vendredi 14 décembre 2018    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges
Jacques Cheminat / lundi 12 mars 2018 / Catégories: Dossiers

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.

La représentation en nuage de points du sujet des droits d’accès et des comptes à privilèges se révèle particulièrement dense. PAM (Privileged Access Management), gouvernance des accès, proxy, serveur de rebond, SSH, RDP, bastion, rotation et coffre-fort des mots de passe, discovery, collecte de logs, chiffrement de bout en bout, sont une liste non exhaustive des termes utilisés. Le sujet est porteur comme le prédit Gartner en estimant qu’en 2020, plus de 40% des PME et grands comptes vont déployer des solutions de PAM pour répondre aux problèmes de sécurité du Cloud.

Pour autant, si ce marché est complexe en se déclinant comme un sous-ensemble de la gestion des identités (IAM), il a évolué avec le temps. Dans une première phase, il se développe autour de la protection des mots de passe des comptes administrateurs et de la technique du coffre-fort, tout en ayant les yeux vers le Cloud. Puis le marché se tourne vers la gestion des accès à travers la technologie du bastion, sorte de boîte noire capable d’enregistrer les sessions, de détecter les comportements anormaux et de s’adapter aux nouvelles exigences comme l’automatisation, l’IA et l’IoT. Enfin, les comptes à privilèges ciblent maintenant les métiers en créant des datarooms, des zones de confiance, dédiées à la direction, les RH ou la finance au sein de l’entreprise.

 

L’ÈRE DU COFFRE-FORT DES MOTS DE PASSE ADMIN

Ce marché est relativement jeune et les anciens réflexes ont encore la vie dure. Selon, une étude menée par Dimensional Resarch pour One Identity, 38% des responsables français utilisent un tableur et 18% gardent les mots de passe des comptes à privilèges sur version papier. La prise de conscience de ces problématiques d’accès a été tardive, se souvient Sébastien Faivre, CTO de Brainwave, spécialiste français de la gouvernance des accès, « elles ont émergé il y a une dizaine d’années, avec les interrogations sur les mots de passe des systèmes Root, le plus haut niveau de privilèges au sein de la DSI et donc un accès à l’ensemble de l’infrastructure de l’organisation ». Ces comptes cristallisent 3 types de menaces : la malveillance interne (un administrateur système mécontent ou un utilisateur un peu trop curieux) ; la malveillance externe (attaque ciblée sur les administrateurs systèmes ou malwares visant les systèmes à privilèges) et l’accident (mauvaise configuration ou erreur de mise à jour).

En 2015, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié une note de « recommandations relatives à l’administration sécurisée des systèmes d’information ». Elle donne des éléments utiles d’aide à la conception d’architectures sécurisées tout en mettant à la disposition des administrateurs les moyens techniques et organisationnels nécessaires à la réalisation de leurs missions. Les comptes à privilèges y sont abordés.

Bunkeriser les mots de passe

Face à un problème technique, la réponse a été aussi technique avec la création des coffres-forts de mots de passe. Plusieurs acteurs sont présents sur ce marché toujours très dynamique. Le principe général repose sur la centralisation en un seul point, sur site ou dans le Cloud, de la gestion des mots de passe pour les comptes à privilèges. Concrètement, la solution analyse l’ensemble de l’environnement IT pour recenser les comptes à privilèges. « En général, un agent se charge de scanner les annuaires de l’entreprise comme Active Directory sur site ou sur le Cloud Azure, mais aussi des services comme Okta ou G Suite de Google » explique Thibault Behaghel, spécialiste produit EMEA chez LastPass. « Il y a beaucoup de demandes autour des offres Cloud et notre offre permet d’appliquer 70 règles de sécurité », précise le dirigeant. L’agent analyse aussi les clés SSH publiques et privées (OpenSSH, Putty, Tectia, Windows, Linux, etc.). L’administrateur IT peut ensuite décider quels comptes associés aux clés doivent intégrer le coffre-fort. La sécurité des mots de passe s’effectue à travers des algorithmes de chiffrement AES 256 ou RSA 2048. En fonction du degré de sensibilité du compte, l’authentification peut être simple couplant identifiant et mot de passe ou bien forte en intégrant des token, de la biométrie, des serveurs Radius, Google Authenticator ou SAML (Security Assertion Markup Language).

Rotation et révocation des mots de passe

Puis, petit à petit, le coffre-fort a évolué avec des fonctionnalités de rotation et de révocation de mots de passe. Dans le premier cas, le coffre-fort est capable de générer de manière aléatoire des éléments d’authentification. Une fonctionnalité rassurante pour minimiser la menace interne, mais elle facilite également la sécurisation de projets en équipes ayant accès à des données sensibles. Dans un environnement DevOps où plusieurs métiers travaillent à la création et à la production d’applications, il est nécessaire d’accéder et de manipuler des données sensibles comme les bases de données. Affecter des éléments d’authentification pour une durée limitée est donc nécessaire. De même, cette fonctionnalité est utile pour les partenaires et les prestataires qui ont besoin d’accéder à des programmes sensibles.

La révocation des mots de passe sur les comptes à privilèges est essentielle. L’actualité est riche d’affaires mettant en cause d’anciens salariés ayant gardé leurs accès à des applications critiques. Ils peuvent ainsi voler des données, les transmettre à des concurrents ou les vendre sur le marché noir. « Il est donc important de pouvoir supprimer l’ensemble des accès quand un administrateur s’en va. Il faut donc vérifier ses identifiants, connaître les couples (mots de passe, identifiant) de ses accès et les révoquer », poursuit Valérie Husson, channel Sales Mananger France & North Africa de Thycotic, nouvel acteur du PAM, arrivé récemment en France. Une tâche automatisable pour laquelle la direction des ressources humaines peut supprimer les accès dès le départ d’un collaborateur depuis un simple bouton.

 

LE BASTION : LA VIGIE ATTENTIVE ET PRÉDICTIVE

Renforcer la gestion des identités des comptes à privilèges (PIM, pour Privileged Identity Management) sur certains éléments du SI est important, mais les responsables IT réclamaient des solutions de traçabilité des sessions des comptes à haut pouvoir.

Le surveillant en chef des sessions à privilèges

D’où l’idée du PAM et plus particulièrement du concept de bastion. « Le bastion s’apparente à la vidéosurveillance dans un appartement », résume Julien Cassignol, ingénieur avant-vente et responsable de l’activité France pour Balabit. Si la partie coffre-fort s’inquiète des identités et intègre le PAM, le bastion s’intéresse aux couches les plus basses de l’IT, « Nous analysons les flux basés sur différents protocoles : RDP (Remote Desktop Protocol), Telnet, Citrix, VNC et SSH » explique Serge Adda, CTO de Wallix, le champion français du bastion. Dans certains cas, des demandes d’analyses de protocoles spécifiques sont réclamées comme dans le cadre des systèmes industriels et les automates SCADA en particulier. « Certains protocoles sont plus complexes que d’autres, comme par exemple les demandes SQL, il y a autant de parfums que les glaces chez Berthillon », constate avec humour Julien Cassignol.

Sur le plan technique, les PAM du marché s'appuient sur des serveurs proxy et des serveurs de rebond pour scruter les flux des tâches. Concrètement, une connexion par rebond consiste à passer par une machine intermédiaire lors d’une connexion entre deux machines, PC ou serveurs, via les protocoles cités précédemment. Cette technique sécurise l’accès aux applications en déléguant l’injection des mots de passe au serveur proxy pour masquer les identifiants.

Mais ces serveurs savent aussi enregistrer les flux. Ils sont capables de rejouer une session en vidéo au format MPEG4 compressé. « 1 h de vidéo correspond à une taille de 20 Mo », assure Valérie Husson de Thycotic en mettant en avant l’offre Secret Server. Elle ajoute : « l’enregistrement se fait en direct et a un intérêt historique pour savoir ce que l’administrateur a fait ou a essayé de supprimer ».

 

Les yeux doux au DevOps et à l’IA

Forts de la traçabilité en vidéo, les bastions récoltent dans le même temps beaucoup de métadonnées. Une mine d’informations à valoriser via des solutions analytiques et de machine learning. Ces efforts aboutissent à l’émergence de solutions d’UBA (User Behavior Analytics), l’analyse comportementale des utilisateurs. « Nous allons maintenant vers l’expérience utilisateur. A travers cette vidéosurveillance, nous collectons énormément d’informations sur ce qui se passe et s’est passé », précise Serge Adda de Wallix.

Pour Balabit, le machine learning permet d’apprendre et de connaître le comportement des détenteurs d’accès aux comptes sensibles. Julien Cassignol le reconnaît, « le machine learning apprend les habitudes de comportement des administrateurs, il est ainsi capable de déterminer les moindres différences comme la façon de frapper sur un clavier, la répétition de commandes peu ou pas utilisées ». Du côté de Wallix, la partie analytique facilite la création de scénarii, « les gens ont des comportements récurrents et répétitifs sur les applicatifs, si une attitude ne correspond pas, il peut y avoir une alerte ».

Car l’objectif de cette analyse comportementale est double, à la fois pour la prévention et dans le cadre d’une enquête. Les bastions sont paramétrés pour lancer des alertes en cas de comportement anormal, voire bloquer immédiatement le compte, si le risque est important. La priorité est le Cloud et l’accompagnement du DevOps. CyberArk est clairement dans cette voie. « Aujourd’hui, les comptes à privilèges ne sont plus nécessairement le fait des humains, mais des robots comme les solutions d’orchestration ou les générateurs de scripts », explique Jean-Christophe Vitu, Pre-Sales Director West & South Europe de CyberArk. Et l’histoire pourrait bien lui donner raison, le vol de données d’Uber est à l’origine un accès à des identifiants AWS codés en dur dans un référentiel privé sur GitHub. Le spécialiste du PAM a donc sorti une offre dédiée, Conjur, pour cibler cette population et cette méthode de travail nécessitant rapidité et agilité.

 

GOUVERNANCE DES ACCÈS ET DATAROOM, AU-DELÀ DU BASTION

Si les deux éléments centraux dans le droit d’accès et la gestion des comptes à privilèges sont le coffre-fort et le bastion, il ne faut pas oublier des solutions complémentaires : la gouvernance des accès et les datarooms. La gouvernance des données s’interroge sur le cycle de vie de la donnée, alors que la notion de dataroom étend la notion de zone de confiance et d’habilitation, réservée à l’IT en général et en particulier aux sysadmins, aux dirigeants et aux responsables métiers (RH, marketing ou finances).

La gouvernance des accès, une tour de contrôle pour les PAM

« Les outils de PAM configurent le coffre-fort de mots de passe et les droits d’accès, mais ils n’englobent pas le cycle de vie des accès. Il faut croiser les logs des PAM avec d’autres bases de données comme celles des RH par exemple », confie Sébastien Faivre de Brainwave. Le concept de gouvernance des accès emprunte à la gestion des risques sur le SI et à l’audit. Il donne à un ensemble d’acteurs légitimes la possibilité de suivre l’évolution des identités et des accès des utilisateurs au sein du SI et d’en contrôler la conformité et de répondre aux questions « qui a le droit à quoi, comment et pourquoi. Le contrôle a posteriori, la réconciliation des comptes », poursuit le dirigeant.

Pour mener à bien cet audit, il est nécessaire de réaliser une cartographie. « Nous extrayons des données du SI de manière très granulaire, allant du référentiel RH, l’accès des partenaires, les bases de données, les annuaires (Active Directory, LDAP). Au final, nous dressons un inventaire des droits d’accès », explique Arnaud Fléchard, CTO de Kleverware, également spécialiste français de la gouvernance des accès. Il ajoute, « ce travail donne une vue des droits à pouvoir ou sensibles et facilite la ségrégation des tâches afin d’assurer une véritable séparation des tâches ». Les offres d’IAG (Identity and Access Governance) sont des tours de contrôle et s’imposent en complément de solutions de PAM ou d’IAM.

 

Les Dataroom blindent les données à privilèges

Les comptes à privilèges ne sont plus l’apanage des seuls administrateurs. Le Cloud, la mobilité et même les médias sociaux rebattent les cartes de la gestion d’accès. La direction d’une entreprise, les directeurs financiers, ressources humaines disposent d’accès spécifiques à des ressources sensibles. Mais la protection ne doit pas porter uniquement sur les accès, mais aussi sur le contenu. D’où la création des datarooms, des espaces sécurisés autorisant le partage de documents sensibles. Une offre qui s’adresse spécifiquement aux comités exécutifs des entreprises, manipulant des informations stratégiques (budget, fusions-acquisitions, plan de recrutement ou de licenciement, etc.). La sécurité est assurée depuis le poste de travail « avec une connexion TLS 1.2 entre les serveurs, le passage d’un antivirus sur l’objet transféré plus un chiffrement en AES 256 spécifique et un enregistrement sur disque », assure Alexis Boissinot, responsable de Brainloop France. Pas d’inquiétudes de voir la DSI disposer d’un accès privilégié aux documents, « les gens de l’IT et de la sécurité gèrent l’accès à la porte d’entrée des datarooms, mais pas aux contenus », soutient le dirigeant. Les services en mode SaaS comme Office 365 ou Salesforce sont gérés via des API, « avec un simple glisser-déposer » des objets dans la dataroom.

Les acteurs du marché des droits d’accès et comptes à privilèges

IAM (Identity Access Management) Ilex, Gemalto, GlobalSign, Okta, IBM, AWS, Google 
Coffre-fort de mots de passe Lastpass, Dashlane, Keepass
PIM (Privileged Identity Management) IBM, CyberArk, Balabit, Centrify, CA Technologies
PAM (Privileged Access Management) Wallix, CyberArk, Balabit, Thycotic, CA Technologies, Bomgar
Gouvernance des accès Brainwave, Kleverware, One Identity, Sailpoint
Dataroom Brainloop, Drooms, OOdrive, Intralinks

 

Dossier publié sur le site mag-securs.com avec le concours de Kleverware.


Infos partenaire

Kleverware, éditeur français, est un précurseur depuis 2005 dans le domaine du contrôle des identités et des accès. Avec ses innovations brevetées et la reconnaissance du marché par l’obtention de labels (France Cybersecurity, Bpifrance Excellence…), Kleverware prouve la robustesse de ses solutions, qui sont utilisées par des grands noms depuis des années pour auditer des centaines de milliers de droits tous les jours.

Les solutions de Kleverware sont flexibles et efficientes, que ce soit pour :

  • Les opérationnels de la sécurité, pour savoir rapidement quels sont les droits qui sont réellement donnés aux collaborateurs (cartographie exhaustive) au regard de leur fonction (SOD).
  • Les correspondants Métier, pour leur simplifier les revues de droits et leur offrir un gain de temps sur des taches qui ne sont pas obligatoirement bien comprises (ROI).
  • Vos auditeurs (CAC, Contrôle Interne) à qui vous démontrez que non seulement vous répondez aux préconisations, mais auxquels vous donnerez le reporting idoine.

Les solutions de Kleverware :

Kleverware IAG « Quick Start »

Cette solution ne nécessite pas d’infrastructure, un poste ou une VM suffit. Simple d’installation, elle est efficiente pour l’analyse et le contrôle, cela même pour des milliers d’identités grâce à sa technologie brevetée. Kleverware IAG « Quick Start » vous donne très rapidement des premiers indicateurs (SoD, Comptes dormants, orphelins…) pour une bonne gouvernance de vos identités et de leurs accès. Vous pouvez l’utiliser pour une cartographie exhaustive des droits, établir des tableaux de bord, vérifier que votre PSSI est respectée…

Kleverware IAG « Enterprise »

En complément de tous les avantages la version stand alone, vous bénéficiez d’une solution faite pour vos collaborateurs en charge de la revue des droits et ce au plus près des métiers. Avec ses interfaces intuitives pour les différents rôles (Managers de campagnes, approbateurs…), Kleverware IAG « Enterprise » simplifie grandement le travail qui leur est demandé. Vos collaborateurs vous remercieront d’avoir évolué vers une solution robuste, flexible et reconnue par des entreprises depuis plusieurs années.

 

Print
70498

x

Si le BYOD est le nouveau mot à la mode dans le monde de la sécurité, si aucun acteur de ce marché ne peut désormais faire l’impasse sur une solution à fournir à ses clients, c’est que le phénomène est en train de tout écraser sur son passage. Le BYOD est en passe de révolutionner la manière de travailler dans les entreprises et pourrait pousser à davantage de productivité. Voilà pour le côté face. Mais du côté pile, l’utilisation de ces terminaux très personnels met le système d’information de l’entreprise en grand danger si un minimum de précautions ne sont pas respectées. Tour d’horizon du marché, des enjeux et présentation de quelques solutions.

L’explosion de la mobilité ne se dément pas. Le cabinet d’analyse IDC prévoit que d’ici à 2015, il y aura 1,3 milliard de travailleurs mobiles soit 37,2 % de la population active mondiale. Cette étude est corroborée par une enquête menée par Good Technology, l’un des leaders dans la fourniture de solutions de sécurisation des plates-formes mobiles. Good estime que déjà 80% des travailleurs américains continuent à répondre à des coups de téléphone ou à des messages électroniques depuis leur téléphone mobile après les heures de travail, dans une proportion de 7 heures par semaine, ce qui représente pratiquement une journée de travail supplémentaire par semaine.

On voit donc immédiatement l’intérêt pour les entreprises d’équiper leurs collaborateurs de ces outils ou alors de les laisser utiliser lesdits appareils pour se connecter à la messagerie ou au système d’information de l’entreprise. Cette décision a un impact énorme sur la productivité des collaborateurs et ce pour un coût nul, ces heures de travail supplémentaires n’étant généralement pas comptabilisées. De même, cette pratique a largement été intégrée dans le mode de vie des travailleurs outre-Atlantique, plus de la moitié des personnes interrogées affirmant que ce n’était désormais plus un sujet de tension ou de reproche avec le conjoint. L’encadré ci-contre donne d’autres exemples très marquants de la progression de l’utilisation de ces outils. Une autre étude réalisée par l’Ifop également pour le compte de Good montre l’impact de ces outils sur la situation de travail des cadres français. Ainsi, au-delà de l’aspect technique sur lequel nous allons revenir en détail, le BYOD présente un intérêt certain pour la productivité de l’entreprise et de ses collaborateurs. Dans ce contexte, et à la condition bien sûr que sécurité et confidentialité des données soient bien prises en compte, les entreprises n’ont aucune raison de se priver de ces solutions.

Panique à la DSI : les utilisateurs ne sont pas concernés

Mais c’est bien cette possible sécurisation qui est la première inquiétude des entreprises. La société Fortinet a ainsi commandité une enquête en 2011 auprès de 300 décideurs IT de moyennes et grandes entreprises européennes de laquelle il ressort que 60 % d’entre eux se montrent préoccupés par la sécurisation. Au plan mondial, Fortinet a interrogé 3 800 salariés âgés de 20 à 29 ans dans 15 pays sur l’impact du BYOD sur leur environnement de travail. Pour74 % d’entre eux (64 % des Français) il s’agit d’une pratique courante et 55 % (69 % des Français) considèrent que c’est un droit plutôt qu’un privilège.

Le BYOD fonctionne dans les deux sens, à savoir se connecter au SI de l’entreprise mais également pouvoir accéder à ses sites ou réseaux privés depuis le lieu de travail. 35 % des sondés estiment qu’ils ne peuvent se passer plus d’une journée de l’accès aux réseaux sociaux et 47 % sans SMS. Cette tendance est moins prononcée chez les Français avec 19 % pour les réseaux sociaux et 38 % pour les SMS. Plus inquiétante pour la sécurité du SI est la faible considération des risques. Si 42 % des personnes interrogées considèrent que la possibilité de perte de données et l’exposition aux malwares constitue le principal risque, ils sont plus de 36 % (30 % des Français) à affirmer être prêts à contourner les politiques de l’entreprise interdisant l’utilisation des appareils personnels à des fins professionnels.

Parmi les 15 pays étudiés, ce sont les Indiens qui ont le score le plus élevé, 66 % d’entre eux étant prêts à transgresser la politique de sécurité.

Yann Pradelle, Vice Président Europe du Sud de Fortinet résume ainsi les défis pour l’entreprise. « Alors que les utilisateurs veulent et s’attendent à utiliser leurs propres appareils pour le travail, la plupart pour un confort personnel, ils ne veulent pas confier la responsabilité de la sécurité de leurs propres appareils à l’organisation. Dans un tel environnement, les organisations doivent reprendre le contrôle de leur infrastructure informatique par une forte sécurisation à la fois de l’accès entrant et sortant du réseau de l’entreprise et pas uniquement implémenter une gestion des appareils mobiles ou « MDM ». Les organisations ne peuvent pas compter sur une seule technologie pour répondre aux défis de sécurité du BYOD. La stratégie de sécurité la plus efficace demande un contrôle précis sur les utilisateurs et les applications et pas seulement sur les appareils. »

Les iBidules dominent largement

Sur la base de ses 4000 clients dont 8 des 10 premières institutions financières ou 5 premières entreprises dans le domaine de santé, Good Technology réalise à intervalles réguliers des enquêtes sur les activations des différents appareils connectés aux systèmes d’information de l’entreprise et qui ont installé les outils de sécurisation fournis par Good. La dernière enquête porte sur les périodes d’avril à juin 2012. Sans surprise, les appareils Apple se taillent la part du lion, l’iPhone 4S et l’iPad 3 représentant près de 50% des activations des appareils contrôlés par les solutions de Good. Toutefois, on voit arriver petit à petit les Samsung Galaxy SII, les tablettes Nexus ainsi que les premières activations de téléphones sous Windows Phone. Au total, iOS représente encore 70,8% pour le 2ème trimestre 2012, très loin devant Android (28,3%) et Windows Phone (1,2%).

Les internautes et le BYOD

L’étude menée par Good Technology a été réalisée dans trois pays : Etats-Unis, Royaume-Uni et France. Les principaux résultats sont les suivants :

  • ETATS-UNIS 

- 68% vérifient leurs emails avant 8h du matin.
- La moyenne des américains actifs regardent leur téléphone le matin à partir de 7h09 du matin.
- 50% regardent leurs emails professionnels depuis leur lit.
- La durée d’une journée de travail s’accroît – 40% continuent à suivre leurs emails après 22h.
- 69% ne vont pas se coucher sans vérifier leurs emails professionnels.
- 57% regardent leurs emails professionnels même pendant une sortie familiale.
- 38% vérifient régulièrement leurs emails professionnels à table.

  • ROYAUME-UNI 

- 66% vérifient leurs emails avant 7h du matin.
- La moyenne des britanniques actifs regardent leur téléphone le matin à partir de 6h51 du matin.
- Plus d’un tiers répondent à leurs emails professionnels au lit.
- 61% lisent et répondent aux emails professionnels pendant leur transport.
- La durée d’une journée de travail s’accroît – 15% continuent à suivre leurs emails après 22h.
- 65% ne vont pas se coucher sans vérifier leurs emails professionnels.
- 33% ne passent pas un samedi matin sans vérifier leurs emails professionnels.
- 29% vérifient régulièrement leurs emails professionnels à table, et 16% déclarent répondre à leurs emails professionnels lors du dîner.
- 38% pensent que leur travail serait impossible sans les emails mobiles.
- 15% des travailleurs britanniques ont deux téléphones, l’un pour le travail, l’autre pour un usage personnel.
- 42% utilisent le même terminal pour leurs usages professionnels et privés.

  • FRANCE 

- 96% des cadres réalisent des activités privées au bureau.
- Ils consacrent 4 heures en moyenne par semaine à leur métier en dehors du cadre professionnel.
- 30% ne peuvent pas se passer de consulter leurs courriels professionnels en dehors de leur journée de travail.
- Près des deux tiers (63%) des cadres interrogés déclarent qu’au cours des 5 dernières années, leur équilibre vie privée – vie professionnelle a évolué, et ceci dans le mauvais sens pour 40%.

Pages: 1 de 3 Page suivante
Autres Dossiers Protection des données