Un bastion c’est quoi ? 

Un bastion protège un réseau ou serveur, plus particulièrement les accès à privilèges des menaces extérieures. Un accès à privilège signifie que l’utilisateur dispose de droits d’accès à l’administration d’un système d’information. En termes de sécurité, il n’est pas recommandé d’accorder de tels droits de façon inconditionnelle. C’est la raison pour laquelle les accès à privilèges des utilisateurs doivent être contrôlés et supervisés dans un environnement sécurisé. 


C’est ici qu’intervient la notion de PAM, le Privileged Access Management pour désigner la gestion des comptes à privilèges permettant de protéger votre organisation de tout usage inapproprié d’un accès, qu’il soit accidentel ou délibéré.


La gestion des accès des comptes à privilèges a donné naissance à des solutions techniques bien connues aujourd’hui sous le nom de bastions, édités par exemple par CyberArk. Avec la montée en puissance des attaques, il devient indispensable de protéger la cybersécurité de votre entreprise et de ses données. 

Comment fonctionne un bastion en informatique ?

Le bastion d’administration a trois objectifs principaux pour maintenir votre sécurité informatique : 

  • Assurer la traçabilité

    Il est essentiel d’avoir le contrôle sur ce que les utilisateurs font, et à quel moment pour détecter une activité anormale. Le bastion vous permet de suivre toutes les actions des comptes supervisés de votre environnement. En cas de menace ou de faille, vous pouvez ainsi connaître précisément l’étendue des dégâts.

  • Gérer le stockage et la rotation des mots de passe

    Afin de vous donner accès à vos ressources, un bastion fonctionne comme un gestionnaire de mot de passe (coffre-fort) tel que Keepass. L’utilisateur se connecte à un compte afin d’y retrouver toutes ses informations. Le bastion est également capable de générer de nouveaux mots de passe selon les intervalles préalablement définis. Seul le bastion connaît le fameux mot de passe « admin ».

  • Détecter les comportements suspects

    La fonction principale du bastion étant de suivre les actions des utilisateurs, il lui est facile de comparer les comportements à ceux définis comme normaux. On détecte ainsi des connexions depuis des IP étrangères ou à des heures indues, ce qui pourra constituer des indices de faille ou d’attaque.

 

Les avantages d’un bastion 

La cible préférée des cybercriminels reste les identifiants de connexions (login et de mot de passe). Un vol d'identifiant peut corrompre un serveur/réseau ou nuire à plus grande échelle encore à l’entreprise. Si nous imaginons votre sécurité informatique comme un château fort et le pont-levis comme firewall, le remonter ne suffira pas à vous protéger des ennemis extérieurs. Il faudra également analyser qui entre et qui sort. Le bastion va enregistrer le détail des opérations et garantir au maximum la protection des données de votre système d’information. 

Chaque intervenant sur votre réseau dispose désormais d’un compte nominatif lui permettant de disposer des accès réseaux préalablement définis par vos soins. En cas de faille, vous êtes désormais capable de rejouer une session, d’identifier le problème ainsi que le responsable de l’incident de façon rapide et fiable ainsi que l’obligent les normes gouvernementales. En effet, pour répondre aux exigences RGPD il est nécessaire d’avoir : le contrôle des accès réservés aux sous-traitants et aux collaborateurs, la traçabilité et les enregistrements automatiques des connexions, l’analyse du flux SSH et délégation de l’administration. 

Comment réussir son intégration Bastion ? 

Il est important de choisir la solution qui répond à vos besoins et qui respecte votre philosophie d’entreprise. Chaque solution des services spécifiques qui doivent être en phase avec vos contraintes, objectifs, budget et roadmap. Par exemple, si votre activité est sensible vous pourriez opter pour un produit labelisé CSPN (Certificat de Sécurité de Premier Niveau) par l’ANSSI.


Faites le choix d’un prestataire de service agile et expérimenté. En effet, les projets Bastion sont souvent volumineux. Définir ses besoins, choisir la bonne solution et la déployer sereinement… autant de sujets structurants qui pourront être accélérés et simplifiés par un accompagnement pertinent. Votre objectif est de comprendre comment et par qui la solution sera utilisée pour choisir au mieux votre prestataire de service qui assurera la sécurité de votre système d’information.

Quel Bastion choisir ?

Blue a choisi l’outil : CyberArk Blueprint pour sa solution de Bastion. L’entreprise CyberArk est a été nommée pour la 3e fois consécutive leader mondial dans le domaine de la sécurité des accès à privilèges par Gartner dans le Quadrant Magique. 


L’innovation CyberArk Blueprint est destinée à la création des feuilles de route de sécurité hautement personnalisées. Grâce à sa facilité d’utilisation et de mise en œuvre, vous serez en mesure de déterminer votre prochaine étape pour les années à venir.

Comment nous vous aidons à mettre en place votre bastion ?

En tant que prestataire de service, Blue a mis en place 3 étapes pour assurer le succès du déploiement de votre bastion :


Etape 1 : Le fonctionnement  

  • Au lieu de se connecter directement à la machine cible, l’utilisateur privilégié se connecte au bastion via un accès VPN SSL. Son login+mdp est fourni par BLUE.
  • Une fois connecté au bastion, l’utilisateur privilégié se voit proposer une liste de comptes à privilèges préalablement configurés par BLUE selon la demande du client. Les comptes diffèrent selon les vaults (coffre-fort) et permettent l’accès aux différentes ressources informatiques (systèmes, applications, services, domaine, internet, etc).
  • La seconde connexion est initiée par le bastion vers la machine cible. L’utilisateur privilégié n’a pas à saisir de mot de passe ni même à le connaître. Des mécanismes de rotations automatique de mot de passe sont mis en place.Schéma sur le fonctionnement

Etape 2 : Le monitoring 

Toutes les actions réalisées durant la connexion sur les comptes à privilèges sont loguées et enregistrées.

Etape 3 : Le déploiement 

La configuration des comptes à privilèges et des accès est réalisée par BLUE. 

Contactez-nous par mail
+33 (0)2 30 30 00 00 Afficher le numéro