Bonnes pratiques de la gestion des identités et des accès au système d information (IAM) Lionel GAULIARDON Solutions techniques et Organisations
SOMMAIRE IAM Qu est-ce que c est et à quoi cela sert Cas concrets Identity and Access Management / Externe et Interne Gestion des droits utilisateurs / Interne Points abordés : Besoins, Souhaits ou Obligations? Organisation
Identity and Access Management En français : «Gestion des identités et des habilitations» En 3 mots: Authentification Autorisation Traçabilité Besoins internes et externes
Identity and Access Management CAS CONCRET : (Télé-)Maintenance
Offres de sécurité DONNEES Confidentialité Disponibilité Intégrité APPLICATIONS Sécurisation de l accès Performance/ Haute Disponibilité INFRASTRUCTURE Sécurité Stockage Sécurité Système Sécurité de l accès Sécurité du réseau Sécurité des terminaux Confidential
Offre de sécurité : Bastion de connexions DONNEES Confidentialité Disponibilité Intégrité APPLICATIONS Sécurisation de l accès Performance/ Haute Disponibilité INFRASTRUCTURE Sécurité Stockage Sécurité Système Sécurité de l accès Sécurité du réseau Sécurité des terminaux Confidential
Objectifs: En complément des solutions de sécurisation de la connexion au SI plus classique, Surveiller les accès des prestataires externes Tracer complètement l activité réalisée pour les ressources sensibles Mieux gérer les ressources qui peuvent être atteintes par le prestataire (Nom des ressources et mots de passe) Faciliter le dé-provisioning sécurisé des accès en cas de changement de prestataire (Comptes prestataire et mots de passe commun) Tracer les accès administrateurs (Réseau, Sécurité, Système, Application) Réalisés depuis l interne et faciliter l application de la politique de sécurité liée à la gestion des mots de passe des ressources atteintes (Durcissement, Fréquence des modifications)
Les contraintes et recommandations réglementaires Recommandations de L ANSSI (Agence Nationale de Sécurité des systèmes d information): Etude sur la Maitrise des risques de l infogérance. Externalisation des Systèmes d informations Mettre en œuvre une passerelle sécurisée pour Authentifier l utilisateur, Sécuriser la donnée et Tracer les actions réalisées ISO27001 A8.3.3: Retrait des droits d accès A11.4.2: Authentification de l utilisateur pour les connexions externes A11.5.3: Système de gestion des mots de passe ISO27002 10.2.2: Surveillance et réexamen des services Tiers 10.2.3: Gestion des modifications dans les services Tiers LSF (Loi de Sécurité financière) Contrôler plus efficacement chaque processus de l'entreprise, La traçabilité est listée comme un point clé pour contrôler et surveiller les processus
Les solutions actuelles ou initiales Solutions de VPN IPSEC ou VPN SSL en mode Tunnel Sécurise l accès au SI Gestion complexe via du filtrage réseau à l accès aux ressources Solutions de VPN SSL en mode publication Sécurise l accès au SI Gestion de la publication des ressources simplifiées Serveur de rebond Rend visible les actions effectuées Limite le nombre de ressources directement atteignables de l extérieur Plateforme de prise de main à distance (WebEx, SecureMeeting, ) Rend visible les actions effectuées Permet de contrôler les actions effectuées en temps réel Pas de visibilité sur ce qui a été réellement fait. (logs uniquement) Politique d authentification par équipement. Pas de centralisation des mdp Nécessite d être présent et disponible lors des connexions pour contrôler ce qui est réellement fait Pas industrialisable si beaucoup de connexions en parallèle
BASTION : NOUVEAU PRODUIT?
Les solutions de «bastion» Serveur Windows Serveur Unix / Linux Bastion Equipement réseau Applicatif Internet, Intranet Firewall Traçabilité Contrôle d accès Authentification centralisée Gestion des mots de passe cibles Administrateurs Développeurs Responsable sécurité Prestataires externes
Visualisation des traces Lecture Vidéo en Temps réel Texte complet de la trace
BASTION CAS D UTILISATIONS
Bastion d administration Les cas d utilisations Contrôle des prestataires externes : 60 % des projets réalisés Contrôle des actions menées par les prestataires externes et du turnover Vérification du respect des SLAs Recommandation forte de l ANSSI pour les opérateurs vitaux Conformité: 20 % des projets réalisés Obligation de traçabilité (Bâle II, SOX, ISO 27001) Données à caractère personnel, PCI DSS, : Données CB, agréments secteur santé, régulation jeux en ligne Confidentialité: 20 % des projets réalisés Secret industriel, secret défense Traçabilité des actions menées sur des applications sensibles
Identity and Access Management CAS CONCRET : Gestion des droits utilisateurs internes
L Explosion Des Données Sommes-nous Prêt? Toujours PLUS + de données + de Collaboration + d équipes transverses + d exigences de sécurité = PLUS de Containers PLUS d ACLs PLUS de temps pour la gestion 91% Ne parviennent pas à identifier les propriétaires des données 76% Ne sont pas capables de déterminer qui sont les personnes qui accèdent aux données Est-ce que l IT a la réponse? Qui a accès à ces dossiers? A quels dossiers cet utilisateur ou ce groupe peut-il accéder? Qui accède réellement à ce dossier et que fait-il? Si les permissions sont modifiées sur des dossiers critiques, serai-je averti? Qui est le propriétaire des données? Où sont mes données sensibles, qui y a accès, qui y accède? Comment y remédier? SOURCE: PONEMON INSTITUTE Part où commencer? Page 15
10 Choses Que Devrait Faire l IT 1. Auditer l accès aux données 2. Faire l inventaire des permissions 3. Hiérarchiser le traitement des données 4. Révoquer les permissions globales 5. Identifier le propriétaire métier des données 6. Recertifier les autorisations régulièrement 7. Aligner les groupes de sécurité aux données 8. Auditer les changements de groupes et de permissions 9. Verrouiller, archiver ou effacer les données périmées ou inactives 10. Nettoyer les groupes inutiles et les contrôles d accès obsolètes Page 16
1. Auditer les accès Pourquoi Est-Ce Important? Un mécanisme d audit (simple et sans impact sur la production) est nécessaire pour répondre aux questions clés : Qui utilise quels fichiers et quels dossiers? Qui sont les propriétaires des données? Qui n utilise pas certaines données? Quelles autorisations sont inutiles? Quelles données ne sont pas utilisées du tout? Que pouvons-nous archiver? Questions IT courantes : Qui a supprimé mes fichiers? Qui a modifié mes fichiers? Questions de sécurité courantes : A quoi cette personne accède? Page 17
1. Auditer les accès Que Faut-il Examiner?
2. Inventaire des Permissions Pourquoi Est-Ce Important? Les autorisations sont notre façon de gérer l'accès Elles existent sur tous les types de containers Les dossiers, les sites SharePoint, les boîtes aux lettres, etc. Sans une visibilité sur les autorisations, nous ne pouvons pas savoir : Qui a accès à quels fichiers, quels dossiers, etc Quelles sont les données auxquels un utilisateur ou un groupe a accès Quels sont les autorisations mal configurées ou trop permissives Page 19
Une Visibilité Sur Les Permissions : Que Faut-il Examiner? Serveurs de Fichiers Boites aux Lettres & Dossiers Publics Exchange SharePoint UNIX Non-intrusive Fait le lien entre utilisateurs & groupes et les ressources Complète & permanente (contrôle continu) Bi-directionnelle Active Directory, LDAP, NIS et/ou comptes Locaux
Une Visibilité Sur Les Permissions : Que Faut-il Examiner? Page 21
Une Visibilité Sur Les Permissions - Que Faut-il Examiner? Double-Cliquez sur un Utilisateur ou un Groupe Fichiers Accessibles Boites aux Lettres et Dossiers Partagées Exchange accessibles Répertoires Unix Accessibles Sites SharePoint Accessibles Page 22
3. Hiérarchiser les données Pourquoi Est-ce Important? La plupart des organisations ont plusieurs téraoctets de données non-structurées Des milliers de dossiers ont besoin d un assainissement à cause des : Accès trop permissifs Groupes trop larges Il est important de donner la priorité aux données les plus critiques La question principale est : Quelles données doit-on sécuriser en priorité? Page 23
Hiérarchiser les données Que Faut-il Examiner? Sensitive Data Liste Exposed des dossiers Data prioritaires devant être traités Ceux contenant un pourcentage important de données sensibles -ET- Ceux disposant d autorisations excessives/permissives Page 24
Hiérarchiser les données Que Faut-il Examiner?
4. Nettoyer les Accès Ouverts - Pourquoi Est-ce Important? Des données accessibles à l ensemble de l entreprise Systèmes Ouverts de Partages Autorisations de type «Everyone», «Utilisateurs Authentifies», «Utilisateurs» RISQUE SUR LA SENSIBILITE DES INFORMATIONS Page 26
5. Identifier les Propriétaires Pourquoi Est-ce Important? Qui décide de l utilisation des données? Qui doit pouvoir y accéder? Quelle utilisation est appropriée? Cette personne doit être définie? Cela n est probablement pas le service IT Réponses Communes : Nous avons un outil de ticketing pour traiter les demandes Si la demande arrive au helpdesk, c est qu elle est approuvée par le métier, nous affectons les droits Page 27
6. Réviser les autorisations Pourquoi Est-ce Important? Les contrôles d accès doivent évoluer car : Le rôle et les postes des utilisateurs changent Les équipes se composent et se décomposent Question Principale Comment pouvons-nous réviser les autorisations de manière efficace et évolutive? Page 29
7. Aligner les Groupes aux Données Pourquoi Est-ce Important? L existence de nombreux groupes n est pas justifiée Quel groupe peut accéder à quelle ressource? UNKNOWN Page 31
7. Aligner les Groupes aux Données Que Faut-il Examiner? Visualiser les permissions Simuler les modifications Identifier les groupes inutilisés et vides
8. Auditer les Changements de Permissions Pourquoi Est-ce Important? Après avoir assaini l environnement, il est nécessaire de l entretenir par le biais des : ACLs Appartenances aux groupes Les changements doivent être approuvés par les propriétaires Page 33
8. Auditer les Changements d Accès Que Faut-il Examiner? Des ressources faciles à utiliser et à trier Des ressources sous forme de rapport Page 34
9. Identifier les données périmées Pourquoi Est-ce Important? 40 à 60 % des données sont périmées et peuvent être archivées sans affecter l activité de l entreprise Combien dépensez-vous dans le stockage? Combien de données inutiles sont accessibles? Page 35
9. Identifier les données périmées Que Faut-il Examiner? L activité réelle des utilisateurs Sous forme de rapports Page 36
10. Nettoyer Pourquoi Est-ce Important? La complexité est source d erreurs Les autorisations sans objet et les données sans utilité nuisent aux performances Page 37
10 Choses Que l IT Doit Faire 1. Auditer l accès aux données 2. Faire l inventaire des permissions 3. Hiérarchiser le traitement des données 4. Révoquer les permissions générales 5. Identifier le propriétaire métier des données 6. Réviser les autorisations régulièrement 7. Aligner les groupes de sécurité aux données 8. Auditer les changements de groupes et de permissions 9. Verrouiller, archiver ou effacer les données périmées ou inactives 10. Nettoyer les groupes inutiles et les contrôles d accès sans objet A intégrer à la gouvernance de votre SI Page 39
La Secure Collaboration valorise l activité Valeur Maximum Pas d Accès Pas de Collaboration Des Accès Corrects Des Accès trop Nombreux et Incontrôlés Une Collaboration Pas de Valeur Valeur Negative
La Secure Collaboration Les données sensibles méritent le même contrôle que les actifs financiers: Seules les personnes autorisées doivent y avoir accès Les accès doivent être enregistrés et conservés L utilisation doit être contrôlée Les abus doivent être observés et contrôlés Confiance Accès Restreints Identification des Propriétaires Révisions des Autorisations Vérification Audit des Accès Analyse de l Utilisation Réduction des risques
Merci de votre attention, à vous
Contact Lionel Gauliardon Consultant Sénior lionel.gauliardon@telindus.fr