29. mars 2026 | Imprimer l'article |

Gestion des accès privilégiés : pourquoi les comptes administrateurs sont la principale porte d’entrée pour les attaquants

8 min de lecture

80 pour cent de toutes les violations de données commencent par le vol ou la compromission d’identifiants. 40 pour cent d’entre elles concernent des comptes privilégiés : administrateurs de domaine, comptes de service, super-utilisateurs de bases de données. Un seul compte administrateur compromis suffit pour passer d’une station de travail à une autre, voler d’autres identifiants et se déplacer latéralement à travers tout le réseau. La gestion des accès privilégiés (PAM) n’est pas une mesure de sécurité optionnelle. Avec la directive NIS2, elle devient une exigence réglementaire.

L’essentiel

  • 80 pour cent de toutes les violations commencent par des identifiants compromis (CrowdStrike). Les comptes administrateurs et de service sont des cibles privilégiées car ils offrent le plus large accès.
  • 40 pour cent des violations de données concernent des comptes privilégiés. Coût moyen : 4,50 millions de dollars US par violation (Verizon DBIR / IBM).
  • 30 pour cent des incidents de sécurité sont liés à l’identité (IBM X-Force 2025). Les attaquants prennent le contrôle de comptes et abusent de leurs droits légitimes.
  • 40 pour cent des violations proviennent d’insiders : pas seulement des attaquants externes. Les employés, prestataires et anciens collaborateurs disposant encore de droits administrateurs représentent un risque majeur (Verizon DBIR 2024).
  • NIS2 exige un contrôle d’accès : la directive impose explicitement des contrôles d’accès et une gestion des identités pour les entités critiques et importantes dans l’UE.

Pourquoi les comptes privilégiés sont le Saint-Graal pour les attaquants

Un compte utilisateur standard permet d’accéder à sa boîte mail, à quelques lecteurs réseau et aux applications nécessaires au travail quotidien. Un compte administrateur de domaine permet d’accéder à chaque serveur, système et base de données du réseau. Pour un attaquant, la différence équivaut à celle entre une clé de porte et un passe-partout.

La séquence d’attaque est presque toujours identique : un courriel de phishing envoyé à un employé ordinaire. Vol d’identifiants via la machine compromise. Déplacement latéral vers un système où un compte administrateur est actif. Élévation de privilèges. À partir de là, l’ensemble du réseau est accessible. CrowdStrike documente que, en moyenne, un attaquant passe du premier point d’entrée compromis au suivant en 62 minutes. Si un compte administrateur tombe, il ne faut plus que quelques minutes pour obtenir un accès complet au réseau.

Le problème est aggravé par les dettes techniques. De nombreuses entreprises disposent de comptes de service créés il y a plusieurs années, dotés de mots de passe statiques jamais renouvelés. Ces comptes possèdent souvent des droits excessifs, accumulés au fil du temps sans jamais être revus. Ce sont des cibles idéales : largement autorisés, rarement surveillés, protégés par des mots de passe inchangés depuis trois ans.

80 %
des violations de données commencent par des identifiants compromis
Source : CrowdStrike, 2025

Ce que signifie concrètement la gestion des accès privilégiés (PAM)

La PAM est un concept de sécurité et une catégorie technologique qui contrôle, surveille et enregistre l’accès aux comptes privilégiés. Elle repose sur quatre capacités fondamentales :

1. Stockage sécurisé des identifiants (Credential Vaulting) : Les mots de passe privilégiés sont stockés dans un coffre-fort chiffré, et non dans des fichiers Excel ou sur des Post-it. Aucun administrateur ne connaît le mot de passe d’un compte de service. Le système PAM le délivre automatiquement selon les besoins et le renouvelle après utilisation.

2. Accès juste-à-temps (Just-in-Time Access) : Les droits administrateurs ne sont pas attribués de façon permanente, mais uniquement pendant la durée nécessaire. Un administrateur de base de données obtient un accès super-utilisateur pendant deux heures pour résoudre un problème. Ensuite, l’accès est automatiquement révoqué. L’objectif est le « Zero-Standing-Privileges » : personne ne dispose de droits administrateurs en permanence.

3. Enregistrement des sessions (Session Recording) : Chaque session administrateur est enregistrée : commandes, contenu de l’écran, accès aux bases de données. Pas pour surveiller les employés, mais pour la forensic. En cas de violation, l’enregistrement montre précisément quelles commandes ont été exécutées avec quel compte.

4. Élévation des privilèges (Privilege Elevation) : Plutôt que d’accorder à un utilisateur des droits administrateurs permanents, seules les autorisations spécifiques nécessaires à une tâche donnée sont temporairement augmentées. Un développeur peut installer une application sans pouvoir administrer l’ensemble du serveur.

« Près de 40 % des violations de données concernent des comptes privilégiés. Le coût moyen de ces violations s’élève à 4,50 millions de dollars US. La PAM n’est pas une fonction de confort, mais une mesure de protection existentielle. »
Anomalix, The Role of PAM in Preventing Data Breaches, 2025

NIS2 et PAM : pourquoi cela devient une obligation réglementaire

La directive NIS2 exige explicitement, à l’article 21, des mesures de gestion des accès. Pour les entités critiques et importantes dans l’UE (et cela concerne des milliers d’entreprises DACH), le contrôle des accès privilégiés n’est plus une simple bonne pratique, mais une exigence réglementaire.

Plus précisément, NIS2 impose : des contrôles d’accès et une gestion des identités, des mesures de sécurité pour l’utilisation des systèmes et réseaux informatiques, ainsi que la notification des incidents de sécurité dans les 72 heures. Un compte administrateur compromis, non surveillé faute de mise en œuvre d’un système PAM, constitue une violation de la conformité NIS2.

Pour les dirigeants en Allemagne, la situation devient personnelle : la NIS2 prévoit une responsabilité personnelle de la direction si les mesures de cybersécurité ne sont pas suffisamment mises en œuvre. L’absence de protection PAM lors d’une attaque par ransomware ayant escaladé via un compte administrateur peut entraîner la responsabilité personnelle du dirigeant. Les audits NIS2 demandent explicitement des mesures PAM.

PAM dans les PME DACH : état des lieux

La réalité dans de nombreuses entreprises DACH : les mots de passe administrateurs sont partagés via des bases de données KeePass stockées sur un lecteur réseau. Les comptes de service utilisent des mots de passe inchangés depuis leur création. Et un administrateur IT sur deux dispose de droits d’administrateur de domaine en permanence, car c’est plus pratique.

Les obstacles à la mise en œuvre de la PAM dans les PME sont réels : coûts (les solutions PAM d’entreprise coûtent entre 30 000 et 200 000 Euro par an), complexité (l’intégration dans les infrastructures IT existantes prend des mois) et résistance culturelle (les administrateurs perçoivent la PAM comme une marque de défiance envers leur travail).

Mais des points d’entrée pragmatiques existent. Microsoft propose LAPS (Local Administrator Password Solution), une solution gratuite pour la rotation des mots de passe d’administrateurs locaux. Azure AD Privileged Identity Management (PIM) est inclus dans de nombreuses licences M365 E5. CyberArk, BeyondTrust et Delinea proposent des solutions PAM évolutives adaptées aux PME.

Cinq mesures immédiates pour les équipes de sécurité IT

1. Créer un inventaire de tous les comptes privilégiés. Combien de comptes d’administrateur de domaine existent ? Combien de comptes de service ? À quoi ont-ils accès ? La plupart des entreprises ne le savent pas. Un audit des comptes privilégiés est la première étape. Des outils comme Bloodhound (open source) visualisent les chemins d’attaque dans Active Directory et révèlent les comptes sur-privilegiés.

2. Mettre en place la rotation des mots de passe pour les comptes de service. Tout mot de passe de compte de service datant de plus de 90 jours doit être renouvelé. Utiliser Microsoft LAPS pour les administrateurs locaux, Azure PIM pour les privilèges cloud. Les mots de passe statiques pour les comptes de service sont la cible la plus facile pour les attaquants.

3. Mettre en œuvre l’accès juste-à-temps. Aucun administrateur IT n’a besoin de droits d’administrateur de domaine 24h/24. Azure PIM ou CyberArk Endpoint Privilege Manager permettent une élévation temporaire des droits. Par défaut, chaque administrateur travaille avec un compte utilisateur standard. Les droits administrateurs ne sont activés qu’en cas de besoin.

4. Activer l’authentification multifacteur (MFA) pour tous les accès administrateurs. La MFA pour les comptes privilégiés n’est pas optionnelle. Chaque accès RDP, chaque session SSH et chaque connexion à une base de données avec droits administrateurs doit être protégé par un second facteur. L’authentification multifacteur adaptative vérifie en plus la localisation, l’appareil et le niveau de risque.

5. Mettre en place la surveillance et les alertes pour les activités administrateurs. Chaque connexion administrateur en dehors des heures ouvrables, chaque accès depuis un appareil inconnu et chaque opération massive (ex. : exportation en masse de base de données) doit déclencher une alerte. Les règles SIEM pour les activités privilégiées peuvent être configurées en une heure dans la plupart des outils.

Conclusion

Les comptes privilégiés sont le passe-partout du réseau d’entreprise. 80 pour cent des violations commencent par des identifiants compromis, 40 pour cent concernent directement les comptes administrateurs. Avec la NIS2, la PAM devient une obligation réglementaire assortie d’une responsabilité personnelle des dirigeants. La bonne nouvelle : le démarrage n’a pas besoin d’être coûteux. LAPS, Azure PIM et les audits Bloodhound sont gratuits ou inclus dans les licences existantes. Cinq mesures immédiates, ne nécessitant pas de gros budget, permettent de colmater les principales failles. La question n’est pas de savoir si un compte administrateur sera compromis. La question est de savoir si l’équipe sécurité le détectera à temps et pourra limiter les dégâts.

Questions fréquentes

Quelle est la différence entre IAM et PAM ?

L’IAM (Identity and Access Management) gère l’accès de tous les utilisateurs aux systèmes et applications. La PAM (Privileged Access Management) est un sous-ensemble de l’IAM qui se concentre spécifiquement sur les comptes privilégiés : comptes administrateurs, comptes de service et accès root. La PAM offre des contrôles supplémentaires comme le stockage sécurisé des identifiants, l’enregistrement des sessions et l’accès juste-à-temps, qui ne sont pas nécessaires pour les comptes utilisateurs standard.

Combien coûte une solution PAM pour une PME ?

Les solutions PAM d’entreprise (CyberArk, BeyondTrust, Delinea) coûtent entre 30 000 et 200 000 Euro par an, selon le nombre de comptes gérés et les fonctionnalités souhaitées. Pour commencer : Microsoft LAPS (gratuit pour les mots de passe d’administrateurs locaux), Azure PIM (inclus dans les licences M365 E5) et Bloodhound (open source pour les audits AD) offrent une protection substantielle sans frais de licence supplémentaires.

Ne pourrait-on pas simplement supprimer les comptes de service ?

Pas entièrement. De nombreuses applications et automatisations nécessitent des comptes de service pour la communication entre systèmes. Mais leur nombre peut être fortement réduit : les Group Managed Service Accounts (gMSA) dans Active Directory renouvellent automatiquement les mots de passe. L’authentification basée sur API remplace les comptes de service basés sur mot de passe. Et tout compte de service non activement utilisé doit être désactivé.

L’authentification multifacteur (MFA) pour les comptes administrateurs ne suffit-elle pas ?

La MFA est nécessaire, mais pas suffisante. La MFA protège uniquement le moment de la connexion. Elle ne protège pas contre le détournement de session (un attaquant prend le contrôle d’une session déjà authentifiée), ni contre les comptes de service compromis (qui ne peuvent pas utiliser la MFA), ni contre les menaces internes (un administrateur avec une connexion MFA légitime abuse de ses droits). La PAM complète la MFA par la rotation des identifiants, la surveillance des sessions et des droits temporaires.

Combien de temps prend la mise en œuvre d’une solution PAM ?

La mise en œuvre de base (LAPS + Azure PIM + règles de surveillance) peut être réalisée en 2 à 4 semaines. Une solution PAM d’entreprise complète (CyberArk ou BeyondTrust) intégrée à tous les systèmes, comptes de service et applications anciennes nécessite 3 à 6 mois. L’approche pragmatique : des gains rapides d’abord (LAPS, MFA, surveillance), puis un déploiement progressif.

Pour aller plus loin

Attaques par identité en 2026 : pourquoi les hackers n’ont plus besoin de s’introduire

NIS2 en Allemagne : ce que les entreprises doivent savoir maintenant

IA fantôme : quand les employés utilisent ChatGPT sans que l’équipe IT ne le sache

Plus d’informations sur le réseau MBF Media

Digital Chiefs : la culture des données au sein du conseil d’administration

MyBusinessFuture : l’AI Act à partir d’août 2026

cloudmagazin : sécurité de la chaîne d’approvisionnement des conteneurs

Source de l’image : Pexels / Pixabay (px:279810)

Imprimer l'article
Tobias Massow

À propos de l'auteur: Tobias Massow

Plus d'articles de

Un magazine de Evernine Media GmbH