Академический Документы
Профессиональный Документы
Культура Документы
Lionel GAULIARDON –
SOMMAIRE
• Cas concrets
– Identity and Access Management / Externe et Interne
– Gestion des droits utilisateurs / Interne
Points abordés :
– Besoins, Souhaits ou … Obligations ?
– Organisation
• En 3 mots:
– Authentification
– Autorisation
– Traçabilité
CAS CONCRET :
(Télé-)Maintenance
Offres de sécurité
DONNEES
APPLICATIONS
Performance/
Sécurisation Haute
de l’accès Disponibilité
INFRASTRUCTURE
Confidential
DONNEES
APPLICATIONS
Performance/
Sécurisation Haute
de l’accès Disponibilité
INFRASTRUCTURE
Confidential
ISO27001 ISO27002
LSF (Loi de Sécurité
A8.3.3: Retrait des droits d’accès 10.2.2: Surveillance et réexamen financière)
des services Tiers Contrôler plus
A11.4.2: Authentification de efficacement chaque
l’utilisateur pour les connexions 10.2.3: Gestion des processus de l'entreprise,
externes modifications dans les services La traçabilité est listée
Tiers comme un point clé pour
A11.5.3: Système de gestion des contrôler et surveiller les
mots de passe processus
Serveur de rebond
Nécessite d’être
• Rend visible les actions effectuées présent et disponible
• Limite le nombre de ressources directement atteignables de l’extérieur lors des connexions
pour contrôler ce qui
Plateforme de prise de main à distance (WebEx, SecureMeeting,…) est réellement fait
• Rend visible les actions effectuées
• Permet de contrôler les actions effectuées en temps réel
Pas industrialisable si
beaucoup de
connexions en
parallèle
BASTION :
NOUVEAU PRODUIT ?
Internet, Intranet
Equipement réseau Administrateurs
Développeurs
Responsable sécurité
Firewall
Applicatif
Traçabilité
Prestataires
Contrôle d’accès externes
Authentification centralisée
Gestion des mots de passe cibles
BASTION
CAS D’UTILISATIONS
• Conformité:
• 20 % des projets réalisés
• Obligation de traçabilité (Bâle II, SOX, ISO 27001)
• Données à caractère personnel, PCI DSS, … : Données CB, agréments secteur
santé, régulation jeux en ligne
• Confidentialité:
• 20 % des projets réalisés
• Secret industriel, secret défense
• Traçabilité des actions menées sur des applications sensibles
CAS CONCRET :
Toujours PLUS
91% Est-ce que l’IT a la réponse ?
Ne parviennent pas à
+ de données Qui a accès à ces dossiers ?
+ de Collaboration identifier les
A quels dossiers cet utilisateur
+ d’équipes transverses propriétaires des ou ce groupe peut-il accéder?
+ d’exigences de sécurité données Qui accède réellement à ce
= dossier et que fait-il ?
PLUS de Containers Si les permissions sont
Page
16
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
1. Auditer les accès –
Pourquoi Est-Ce Important ?
• Un mécanisme d’audit (simple et sans impact sur la
production) est nécessaire pour répondre aux questions
clés :
– Qui utilise quels fichiers et quels dossiers ?
• Qui sont les propriétaires des données ?
– Qui n’utilise pas certaines données ?
• Quelles autorisations sont inutiles ?
– Quelles données ne sont pas utilisées du tout ?
• Que pouvons-nous archiver ?
– Questions IT courantes :
• Qui a supprimé mes fichiers ?
• Qui a modifié mes fichiers ?
– Questions de sécurité courantes :
• A quoi cette personne accède ?
Page
17
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
1. Auditer les accès –
Que Faut-il Examiner ?
Page
21
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
Une Visibilité Sur Les Permissions -
Que Faut-il Examiner ?
Page
22
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
3. Hiérarchiser les données –
Pourquoi Est-ce Important ?
• La plupart des organisations ont plusieurs téraoctets de
données non-structurées
• Liste Exposed
Sensitive Data des dossiers
Data prioritaires devant
être traités
Ceux contenant un pourcentage important de données sensibles
-ET-
Ceux disposant d’autorisations excessives/permissives
Page
24
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
Hiérarchiser les données –
Que Faut-il Examiner ?
Page
26
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
5. Identifier les Propriétaires –
Pourquoi Est-ce Important ?
Page
27
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
6. Réviser les autorisations –
Pourquoi Est-ce Important ?
Page
29
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
7. Aligner les Groupes aux Données –
Pourquoi Est-ce Important ?
• L’existence de nombreux groupes n’est pas
justifiée
Quel groupe peut accéder à quelle
ressource ?
UNKNOWN
Page
31
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
7. Aligner les Groupes aux Données –
Que Faut-il Examiner?
Page
33
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
8. Auditer les Changements d’Accès –
Que Faut-il Examiner?
• Des ressources
faciles à
utiliser et à
trier
• Des ressources
sous forme de
rapport
Page
34
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
9. Identifier les données périmées –
Pourquoi Est-ce Important ?
40 à 60 % des données sont périmées et
peuvent être archivées sans affecter
l’activité de l’entreprise
Page
35
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
9. Identifier les données périmées –
Que Faut-il Examiner ?
Page
36
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
10. Nettoyer –
Pourquoi Est-ce Important?
Page
37
CLUSIR Rha, Le 15 janvier 2014
Gestion des identités et des accès au SI
Valeur Maximum
La Secure Collaboration
• Les données sensibles méritent le même contrôle que
les actifs financiers:
Seules les personnes autorisées doivent y avoir accès
Les accès doivent être enregistrés et conservés
L’utilisation doit être contrôlée
Les abus doivent être observés et contrôlés
Confiance
• Accès Restreints
Vérification
• Identification • Audit des Accès
des • Analyse de
Propriétaires l’Utilisation
• Révisions des • Réduction des
Autorisations risques
Contact
Lionel Gauliardon
Consultant Sénior
lionel.gauliardon@telindus.fr