Ask HN : comment stockez-vous et partagez-vous les mots de passe en entreprise ?

 (news.ycombinator.com)
23 points par GN⁺ 2024-09-03 | 1 commentaires | Partager sur WhatsApp
  • Dans les métiers de l’IT, il faut gérer un grand nombre de mots de passe
  • Existe-t-il une méthode recommandée pour stocker les mots de passe et attribuer des droits d’accès ?
    • Permettre à un nouvel employé d’avoir accès dès son premier jour à tous les mots de passe dont il a besoin
    • Accorder à un nouvel employé l’accès aux mots de passe supplémentaires nécessaires lorsqu’il est promu
    • Lorsqu’un employé quitte l’entreprise, modifier les mots de passe importants auxquels il avait accès et informer toutes les personnes autorisées de ce changement

À lire aussi

1 commentaires

 
GN⁺ 2024-09-03

Avis Hacker News

  • Réduire au minimum la gestion des mots de passe
    • Utiliser le SSO pour intégrer autant de services que possible avec OIDC, et utiliser la version cloud de 1Password afin de faciliter l’audit et la gestion des accès
    • Lorsqu’on donne à des personnes l’accès à des mots de passe, il faut se rappeler qu’il faudra les changer si ces personnes changent de rôle ou quittent l’entreprise. Si les mots de passe ne sont pas du tout pénibles à gérer, c’est qu’il y a probablement un problème
  • Méthode de gestion des mots de passe :
    • Tous les mots de passe doivent être uniques. Éviter autant que possible le partage de mots de passe. Utiliser le SSO
    • Si nécessaire, utiliser un gestionnaire de mots de passe ou des solutions comme Hashicorp Vault ou OpenBao
  • Approche selon la taille de l’organisation :
    • Stratégie de sécurité en fonction du nombre de personnes et de services
      • 1 à 20 personnes - utiliser un gestionnaire de mots de passe (Bitwarden, 1Password, etc.)
      • 20 à 30 personnes ou plus - utiliser le SSO
      • 50 personnes ou plus - commencer à attribuer de vrais rôles dans le schéma SSO
      • 1 à 5 services - les secrets de CircleCI et un gestionnaire de mots de passe suffisent
      • Plus de 5 instances - utiliser un gestionnaire de secrets comme Vault
      • Plus de 10 instances - commencer à utiliser un gestionnaire de secrets aussi en local pour le développement. Commencer à envisager des politiques IAM bien délimitées pour chaque service et chaque membre de l’équipe
      • Plus de 15 instances - commencer à envisager des frontières supplémentaires de zero trust
    • Bien entendu, cela reste très approximatif. Selon les exigences réglementaires/de conformité et le niveau de revenus, il peut être nécessaire de faire ces démarches plus tôt
    • Étapes de renforcement de la sécurité
      1. Centraliser les secrets même s’ils ne peuvent pas être facilement révoqués (gestionnaire de mots de passe)
      2. Les rendre facilement révocables et centralisés (SSO)
      3. Affiner davantage les rôles et les accès (RBAC)
      4. Appliquer de l’automatisation entre ces étapes (lorsque c’est approprié)
  • Séparer les comptes standard et les comptes administrateur
  • Centralisation et automatisation :
    • Centraliser les secrets et permettre leur révocation facile
    • Utiliser le contrôle d’accès basé sur les rôles (RBAC) pour accorder des autorisations granulaires
    • Relier toutes les étapes par l’automatisation
  • Ne pas créer son propre outil d’authentification/gestion des secrets : c’est très complexe et les risques sont élevés, donc il faut éviter autant que possible de le développer en interne
  • Automatiser autant de tâches que possible, et faire en sorte que les employés n’aient pas besoin d’accéder aux systèmes de production
  • Recommandation de Rippling : recommandé comme solution intégrant SSO et gestion RH
  • Expérience de construction d’un programme de sécurité :
    • Utiliser le SSO : Okta si le budget le permet, sinon Keycloak
    • Utiliser un gestionnaire de mots de passe : 1Password recommandé
    • Utiliser une solution de gestion des secrets : HashiCorp Vault recommandé
  • SSO et 2FA : renforcer la sécurité en utilisant ensemble le SSO et la 2FA