Traditionnellement, quand on nomme un administrateur, il garde ses pouvoirs en permanence. Si son compte est piraté un samedi soir alors qu’il dort, le pirate a immédiatement les pleins pouvoirs.

Les cyberattaques visent en priorité les comptes « VIP ». Avec le télétravail et le Cloud, il est devenu trop dangereuxde laisser les clés de la maison sur la porte en permanence.

Analyse technique

Au lieu d’être Administrateur, l’utilisateur devient éligible.

• Avant : l’utilisateur a les droits tout le temps
• Avec PIM : l’utilisateur demande ses droits dans un portail, justifie sa demande, et les reçoit pour une durée limitée (ex : 2 heures)

Avantages et inconvénients

Avantages

• Aucun droit par défaut
• Aucun rôle activé sans raison spécifique

Inconvénients

• Nécessite une licence pour l’activation
• Activation du rôle manuellement

Étude de cas ou exemples

Une PME a 5 informaticiens. Avant PIM, ils étaient tous « Administrateurs généraux » en permanence.

Après avoir mis en place PIM, leurs comptes sont « standards » la plupart du temps. S’ils doivent créer un nouvel utilisateur, ils activent leur rôle pour 1 heure.

Pour un rôle plus important, un administrateur PIM est défini pour validation avec justification.

Solutions et recommandations

• Identifiez les rôles sensibles : commencez par protéger le rôle « Administrateur général »
• Rendez tous les rôles éligibles et non permanents
• Exigez une justification : forcez l’utilisateur à expliquer pourquoi il active son rôle
• Exigez un approbateur pour chaque rôle