Bonnes Pratiques de La Gestion Des Identités Et Des Accès Au Système D Information (IAM)

Gestion des identités et des accès au SI
Bonnes pratiques de la gestion des identités et

des accès au système d’information (IAM)
Lionel GAULIARDON –
Solutions techniques et Organisations
CLUSIR Rha, Le 15 janvier 2014

SOMMAIRE
• IAM … Qu’est-ce que c’est et à quoi cela sert
• Cas concrets
– Identity and Access Management / Externe et Interne
– Gestion des droits utilisateurs / Interne
Points abordés :
– Besoins, Souhaits ou … Obligations ?
– Organisation

Identity and Access Management
• En français : « Gestion des identités et des habilitations »
• En 3 mots:
– Authentification
– Autorisation
– Traçabilité
• Besoins internes et externes

CAS CONCRET :
(Télé-)Maintenance

Offres de sécurité
DONNEES
Confidentialité Disponibilité Intégrité
APPLICATIONS
Performance/
Sécurisation Haute
de l’accès Disponibilité
INFRASTRUCTURE
Sécurité Sécurité Sécurité de Sécurité du Sécurité des

Stockage Système l’accès réseau terminaux
Confidential

Offre de sécurité : Bastion de connexions
DONNEES
Confidentialité Disponibilité Intégrité
APPLICATIONS
Performance/
Sécurisation Haute
de l’accès Disponibilité
INFRASTRUCTURE
Sécurité Sécurité Sécurité de Sécurité du Sécurité des

Stockage Système l’accès réseau terminaux
Confidential

Objectifs:
En complément des solutions de sécurisation de la connexion
au SI plus classique,
Surveiller les accès

des prestataires  Tracer complètement l’activité réalisée pour les
externes ressources sensibles
 Mieux gérer les ressources qui peuvent être atteintes
par le prestataire (Nom des ressources et mots de
passe)
 Faciliter le dé-provisioning sécurisé des accès en cas
de changement de prestataire (Comptes prestataire
et mots de passe commun)
Tracer les accès

administrateurs (Réseau,
Sécurité, Système,  Réalisés depuis l’interne et faciliter l’application de la
Application) politique de sécurité liée à la gestion des mots de
passe des ressources atteintes (Durcissement,
Fréquence des modifications)

Les contraintes et recommandations
réglementaires
Recommandations de L’ANSSI (Agence Nationale de Sécurité des systèmes d’information):

 Etude sur la Maitrise des risques de l’infogérance. Externalisation des Systèmes d’informations
Mettre en œuvre une passerelle sécurisée pour Authentifier l’utilisateur,

Sécuriser la donnée et Tracer les actions réalisées
ISO27001 ISO27002
LSF (Loi de Sécurité
A8.3.3: Retrait des droits d’accès 10.2.2: Surveillance et réexamen financière)
des services Tiers  Contrôler plus
A11.4.2: Authentification de efficacement chaque
l’utilisateur pour les connexions 10.2.3: Gestion des processus de l'entreprise,
externes modifications dans les services  La traçabilité est listée
Tiers comme un point clé pour
A11.5.3: Système de gestion des contrôler et surveiller les
mots de passe processus

Les solutions actuelles ou initiales
Pas de visibilité sur ce

qui a été réellement fait.
Solutions de VPN IPSEC ou VPN SSL en mode Tunnel (logs uniquement)
• Sécurise l’accès au SI
• Gestion complexe via du filtrage réseau à l’accès aux ressources Politique
d’authentification par
Solutions de VPN SSL en mode publication équipement. Pas de
• Sécurise l’accès au SI centralisation des mdp
• Gestion de la publication des ressources simplifiées
Serveur de rebond
Nécessite d’être
• Rend visible les actions effectuées présent et disponible
• Limite le nombre de ressources directement atteignables de l’extérieur lors des connexions
pour contrôler ce qui
Plateforme de prise de main à distance (WebEx, SecureMeeting,…) est réellement fait
• Rend visible les actions effectuées
• Permet de contrôler les actions effectuées en temps réel
Pas industrialisable si
beaucoup de
connexions en
parallèle

BASTION :
NOUVEAU PRODUIT ?

Les solutions de « bastion »

Serveur Unix / Linux
Bastion
Serveur Windows
Internet, Intranet
Equipement réseau Administrateurs
Développeurs
Responsable sécurité
Firewall
Applicatif
Traçabilité
Prestataires
Contrôle d’accès externes
Authentification centralisée
Gestion des mots de passe cibles

Visualisation des traces
Lecture Vidéo en Temps réel
Texte complet de la trace

BASTION
CAS D’UTILISATIONS

Bastion d’administration
Les cas d’utilisations
• Contrôle des prestataires externes :
• 60 % des projets réalisés
• Contrôle des actions menées par les prestataires externes et du turnover
• Vérification du respect des SLAs
• Recommandation forte de l’ANSSI pour les opérateurs vitaux
• Conformité:
• Obligation de traçabilité (Bâle II, SOX, ISO 27001)
• Données à caractère personnel, PCI DSS, … : Données CB, agréments secteur
santé, régulation jeux en ligne
• Confidentialité:
• Secret industriel, secret défense
• Traçabilité des actions menées sur des applications sensibles

CAS CONCRET :
Gestion des droits

utilisateurs internes

L’Explosion Des Données – Sommes-nous Prêt?
Toujours PLUS
91% Est-ce que l’IT a la réponse ?
Ne parviennent pas à
+ de données Qui a accès à ces dossiers ?
+ de Collaboration identifier les
 A quels dossiers cet utilisateur
+ d’équipes transverses propriétaires des ou ce groupe peut-il accéder?
+ d’exigences de sécurité données  Qui accède réellement à ce
= dossier et que fait-il ?
PLUS de Containers  Si les permissions sont
PLUS d’ACLs 76% modifiées sur des dossiers

critiques, serai-je averti ?
PLUS de temps pour la
Ne sont pas capables  Qui est le propriétaire des
gestion données ?
de déterminer qui sont
 Où sont mes données sensibles,
les personnes qui qui y a accès, qui y accède ?
accèdent aux données  Comment y remédier ?
 Part où commencer ?
SOURCE:
PONEMON INSTITUTE Page
15
10 Choses Que Devrait Faire l’IT
1. Auditer l’accès aux 7. Aligner les groupes

données de sécurité aux
2. Faire l’inventaire des données
permissions 8. Auditer les
3. Hiérarchiser le changements de
traitement des groupes et de
données permissions
4. Révoquer les 9. Verrouiller, archiver
permissions globales ou effacer les
5. Identifier le données périmées ou
propriétaire métier inactives
des données 10. Nettoyer les groupes
6. Recertifier les inutiles et les
autorisations contrôles d’accès
régulièrement obsolètes
Page
16
1. Auditer les accès –
Pourquoi Est-Ce Important ?
• Un mécanisme d’audit (simple et sans impact sur la
production) est nécessaire pour répondre aux questions
clés :
– Qui utilise quels fichiers et quels dossiers ?
• Qui sont les propriétaires des données ?
– Qui n’utilise pas certaines données ?
• Quelles autorisations sont inutiles ?
– Quelles données ne sont pas utilisées du tout ?
• Que pouvons-nous archiver ?
– Questions IT courantes :
• Qui a supprimé mes fichiers ?
• Qui a modifié mes fichiers ?
– Questions de sécurité courantes :
• A quoi cette personne accède ?
Page
17
1. Auditer les accès –
Que Faut-il Examiner ?

2. Inventaire des Permissions –
Pourquoi Est-Ce Important ?
• Les autorisations sont notre façon de gérer
l'accès
• Elles existent sur tous les types de containers
– Les dossiers, les sites SharePoint, les boîtes aux
lettres, etc.
• Sans une visibilité sur les autorisations, nous ne
pouvons pas savoir :
– Qui a accès à quels fichiers, quels dossiers, etc
– Quelles sont les données auxquels un utilisateur ou un
groupe a accès
– Quels sont les autorisations mal configurées ou trop
permissives
Page
19
Une Visibilité Sur Les Permissions :
• Non-intrusive
• Fait le lien entre
utilisateurs &
groupes et les
ressources
Serveurs de Fichiers
Boites aux Lettres & • Complète &
Dossiers Publics permanente
Exchange (contrôle continu)
SharePoint
• Bi-directionnelle
UNIX
Active Directory, LDAP, NIS et/ou comptes Locaux

Une Visibilité Sur Les Permissions :
Page
21
Une Visibilité Sur Les Permissions -
Double-Cliquez sur un Utilisateur ou un

Fichiers Accessibles
Groupe
Boites aux Lettres et Dossiers Partagées Exchange
accessibles
Répertoires Unix Accessibles
Sites SharePoint Accessibles
Page
22
3. Hiérarchiser les données –
Pourquoi Est-ce Important ?
• La plupart des organisations ont plusieurs téraoctets de
données non-structurées
• Des milliers de dossiers ont besoin d’un assainissement à

cause des :
– Accès trop permissifs
– Groupes trop larges
• Il est important de donner la priorité aux données les plus

critiques
• La question principale est :

– Quelles données doit-on sécuriser en priorité ?
Page
23
Hiérarchiser les données –
• Liste Exposed
Sensitive Data des dossiers
Data prioritaires devant
être traités
Ceux contenant un pourcentage important de données sensibles
-ET-
Ceux disposant d’autorisations excessives/permissives
Page
24
Hiérarchiser les données –

4. Nettoyer les Accès Ouverts -
• Des données accessibles à l’ensemble de l’entreprise

– Systèmes Ouverts de Partages
– Autorisations de type « Everyone », « Utilisateurs Authentifies »,
« Utilisateurs »
 RISQUE SUR LA SENSIBILITE DES INFORMATIONS
Page
26
5. Identifier les Propriétaires –
• Qui décide de l’utilisation des données ?

– Qui doit pouvoir y accéder ?
– Quelle utilisation est appropriée ?
• Cette personne doit être définie ?
– Cela n’est probablement pas le service IT
• Réponses Communes :
– Nous avons un outil de ticketing pour traiter les demandes
– Si la demande arrive au helpdesk, c’est qu’elle est approuvée
par le métier, nous affectons les droits
Page
27
6. Réviser les autorisations –
• Les contrôles d’accès doivent évoluer car :

– Le rôle et les postes des utilisateurs changent
– Les équipes se composent et se décomposent
• Question Principale
– Comment pouvons-nous réviser les autorisations de
manière efficace et évolutive ?
Page
29
7. Aligner les Groupes aux Données –
• L’existence de nombreux groupes n’est pas
justifiée
Quel groupe peut accéder à quelle
ressource ?
UNKNOWN
Page
31
7. Aligner les Groupes aux Données –
Que Faut-il Examiner?
• Visualiser les permissions

• Simuler les modifications
• Identifier les groupes inutilisés
et vides

8. Auditer les Changements de Permissions –
• Après avoir assaini l’environnement, il est nécessaire de

l’entretenir par le biais des :
– ACLs
– Appartenances aux groupes
• Les changements doivent être approuvés par les
propriétaires
Page
33
8. Auditer les Changements d’Accès –
Que Faut-il Examiner?
• Des ressources
faciles à
utiliser et à
trier
• Des ressources
sous forme de
rapport
Page
34
9. Identifier les données périmées –
40 à 60 % des données sont périmées et
peuvent être archivées sans affecter
l’activité de l’entreprise
Combien dépensez-vous dans le stockage ?

Combien de données inutiles sont accessibles ?
Page
35
9. Identifier les données périmées –
• L’activité réelle des

utilisateurs
• Sous forme de
rapports
Page
36
10. Nettoyer –
Pourquoi Est-ce Important?
• La complexité est source d’erreurs

• Les autorisations sans objet et les données sans utilité
nuisent aux performances
Page
37
10 Choses Que l’IT Doit Faire
1. Auditer l’accès aux 7. Aligner les groupes de

données sécurité aux données
2. Faire l’inventaire des 8. Auditer les
permissions changements de
3. Hiérarchiser le groupes et de
traitement des données permissions
4. Révoquer les 9. Verrouiller, archiver ou
permissions générales effacer les données
5. Identifier le propriétaire périmées ou inactives
métier des données 10. Nettoyer les groupes
6. Réviser les autorisations inutiles et les contrôles
régulièrement d’accès sans objet
A intégrer à la gouvernance de votre SI Page 39

La Secure Collaboration valorise l’activité
Valeur Maximum
Des Accès trop

Nombreux et
Pas d’Accès Incontrôlés
Pas de Collaboration  Des Accès Corrects Une Collaboration
Pas de Valeur Valeur Negative

La Secure Collaboration
• Les données sensibles méritent le même contrôle que
les actifs financiers:
Seules les personnes autorisées doivent y avoir accès
Les accès doivent être enregistrés et conservés
L’utilisation doit être contrôlée
Les abus doivent être observés et contrôlés
Confiance
• Accès Restreints
Vérification
• Identification • Audit des Accès
des • Analyse de
Propriétaires l’Utilisation
• Révisions des • Réduction des
Autorisations risques

Merci de votre attention, à vous …

Contact
Lionel Gauliardon
Consultant Sénior
lionel.gauliardon@telindus.fr

Bonnes Pratiques de La Gestion Des Identités Et Des Accès Au Système D Information (IAM)

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Bonnes Pratiques de La Gestion Des Identités Et Des Accès Au Système D Information (IAM)

Загружено:

Авторское право:

Доступные форматы

Gestion des identités et des accès au SI

Bonnes pratiques de la gestion des identités et

Solutions techniques et Organisations

CLUSIR Rha, Le 15 janvier 2014

• IAM … Qu’est-ce que c’est et à quoi cela sert

CLUSIR Rha, Le 15 janvier 2014

Identity and Access Management

• En français : « Gestion des identités et des habilitations »

• Besoins internes et externes

CLUSIR Rha, Le 15 janvier 2014

Identity and Access Management

CLUSIR Rha, Le 15 janvier 2014

Confidentialité Disponibilité Intégrité

Sécurité Sécurité Sécurité de Sécurité du Sécurité des

CLUSIR Rha, Le 15 janvier 2014

Offre de sécurité : Bastion de connexions

Confidentialité Disponibilité Intégrité

Sécurité Sécurité Sécurité de Sécurité du Sécurité des

CLUSIR Rha, Le 15 janvier 2014

Surveiller les accès

Tracer les accès

CLUSIR Rha, Le 15 janvier 2014

Recommandations de L’ANSSI (Agence Nationale de Sécurité des systèmes d’information):

Mettre en œuvre une passerelle sécurisée pour Authentifier l’utilisateur,

CLUSIR Rha, Le 15 janvier 2014

Les solutions actuelles ou initiales

Pas de visibilité sur ce

CLUSIR Rha, Le 15 janvier 2014

CLUSIR Rha, Le 15 janvier 2014

Les solutions de « bastion »

CLUSIR Rha, Le 15 janvier 2014

Visualisation des traces

Lecture Vidéo en Temps réel

Texte complet de la trace

CLUSIR Rha, Le 15 janvier 2014

CLUSIR Rha, Le 15 janvier 2014

CLUSIR Rha, Le 15 janvier 2014

Identity and Access Management

Gestion des droits

CLUSIR Rha, Le 15 janvier 2014

L’Explosion Des Données – Sommes-nous Prêt?

PLUS d’ACLs 76% modifiées sur des dossiers

10 Choses Que Devrait Faire l’IT

1. Auditer l’accès aux 7. Aligner les groupes

CLUSIR Rha, Le 15 janvier 2014

Active Directory, LDAP, NIS et/ou comptes Locaux

CLUSIR Rha, Le 15 janvier 2014

Double-Cliquez sur un Utilisateur ou un

Répertoires Unix Accessibles

Sites SharePoint Accessibles

• Des milliers de dossiers ont besoin d’un assainissement à

• Il est important de donner la priorité aux données les plus

• La question principale est :

CLUSIR Rha, Le 15 janvier 2014

• Des données accessibles à l’ensemble de l’entreprise

 RISQUE SUR LA SENSIBILITE DES INFORMATIONS

• Qui décide de l’utilisation des données ?

• Les contrôles d’accès doivent évoluer car :

• Visualiser les permissions

CLUSIR Rha, Le 15 janvier 2014

• Après avoir assaini l’environnement, il est nécessaire de

Combien dépensez-vous dans le stockage ?

• L’activité réelle des