CyberArk sur AWS multi-régions : architecture, pièges et industrialisation
Un déploiement CyberArk mal architecturé peut créer l’inverse de ce qu’il promet : un single point of failure sur les accès critiques. Si le coffre-fort tombe, personne ne peut accéder aux systèmes de production. Le PCA de votre PAM est aussi critique que celui de vos bases de données.
Le contexte
Un grand groupe industriel international, présence sur 3 continents, infrastructure cloud AWS. L’objectif : centraliser la gestion des comptes à privilèges sur l’ensemble des régions avec un seul coffre-fort CyberArk, tout en respectant les contraintes de souveraineté des données par zone géographique.
Architecture retenue
Nous avons déployé CyberArk Self-Hosted (pas Privileged Cloud) sur AWS, pour plusieurs raisons : contrôle total sur le chiffrement, conformité avec les exigences OIV du client, et capacité à intégrer des connecteurs CPM/PSM personnalisés.
- Vault principal en EU-West (Irlande) avec DR automatisé en EU-Central (Francfort)
- Composants PSM (Privileged Session Manager) locaux dans chaque région pour minimiser la latence des sessions enregistrées
- CPM (Central Policy Manager) centralisé avec connecteurs personnalisés pour les équipements réseau et les bases Oracle
- Authentification AD fédérée avec MFA via RADIUS
Les 3 pièges que nous avons évités
**Piège 1 : sous-estimer les latences inter-régions.** Les sessions d’administration enregistrées (via le module PSM — l’enregistreur de sessions CyberArk) deviennent inutilisables au-delà de 150ms de latence. C’est pourquoi nous avons déployé des enregistreurs locaux dans chaque région au lieu de centraliser.
**Piège 2 : les clés d’accès cloud non protégées.** Les clés d’accès des comptes de service AWS doivent elles-mêmes être stockées dans le coffre-fort et renouvelées automatiquement. Nous avons développé un connecteur spécifique (module CPM — le gestionnaire de rotation des mots de passe CyberArk) pour automatiser ce renouvellement.
**Piège 3 : l’intégration manuelle.** Avec 200+ comptes à intégrer, le paramétrage un par un prend des semaines. Nous avons automatisé via un import en masse et une création automatique des coffres et des droits — ce qui aurait pris 4 semaines manuellement a été fait en 3 jours.
Industrialisation
Le déploiement CyberArk n’est que le début. L’industrialisation — c’est-à-dire la capacité à onboarder de nouveaux comptes et systèmes sans intervention manuelle — est ce qui fait la différence entre un PoC et une solution de production.
- Intégration ServiceNow : les demandes d’accès privilégié passent par un workflow ServiceNow qui provisionne automatiquement le coffre et les droits dans CyberArk
- Monitoring : alertes Splunk sur les tentatives de connexion échouées, les sessions non enregistrées, les comptes non rotés
- Documentation : run book opérationnel de 45 pages remis à l’équipe interne
Ce que nous en tirons
Le déploiement multi-régions n’est pas juste un sujet d’infrastructure. C’est un sujet de gouvernance : qui a le droit de provisionner un coffre ? Qui valide un accès cross-région ? Qui audite les sessions ? Ces questions de gouvernance doivent être résolues avant de toucher à la technique.
Évaluer la résilience de votre architecture PAM
Découvrir notre expertise CyberArk — IAIS
