vendredi 14 décembre 2018    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges
Jacques Cheminat / lundi 12 mars 2018 / Catégories: Dossiers

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.

La représentation en nuage de points du sujet des droits d’accès et des comptes à privilèges se révèle particulièrement dense. PAM (Privileged Access Management), gouvernance des accès, proxy, serveur de rebond, SSH, RDP, bastion, rotation et coffre-fort des mots de passe, discovery, collecte de logs, chiffrement de bout en bout, sont une liste non exhaustive des termes utilisés. Le sujet est porteur comme le prédit Gartner en estimant qu’en 2020, plus de 40% des PME et grands comptes vont déployer des solutions de PAM pour répondre aux problèmes de sécurité du Cloud.

Pour autant, si ce marché est complexe en se déclinant comme un sous-ensemble de la gestion des identités (IAM), il a évolué avec le temps. Dans une première phase, il se développe autour de la protection des mots de passe des comptes administrateurs et de la technique du coffre-fort, tout en ayant les yeux vers le Cloud. Puis le marché se tourne vers la gestion des accès à travers la technologie du bastion, sorte de boîte noire capable d’enregistrer les sessions, de détecter les comportements anormaux et de s’adapter aux nouvelles exigences comme l’automatisation, l’IA et l’IoT. Enfin, les comptes à privilèges ciblent maintenant les métiers en créant des datarooms, des zones de confiance, dédiées à la direction, les RH ou la finance au sein de l’entreprise.

 

L’ÈRE DU COFFRE-FORT DES MOTS DE PASSE ADMIN

Ce marché est relativement jeune et les anciens réflexes ont encore la vie dure. Selon, une étude menée par Dimensional Resarch pour One Identity, 38% des responsables français utilisent un tableur et 18% gardent les mots de passe des comptes à privilèges sur version papier. La prise de conscience de ces problématiques d’accès a été tardive, se souvient Sébastien Faivre, CTO de Brainwave, spécialiste français de la gouvernance des accès, « elles ont émergé il y a une dizaine d’années, avec les interrogations sur les mots de passe des systèmes Root, le plus haut niveau de privilèges au sein de la DSI et donc un accès à l’ensemble de l’infrastructure de l’organisation ». Ces comptes cristallisent 3 types de menaces : la malveillance interne (un administrateur système mécontent ou un utilisateur un peu trop curieux) ; la malveillance externe (attaque ciblée sur les administrateurs systèmes ou malwares visant les systèmes à privilèges) et l’accident (mauvaise configuration ou erreur de mise à jour).

En 2015, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié une note de « recommandations relatives à l’administration sécurisée des systèmes d’information ». Elle donne des éléments utiles d’aide à la conception d’architectures sécurisées tout en mettant à la disposition des administrateurs les moyens techniques et organisationnels nécessaires à la réalisation de leurs missions. Les comptes à privilèges y sont abordés.

Bunkeriser les mots de passe

Face à un problème technique, la réponse a été aussi technique avec la création des coffres-forts de mots de passe. Plusieurs acteurs sont présents sur ce marché toujours très dynamique. Le principe général repose sur la centralisation en un seul point, sur site ou dans le Cloud, de la gestion des mots de passe pour les comptes à privilèges. Concrètement, la solution analyse l’ensemble de l’environnement IT pour recenser les comptes à privilèges. « En général, un agent se charge de scanner les annuaires de l’entreprise comme Active Directory sur site ou sur le Cloud Azure, mais aussi des services comme Okta ou G Suite de Google » explique Thibault Behaghel, spécialiste produit EMEA chez LastPass. « Il y a beaucoup de demandes autour des offres Cloud et notre offre permet d’appliquer 70 règles de sécurité », précise le dirigeant. L’agent analyse aussi les clés SSH publiques et privées (OpenSSH, Putty, Tectia, Windows, Linux, etc.). L’administrateur IT peut ensuite décider quels comptes associés aux clés doivent intégrer le coffre-fort. La sécurité des mots de passe s’effectue à travers des algorithmes de chiffrement AES 256 ou RSA 2048. En fonction du degré de sensibilité du compte, l’authentification peut être simple couplant identifiant et mot de passe ou bien forte en intégrant des token, de la biométrie, des serveurs Radius, Google Authenticator ou SAML (Security Assertion Markup Language).

Rotation et révocation des mots de passe

Puis, petit à petit, le coffre-fort a évolué avec des fonctionnalités de rotation et de révocation de mots de passe. Dans le premier cas, le coffre-fort est capable de générer de manière aléatoire des éléments d’authentification. Une fonctionnalité rassurante pour minimiser la menace interne, mais elle facilite également la sécurisation de projets en équipes ayant accès à des données sensibles. Dans un environnement DevOps où plusieurs métiers travaillent à la création et à la production d’applications, il est nécessaire d’accéder et de manipuler des données sensibles comme les bases de données. Affecter des éléments d’authentification pour une durée limitée est donc nécessaire. De même, cette fonctionnalité est utile pour les partenaires et les prestataires qui ont besoin d’accéder à des programmes sensibles.

La révocation des mots de passe sur les comptes à privilèges est essentielle. L’actualité est riche d’affaires mettant en cause d’anciens salariés ayant gardé leurs accès à des applications critiques. Ils peuvent ainsi voler des données, les transmettre à des concurrents ou les vendre sur le marché noir. « Il est donc important de pouvoir supprimer l’ensemble des accès quand un administrateur s’en va. Il faut donc vérifier ses identifiants, connaître les couples (mots de passe, identifiant) de ses accès et les révoquer », poursuit Valérie Husson, channel Sales Mananger France & North Africa de Thycotic, nouvel acteur du PAM, arrivé récemment en France. Une tâche automatisable pour laquelle la direction des ressources humaines peut supprimer les accès dès le départ d’un collaborateur depuis un simple bouton.

 

LE BASTION : LA VIGIE ATTENTIVE ET PRÉDICTIVE

Renforcer la gestion des identités des comptes à privilèges (PIM, pour Privileged Identity Management) sur certains éléments du SI est important, mais les responsables IT réclamaient des solutions de traçabilité des sessions des comptes à haut pouvoir.

Le surveillant en chef des sessions à privilèges

D’où l’idée du PAM et plus particulièrement du concept de bastion. « Le bastion s’apparente à la vidéosurveillance dans un appartement », résume Julien Cassignol, ingénieur avant-vente et responsable de l’activité France pour Balabit. Si la partie coffre-fort s’inquiète des identités et intègre le PAM, le bastion s’intéresse aux couches les plus basses de l’IT, « Nous analysons les flux basés sur différents protocoles : RDP (Remote Desktop Protocol), Telnet, Citrix, VNC et SSH » explique Serge Adda, CTO de Wallix, le champion français du bastion. Dans certains cas, des demandes d’analyses de protocoles spécifiques sont réclamées comme dans le cadre des systèmes industriels et les automates SCADA en particulier. « Certains protocoles sont plus complexes que d’autres, comme par exemple les demandes SQL, il y a autant de parfums que les glaces chez Berthillon », constate avec humour Julien Cassignol.

Sur le plan technique, les PAM du marché s'appuient sur des serveurs proxy et des serveurs de rebond pour scruter les flux des tâches. Concrètement, une connexion par rebond consiste à passer par une machine intermédiaire lors d’une connexion entre deux machines, PC ou serveurs, via les protocoles cités précédemment. Cette technique sécurise l’accès aux applications en déléguant l’injection des mots de passe au serveur proxy pour masquer les identifiants.

Mais ces serveurs savent aussi enregistrer les flux. Ils sont capables de rejouer une session en vidéo au format MPEG4 compressé. « 1 h de vidéo correspond à une taille de 20 Mo », assure Valérie Husson de Thycotic en mettant en avant l’offre Secret Server. Elle ajoute : « l’enregistrement se fait en direct et a un intérêt historique pour savoir ce que l’administrateur a fait ou a essayé de supprimer ».

 

Les yeux doux au DevOps et à l’IA

Forts de la traçabilité en vidéo, les bastions récoltent dans le même temps beaucoup de métadonnées. Une mine d’informations à valoriser via des solutions analytiques et de machine learning. Ces efforts aboutissent à l’émergence de solutions d’UBA (User Behavior Analytics), l’analyse comportementale des utilisateurs. « Nous allons maintenant vers l’expérience utilisateur. A travers cette vidéosurveillance, nous collectons énormément d’informations sur ce qui se passe et s’est passé », précise Serge Adda de Wallix.

Pour Balabit, le machine learning permet d’apprendre et de connaître le comportement des détenteurs d’accès aux comptes sensibles. Julien Cassignol le reconnaît, « le machine learning apprend les habitudes de comportement des administrateurs, il est ainsi capable de déterminer les moindres différences comme la façon de frapper sur un clavier, la répétition de commandes peu ou pas utilisées ». Du côté de Wallix, la partie analytique facilite la création de scénarii, « les gens ont des comportements récurrents et répétitifs sur les applicatifs, si une attitude ne correspond pas, il peut y avoir une alerte ».

Car l’objectif de cette analyse comportementale est double, à la fois pour la prévention et dans le cadre d’une enquête. Les bastions sont paramétrés pour lancer des alertes en cas de comportement anormal, voire bloquer immédiatement le compte, si le risque est important. La priorité est le Cloud et l’accompagnement du DevOps. CyberArk est clairement dans cette voie. « Aujourd’hui, les comptes à privilèges ne sont plus nécessairement le fait des humains, mais des robots comme les solutions d’orchestration ou les générateurs de scripts », explique Jean-Christophe Vitu, Pre-Sales Director West & South Europe de CyberArk. Et l’histoire pourrait bien lui donner raison, le vol de données d’Uber est à l’origine un accès à des identifiants AWS codés en dur dans un référentiel privé sur GitHub. Le spécialiste du PAM a donc sorti une offre dédiée, Conjur, pour cibler cette population et cette méthode de travail nécessitant rapidité et agilité.

 

GOUVERNANCE DES ACCÈS ET DATAROOM, AU-DELÀ DU BASTION

Si les deux éléments centraux dans le droit d’accès et la gestion des comptes à privilèges sont le coffre-fort et le bastion, il ne faut pas oublier des solutions complémentaires : la gouvernance des accès et les datarooms. La gouvernance des données s’interroge sur le cycle de vie de la donnée, alors que la notion de dataroom étend la notion de zone de confiance et d’habilitation, réservée à l’IT en général et en particulier aux sysadmins, aux dirigeants et aux responsables métiers (RH, marketing ou finances).

La gouvernance des accès, une tour de contrôle pour les PAM

« Les outils de PAM configurent le coffre-fort de mots de passe et les droits d’accès, mais ils n’englobent pas le cycle de vie des accès. Il faut croiser les logs des PAM avec d’autres bases de données comme celles des RH par exemple », confie Sébastien Faivre de Brainwave. Le concept de gouvernance des accès emprunte à la gestion des risques sur le SI et à l’audit. Il donne à un ensemble d’acteurs légitimes la possibilité de suivre l’évolution des identités et des accès des utilisateurs au sein du SI et d’en contrôler la conformité et de répondre aux questions « qui a le droit à quoi, comment et pourquoi. Le contrôle a posteriori, la réconciliation des comptes », poursuit le dirigeant.

Pour mener à bien cet audit, il est nécessaire de réaliser une cartographie. « Nous extrayons des données du SI de manière très granulaire, allant du référentiel RH, l’accès des partenaires, les bases de données, les annuaires (Active Directory, LDAP). Au final, nous dressons un inventaire des droits d’accès », explique Arnaud Fléchard, CTO de Kleverware, également spécialiste français de la gouvernance des accès. Il ajoute, « ce travail donne une vue des droits à pouvoir ou sensibles et facilite la ségrégation des tâches afin d’assurer une véritable séparation des tâches ». Les offres d’IAG (Identity and Access Governance) sont des tours de contrôle et s’imposent en complément de solutions de PAM ou d’IAM.

 

Les Dataroom blindent les données à privilèges

Les comptes à privilèges ne sont plus l’apanage des seuls administrateurs. Le Cloud, la mobilité et même les médias sociaux rebattent les cartes de la gestion d’accès. La direction d’une entreprise, les directeurs financiers, ressources humaines disposent d’accès spécifiques à des ressources sensibles. Mais la protection ne doit pas porter uniquement sur les accès, mais aussi sur le contenu. D’où la création des datarooms, des espaces sécurisés autorisant le partage de documents sensibles. Une offre qui s’adresse spécifiquement aux comités exécutifs des entreprises, manipulant des informations stratégiques (budget, fusions-acquisitions, plan de recrutement ou de licenciement, etc.). La sécurité est assurée depuis le poste de travail « avec une connexion TLS 1.2 entre les serveurs, le passage d’un antivirus sur l’objet transféré plus un chiffrement en AES 256 spécifique et un enregistrement sur disque », assure Alexis Boissinot, responsable de Brainloop France. Pas d’inquiétudes de voir la DSI disposer d’un accès privilégié aux documents, « les gens de l’IT et de la sécurité gèrent l’accès à la porte d’entrée des datarooms, mais pas aux contenus », soutient le dirigeant. Les services en mode SaaS comme Office 365 ou Salesforce sont gérés via des API, « avec un simple glisser-déposer » des objets dans la dataroom.

Les acteurs du marché des droits d’accès et comptes à privilèges

IAM (Identity Access Management) Ilex, Gemalto, GlobalSign, Okta, IBM, AWS, Google 
Coffre-fort de mots de passe Lastpass, Dashlane, Keepass
PIM (Privileged Identity Management) IBM, CyberArk, Balabit, Centrify, CA Technologies
PAM (Privileged Access Management) Wallix, CyberArk, Balabit, Thycotic, CA Technologies, Bomgar
Gouvernance des accès Brainwave, Kleverware, One Identity, Sailpoint
Dataroom Brainloop, Drooms, OOdrive, Intralinks

 

Dossier publié sur le site mag-securs.com avec le concours de Kleverware.


Infos partenaire

Kleverware, éditeur français, est un précurseur depuis 2005 dans le domaine du contrôle des identités et des accès. Avec ses innovations brevetées et la reconnaissance du marché par l’obtention de labels (France Cybersecurity, Bpifrance Excellence…), Kleverware prouve la robustesse de ses solutions, qui sont utilisées par des grands noms depuis des années pour auditer des centaines de milliers de droits tous les jours.

Les solutions de Kleverware sont flexibles et efficientes, que ce soit pour :

  • Les opérationnels de la sécurité, pour savoir rapidement quels sont les droits qui sont réellement donnés aux collaborateurs (cartographie exhaustive) au regard de leur fonction (SOD).
  • Les correspondants Métier, pour leur simplifier les revues de droits et leur offrir un gain de temps sur des taches qui ne sont pas obligatoirement bien comprises (ROI).
  • Vos auditeurs (CAC, Contrôle Interne) à qui vous démontrez que non seulement vous répondez aux préconisations, mais auxquels vous donnerez le reporting idoine.

Les solutions de Kleverware :

Kleverware IAG « Quick Start »

Cette solution ne nécessite pas d’infrastructure, un poste ou une VM suffit. Simple d’installation, elle est efficiente pour l’analyse et le contrôle, cela même pour des milliers d’identités grâce à sa technologie brevetée. Kleverware IAG « Quick Start » vous donne très rapidement des premiers indicateurs (SoD, Comptes dormants, orphelins…) pour une bonne gouvernance de vos identités et de leurs accès. Vous pouvez l’utiliser pour une cartographie exhaustive des droits, établir des tableaux de bord, vérifier que votre PSSI est respectée…

Kleverware IAG « Enterprise »

En complément de tous les avantages la version stand alone, vous bénéficiez d’une solution faite pour vos collaborateurs en charge de la revue des droits et ce au plus près des métiers. Avec ses interfaces intuitives pour les différents rôles (Managers de campagnes, approbateurs…), Kleverware IAG « Enterprise » simplifie grandement le travail qui leur est demandé. Vos collaborateurs vous remercieront d’avoir évolué vers une solution robuste, flexible et reconnue par des entreprises depuis plusieurs années.

 

Print
70498

x

Le shadow IT, bien que décrié par les directions informatiques, est un phénomène fort répandu, qui fait s’arracher les cheveux les RSSI. Lutter contre cette pratique est compliqué. Faut-il le combattre, au risque de se mettre à dos les directions métiers… ou l’accompagner ? Des solutions existent.

Le shadow IT pose de nombreux problèmes… le nier serait une absurdité. « Celui qui dit qu’il n’y en a pas dans son organisation est probablement naïf », fait valoir Cédric Cartau, RSSI du CHU de Nantes. Une étude du Ponemon Institute sur les « Défis de la gouvernance du cloud » datant d’octobre 2014 établit que 50% de services cloud sont déployés par des départements en dehors de l’IT, et que 44% des données corporate stockées dans le cloud ne sont pas managées ou contrôlées par les départements informatiques.

« Nous voyons le shadow IT dans toutes les organisations que nous rencontrons, dans le domaine de la santé, ou l’administration » assure Keith Poyer, VP EMEA d’Accellion, un CASB (Cloud Access Security Broker), dont nous allons parler plus loin. Une étude du Ponemon Institute sur la gouvernance du cloud, montre le phénomène suivant (cf. schéma) : Pour 37% des répondants, entre 26% et 50% des données stockées dans le cloud ne sont pas gérées par le département informatique.

 

 

Or, cette question pose celle de la valeur d’une information confidentielle pour une entreprise. Qu'est-ce qu'une information confidentielle ? Une donnée qu'il convient de ne pas communiquer.
Mais si la donnée a été communiquée, il n'existe plus ensuite de processus de retour en arrière. Une fois divulguée, il n'est pas possible d'effacer l'histoire pour retrouver l'état dans lequel l'information était initialement protégée. Une information volée peut être perdue, mais il n'existe aucun processus de récupération pour revenir à l'état dans lequel l'information n'était pas connue d'un tiers indésirable. C'est le premier point qu'il convient d'identifier en matière de conservation de la confidentialité, ou de la propriété intellectuelle. La marche arrière n'existe pas. La perte est irréversible.

La priorité en matière de protection consiste à classer les informations : publiques, internes, confidentielles, voire secrètes. Pour ces dernières, des mécanismes particuliers pourront être envisagés : ne pas les imprimer ou ne pas les faire circuler sous quelque forme que ce soit. « Eyes only » est un code parfois employé pour classer des informations à protéger. Ne laisser aucune trace, ne rien écrire, ou dire, pour les besoins supérieurs de secret. Ce qui n'est pas nécessairement simple.

Des personnes doivent être associées aux informations, avec des notions d'habilitation et de besoin d'en connaître, ou d'organisation des rôles, etc. Puis, des processus de contrôle et d'audit doivent être mis en oeuvre pour assurer le fonctionnement de l'ensemble et sa sûreté.

Protection des informations confidentielles…

Dans le cas des entreprises « ordinaires », les questions relatives à la protection de l'information ne sont pas nouvelles. Le marketing des fournisseurs ne donne pas le tempo des menaces : répondre à la dernière attaque ne permet pas de penser que les précédentes n'existent plus. Il faut donc prendre le sens d'un certain continuum d'actions. Sur ces bases, nous pouvons organiser la protection de l'information de nos entreprises. Ce n'est pas simple. Il faut prendre en compte le nouveau, sans oublier l'ancien.

Le contexte a-t-il pour autant changé ? Oui. D'une part la menace a changé de dimension et les éléments susceptibles de vouloir s'en prendre à nos intérêts sont plus nombreux.

D'autre part, l'organisation de nos systèmes bouleverse tout. Nous pouvons aller plus vite, plus loin et repoussons de nombreuses limites. Hier, nous concevions des schémas directeurs à 5 ans, des cahiers des charges de maîtrise d'ouvrage et cahiers de recettes. Puis, nous organisions des réponses à ces cahiers des charges et mettions en oeuvre des chantiers de maîtrise d'oeuvre pour répondre « au millimètre près » à toutes les exigences exposées (par l'architecte et derrière lui, le payeur). Et le faisions. Cela prenait des années et était finalement très confortable.

…dans un contexte de besoin accru d'agilité et de rapidité

Alors comment protéger une information confidentielle dans un tel contexte ? Car celle-ci existe toujours, naturellement.
Les systèmes doivent s'ouvrir pour répondre aux besoins d'agilité des entreprises et de réactivité. Aller vite, être réactif, entreprendre et protéger l'information peuvent être des composantes de l'action et de la sécurité : mais c'est antinomique. L'ouverture de l'IT dans les nuages est au coeur de ce paradoxe. Le partage des informations est donc un besoin pour les entreprises. Les outils facilitent beaucoup de choses : partage, échange, transmission et diffusion. Mais aussi perte de la gouvernance des systèmes.

Quoi de plus simple que de mettre un document sur Box, Dropbox, Google Drive ou One Drive et de le partager avec qui l'on veut dans le monde en inscrivant un simple email comme identifiant ? De tels échanges étaient réalisables avec des serveurs FTP il y a quelques années. Voire des envois d'emails si le volume des documents à échanger ne rendait l'opération infaisable. L'IaaS rend le partage désormais aisé et ne demande souvent pas d'authentification de quelque nature que ce soit.

Les échanges sont désormais devenus simples et ne comportent plus beaucoup de limites de capacités. Toute l'information de l'entreprise peut être partagée sans restriction. Tout document d'un disque dur peut être envoyé dans les nuages et partagé avec ses amis, relations… ou concurrents. Box, Dropbox, Google Drive ou One Drive, voire Instagram, sont utilisés tous les jours à la maison et les adolescents sont encore plus loquaces que leurs parents avec ces médias. C'est le phénomène du « shadow IT » : ce système aisé à mettre en oeuvre que chaque direction métier de l'entreprise peut utiliser sans en rendre compte à la DSI, qui, à son habitude, répond aux « métiers » avec des cycles de plusieurs trimestres, ou années de délai. Quoi de plus simple que de souscrire à une application SaaS pour quelques euros avec une carte de crédit personnelle, voire sans en informer l'entreprise ? La défense périmétrique de l'IT de l'entreprise n'existe plus. Il n'y a plus de gouvernance : ni par le DSI, et encore moins le RSSI. Mais, les informations sont alors quelque part, ou nulle part, ou qu'importe. Il faudrait juste pouvoir localiser les données : en France, en Europe, ou quelque part dans le monde ? Et quelle autre personne, en dehors de l'entreprise, peut-elle consulter les informations de l'entreprise publiées dans la nature ?

Alors, que faire ? Les salariés des entreprises doivent travailler et être productifs. La bonne volonté peutêtre source de catastrophes. « Je te passe le dossier sur la cession de la filiale informatique d'un groupe nucléaire français à une grande ESN française. Pour faire vite, je te donne l'adresse Dropbox où il y a tout. Dismoi ce que tu en penses, c'est un sujet de gestion de l'infogérance… » est une citation d'un consultant de « haut niveau » d'une autre filiale de cet industriel nucléaire de premier plan. Consultant pas très malin, mais cette citation n'est pas fictive… Elle est réelle et ne date que de 2013. Pourtant, le condamner ex-nihilo ne sert à rien si on ne propose pas une solution adéquate.

Pour Cédric Cartau « si un médecin gère des données sur Dropbox, c’est qu’il en a besoin pour son travail, il ne le fait certainement pas par plaisir. L’interdiction pure et simple ne sert à rien, car il y a un besoin métier. Il faut lui apporter une réponse claire qui soit satisfaisante en termes de sécurité, et qui corresponde à son besoin métier ». Comment l'entreprise peut-elle alors garder la maîtrise de ses informations ?

Reprendre la gouvernance de l'IT avec les Cloud Access Security Brokers

Il est tout d'abord important que la DSI de l'entreprise assure la gouvernance des infrastructures cloud utilisées : en France, aux Etats- Unis, ou n'importe où. Les données sont quelque part, et l'entreprise doit les maîtriser. Des systèmes de chiffrement, des HSM, et une gestion intelligente des clés, peuvent assurer une protection des informations. En matière de « data storage », la question n'est pas compliquée, sauf à faire l'hypothèse que l'AES 256 est cassé. Il suffit donc de tracer le partage des documents avec les tiers. Le partage d'informations correctement chiffrées sur les supports informatiques de la planète n'est pas un souci si la gestion des clés de chiffrement a été pensée, préalablement. Le chiffrement homomorphique (lire encadré) offre des perspectives intéressantes.

Plusieurs entreprises présentes lors des Assises de la sécurité début octobre ont montré des solutions intéressantes : Accellion, Elastica, Citrix, ainsi que Netskope. Ce sont les CASB (cloud access security broker). Ces solutions sont demandées. Elastica vient d'ailleurs de se faire racheter 280 millions de dollars par Blue Coat, pour un effectif de 200 salariés. « Nous avons les moyens d’étendre les fonctions d’un SOC (Operation Security Center) aux applications dans le cloud. Nous pouvons apporter aux RSSI la visibilité sur la réalité du shadow IT dans leur entreprise » assure Dominique Loiselet, directeur général de Blue Coat France.

Les technologies utilisées sont celles de la cartographie des documents en utilisant les modélisations mathématiques de data scientists. Il s'agit de détecter les anomalies grâce à l'analyse comportementale. L'une des techniques employées est celle de l'examen des logs du trafic sortant de l'entreprise. Ceux-ci permettent d'identifier les applications et les infrastructures de cloud computing utilisées par l'entreprise. L'établissement de mécanismes de contrôles au moyen de listes blanches permet ensuite de reprendre le contrôle des systèmes d'information. Cette technique de firewall est complétée par des systèmes d'interrogation des API des cloud service providers utilisés, AWS, Microsoft Azure, Google, etc. ou encore Office 365, par l'entreprise pour identifier les documents partagés avec des tiers.

Thierry Guenoun, chez Netskope, est très direct et cite une entreprise qui pensait utiliser 40 à 50 applications dans le cloud. Un premier examen lui montre qu'elle en a au moins 715. Un examen plus complet fini par en détecter 1 640. Il faut pour cela disposer d'outils d'exploration puissants. Netskope déclare aujourd'hui pouvoir explorer 9 à 10 000 applications cloud. « Nous permettons au RSSI de pouvoir contrôler les flux de données liés aux applications, et ainsi de savoir ce qui vient du shadow IT » explique Thierry Guenoun.

Accellion met pour sa part en avant ses solutions de protection et de partage d'informations confidentielles. Le travail collaboratif ne doit pas être refusé. Il doit être encadré. Les outils associés sont connus : les annuaires, la gestion des droits et des rôles, et, pour être efficace, les mécanismes de fédération d'identités pour transmettre les droits entre les applications.

Sans oublier les solutions complémentaires de protection du poste de travail et le DLP.

Ces systèmes ne sont cependant pas infaillibles. Des documents peuvent en effet être extraits du système d'information de l'entreprise, par exemple, au moyen d'une clé USB. Ils peuvent être copiés sur un équipement personnel (BYOD), PC, tablettes, ou smartphones, puis partagés avec toute sorte de personnes dans diverses infrastructures de cloud computing. Les solutions CASB ne détecteront alors rien. Les techniques de contrôle des postes de travail et les outils de DLP pourront en revanche apporter des réponses plus appropriées. Enfin, l'intérêt de la mutualisation des moyens chez les cloud service providers ne doit pas faire oublier les principes élémentaires consistant à garder des moyens propres. Dans les offres d'infrastructures cloud, l'IaaS, les notions de « dedicated cloud » doivent être conservées. Si le chiffrement avec des moyens robustes tels que des HSM répond bien à la protection des données dans les phases de transport et de stockage (data storage as a service, DSaaS), les traitements nécessitent une manipulation des données en clair. Une faille des moyens de cloisonnement (VM escape) ne permet alors plus de se protéger des clients voisins du même cloud service provider.

La solution consiste donc pour la fonction de calcul (Compute as a Service - CompaaS) à disposer de machines partagées avec aucun autre client. Toute la question qui se pose maintenant, selon Gaël Kergot (CipherCloud), est celle de la responsabilité. « Des entreprises ont mis en place des procédures de revue et de responsabilisation des métiers aux risques encourus » explique-t-il. « Le département métier qui installe une application déclare avoir été sensibilisé et s’engage sur le fait qu’il a compris, et accepte les risques ». La grande question demeure de savoir, en cas de problème, qui est responsable et qui paye. Et là, c’est un autre débat… ■


A lire pages suivantes :

Pages: 1 de 3 Page suivante
Autres Dossiers Gouvernance