Aller au contenu principal

Présentation de la rotation des identifiants

La rotation des identifiants consiste à remplacer un mot de passe à privilèges, une clé SSH ou un jeton de manière planifiée ou à la demande. Cet article explique comment fonctionne la rotation dans VaultPAM et comment configurer les politiques de rotation.

Pour des instructions pas à pas permettant d'effectuer immédiatement la rotation manuelle d'un identifiant, consultez Effectuer la rotation d'un identifiant.

Ce que signifie la rotation

Lorsqu'un identifiant fait l'objet d'une rotation, VaultPAM génère un nouveau secret et met à jour la valeur stockée dans le coffre-fort. L'ancien secret est supprimé. Si l'identifiant est associé à un compte géré sur un système cible, VaultPAM transmet également la nouvelle valeur à ce système.

La rotation réduit la fenêtre d'exposition : même si un identifiant est compromis, il devient invalide après la rotation suivante.

Rotation manuelle vs automatique

ModeQuand elle se produitQui la déclenche
ManuelleÀ la demandeOpérateur ou administrateur depuis la vue du coffre-fort
AutomatiqueSelon une planification configuréeMoteur de rotation VaultPAM
Déclenchée par événementAprès la fin d'une session ou un événement spécifiqueConfigurable par coffre-fort

Définir la fréquence de rotation

La fréquence de rotation se configure par coffre-fort :

  1. Accédez à Coffres-forts et ouvrez le coffre-fort que vous souhaitez configurer.
  2. Sélectionnez Paramètres > Politique de rotation.
  3. Définissez l'intervalle de rotation (quotidien, hebdomadaire, mensuel ou personnalisé en jours).
  4. Activez éventuellement Rotation après session pour effectuer automatiquement la rotation de l'identifiant à la fin de chaque session.
  5. Enregistrez la politique.

État de réussite : Le coffre-fort affiche la date et l'heure de la prochaine rotation planifiée. Les événements de rotation apparaissent dans le journal d'audit.

Justification de conformité

La rotation régulière des identifiants est exigée ou recommandée par :

  • NIS2 Article 21 -- mesures de contrôle d'accès et de moindre privilège
  • SOC 2 CC6.1 -- contrôles d'accès logique
  • CIS Control 5 -- gestion des comptes

Une rotation maximale de 90 jours constitue une référence courante pour les comptes à privilèges. Pour les comptes de service avec extraction automatisée, des intervalles plus courts (7 à 30 jours) sont recommandés.

Articles connexes