Privileged Access Workstation – PAW – by ETSI
En janvier 2026, l’European Telecommunications Standards Institute (ETSI), Technical Committee « Cyber Security » (TC CYBER) a publié le dernier chapitre du standard ETSI TS 103 994 qui définit les Privileged Access Workstations (PAW).
Cette série a été élaborée pour améliorer significativement la sécurité opérationnelle des environnements d’administration critiques, en définissant des bonnes pratiques pour les PAW c’est-à-dire les postes utilisés pour effectuer des tâches administratives sensibles.
3 documents ont été publiés:
- Partie 1 – « Physical Device » (TS 103 994-1). Décrit les exigences techniques de base pour un PAW : configuration du poste, isolation, support matériel (TPM, Secure Boot), gestion des comptes, durcissement OS, journalisation, et restrictions d’accès.
- Partie 2 – « Connectivity » (TS 103 994-2). Traite de la connectivité des PAW : architectures réseau sécurisées, principes de « browse down » (accès depuis environnements de confiance vers moins fiables), protocoles chiffrés, restrictions de trafic, et règles d’accès aux systèmes cibles.
- Partie 3 – « System Integration » (TS 103 994-3) . Étend le standard aux concepts d’intégration système : classification des accès à haut risque, intégration avec des stratégies IAM/PAM, contrôles de flux multi-domaines, virtualisation pour technologies legacy, et résilience des environnements PAW.
Les objectifs principaux incluent :
- Réduire la surface d’attaque liée aux comptes à privilèges, en s’assurant que les actions sensibles sont effectuées depuis des postes hautement sécurisés et dédiés.
- Fournir une base commune de bonnes pratiques pour la configuration, l’utilisation, la connectivité et l’intégration des dispositifs PAW.
- Limiter l’impact des attaques courantes (phishing, compromission de chaînes logicielles, exploitation de failles) en isolant les interfaces d’administration critiques et en durcissant les postes qui y accèdent.
- Standardiser ces bonnes pratiques pour garantir une cohérence entre industries et acteurs tout en permettant l’innovation dans la mise en œuvre.
Ce travail répond à la reconnaissance croissante que les postes à privilèges sont des vecteurs critiques de compromission des systèmes, et que des recommandations techniques cohérentes et partagées sont nécessaires pour réduire ces risques.
L’ANSSI, via son guide d’hygiène informatique, a de son côté déjà défini de nombreuses recommandations pour sécurisé un système d’information. Le tableau suivant compare les périmètres adressés par ces deux référentiels sur le périmètre du poste de travail (i.e. PAW):
| Item sécurité ETSI | Exigence / Essentiel | Doc ETSI | Chapitre GHI | Notes |
|---|---|---|---|---|
| UEFI / Secure Boot / TPM | Matériel sécurisé, certificat racine de confiance | TS 103 994-1 | IV.Sécuriser les Postes | Durcissement du firmware |
| OS propre et source de confiance | Image approuvée, supply-chain contrôlée | TS 103 994-1 | IV.Sécuriser les Postes | Intégrité de la plateforme |
| Liste blanche d’applications | Autoriser uniquement les applications nécessaires | TS 103 994-1 | IV.Sécuriser les Postes | Réduction de la surface d’attaque |
| Blocage de code non autorisé | Interdire l’exécution de code / macro non signé | TS 103 994-1 | IV.Sécuriser les Postes | Contrôle de l’exécution de programmes |
| Protection du terminal (AV/EDR) | Agent de sécurité requis | TS 103 994-1 | IV.Sécuriser les Postes | Anti-Malware & Endpoint Detection Response – EDR |
| Gestion des médias amovibles | Restriction des périphériques USB | TS 103 994-1 | IV.Sécuriser les Postes | Contrôle des périphériques |
| Chiffrement des données au repos | TPM + chiffrement disque | TS 103 994-1 | IV.Sécuriser les Postes | Protection contre le vol physique |
| Mises à jour & correctifs | Patch de l’OS & des applications | TS 103 994-1 | VIII.Maintenir le Système d’Information à Jour | Gestion des vulnérabilités |
| Intégrité du terminal | Contrôle & surveillance de l’intégrité | TS 103 994-1 | IX.Superviser, Auditer, Réagir | Détection des altérations |
| Isolation, virtualisation (VM) pour logiciels legacy | Isolation des logiciels anciens | TS 103 994-3 | IV.Sécuriser les Postes | Sécurité applicative, Ségrégation Logique |
| Éviter technologies obsolètes | Interdire OS / applications non supportés | TS 103 994-3 | VIII.Maintenir le Système d’Information à Jour | Gestion d’obsolescence |
Ce bloc couvre le durcissement de l’OS, le contrôle applicatif, l’EDR, le patching, la confidentialité, et la conformité du socle technique, autrement dit le cahier des charge du poste / endpoint.
Ce premier périmètre définit les caractéristiques d’un poste d’administration durci et peut ensuite être étendu à l’intégration de ce poste dans une infrastructure. Le tableau suivant érige une comparaison entre le standard ETSI et le GHI de l’ANSSI:
| Item sécurité ETSI | Exigence / Essentiel | Doc ETSI | Chapitre GHI | Notes |
|---|---|---|---|---|
| Comptes dédiés + MFA | Compte non partagé + MFA fort | TS 103 994-1 | III.Authentifier et Controler l’accès | Gestion des identités |
| Integration PAM | Intégration PAW dans stratégie PAM/IAM | TS 103 994-3 | III.Authentifier et Controler l’accès / VI.Sécuriser l’Administration | IAM / PAM |
| Administration depuis une machine de confiance | Administration via postes durcis | TS 103 994-1 | VI.Sécuriser l’Administration | Isolation des interfaces d’administration |
| Protocoles d’administration sécurisés | SSH / TLS pour administration | TS 103 994-1 | VI.Sécuriser l’Administration | Sécurité des opérations de gestion |
| Identifier les accès à haut risque | Classification des accès sensibles | TS 103 994-3 | II.Connaitre le Système d’Information | Cartographie des risques |
| Protocoles chiffrés (TLS/VPN) | Chiffrement transport | TS 103 994-2 | V.Sécuriser le Réseau | Confidentialité du réseau |
| Isolation & segmentation réseau | Cloisonnement des flux | TS 103 994-2 | V.Sécuriser le Réseau | Défense en profondeur |
| Accès Internet restreints | Limiter services externes | TS 103 994-1 | V.Sécuriser le Réseau | Réduction des menaces |
| Contrôles de flux multi-domaines | Audit des transferts data | TS 103 994-3 | IX.Superviser, Auditer, Réagir | Inspection & audit |
| Journalisation & SIEM | Logs capturés & corrélés | TS 103 994-1 | IX.Superviser, Auditer, Réagir | Détection d’incident |
| Plan de résilience / break-glass | Continuité accès admin | TS 103 994-3 | IX.Superviser, Auditer, Réagir | Réversibilité & solution de secours |
Ce bloc couvre l’identité, l’administration, le réseau, la segmentation, le chiffrement, la supervision, la journalisation, autrement dit le cahier des charges l’infrastructure et du socle transverse.
Cette comparaison montre que les deux référentiels, de l’ETSI et de l’ANSSI, présentent des recouvrements et que le niveau d’exigence requis pour obtenir les visas de sécurité de l’ANSSI est rejoint par le standard ETSI.
Nos Services
Eternilab développe des postes de travail sécurisés conformes au GHI. Notre expertise porte sur le durcissement des postes de travail via l’implémentation de chaque brique technologique requises pour adresser les périmètres normatifs évoqués dans le premier tableau relatif au durcissement de l’os.
Nous proposons notre expertise pour former les équipes et intégrer les postes dans les infrastructures des entreprises et ainsi adresser les périmètres adressés par le second tableau relatif à l’infrastructure et aux questions organisationnelles de l’entreprise.
Gallus est un poste de travail sécurisé basé sur Microsoft Windows 11. Eternilab produit un installateur qui permet de disposer d’une image ISO utilisable pour créer un parc de postes sécurisés. Gallus est livré avec un logiciel open source d’audit de sécurité qui permet de produire un rapport qui peut servir de preuve lors d’un audit qualifiant.
Gallix est un poste de travail sécurisé basé sur Linux Debian. Eternilab produit un jeu de règles Ansible qui permettent de paramétrer rapidement un parc de postes sécurisés. Gallix est livré avec un logiciel open source d’audit de sécurité qui permet de produire un rapport qui peut servir de preuve lors d’un audit qualifiant.
Dans leur version premium, Gallus et Gallix sont conformes au Guide d’Hygiène Informatique Renforcé. Les machines livrées peuvent alors être utilisées pour manipuler des informations ou des systèmes classés « Diffusion Restreinte » tel que défini par la l’instruction interministérielle n°901/SGDSN/ANSSI (II 901) du 28 janvier 2015.
Libellum est une Infrastructure de Gestion de Clef local (i.e. Public Key Infrastructure) qui permet de gérer les clefs de chiffrement au sein d’une entreprise.
Contactez-nous pour plus d’information : sales@eternilab.com