Présentation de la rotation des identifiants
La rotation des identifiants consiste à remplacer un mot de passe à privilèges, une clé SSH ou un jeton de manière planifiée ou à la demande. Cet article explique comment fonctionne la rotation dans VaultPAM et comment configurer les politiques de rotation.
Pour des instructions pas à pas permettant d'effectuer immédiatement la rotation manuelle d'un identifiant, consultez Effectuer la rotation d'un identifiant.
Ce que signifie la rotation
Lorsqu'un identifiant fait l'objet d'une rotation, VaultPAM génère un nouveau secret et met à jour la valeur stockée dans le coffre-fort. L'ancien secret est supprimé. Si l'identifiant est associé à un compte géré sur un système cible, VaultPAM transmet également la nouvelle valeur à ce système.
La rotation réduit la fenêtre d'exposition : même si un identifiant est compromis, il devient invalide après la rotation suivante.
Rotation manuelle vs automatique
| Mode | Quand elle se produit | Qui la déclenche |
|---|---|---|
| Manuelle | À la demande | Opérateur ou administrateur depuis la vue du coffre-fort |
| Automatique | Selon une planification configurée | Moteur de rotation VaultPAM |
| Déclenchée par événement | Après la fin d'une session ou un événement spécifique | Configurable par coffre-fort |
Définir la fréquence de rotation
La fréquence de rotation se configure par coffre-fort :
- Accédez à Coffres-forts et ouvrez le coffre-fort que vous souhaitez configurer.
- Sélectionnez Paramètres > Politique de rotation.
- Définissez l'intervalle de rotation (quotidien, hebdomadaire, mensuel ou personnalisé en jours).
- Activez éventuellement Rotation après session pour effectuer automatiquement la rotation de l'identifiant à la fin de chaque session.
- Enregistrez la politique.
État de réussite : Le coffre-fort affiche la date et l'heure de la prochaine rotation planifiée. Les événements de rotation apparaissent dans le journal d'audit.
Justification de conformité
La rotation régulière des identifiants est exigée ou recommandée par :
- NIS2 Article 21 -- mesures de contrôle d'accès et de moindre privilège
- SOC 2 CC6.1 -- contrôles d'accès logique
- CIS Control 5 -- gestion des comptes
Une rotation maximale de 90 jours constitue une référence courante pour les comptes à privilèges. Pour les comptes de service avec extraction automatisée, des intervalles plus courts (7 à 30 jours) sont recommandés.