Réduire la surface d’attaque Azure commence presque toujours par la gestion des accès privilégiés.
C’est aussi l’un des chantiers les plus rentables en termes de réduction de risque.
Les principes de base sont simples :
- aucun accès admin direct depuis Internet ;
- aucun rôle permanent pour les comptes humains ;
- traçabilité systématique des actions sensibles.
L’architecture cible combine généralement :
- Azure Bastion ou solution équivalente ;
- PIM pour l’élévation temporaire des rôles ;
- rôles RBAC adaptés (éviter “Owner” par réflexe) ;
- journalisation exploitable des sessions.
Dans des contextes réglementés, l’ajout d’un bastion tiers (ex. WALLIX) renforce l’auditabilité, mais ne remplace jamais une mauvaise conception RBAC.
Le bastion est un outil. Le modèle d’accès est ce qui fait la sécurité.