Gestion des Identités à Privilèges. Aperçu Général

Documents pareils
Lieberman Software Corporation

Garantir une meilleure prestation de services et une expérience utilisateur optimale

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

IBM Tivoli Compliance Insight Manager

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Découvrir les vulnérabilités au sein des applications Web

5 éléments qu une solution de gestion de mobilité pour l entreprise (EMM) doit avoir

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

Sécurité. Tendance technologique

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente

Symantec Endpoint Protection Fiche technique

IBM Tivoli Monitoring, version 6.1

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA

Rapport de certification

Qu est ce que Visual Guard. Authentification Vérifier l identité d un utilisateur

L application doit être validée et l infrastructure informatique doit être qualifiée.

HelpDesk. Sept avantages de HelpDesk

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

L hygiène informatique en entreprise Quelques recommandations simples

UserLock Quoi de neuf dans UserLock? Version 8.5

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

La situation du Cloud Computing se clarifie.

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

Une représentation complète

Impartition réussie du soutien d entrepôts de données

Progressons vers l internet de demain

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La convergence des contrôles d accès physique et logique

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

UNIFIED. Nouvelle génération d'architecture unifiée pour la protection des données D TA. dans des environnements virtuels et physiques PROTECTION

Solutions McAfee pour la sécurité des serveurs

4 conseils pour une production informatique multiplateforme et sécurisée

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

EMC AVAMAR. Logiciel et système de sauvegarde avec déduplication

MATRICE DES FONCTIONNALITES

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

externalisation sécurisée vers le Cloud : cinq éléments clés à prendre en compte

Windows Server Chapitre 1: Découvrir Windows Server 2008

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé

État Réalisé En cours Planifié

GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE

FileMaker Server 14. Aide FileMaker Server

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

UPSTREAM for Linux on System z

Fiche Technique. Cisco Security Agent

UNIFIED D TA. architecture nouvelle génération pour une restauration garantie (assured recovery ) que les données soient sur site ou dans le cloud

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Atteindre la flexibilité métier grâce au data center agile

CA Workload Automation Agent pour implémentation mainframe Systèmes d exploitation, ERP, bases de données, services applicatifs et services Web

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Release Notes POM v5

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Document de présentation

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Comment optimiser l utilisation des ressources Cloud et de virtualisation, aujourd hui et demain?

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM

Administration de systèmes

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

RÉCAPITULATIF DES ENJEUX ET DE LA MISE EN PLACE POLITIQUE DE SÉCURITÉ DANS UN RÉSEAU

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Rapport de certification

Stratégie nationale en matière de cyber sécurité

Solutions de gestion de la sécurité Livre blanc

La surveillance réseau des Clouds privés

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

agility made possible

Technologie de déduplication de Barracuda Backup. Livre blanc

Dossier Solution - Virtualisation CA arcserve Unified Data Protection

Comment assurer la gestion des identités et des accès sous forme d un service Cloud?

GOUVERNANCE DES ACCÈS,

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

Fax sur IP. Panorama

Rapport de certification

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Citrix XenDesktop avec la technologie FlexCast. Citrix XenDesktop : la virtualisation des postes de travail pour tous.

Politique de sécurité de l actif informationnel

Indicateur et tableau de bord

NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM)

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Livre blanc. Au cœur de Diskeeper 2010 avec IntelliWrite

Microsoft Office system Février 2006

EMC DATA DOMAIN HYPERMAX

Cyberclasse L'interface web pas à pas

Créer et partager des fichiers

10 bonnes pratiques de sécurité dans Microsoft SharePoint

7. Recherche des essais

Pour les entreprises de taille moyenne. Descriptif Produit Oracle Real Application Clusters (RAC)

comment contrôler l accès des utilisateurs à privilèges au sein de toute l entreprise?

Transcription:

Gestion des Identités à Privilèges Aperçu Général

Gestion des Identités à Privilèges Table des matières Ce que vous devez savoir....3 Les identités à priviléges expliquées....3 Les risques qu entraînent les identités à priviléges non administrées....4 Mode de propagation des accès à privilégiés....5 Les Motivations Métiers...5 Tempérer les conclusions de l auditeur et minimiser les coûts de conformité....5 Contrôler les menaces internes....6 Atténuer les risques d attaques de Hackers et de logiciels malveillants....7 Améliorer la productivité du personnel informatique...8 Défis de la mise en œuvre....9 Pratiques d excellence....9 Définir les objectifs du projet....10 Préparer votre environnement....10 Des approches différentes donnent des résultats différents........................ 11 Méthodes ad-hoc....11 Procédures de gestion automatisées....11 Conclusion....13 Les prochaines étapes....13-2 -

Aperçu Général Ce que vous devez savoir À chaque fois que vous vous connectez au réseau de votre entreprise, il vous est demandé de saisir un mot de passe afin d aider à protéger le réseau d une éventuelle intrusion externe. La plupart des réseaux exigent également que vous suiviez un ensemble de règles de base dans le choix de votre mot de passe, de sorte qu il ne soit pas facilement pris à défaut, par exemple : votre mot de passe devra se composer d un nombre minimum de caractères, il devra contenir des chiffres ou des caractères spéciaux, il devra être différent des autres mots de passe que vous aurez choisis par le passé, et il devra être modifié assez régulièrement. Le système de gestion des identités et des accès de votre entreprise applique ces règles de sécurité des mots de passe et détermine quels sont les informations et services auxquels vous avez accès grâce à votre identifiant de connexion. Dans la mesure où vous vous connectez à chaque fois à l aide de vos données d identification personnelles, des journaux d événements automatisés qui sont créés. En accédant aux services et informations vous devenez responsables pour ces actions. Les identités privilégiées expliquées Les données d identification individuelles d un utilisateur ne sont pas le seul type d identifiants de connexion présents sur votre réseau. Le personnel informatique qui assure la maintenance des serveurs, des équipements de réseau et des logiciels utilise des mots de passe spéciaux disposant des droits élevés nécessaires à l installation de nouveau matériel et de nouveaux logiciels, à la configuration des services et à la maintenance de l infrastructure informatique. Les identités à privilèges, sont les identifiants de connexion offrent un accès illimité aux données, et permettent de modifier les paramètres de configuration et d exécuter des programmes. Typiquement associées aux «actifs» matériels et logiciels (et non pas à un quelconque utilisateur), les identités à privilèges accordent un accès en mode «super utilisateur» à pratiquement toutes les ressources présentes sur votre réseau, y compris : les systèmes d exploitation sur lesquels fonctionnent toutes les plateformes informatiques, les annuaires qui contrôlent l accès à votre réseau, les applications métiers, bases de données et middleware, les équipements réseau et sécurité les solutions de sauvegarde et autres logiciels services, les hyperviseurs qui gèrent les machines virtuelles (VM) sur votre réseau. Les identités à privilèges offrent un accès illimité aux des données, et permettent de modifier les paramètres de configuration et d exécuter des programmes. Les comptes à privilèges ne sont pas uniquement utilisés par des personnes. Les applications d entreprise et les comptes de services doivent eux aussi stocker et utiliser des données d identification à privilèges afin de s authentifier auprès des bases de données, des middleware et d autres applications lorsqu ils demandent l accès à des informations et des ressources informatiques sensibles. - 3 -

Gestion des Identités à Privilèges Les risques qu entraînent la non gestion des identités à privilèges Dans la plupart des entreprises, les données d identification à des identités à privilèges ne font pas l objet d une gestion systématique, à l inverse des données d identification personnelles des utilisateurs finaux. Cela signifie que selon toute probabilité : votre entreprise ne dispose d aucune liste détaillée et à jour de tous les identifiants de connexion des comptes à privilèges existant sur votre réseau ; vous n avez aucun moyen de savoir quelles données d identification des comptes à privilèges sont connues par différentes personnes ; vous ne disposez d aucune preuve de l identité des personnes ayant utilisé ces identifiants de connexion privilégiée pour accéder à n importe quelles ressources informatiques, ni de la date et la raison de ces accès ; il n existe aucun moyen de vérifier si chacun de vos mots de passe de comptes privilégiés est suffisamment sécurisé sur le plan cryptographique, unique et assez fréquemment modifié pour être protégé. Vous ne possédez aucune liste complète des mots de passe des comptes à privilèges stockés dans vos applications, ni aucun moyen de savoir quels membres de votre personnel interne ou de votre prestataire de service ont connaissance de ces données d identification pouvant être utilisées afin d accéder à des informations sensibles. La Figure 1 ci-dessous présente un aperçu des identités à privilèges présentes dans un réseau classique d entreprise, et des actions anonymes que peuvent effectuer les personnes ayant connaissance de ces identifiants de connexion Quel Rôle? Quel envir.? Quel compte? Quelles actions anonymes? Administrateurs Système Sous-traitants Intégrateurs Administrateurs Sécurité IT Managers Administrateurs Sécurité IT Managers Windows, Linux, UNIX, et Mainframe Annuaires Administrator Root Super User Service Admin Root Administrator Lire, copier et modifier les données Changer les configurations de sécurité Créer et effacer des comptes Mettre et enlever des fichiers partagés Exécuter des programmes Lire, copier et modifier les données Ajouter et effacer des utilisateurs Changer les droits des utilisateurs Autoriser des accès distants Administrateurs Appli Developpeurs Appli Webmasters Developpeurs externes Application Tiers Service Config Files ASP.Net Run As DB Connection Modifier des applications back-end Changer les sites internet Lire et changer des données des BdD Accèder à des données de transactions Administrateurs BdD Developpeurs Appli Administrateurs Appli Developpeurs externes Intégrateurs Bases de Données SA Root SYS SYSDBA Lire et changer des données des BdD Accèder à des données de transactions Changer des configurations des BdD Ajouter et modifier les procédures stockées Network Administrators Security Administrators Equipements Securité et Réseau Root Enable Admin Changer la configuration Changer la sécurité et politiques QoS Accepter et refuser des accès réseau Accèder à des données Autoriser et enlever le monitoring System Administrators Backup Operators Network Administrators Contractors Backup et Infrastructure Service Administrator Root Super User Service Chercher et sauvegarder des archives Accèder à des données de transaction Effacer des fichiers sauvegardés Changer la configuration Figure 1 Actions anonymes pouvant être effectuées par des identités à privilèges non gérées - 4 -

Aperçu Général Mode de propagation des accès à privilèges Dans un souci de commodité, le personnel informatique configure souvent des identifiants de connexion communs pour les comptes à privilèges qui sont partagés entre plusieurs sources (logiciel et matériel), et dont il ne change que rarement les mots de passe. L accès peut ainsi rapidement se propager dans le temps, vu que : de nouveaux équipements et applications sont déployés, mettant en œuvre de plus en plus de mots de passe privilégiés communs connus de nombreux individus ; des changements au sein de l entreprise tels que des fusions, infogérance et des réorganisations, qui nécessitent de modifier les fonctions des utilisateurs et de divulguer des mots de passe secrets à davantage de personnel ; des employés ayant connaissance des mots de passe des comptes à privilèges quittent l entreprise (en les connaissant toujours) ; des personnes non habilitées et des logiciels malveillants exploitent des mots de passe de comptes à privilèges trop faibles, réutilisés, et trop rarement modifiés, afin d extraire des données d identification à l insu de l entreprise. Les Motivations Métiers La motivation de mettre en œuvre des procédures de gestion des identités à privilèges vient souvent d une nécessité immédiate de répondre à des conclusions d audit négatives, ou d un mandat confié par la direction consistant à améliorer le niveau d une entreprise en matière de GRC (gouvernance, gestion du risque et conformité). Parmi les autres motivations se trouve la volonté de réduire les dépenses courantes et l incertitude liée aux préparations d audit, une envie d atténuer les risques de menaces internes et externes, et un désir d améliorer la productivité du personnel informatique, comme nous le verrons dans les chapitres suivants. Tempérer les conclusions de l auditeur et minimiser les coûts de conformité Les besoins en conformité peuvent induire des coûts considérables, à mesure que les entreprises s efforcent en continu de produire les preuves de leur conformité. L incapacité à rester en conformité avec les normes en vigueur peut entraîner des pénalités financières directes, une couverture médiatique négative, ainsi que d importantes dépenses à mesure que le personnel s emploie à trouver une solution aux conclusions négatives. Heureusement, les normes réglementaires en vigueur (SOX, PCI-DSS, HIPAA, et autres) présentent un grand nombre d exigences communes en matière de sécurisation des identités à privilèges. Afin de répondre aux principales exigences de réglementation, les procédures de gestion des identités à privilèges devraient, au minimum : La motivation à améliorer des procédures de gestion des identités privilégiées vient souvent d une nécessité immédiate de répondre à des conclusions d audit négatives, ou d un mandat confié par la direction consistant à améliorer le positionnement de l entreprise en matière de GRC (gouvernance, gestion du risque et conformité). - 5 -

Gestion des Identités à Privilèges Documenter l ensemble des identifiants de connexion de comptes à privilèges y compris les identifiants de connexion administratifs et les données d identification utilisés par les applications et les services présents sur toutes les plateformes. Décrire de façon détaillée quels sont les individus qui sont habilités à accéder à chaque ressource et compte informatique. Fournir des journaux d événements afin d établir une politique de «droit d accès minimal», en indiquant qui a bien demandé d accéder à chaque ressource informatique, quand et dans quel but. Instituer une procédure vérifiable permettant de modifier les mots de passe des comptes à privilèges immédiatement après chaque accès, de sorte que les identifiants de connexion ne puissent pas être réutilisés sans que cette nouvelle utilisation ne soit tracée. Établir un moyen d alerter la direction de toute activité inhabituelle. Proposer un moyen de décrire que chaque actif matériel et logiciel est couvert par les politiques d accès de l entreprise. Comme nous le verrons ci-après, des solutions logicielles sont disponibles pour automatiser ces étapes, permettant ainsi de réduire de façon significative les charges liées au personnel informatique. Contrôler les menaces internes D après un rapport datant de 2010 1, 48 % des vols de données sont dues à des personnes en interne. Et bien que de nombreuses entreprises aient recours à des solutions telles que des badges d accès pour contrôler l accès physique, la plupart ne disposent pas des procédures nécessaires au contrôle des accès à privilèges qui permettent aux personnes de consulter et de modifier des registres de données, ou encore de modifier des paramètres de configuration à tout moment sur l ensemble du réseau. Les récents événements ont démontré à quel point l incapacité à protéger les comptes à privilèges pouvait entraîner des pertes de données sensibles et compromettre des services d une importance critique pour l entreprise : Un administrateur informatique expérimenté au sein d une grande société de services financiers a été accusé d avoir volé et revendu des informations sensibles sur les comptes en banque et cartes de crédit de 2,3 millions de clients. Un fournisseur dans le domaine pharmaceutique a découvert la présence d une «bombe logique» introduite par un administrateur avant une vague de licenciements à l échelle de l ensemble de la société ; le code malveillant était conçu pour détruire les données d essais cliniques de la société. Une grande ville des États-Unis s est vue déconnecter de son propre réseau par un administrateur qui a été arrêté suite à une altercation au bureau. 1 «2010 Data Breach Investigations Report», Verizon RISK Team en collaboration avec les Services secrets des États-Unis. - 6 -

Aperçu Général Certaines histoires ayant fait l actualité sont représentées en Figure 2 ci-dessous. En plus des articles de presse négatifs, chacune des entreprises victimes a du faire face à des dépenses considérables pour corriger la faille de sécurité, s est vue infliger des pénalités ou des amendes, voire les deux. Figure 2 Entreprises victimes à la une des journaux Afin d atténuer les risques de menaces internes, les entreprises s emploient à créer un climat de responsabilité en instaurant des garde-fous au sein de leurs procédures de gestion informatique. À ce titre, le contrôle de l accès d administration aux bases de données, aux serveurs, aux applications et aux autres équipements hébergeant des données sensibles joue un rôle essentiel. Les procédures de gestion des comptes à privilèges peuvent permettre aux entreprises d appliquer les principes de «droit d accès minimal», répertoriant les personnes ayant le droit d accès dont elles ont besoin pour faire leur travail, tout en minimisant le risque de violations de données et d interruptions de service involontaires. Atténuer les risques d attaques de Hackers et de logiciels malveillants Parce que plus de 90 % des registres de données sont volés à travers l exploitation de failles de sécurité dans les applications Web, la sécurisation des données d identification des comptes à privilèges dans les applications Web est une étape cruciale en vue d améliorer votre positionnement en matière de GRC. Aujourd hui, plus de 90 % des registres volés par des Hackers se font à travers l exploitation de failles dans les applications Web 2. C est la raison pour laquelle la sécurisation des données d identification des comptes à privilèges dans les applications Web et les applications tiers (incluant les bases de données, les middlewares, etc.), est une étape cruciale en vue d améliorer le positionnement d une entreprise en matière de GRC. Afin de mieux protéger une entreprise contre les Hackers informatiques et les logiciels malveillants, une procédure de gestion des identités à privilèges devra, pour être efficace : permettre d identifier et de répertorier les identifiants de connexion des comptes à privilèges présents dans les applications Web, les programmes de logiciels, les applications métiers, les applications développées en interne ou autres applications que ces données d identification soient cryptées, stockées dans des fichiers à plat, ou compilées dans les applications elles-mêmes ; 2 Ibid. - 7 -

Gestion des Identités à Privilèges localiser les interdépendances pour toutes les applications, afin de garantir que toutes les modifications de mot de passe soient synchronisées, de façon à éviter des perturbations et arrêts de service ; sécuriser chaque mot de passe d application intégrée en veillant à ce qu il soit suffisamment complexe sur le plan cryptographique et suffisamment différent des autres mots de passe d application dans la mesure du possible, et fréquemment modifié. Un rapport du Congrès des États-Unis 3, datant de 2009 et présentant les attaques organisés de Hackers (également appelées «menaces persistantes avancées»), décrit comment les Hackers parviennent, une fois qu ils y accèdent à travers un seul ordinateur infecté, à se servir des «comptes à privilèges» pour s introduire dans l ensemble du réseau de l entreprise victime. Dans la mesure où une procédure rigoureuse de gestion des identités à privilèges permet de sécuriser à la fois les mots de passe d applications et les identifiants de connexion des comptes à privilèges utilisés par le personnel, elle peut aider les entreprises à atténuer les risques d attaques de Hackers et de logiciels malveillants, en : diminuant les chances de succès des attaques externes sur les applications Web ; éliminant les mots de passe de comptes à privilèges trop communs ou trop faciles à deviner, qui permettent aux Hackers et aux logiciels malveillants d exploiter facilement les systèmes complémentaires dès lors qu un seul ordinateur est infecté ; éliminant le risque que des personnes non habilitées du personnel (par exemple des développeurs d un ancien prestataire, éditeur de logiciels ou autres) conservent des identifiants de connexion à des applications qui leur permettront de consulter et de modifier des données ou de modifier des paramètres de configuration une fois que leur rôle aura changé. Améliorer la productivité du personnel informatique En plus d améliorer le statut d une entreprise en matière de GRC, une procédure efficace de gestion des identités à privilèges peut améliorer la productivité du personnel en introduisant des moyens de : suivre des procédures répétitives qui réduisent le temps nécessaire pour mettre à jour des listes des comptes à privilèges présents sur des ressources logicielles ou matérielles ; réduire le temps et l incertitude liés à la modification des mots de passe des comptes à privilèges, à travers l utilisation de documents à jour des comptes ; éliminer le temps et l incertitude liés à l obtention d autorisations et à la récupération de mots de passe lorsqu ils sont nécessaires pour accéder aux systèmes en vue d une maintenance périodique et des interventions d urgence ; automatiser les tâches afin de répertorier les comptes à privilèges présents et l historique des accès les concernant, tels que l exigent les normes réglementaires ; prendre plus rapidement en charge une analyse de la cause initiale de l incident afin de déterminer les raisons des modifications non désirées ; donner au personnel les outils leur permettant de savoir qui a demandé un accès privilégié aux équipements informatiques en question, quand et dans quel but ; éliminer le temps de travail nécessaire au personnel pour remédier aux conclusions négatives qu un audit révélerait dans le cas contraire. 3 «Capability of the People s Republic of China to Conduct Cyber Warfare and Computer Network Exploitation», The US-China Economic and Security Review Commission, octobre 2009-8 -

Aperçu Général Défis de la mise en œuvre Dans la plupart des entreprises, des obstacles technologiques et humains font qu il est nécessaire de planifier soigneusement la mise en œuvre des procédures de gestion des comptes à privilèges, et d obtenir le soutien de la direction dès les premiers pas du projet. Les obstacles technologiques peuvent inclure : des réseaux qui évoluent fréquemment et composés de matériels et de plateformes logicielles hétérogènes ; de grands nombres de systèmes cibles qui peuvent être séparés par des liens WAN lents, peu fiables ou onéreux ; des structures organisationnelles complexes, avec des lignes de délégation et de contrôle qui se chevauchent et changent fréquemment ; des combinaisons d applications nouvelles, anciennes et développées en interne qui peuvent stocker des données d identification de différentes manières pouvant aller de formats cryptés sécurisés à une compilation directe au sein même des applications, en passant par des fichiers à plat plus vulnérables. Au-delà des défis technologiques, l introduction de procédures de gestion des comptes à privilèges nécessite également des changements fondamentaux vis-à-vis de la manière dont les données d identification sensibles sont divulguées et attribuées à ceux qui les utilisent. Indépendamment du fait de savoir si la procédure diminue la charge de travail pour le personnel, les individus qui avaient l habitude de bénéficier d un accès anonyme et illimité s opposeront probablement à ce qu on les tienne pour responsables. C est la raison pour laquelle ce projet ne pourra être couronné de succès que s il dispose d un soutien actif de la part de la direction générale. Pratiques d excellence La gestion efficace des identités à privilèges constitue un cycle continu tel qu il est représenté en Figure 3 ci-dessous. Figure 3 «Cycle de Gestion des Identités à Privilèges» - 9 -

Gestion des Identités à Privilèges La procédure peut être représentée au moyen de quatre phases, formant le sigle I.D.E.A. : Identifier et répertorier tous les actifs informatiques essentiels, les comptes à privilèges et les interdépendances partout où ils sont présents sur toute plateforme matérielle ou logicielle ; Déléguer l accès aux données d identification de sorte que seul le personnel approprié, en utilisant le droit d accès minimal requis et en ayant un accès documenté, puisse se connecter aux actifs informatiques de façon opportune à des moments déterminés ; Élaborer et appliquer des règles en matière de complexité, de diversité et de fréquence de modification des mots de passe, en synchronisant les modifications sur l ensemble des dépendances afin d éviter les arrêts de service ; Auditer, alerter et signaler de sorte que le demandeur, le but et la durée de chaque demande d accès privilégié soient tracés et que les événements inhabituels soient portés à la connaissance de la direction. Définir les objectifs du projet Dès le début, la mise en œuvre devrait commencer par une discussion entre toutes les parties prenantes, parmi lesquelles le responsable de la sécurité, le responsable du service informatique, les administrateurs informatiques et les autres personnes impliquées dans la gestion de comptes sensibles. Les principales parties prenantes devraient être celles qui subiraient le plus de dégâts si la procédure venait à prendre trop de temps pour être mise en œuvre, à ajouter inutilement une charge de travail au personnel, ou à offrir une protection insuffisante. Il est important de définir des objectifs globaux pour le projet, puis de décider quelle est la personne de l équipe la plus appropriée pour déterminer si la mise en œuvre proposée est vraiment adaptée. Au minimum, la procédure devrait déboucher sur : une analyse écrite détaillée des objectifs métiers de votre entreprise ; un descriptif explicite de vos besoins en matière de systèmes, d applications et de lignes de contrôle ; une fois qu une solution a été choisie, un énoncé des travaux clair, détaillant le temps et les coûts que nécessitera la gestion des comptes à privilèges non sécurisés présents dans vos systèmes cibles et applications. Préparer votre environnement Avant que des procédures de gestion des identités à privilèges ne soient mises en place, il est important de corriger tous les noms de comptes qui n ont pas été correctement crées et toutes les affectations qui auront sans doute été configurées par les précédentes équipes de personnel informatique. Par exemple, vous risquez de vouloir vous assurer que chaque compte de service de base de données se voit attribuer un identifiant de connexion au domaine différent, afin de pouvoir transmettre des données d identification de manière limitée plutôt que de divulguer n importe quel identifiant de connexion disposant d une permission étendue et élevée de faire des modifications à travers votre entreprise. Il en va de même pour tous les autres types de comptes à privilèges ; une meilleure gouvernance nécessite que vous organisiez ces données d identification afin de limiter l étendue de l accès. - 10 -

Aperçu Général En prenant cette disposition, vous pouvez éviter l écueil de vous contenter d automatiser des pratiques existantes médiocres. Des outils d administration de la sécurité informatique y compris ceux de Lieberman Software permettent de réduire considérablement le temps nécessaire pour terminer ces préparatifs. Des approches différentes donnent des résultats différents Parce que les procédures manuelles demandent du temps et sont extrêmement variables d un système à l autre, le risque est que le personnel ne parvienne pas toujours à les mener à bien. Méthodes ad-hoc Identifier et repérer tous les comptes à privilèges et leurs interdépendances au sein d un large réseau, peut demander beaucoup de temps à votre personnel en n utilisant que des méthodes manuelles et ad-hoc. Pour énumérer des identités à privilèges sans l aide d un logiciel dédié, le personnel informatique d une entreprise commence typiquement par exporter des listes d actifs informatiques depuis les services d annuaires existants. Des connexions sont alors établies vers chaque système, à travers une combinaison de scripts répéertoriant les comptes système présents, et par une vérification manuelle pour la présence d applications et de services cibles. Parce que cette procédure demande du temps et est extrêmement variable d un système à l autre, le risque est que le personnel ne parvienne pas toujours à la mener à bien. De plus, pour pouvoir tenir un annuaire à jour des identités et des interdépendances, il faut que la procédure se répète dans le temps et à chaque changement significatif au niveau de l infrastructure. Un manque d automatisation peut devenir un lourd fardeau pour le personnel informatique. Comme un analyste en sécurité informatique au sein d une grande institution financière le dit en parlant des tâches manuelles, «cela revient à peindre le pont du Golden Gate vous commencez d un côté, vous avancez péniblement jusqu à atteindre l autre bout, puis vous repartez à la case départ. Au fond, le temps que vous finissiez de modifier tous les mots de passe des comptes de service, tout est à recommencer.» Procédures de gestion automatisées Les logiciels de gestion des identités à privilèges peuvent automatiser la tâche qui consiste à répertorier les comptes à privilèges et les interdépendances au sein d une entreprise, et aider ainsi à garantir que les résultats soient complets et à jour. Les meilleures de ces solutions sont capables de puiser les informations dans des sources multiples afin de créer des listes exhaustives des identités à privilèges présentes dans l environnement. Comme indiqué en Figure 4, le logiciel Enterprise Random Password Manager (ERPM) de Lieberman Software découvre automatiquement et répertorie les comptes à privilèges présents sur une grande variété de systèmes d exploitation de serveur et de poste de travail, de équipements réseau, sécurité et de sauvegarde, de base de données, de services Web, d applications métiers et d autres sources informatiques. - 11 -

Gestion des Identités à Privilèges Figure 4 Enterprise Random Password Manager (ERPM) de Lieberman Software ERPM détecte et répertorie chaque emplacement où des comptes à privilèges sont utilisés y compris les comptes locaux et les comptes de domaine, les tâches planifiées configurées au niveau des services, les applications telles que COM+ et DCOM, les sites Web IIS, les bases de données Oracle, SQL Server, et ainsi de suite, puis propage rapidement les modifications apportées aux mots de passe partout où le compte est référencé, afin d empêcher les arrêts de service et les défaillances des comptes qui peuvent subvenir dans le cas contraire (lorsque des procédures manuelles déploient des données d identification obsolètes). ERPM identifie, sauvegarde et gère les identités à privilèges qu il trouve dans le Datacenter, notamment : les identifiants de connexion de super-utilisateur, qui permettent aux personnes de changer les paramètres de configuration, d exécuter des programmes et d effectuer d autres tâches d administration. les comptes de service, dont l exécution nécessite des identifiants de connexion et des mots de passe privilégiés. les mots de passe d application à application, les données d identification utilisées par les services Web, les applications métiers, les logiciels personnalisés, et pratiquement tous les autres types d applications permettant de se connecter à des bases de données, des middleware et d autres applications. ERPM sécurise ses mots de passe dans une base de données cryptée à laquelle on peut accéder depuis n importe quel équipement connecté à Internet. Les utilisateurs extraient des mots de passe de comptes à privilèges à travers des procédures automatisées qui s appuient sur le - 12 -

Aperçu Général cadre de gestion des identités et des accès existant au sein d une entreprise pour permettre un accès exprès et délégué. Les mots de passe sont automatiquement re-randomisés après chaque «check-in» en définissant des périodes de récupération restreintes, des archivages automatiques, des délais d expiration pour les sessions web. Des options d écriture phonétique sont disponibles. Conclusion À mesure que les auditeurs informatiques prennent de plus en plus conscience des menaces que représentent les identités à privilèges non administrées, votre entreprise pourrait subir des pressions accrues en vue de la maîtrise de ces identifiants de connexion d une importance capitale. Les Hackers informatiques l ont également compris, et augmentent la fréquence de leurs attaques exploitant des données d identification élevées et comptes partagés afin de prendre le contrôle des réseaux des entreprises victimes. Heureusement, les logiciels de gestion des identités à privilèges peuvent vous aider à sécuriser en continu vos données d identification privilégiées à l échelle de votre réseau, et fournissent des pistes d audits officielles détaillant les accès à ces données. Une mise en œuvre réussie peut également vous permettre de diminuer le temps de travail du personnel informatique, en fournissant instantanément des données d identification à la demande, et en réduisant la nécessité des procédures manuelles pour identifier, modifier et répertorier ces comptes. Les prochaines étapes Les entreprises qui souhaitent un aperçu plus détaillé des risques potentiels que représentent les comptes privilégiés non sécurisés dans leurs environnements informatiques peuvent contacter Lieberman Software pour obtenir une version d essai du logiciel ERPM. Celui-ci réunit des informations sur les risques potentiels présents dans l infrastructure et dresse une liste des comptes à privilèges par plateforme matérielle, compte et type de service. Il sécurise ensuite en continu les comptes privilégiés partout sur votre réseau et fournit une trace d audit pour chaque demande d accès. La version d essai du logiciel ERPM est disponible gratuitement pour les entreprises. Pour de plus amples informations, contactez-nous par e-mail à l adresse sales-fr@liebsoft.com. Ou directement par téléphone au +33 1 41 81 21 92. www.liebsoft.com P (01) 310.550.8575 (Worldwide) F (01) 310.550.1152 1900 Avenue of the Stars, Suite 425, Los Angeles, CA 90067 2013 Lieberman Software Corporation. Trademarks are the property of their respective owners. - 13 -

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back