TL;DR:
L'objectif de cet article est de fournir un "squelette" exhaustif de document d'architecture (DAT) pour un projet de déploiement d'un PAM CyberArk, en particulier en mode Privilege Cloud.
Ce document est issu de plusieurs projets réels déployés récemment et en représente une synthèse.
A titre indicatif, en fonction du niveau de détail développé, le DAT cible devrait faire entre 100 et 200 pages.
Concepts et outils:
Windows Server, CyberArk Privilege Cloud, Active Directory, PSM, CPM, Vault
Date: 07/2023
Mise à jour: 07/2026
1. Ce document ne décrit pas CyberArk, il décrit une manière de structurer la documentation technique d'un projet CyberArk.
2. Ce squelette de DAT pour un PAM CyberArk peut aussi être adapté à d'autres types de projets de déploiement d'un composant logiciel d'infrastructure.
3. Ce document est en français mais comme on rédige presque toujours un DAT en anglais, tous les exemples donnés ci-dessous dans les encadrés "Exemple" sont en anglais.
4. Il y a plein de façons possibles de structurer un DAT ; ce document en présente une seule, et ce n'est certainement pas la plus aboutie. Néanmoins j'espère qu'il pourra être utile.
1.1 Noms et acronymes utilisés dans le projet
1.2 Contenu et division du document
1.3 Infos générales sur le document
1.4. Ressources projet
1.5. Contacts clés
2.1. Modèle de sécurité
2.2. Directives générales
2.3. Contraintes de configuration
2.4. Séparation des tâches
2.5. Conformité
3.1. Résumé
3.2. Previous situation (facultatif)
3.3. Justification du changement (rationale for change)
3.4. Diagramme HLD
3.5. Liste des composants
3.6. Utilisateurs
3.7. Principes généraux d'architecture
3.8. Contraintes et pré-requis
3.9. Transition depuis la situation précédente
3.10. Matrice RACI
3.11. Processus de cycle de vie
4.1. Architecture technique et inventaire des composants
4.2. Login accounts
4.3. Onboarded accounts
4.4. Comptes de réconciliation
4.5. Modèle de sécurité pour la délégation des permissions (Safe model)
4.6. Types de Safes
4.7. Standards pour la gestion des Safes
4.8. Contraintes de sécurité dans l'implémentation
4.9. Intégration LDAP/Active Directory
4.10. Accès administratif au PAM
4.11. Réseau
4.12. Conventions de nommage
4.13. Périodes de maintenance
4.14. Limitations
4.15. Policies
4.16. Configuration des connecteurs PSM
4.17. Load-balancing des PSM
4.18. Gestion des plateformes CPM
4.19. Configuration de Secure Tunnel
4.20. Continuité et résilience
4.21. Hardening des serveurs
4.22. Intégration ITSM
4.23. Versions déployées des composants
4.24. Gestion des exceptions
Fournir une brève explication du produit.
Donner quelques descriptions. Par exemple:
Décrire la division du DAT en plusieurs parties:
Mettre les liens vers: notes de projet, doc end-user, référentiels de configuration, documents livrés par un intégrateur, etc.
PSSI, conventions de nommage internes; etc.
Mettre les liens vers: site web de l'éditeur, portail client, docs éditeur, guide de référence de l'API REST, etc.
Mettre les liens vers:
Mettre les liens vers: documentation utile trouvée sur internet. Par exemple:
Fournir les points de contact importants à l'exploitation du PAM: supports internes N1, N2, N3, contact de référence (tech lead), contacts éditeur, etc.
Le mieux étant de mettre un tableau:
| Rôle | Nom | Email/tél |
|---|---|---|
| xxx | xxx | xxx |
| xxx | xxx | xxx |
S'agissant d'un produit destiné à l'élévation du niveau de sécurité dans l'organisation par la mise en place d'une gestion réfléchie des secrets sensibles concernant les comptes à hauts privilèges, cette section est particulièrement importante à faire figurer dans le DAT.
Par exemple sur un environnement Active Directory, on va parler (rapidement) du Tiering ou de l'Enterprise Access Model, mettre un petit diagramme, et fournir les liens vers la doc interne AD.
Rappeler des règles de sécurité importantes et mettre un lien vers la partie de la PSSI qui les énumère en ce qui concerne le contexte du PAM (l'objectif est de se prévaloir de ces règles édictées pour l'ensemble de l'organisation et qui ont valeur de contraintes obligatoires). Par exemple:
Ensuite, indiquer en quoi projet en question contribue à satisfaire ces règles.
Expliciter les éléments de langage utilisés dans le document.
En plus des règles générales évoquées plus haut, on va parler ici des règles de sécurité
Décrire succinctement la gestion du cycle de vie des comptes, spécifiquement dans le cadre de l'implémentation du PAM.
Décrire le nécessaire processus périodique de revue des comptes.
Faire figurer dans cette section une matrice de séparation des tâches (SoD): pour éviter qu'un même profil cumule création de compte + validation + accès.
Expliciter dans cette partie:
La politique de rétention des enregistrements de session: durée légale/contractuelle, stockage (Vault vs SIEM vs archivage froid), qui peut y accéder.
La classification des données/RGPD: si des sessions enregistrées ou logs contiennent des données personnelles.
le threat model/analyse de risques: scénarios de compromission envisagés (compromission du Vault, insider threat) et mesures compensatoires.
Décrire les enjeux et les objectifs (surtout si le déploiement de CyberArk vient remplacer un projet précédent)
On peut ajouter des sous-sections 3.2.x pour décrire la situation précédente que le projet vient solutionner en termes de (exemples):
Cette section explique les buts (= directives générales de ce qui doit être réalisé/atteint) et les objectifs (stratégies pour les étapes d'implémentation permettant d'atteindre les buts) du projet.
Définir les équipes qui vont utiliser le PAM et leurs rôles. Par exemple:
Dire qu'on va mettre en place une charte et fournir le lien vers cette charte à signer pour les destinataires de comptes à hauts privilèges
Faire en sorte que la charte tienne sur une page (ou 2 max).
Décrire ici les évolutions attendues du point de vue de l'architecture de la solution dans le futur. Par exemple:
Ouvrir le contexte sur les futures améliorations possibles, ou best-practices qu'on souhaiterait implémenter dans une prochaine évolution de la plate-forme, qui ne seraient pas possible pour le moment.
Fournir ici des diagrammes originaux représentant les composants déployés dans le cadre du projet et le principe de fonctionnement du PAM.
Ces diagrammes doivent être spécifiques à l'environnement réel, sinon ça ne sert à rien (des diagrammes sont disponibles dans les docs officielles, autant les recopier). Donc on fera figurer des noms de sites, de pays/régions, des noms de domaines AD, etc.
Voici des exemples de diagrammes plus ou moins corrects générés avec ChatGPT en un prompt (juste pour donnée une idée générale):
HLD global. Exemple:
Diagramme représentant une phase de connexion: récupération d'un fichier rdp sur le pvwa puis lancement de la connexion vers bastion vers target. Exemple:
Autre exemple plus succinct:
Inventorier ici l'ensemble des composants déployés dans le cadre du projet:
Décrire les types d'objets gérés par le PAM et leur rôle:
Dépend des types de comptes gérés dans l'organisation.
Faire un tableau qui indique tous les types de comptes qui seront gérés par le PAM:
| Account type | Tier | Support level | Description | Nominative | RDP use |
|---|---|---|---|---|---|
| Desktop | 2 | - | desktop account (use: office, messaging) |
Yes | No |
| ADM | 0,1,2 | L1,L2,L3 | administration account | Yes | Yes |
| OP | 1 | L1,L2 | operator account | No | Yes |
| OP | 2 | L1,L2 | operator account | No | No |
| DA | 0 | L3 | domain admin (Active Directory) |
Yes | Yes |
| SA | 0,1,2 | - | service account | No | No |
...Etc. à adapter à chaque contexte.
Décrire et distinguer les deux types de comptes du point de vue du PAM:
Ici on va décrire le besoin pour différents types d'environnements de PAM et lesquels sont destinés à être déployés:
Définir ici les SLA cibles pour l'infrastructure déployée.
Parler ici du dimensionnement des PSM en fonction de l'utilisation cible de l'infrastructure déployée.
Décrire ici le dimensionnement des CPM en fonction de l'utilisation cible de l'infrastructure déployée.
Description des niveaux de support dans l'organisation (L1, L2, L3, ... et leurs rôles).
Description des environnements courants dans l'organisation (test, dev, acceptance, prod, ...).
Cette section va servir à décrire la transition organisée depuis la situation précédent le déploiement du PAM CyberArk. Ne pas oublier notamment:
Plan de migration si remplacement d'un PAM existant: stratégie de coexistence, ordre de bascule par périmètre.
Plan de tests (UAT): scénarios de recette fonctionnelle avant mise en prod.
Modèle de support post-go-live: SLA, niveaux de support (N1/N2/N3), astreinte ?
Fournir par exemple ici des données provenant d'un audit des comptes et groupes à hauts privilèges, leur catégorisation, etc.
Ne pas négliger cette partie pour éviter un certain nombre de problèmes !
Je conseille fortement de mettre d'abord un mot sur la signification de R,A,C,I pour être clair car il y a souvent des confusions entre le français et l'anglais.
Détailler ici les tâches unitaires ou récurrentes liées au cycle de vie de l'infrastructure en question. Par exemple:
Décrire la cadence des upgrades CyberArk et la procédure de test dans les grandes lignes (préprod puis prod).
Décrire le processus de gestion du changement (change management): qui valide une modification de policy, de Safe, ou d'architecture après le go-live.
Si on veut livrer un document de bonne qualité, c'est la partie à laquelle il faut apporter le plus grand soin, sans oublier qu'il s'agit de la partie la plus "vivante", qui devra être mise à jour au fur et à mesure de l'évolution de l'infrastructure.
Produire un tableau listant les PSM configurés:
| Server | Identifier | Domain | IP Address | Roles | Location | System account |
|---|---|---|---|---|---|---|
| PSM3 | 1ab234d | contoso.lab | 192.168.168.123 | PSM+CPM | Paris datacenter | _SA_PSM3 |
| ... | ... | ... | ... | ... | ... | ... |
Joindre un petit diagramme LLD montrant l'ensemble des PSM et leur répartition dans les DC/clouds si nécessaire.
Produire un tableau listant les principaux serveurs de rebond existants "connus" utilisés par les équipes d'admins. Exemple:
| Server | IP Address | Description |
|---|---|---|
| toto7.contoso.lab | 192.168.168.124 | admin server for VMware team |
| ... | ... | ... |
Donner ici les informations sur l'intégration du PAM avec le puits de log d'entreprise.
Fournir le lien vers la doc interne d'intégration SIEM.
Fournir ici une checklist assez détaillée: quels indicateurs sont remontés au SIEM/SOC (health checks Vault, échecs CPM, sessions PSM), outils utilisés (PTA, syslog, SNMP).
Décrire les différents types de comptes qui peuvent être utilisés pour se connecter au portail CyberArk PAM. Cela est fait conjointement et en cohérence avec la documentation de l'équipe AD qui décrit les standards, notamment le modèle de ségrégation et les types de comptes.
Chaque type de compte a ses normes qu'il convient de synthétiser ici: nommage/préfixe, niveau de Tier, placement OU, utilisation cible, etc.
Il peut y avoir par exemple:
4.2.1. Comptes de connexion permettant d'accéder à des crédentials de Tier 1
4.2.2. Comptes de connexion permettant d'accéder à des crédentials de Tier 0
4.2.3. Comptes de connexion au portail ne permettant d'accéder à aucun crédential mais donnant des privilèges d'administration du portail lui-même (admins CyberArk)
Là on parle des types de comptes qui sont onboardés dans CyberArk, donc les secrets protégés dans des Safes.
Encore une fois on rappelle le rôle de chaque type de compte et les normes internes qui lui sont associées.
Il peut y avoir par exemple:
4.3.1. Comptes d'administration
4.3.2. Comptes d'administration de domaine (Domain Admins)
4.3.3. Comptes opérateurs
4.3.4. Comptes de service
Ce sont les types de comptes spéciaux utilisés par CyberArk pour forcer le reset des mots de passes lors d'une désynchronisation entre le mot de passe stocké dans le PAM et le mot de passe réel du compte.
Il y a plusieurs approches concernant ces types de comptes de service, qui ne sont pas obligatoires.
On peut considérer que par commodité les comptes de réconciliation permettent de diminuer les tickets d'incidents au support.
D'un autre coté on peut considérer que c'est une surface d'attaque supplémentaire, que les utilisateurs n'ont qu'à mieux gérer leurs comptes à privilèges et que cette situation est exceptionnelle. Il n'y a pas de bonne façon universelle d'appréhender la question, tout dépend de l'environnement spécifique auquel le déploiement du PAM en question se destine.
Détailler dans cette section la stratégie adoptée quant à l'utilisation des comptes de réconciliation.
C'est la partie la plus structurante de la manière d'utiliser un PAM ; une description détaillée du modèle de sécurité mis en oeuvre doit figurer dans le dossier d'architecture.
*Le modèle "Role-Based" organise les Safes en fonction des équipes ou des rôles métier. Chaque Safe contient les comptes nécessaires à une équipe donnée (administrateurs, SOC, développeurs, etc.) et les accès sont accordés via des groupes d'administration. Cette approche est souple et s'adapte facilement aux besoins des métiers, mais peut entraîner la duplication de comptes ou la création de Safes partagés lorsqu'un même identifiant est utilisé par plusieurs équipes.
*Le modèle "Rule-Based" organise quant à lui les Safes selon des critères techniques, tels que la plateforme, la technologie ou le type de compte (administrateurs Windows, comptes root Linux, comptes Oracle, etc.). Plus rigide, il offre en contrepartie une organisation homogène, facilite l'automatisation des opérations d'administration et convient particulièrement aux comptes standardisés.
Quel que soit le modèle retenu, il est essentiel de définir une convention de nommage claire, concise et cohérente (The three C's - Clear, Concise, Consistent). Les noms des Safes doivent suivre une structure identique, composée de champs décrivant par exemple l'environnement, le type de compte, la plateforme ou la technologie. Une nomenclature homogène facilite les recherches, la maintenance et l'exploitation de la plateforme.
Enfin, les autorisations doivent être gérées exclusivement au travers de rôles et de groupes, en évitant autant que possible les permissions attribuées directement aux utilisateurs. Cette approche simplifie l'administration, améliore la lisibilité du modèle de sécurité et facilite les évolutions de l'organisation.
*Dans la pratique, de nombreux déploiements adoptent une approche "hybride" : les comptes techniques génériques sont organisés selon un modèle Rule-Based, tandis que les comptes spécifiques à une application ou à une équipe sont regroupés dans des Safes Role-Based. Cette combinaison permet de concilier simplicité d'administration et flexibilité.
Rappeler les best practices.
Rappeler le fait que le nommage des Safes doit permettre d'identifier leur type de contenu et leurs groupes owners.
Décrire ici quels sont les types de Safes qui sont implémentés dans le déploiement en question. Par exemple:
On peut aussi vouloir créer des Safes pour stocker des secrets n'étant pas destinés à établir des sessions (équivalent d'un keepass partagé). Décrire ici ces types de Safes et leurs permissions.
C'est probablement le plus gros sujet dans CyberArk.
Aborder en détail les questions concernant la gestion des Safes:
Fournir ici la convention de nommage des Safes.
Indiquer le standard des permissions à fournir pour chaque type de Safe. Par exemple:
1. Il faut fournir ce tableau rempli pour chaque type de Safe implémenté dans le déploiement.
2. Cet exemple n'est pas une vérité, il faut adapter les permissions (on/off) à chaque modèle de sécurité selon le contexte.
Rappeler que l'implémentation du PAM se fait en respectant les règles de tiering/modèle de délégation en place au niveau de l'Active Directory.
Le cas échéant, ajouter une section sur ce sujet.
Ceci est valable pour un déploiement Privilege Cloud.
Ceci est valable pour un déploiement Privilege Cloud.
Fournir les informations générales suivantes:
Ici on va décrire la répartition dans des OU des groupes AD utilisés pour fournir aux utilisateurs de CyberArk leurs appartenance à des Safes (en rappelant la ségrégation en place dans l'annuaire AD et l'impérieuse nécessité de respecter les permissions sur les objets, en particulier en les plaçant aux bons endroits).
Cette section va catégoriser l'ensemble des objets AD concernés (impactés) par le déploiement du PAM.
Description des groupes AD concernés par le PAM.
Tout ceci dépend largement de l'organisation et est à adapter.
Décrire ici les standards de normalisation des comptes en termes de remplissage des attributs AD: samaccountname, adresse mail, UPN, types de groupes cibles d'appartenance:
Fournir ici la description des comptes qui sont utilisés pour administrer le PAM à proprement parler et leus droits (en termes de PAM modules / Vault Authorizations):
Décrire la présence éventuelle d'un compte de secours (break-glass account) builtin (non-AD) et qui le gère.
Décrire ici les autres comptes internes configurés, le cas échéant (compte auditeur ayant un accès limité en API, compte de création d'objets en masse via API, etc.)
Mettre dans un tableau une matrice de flux détaillée regroupant toutes les règles firewall mises en place entre chaque composant pour le besoin de l'infrastructure PAM déployée
Ne pas oublier:
Si un accès conditionnel au PVWA ou au portail Privilege Cloud est mis en place, détailler dans cette section la liste des points d'entrée:
Le cas échéant (self-hosted ou Privilege Cloud): TLS pour PVWA, LDAPS vers l'AD, certificats du HTML5 Gateway, etc.
Ne pas oublier de faire figurer ici:
Lister ici comme pour tout projet les dépendances techniques usuelles (avec les IP des services et le mode de connexion).
Voici une checklist de base:
Rappeler ici que la question du nommage des Safes du PAM est déjà abordée dans la section 4.7.1 et produire éventuellement un tableau récapitulant cette convention.
Produire ici un tableau récapitulant la convention de nommage adoptée pour les différents types de comptes de connexion au PAM.
Ne pas paraphraser la doc AD / mettre ici un lien vers la doc de l'équipe AD
Produire ici un tableau récapitulant la convention de nommage adoptée pour les groupes de sécurité concernant l'organisation du PAM.
Produire ici un tableau récapitulant la convention de nommage adoptée pour les Organizational Units représentant la structure logique dans l'annuaire AD des objets utilisés pour le PAM.
Produire ici un tableau récapitulant la convention de nommage adoptée pour les plateformes CPM.
Détailler ici les fenêtres de maintenance négociées durant lesquelles le service est susceptible d'être dégradé ou interrompu de façon programmée.
Faire état des éventuelles limitations de la solution déployée au regard du cahier des charges initial.
Indiquer ici quelles sont les hypothèses de départ issues des contraintes de l'environnement spécifique dans lequel le PAM est déployé et qui sont susceptibles d'introduire des limitations qui ne sont pas dues au produit lui-même mais aux spécificités de l'environnement.
Indiquer ici toutes les gestions d'accès privilégiés qui sont hors du périmètre du déploiement, soit parce que le PAM ne peut pas les gérer (systèmes anciens/spécifiques, applications internes, ...) soit parce que des arbitrages les ont exclues du périmètre (pour des questions de niveaux de criticité, consommation de licences, etc.).
Description des policies mise en oeuvre dans le PAM.
Fournir dans cette section la liste des connecteurs PSM utilisés (RDP, SSH, etc.) et leur logique de sélection.
Liste des PSM de type RDP déployés:
Voici d'autres exemples de types de PSM à inclure, en fonction de l'environnement:
(Même chose que pour la section précédente, fournir les détails)
4.16.2. SSH
4.16.3. vSphere
4.16.4. Web/PSMP
4.16.5. Connecteurs custom
Le cas échéant, si on a mis en place du load-balancing au niveau des adresses des PSM, décrire ici la configuration déployée.
Fournir ici le détail des plateformes utilisées/customisées et la logique de rotation par type de plateforme (Windows, Unix, DB, réseau, ...etc.):
Voici d'autres exemples de plateformes à inclure, en fonction de l'environnement:
Même chose que pour la section précédente, fournir les détails
4.18.2. *NIX
4.18.3. Cloud
4.18.4. Bases de données
4.18.5. Equipements réseau
4.18.6. Applications
4.18.7. Accès DRAC
4.18.8. Sites web
Ceci est valable pour Privilege Cloud.
Le cas échéant, si le logiciel CyberArk Secure Tunnel a été installé, décrire ici la configuration déployée.
Détailler dans cette section le plan de sauvegarde/restauration:
Détailler les méthodes appliquées pour effectuer les sauvegardes. Par exemple:
Cette section concerne principalement un déploiement self-hosted mais il peut être utile de détailler ce plan pour les composants on-prem d'un déploiement Privilege Cloud.
Faire figurer ici une checklist de tous les points mis en application concernant le hardening de chacun des composants déployés, et indiquer quel est le référentiel utilisé (CIS Benchmark, guide CyberArk Vault Hardening, ou autre).
Mettre un schéma d'intégration ITSM si les demandes d'accès passent par un outil comme ServiceNow.
Indiquer dans cette section les versions déployées de tous les composants.
Lister ici les cas faisant exception à l'usage général du PAM dans son contexte et les raisons. Par exemple:
Ceci figure généralement dans un document séparé. Cependant quelques procédures d'exploitation peu courantes peuvent figurer dans le DAT. Pour le reste, fournir ici le(s) lien(s) vers les procédures d'exploitation.
A titre indicatif, voici une liste de procédures d'exploitation à ne pas oublier dans le DEX:
On ne va pas développer cette partie ici. D'abord, le DIN figure le plus souvent dans un document séparé du DAT. Ensuite, il est abondamment illustré de captures d'écran et de tableau de données qui sont spécifiques à un environnement donné et deviennent périmés à chaque changement de version.
On se contentera le plus souvent, de fournir dans le DAT le lien vers le DIN.
Cela dit, le DIN fait aussi partie des livrables à fournir au terme d'un déploiement.--
TG - 07/2026