Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Se poser d’abord les bonnes questions

Fortinet propose une méthodologie en trois points qui a le mérite de la simplicité et permet de se poser les questions essentielles en matière de gestion de ces périphériques. Tout d’abord, l’entreprise recommande d’implémenter une politique mobile pertinente en se posant les questions suivantes : Quelles sont les applications nécessaires et lesquelles doivent être non autorisées ? Quels seront les employés autorisés à utiliser ces appareils ? Qui a accès au réseau selon qui, quoi, où et quand ?

Le deuxième point consiste à employer des logiciels de gestion à distance permettant d’effacer les données en cas de perte ou de vol de l’appareil. Ces logiciels doivent également permettre de localiser, suivre, verrouiller, effacer, sauvegarder et restaurer de manière centralisée et à distance les équipements. Enfin, le troisième point consiste à bloquer les appareils non conformes. « Quoi qu’il en soit, les organisations doivent comprendre que pour protéger efficacement leurs réseaux et données d’entreprise des menaces potentielles venant d’appareils mobiles, elles doivent aborder la question de la sécurité au niveau du réseau et non uniquement au niveau du terminal », explique Christophe Auberger, responsable technique au sein de Fortinet.

Cloisonner, cloisonner et… cloisonner

Dans une conférence organisée au mois de mai dernier sur ce thème par le Clusif, Chadi Hantouche de Solucom identifie trois grandes catégories de risques : pour les données personnelles et professionnelles, pour le système d’information de l’entreprise et organisationnels, juridiques et réglementaires. Il préconise de ne rien stocker sur les terminaux personnels en utilisant le déport d’écran et les applications webisées. Sinon, M. Hantouche recommande de sécuriser les postes de travail en se fondant sur deux grandes méthodes de sécurisation : le silo applicatif, à savoir que le terminal est personnel mais l’entreprise y inclut une bulle professionnelle sécurisée et sur laquelle l’entreprise garde le contrôle. L’autre solution est la gestion de flotte où l’entreprise garde la main sur les terminaux et les mesures de sécurité qu’elle y applique.

De manière plus générale, il propose un certain nombre d’étapes préalables à la sécurisation d’un environnement BYOD. En premier lieu, il convient de commencer les besoins les plus évidents en se basant sur des solutions techniques mûres et en lançant des « Proof of concept » de solutions innovantes. Deuxièmement, il fait définir la cible, les usages, les terminaux concernés et le niveau de service offert. Il ne faut pas non plus négliger les aspects non-techniques, en définissant des règles d’utilisation en collaboration avec les services RH et juridiques. Enfin, il convient de s’assurer que les aspects réglementaires sont respectés, en particulier vis-à-vis des instances représentatives du personnel, de la Cnil…

Tout le monde sur le pont

Le BYOD suscite donc l’intérêt de tous et c’est sans surprise que l’on constate que la plupart des fournisseurs de technologie ont décidé de surfer sur cette vague en proposant leurs solutions pour sécuriser les environnements, soit au niveau des infrastructures, soit au niveau des applications. Ainsi, tout ce que la planète Sécurité de l’IT compte d’acteurs propose peu ou prou sa propre solution, évidemment plus performante que celle du voisin.

Les premiers acteurs sont les poids lourds de l’informatique comme IBM ou HP. Big Blue a ainsi créé une division baptisée Mobile Foundation laquelle intègre notamment les technologies de Worklight rachetées en janvier dernier. Big Blue dispose également d’une solution Endpoint Manager capable de gérer jusqu’à 250 000 terminaux de tous types. L’entreprise commence d’ailleurs à tester cette solution en internet pour à terme équiper les 500 000 employés du groupe. Toutefois, l’entreprise d’Armonk prend d’infinies précautions. Ainsi a-t-elle décidé au mois de mai dernier d’interdire Siri, le Cloud Apple ou encore les solutions de stockage en ligne du type DropBox depuis les appareils privés des collaborateurs.

Du côté de chez HP, L’application de gestion unifiée HP Intelligent Management Center (IMC) permet aux administrateurs IT d’inclure, provisionner et monitoriser les utilisateurs, les utilisateurs et le trafic du réseau, indépendamment du statut d’employé, de sous-traitant ou d’invité des utilisateurs, ainsi que du mode de connexion (filaire ou sans fil) des périphériques.

IMC va au-delà de l’accès BYOD basique reposant sur l’identification afin d’offrir une solution complète incluant une mise oeuvre de règles unifiées et une gestion de réseau convergée entre les environnements filaires et sans fil.

Les fournisseurs d’infrastructures réseaux ne sont pas en reste. Cisco propose de sécuriser les accès notamment au travers d’une identification de l’utilisateur lors de la connexion, la reconnaissance du terminal, le provisionning des applications de l’entreprise, l’enregistrement de l’équipement et un accès différencié selon le lieu, le profil. Le constructeur met ensuite en avant la qualité et la sécurité du réseau Wi-Fi et la mise à disposition d’outils de gestion de l’infrastructure à destination de la DSI. Globalement, tous les acteurs de l’infrastructure réseaux proposent peu ou prou des solutions équivalentes.

Autres Dossiers Protection des données