Академический Документы
Профессиональный Документы
Культура Документы
Bonnes pratiques de la gestion des identits et des accs au systme dinformation (IAM)
Lionel GAULIARDON
Solutions techniques et Organisations
SOMMAIRE
Points abords :
Besoins, Souhaits ou Obligations ? Organisation
Offres de scurit
DONNEES
Intgrit
Confidentialit
Disponibilit
APPLICATIONS
Scurisation de laccs
Performance/ Haute Disponibilit
INFRASTRUCTURE
Scurit Stockage
Scurit Systme
Scurit de laccs
Confidential
Confidentialit
Disponibilit
APPLICATIONS
Scurisation de laccs
Performance/ Haute Disponibilit
INFRASTRUCTURE
Scurit Stockage
Scurit Systme
Scurit de laccs
Confidential
Objectifs:
Tracer compltement lactivit ralise pour les ressources sensibles Mieux grer les ressources qui peuvent tre atteintes par le prestataire (Nom des ressources et mots de passe) Faciliter le d-provisioning scuris des accs en cas de changement de prestataire (Comptes prestataire et mots de passe commun)
Raliss depuis linterne et faciliter lapplication de la politique de scurit lie la gestion des mots de passe des ressources atteintes (Durcissement, Frquence des modifications)
Recommandations de LANSSI (Agence Nationale de Scurit des systmes dinformation): Etude sur la Maitrise des risques de linfogrance. Externalisation des Systmes dinformations Mettre en uvre une passerelle scurise pour Authentifier lutilisateur, Scuriser la donne et Tracer les actions ralises
ISO27001
A8.3.3: Retrait des droits daccs A11.4.2: Authentification de lutilisateur pour les connexions externes A11.5.3: Systme de gestion des mots de passe
ISO27002
10.2.2: Surveillance et rexamen des services Tiers 10.2.3: Gestion des modifications dans les services Tiers
Contrler plus efficacement chaque processus de l'entreprise, La traabilit est liste comme un point cl pour contrler et surveiller les processus
Solutions de VPN IPSEC ou VPN SSL en mode Tunnel Scurise laccs au SI Gestion complexe via du filtrage rseau laccs aux ressources Solutions de VPN SSL en mode publication Scurise laccs au SI Gestion de la publication des ressources simplifies Serveur de rebond
Pas de visibilit sur ce qui a t rellement fait. (logs uniquement) Politique dauthentification par quipement. Pas de centralisation des mdp
Rend visible les actions effectues Limite le nombre de ressources directement atteignables de lextrieur
Plateforme de prise de main distance (WebEx, SecureMeeting,) Rend visible les actions effectues Permet de contrler les actions effectues en temps rel
Ncessite dtre prsent et disponible lors des connexions pour contrler ce qui est rellement fait Pas industrialisable si beaucoup de connexions en parallle
Equipement rseau
Internet, Intranet
Applicatif
Prestataires externes
BASTION
CAS DUTILISATIONS
Contrle des prestataires externes : 60 % des projets raliss Contrle des actions menes par les prestataires externes et du turnover Vrification du respect des SLAs Recommandation forte de lANSSI pour les oprateurs vitaux
Conformit:
20 % des projets raliss Obligation de traabilit (Ble II, SOX, ISO 27001) Donnes caractre personnel, PCI DSS, : Donnes CB, agrments secteur sant, rgulation jeux en ligne Confidentialit: 20 % des projets raliss Secret industriel, secret dfense Traabilit des actions menes sur des applications sensibles
91%
Ne parviennent pas
identifier les propritaires des donnes
76%
Ne sont pas capables
de dterminer qui sont les personnes qui accdent aux donnes
SOURCE: PONEMON INSTITUTE
2.
3. 4. 5. 6.
Un mcanisme daudit (simple et sans impact sur la production) est ncessaire pour rpondre aux questions cls :
Qui utilise quels fichiers et quels dossiers ?
Qui nutilise pas certaines donnes ?
Quelles autorisations sont inutiles ? Que pouvons-nous archiver ? Qui a supprim mes fichiers ? Qui a modifi mes fichiers ? Qui sont les propritaires des donnes ?
Les autorisations sont notre faon de grer l'accs Elles existent sur tous les types de containers
Les dossiers, les sites SharePoint, les botes aux lettres, etc.
Sans une visibilit sur les autorisations, nous ne pouvons pas savoir :
Qui a accs quels fichiers, quels dossiers, etc Quelles sont les donnes auxquels un utilisateur ou un groupe a accs Quels sont les autorisations mal configures ou trop permissives
Page 19 CLUSIR Rha, Le 15 janvier 2014
Serveurs de Fichiers Boites aux Lettres & Dossiers Publics Exchange SharePoint UNIX
Active Directory, LDAP, NIS et/ou comptes Locaux
Fait le lien entre utilisateurs & groupes et les ressources Complte & permanente (contrle continu)
Bi-directionnelle
La plupart des organisations ont plusieurs traoctets de donnes non-structures Des milliers de dossiers ont besoin dun assainissement cause des :
Accs trop permissifs Groupes trop larges
Il est important de donner la priorit aux donnes les plus critiques La question principale est :
Quelles donnes doit-on scuriser en priorit ?
Page 23 CLUSIR Rha, Le 15 janvier 2014
Rponses Communes :
Nous avons un outil de ticketing pour traiter les demandes Si la demande arrive au helpdesk, cest quelle est approuve par le mtier, nous affectons les droits
Question Principale
Comment pouvons-nous rviser les autorisations de manire efficace et volutive ?
UNKNOWN
Visualiser les permissions Simuler les modifications Identifier les groupes inutiliss et vides
Aprs avoir assaini lenvironnement, il est ncessaire de lentretenir par le biais des :
ACLs Appartenances aux groupes
40 60 % des donnes sont primes et peuvent tre archives sans affecter lactivit de lentreprise
Combien dpensez-vous dans le stockage ? Combien de donnes inutiles sont accessibles ? Page 35 CLUSIR Rha, Le 15 janvier 2014
La complexit est source derreurs Les autorisations sans objet et les donnes sans utilit nuisent aux performances
Page 39
Valeur Maximum
La Secure Collaboration
Les donnes sensibles mritent le mme contrle que les actifs financiers:
Seules les personnes autorises doivent y avoir accs Les accs doivent tre enregistrs et conservs Lutilisation doit tre contrle Les abus doivent tre observs et contrls
Confiance
Accs Restreints Identification des Propritaires Rvisions des Autorisations
Vrification
Audit des Accs Analyse de lUtilisation Rduction des risques
Contact
Lionel Gauliardon
Consultant Snior
lionel.gauliardon@telindus.fr