application du contrôle d’accès les utilisateurs ......famille et amis, et par les entreprises...
TRANSCRIPT
Le manque d’informations peut avoir de graves conséquencesAujourd’hui, les utilisateurs ont besoin de pouvoir accéder facilement, à tout moment et depuis n’importe où aux informations et aux services qui leur permettent de faire leur travail. Cependant, les technologies nécessaires pour répondre à ce besoin de simplicité sont de plus en plus complexes, et quelqu’un doit se charger de leur bonne exécution. Ces administrateurs (ou superutilisateurs) ont besoin d’un accès « privilégié » à tout ce qui se trouve dans le système afin de pouvoir le dépanner, résoudre les problèmes et maintenir ce niveau d’accès immédiat.
Cet accès privilégié est nécessaire, mais il peut poser de sérieux problèmes. Aujourd’hui, la gestion des environnements de plus en plus complexes mobilise de nombreux administrateurs, des utilisateurs disposant d’un accès de niveau racine aux administrateurs Active Directory, en passant par les systèmes clés. Et si vous êtes dans la même situation que la plupart des entreprises, vous comptez certainement plus
d’utilisateurs privilégiés dans vos rangs que vous ne le pensez.
Quatre étapes pour réduire les risques de violation :
Limiter la portée et le nombre des droits d’accès accordés
Surveiller les changements et l’accès aux systèmes et données qui importent le plus
Utiliser les identités afin de déterminer si les activités des utilisateurs entrent dans le cadre de leur travail
Établir une base de référence de comportements « normaux »
Livre blanc Flash PointApplication du contrôle d’accès
Les utilisateurs privilégiés : problème et solution
Lorsqu’un utilisateur privilégié se connecte, comment savez-vous qu’il s’agit vraiment de lui et pas d’un pirate qui a dérobé des références ?
Livre blanc Flash PointLes utilisateurs privilégiés : problème et solution
2
D’après le Ponemon Institute, la plupart des violations et incidents de sécurité sont liés aux activités des utilisateurs de l’entreprise. Les utilisateurs privilégiés ne sont pas forcément malveillants et ce n’est pas le seul problème. Avec le niveau d’accès qu’ont les utilisateurs privilégiés, même des actions accidentelles ou non intentionnelles peuvent exposer votre entreprise à des risques importants. Bien que le nombre de violations et d’incidents internes ne soit pas négligeable, la véritable portée d’une « attaque interne » augmente considérablement lorsque l’on tient compte des dommages causés par les pirates qui s’attaquent à l’entreprise via des comptes privilégiés. Ces pirates agissent comme des utilisateurs internes, mais n’en sont pas.
Les pirates informatiques connaissent aujourd’hui l’importance de l’acquisition des droits d’accès des utilisateurs privilégiés (ou de tout utilisateur ayant des droits d’accès étendus). Vos données sont un bien précieux, et il y a de fortes chances que quelqu’un veuille y accéder, que ce soit des données personnelles, des informations de carte de crédit, des secrets ou même des droits d’accès partagés avec d’autres entreprises. Les pirates ont perfectionné leurs méthodes pour obtenir les références de ces
utilisateurs privilégiés et infiltrer les systèmes. Une fois qu’ils sont à l’intérieur, le problème n’est plus « s’ils » peuvent accéder aux données mais « quand » ils auront accès à toutes les données.
La question que vous devez vous poser est la suivante : lorsqu’un utilisateur privilégié se connecte, comment savezvous qu’il s’agit vraiment de lui et pas d’un pirate qui a dérobé des réfé rences ?
Vous ne pouvez pas éliminer les utilisateurs privilégiés, mais vous pouvez réduire les risquesLa réponse est en fait assez simple : il faut adopter une approche axée sur les risques. Tout d’abord, identifiez les projets prioritaires et alignez vos ressources en conséquence. Au sein de ces projets clés, placez la meilleure protection possible sur vos données et systèmes les plus importants. Puis, faites attention à ce qui se passe autour des données. Parce que le problème n’est pas que les pirates ont accès aux données sensibles, c’est qu’ils vont utiliser cet accès pour faire quelque chose avec vos données qui n’est pas souhaitable pour votre entreprise.
Une fois que les pirates sont à l’intérieur, le problème n’est plus « s’ils » peuvent accéder aux données mais « quand » ils auront accès à toutes les données.
Remarque : tous le types de violations étaient inclus, il y avait donc plusieurs réponses possibles.
Source : Ponemon Institute, « Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data », (6e étude annuelle sur la
confidentialité et la sécurité des données médicales) mai 2016.
3www.netiq.com
Les principes d’une approche axée sur les risques
1. Le premier principe est tout sim-plement de limiter le niveau d’ac-
cès accordé aux utilisateurs privilégiés dans l’ensemble du cycle de vie des em-ployés. Dans de nombreuses organisations, les utilisateurs privilégiés disposent non seulement des privilèges d’administrateur, mais les privilèges qu’ils ont sont trop étendus. Et une fois que ces droits d’accès ont été accordés, ils ne sont souvent pas retirés au moment opportun. Cela se produit parce qu’il est difficile ou chronophage d’accorder des droits d’accès granulaires, et parce que les administrateurs n’ont pas le temps ou oublient de désactiver l’accès une fois qu’il n’est plus nécessaire.
2. Deuxièmement, scrutez les don-nées et systèmes qui comptent le
plus pour votre organisation. Assurezvous que vous avez une solution qui peut vous
alerter lorsque certaines données ou certains systèmes ont été consultés ou modifiés. Et idéalement, vous devriez être en mesure d’identifier l’auteur de la modification, le moment et l’emplacement. Mais le simple fait de savoir qui a apporté le changement ne suffit pas : des modifications sont apportées en continu et vous passeriez tout votre temps à courir après ces fausses alarmes. Malheureusement, c’est l’état par défaut de la plupart des équipes de sécurité.
3. La troisième clé de la gestion des utilisateurs privilégiés est les iden-
tités. L’identité de l’utilisateur ne se réduit pas à de simples références. Elle offre un contexte supplémentaire tel que le rôle métier et l’emplacement de l’utilisateur. Lorsque vous intégrez cette identité aux données de monitoring de la sécurité, vous obtenez un véritable système de sécurité intelligent qui vous aide à mieux comprendre si l’activité de l’utilisateur est appropriée (oui, Paul doit bien accéder au serveur depuis nos bureaux à 15h00) ou si elle est suspecte
et doit être étudiée (non, Paul ne devrait probablement pas accéder au serveur depuis l’autre bout du monde à 3h00 en pleine nuit).
Et cela nous amène au dernier point à prendre en compte pour la gestion des utilisateurs privilégiés : le monitoring des comportements. Vous devez être en mesure de surveiller le comportement d’un utilisateur et de le lier à l’identité correspondant au compte utilisateur. Pour surveiller le comportement de façon significative, vous devez établir une base de référence de comportements « normaux » auxquels vous pouvez comparer le comportement. C’est important, même quand les choses tournent mal par accident. Les utilisateurs ayant un accès au niveau racine peuvent modifier les paramètres système par erreur et entraîner l’arrêt complet de tout le réseau. Si vous ne pouvez pas identifier la cause du problème, celuici est beaucoup plus difficile à corriger. Mais si vous êtes en mesure de reproduire l’erreur, vous pouvez déterminer où le problème est survenu et le résoudre.
Quel est le plus gros défaut de votre organisation en matière de gestion des identités privilégiées ?
Dans le cadre de la gestion des utilisateurs privilégiés, suivez les comportements et évaluez les menaces en vous posant les questions suivantes :
Les données sontelles sensibles ? (oui/non)
L’utilisateur devraitil accéder à ces données étant donné son rôle ? (oui/non)
Devraitil faire ce qu’il fait avec les données ? (oui/non)
Source : « 2015 Privileged Access Management Study » (Étude sur la gestion des accès privilégiés en 2015), Information Security Media Group, automne 2015
Nous ne parvenons pas à appliquer les
bonnes politiques que nous avons mises en place
23 %
Il nous manque les bons outils technologiques
22 %
Nous n’avons pas le personnel
formé pour gérer correctement les outils
17 %
L’organisation ne reconnaît
pas cela comme
un objectif critique13 %
Nous manquons de ressources
financières pour investir dans des outils et du personnel
9 %
Il nous manque
les bonnes
politiques7 %
Livre blanc Flash PointLes utilisateurs privilégiés : problème et solution
4
Plus important encore, le monitoring des comportements permet d’évaluer les menaces : les données sontelles sensibles ? (oui/non) L’utilisateur devraitil accéder à ces données étant donné son rôle ? (oui/non) Devraitil faire ce qu’il fait avec les données ? (oui/non)
Garantir un accès sécurisé sans conséquence sur l’activitéLes pannes imprévues peuvent causer de gros problèmes, surtout quand il s’agit de services cloud. Par exemple, le géant des réseaux sociaux Facebook, avec 1,5 milliard d’utilisateurs par mois dans le monde, est utilisé par les consommateurs pour rester en contact avec famille et amis, et par les entreprises pour soutenir leurs applications ou leurs campagnes marketing sur les médias sociaux. Au cours du mois de septembre 2015, Facebook a connu une série de trois pannes à l’échelle du monde, pour un total de plus de 2,5 heures de temps d’arrêt. Ces pannes sont le résultat non pas d’attaques malveillantes, mais d’erreurs dans sa configuration système. Seulement quelques mois plus tôt, Facebook a connu une panne mondiale considérable et a admis qu’elle avait
été causée par des ingénieurs qui ont accédé à des valeurs de configuration critiques et ont « joué avec ». On estime la perte de Facebook en matière de recette publicitaires par heure à entre 0,8 million et 1,7 million de dollars. Après la panne de septembre 2015, les actions de Facebook ont chuté de près de 4 %, ce qui traduit bien la déception du marché.
Admettonsle : la seule véritable solution sécurisée serait de ne pas accorder d’accès du tout. Mais on ne peut pas faire cela, donc la meilleure approche est de s’assurer que vous octroyez uniquement le bon niveau d’accès et ensuite de surveiller ce que font les utilisateurs avec les droits qui leur ont été accordés.
L’avantage de ce type d’approche est qu’elle n’empêche pas les administrateurs qui doivent avoir accès aux données de faire leur travail. Ils peuvent continuer comme avant. Et parce que la réponse à des événements surveillés peut être automatisée, cette approche permet de limiter la consultation manuelle des journaux d’incidents pour l’équipe chargée de la sécurité.
En outre, grâce à l’intégration des données sur les comportements et les identités aux données de monitoring de la sécurité, les équipes chargées de la sécurité peuvent même détecter les éventuelles menaces plus rapidement et intervenir tout aussi vite.
Comment choisir la solution de gestion des privilèges qui vous convientIl existe plusieurs manières de résoudre ces problèmes avec des solutions de gestion des événements et informations de sécurité (SIEM), de gestion des identités, de gestion du changement et d’automatisation. Cependant, lorsque vous évaluez les options qui s’offrent à vous, assurezvous de bien choisir celle qui :
S’intègre de façon transparente. Bien que chacun des systèmes serve un but unique, ils sont en fait complémentaires. Idéalement, ils doivent être en mesure de communiquer et d’échanger des informations. Si ce n’est pas le cas, vous ne réglez pas vraiment le problème.
Permet d’automatiser de nombreuses tâches. Nous nous attendons à ce que beaucoup de choses se produisent. Si une intervention manuelle ou une vaste expertise est nécessaire, la solution n’est pas très pratique. Et l’objectif de cette entreprise est d’essayer de simplifier pour votre équipe la distinction entre les menaces réelles et les événements accidentels.
Permet de mettre en place un monitoring basé sur des règles. L’enrichissement du monitoring de la sécurité avec les données d’identité n’est pas vraiment utile si vous ne pouvez pas créer un ensemble de règles et de politiques autour de scénarios métiers spécifiques. C’est la pièce qui permet d’assembler la solution finale.
Est abordable à long terme. Ne vous arrêtez pas au prix d’achat et pensez plutôt au coût à long terme. La solution estelle facile à utiliser ? Vatelle fonctionner avec les systèmes déjà en place ? Combien de temps de gestion supplémentaire
Au cours du mois de septembre 2015, Facebook a connu une série de trois pannes à l’échelle du monde, pour un total de plus de 2,5 heures de temps d’arrêt. Ces pannes sont le résultat non pas d’attaques malveillantes, mais d’erreurs dans sa configuration système.
5www.netiq.com
nécessitetelle ? Aurezvous besoin de suivre une formation complémentaire ?
Au moment de choisir la solution la mieux adaptée à vos besoins, intéressezvous aux solutions de sécurité IdentityPowered de NetIQ. Nos solutions de gestion de la sécurité, des accès et des identités s’intègrent en toute transparence pour aider les entreprises à réduire le nombre total d’utilisateurs ayant un accès privilégié, à s’assurer que les bonnes personnes ont les bons droit d’accès lorsqu’elles en ont besoin, ainsi qu’à surveiller ce que les utilisateurs, en particulier les utilisateurs disposant de privilèges étendus, sont en train de faire avec les droits qui leur ont été accordés. En tirant parti de la gestion intelligente des identités, vous pouvez équilibrer l’accès requis pour la productivité et la nécessité de réduire les risques en matière de sécurité qui découlent de notre monde hyperconnecté.
La solution NetIQ® Change Guardian fournit toutes les informations sur l’activité de l’utilisateur dans l’entreprise (qui ?, quoi ?, quand ?, où ?), que ce soit des changements de configuration ou l’accès à des fichiers sensibles (monitoring de l’intégrité du fichier). La solution vous apporte la security intelligence dont vous avez besoin pour identifier rapidement les activités des utilisateurs privilégiés susceptibles d’indiquer l’existence de violations de données ou de provoquer des failles de conformité, et y remédier rapidement.
NetIQ Sentinel™ est une solution SIEM complète. Elle simplifie le déploiement, la gestion et l’utilisation quotidienne de la solution SIEM. Elle s’adapte facilement aux environnements d’entreprise dynamiques et procure les informations véritablement exploitables dont les professionnels de la sécurité ont besoin pour évaluer rapidement leur dispositif de protection contre les menaces et hiérarchiser les actions à entreprendre.
NetIQ Identity Manager est une solution complète et abordable qui permet de contrôler qui a accès à quoi au sein de l’entreprise, à l’intérieur du parefeu et dans le cloud. Grâce à cette solution, vous pouvez mettre en place un accès pratique et
sécurisé aux informations essentielles pour les utilisateurs métiers, et en même temps respecter les exigences de conformité.
La solution NetIQ Directory and Resource Administrator™ offre des fonctionnalités intelligentes d’administration d’Active Directory (AD) comme la délégation granulaire des droits d’administration et le contrôle de l’accès administratif. Elle facilite la délégation des pouvoirs administratifs appropriés dans Microsoft Active Directory, Exchange Server et Exchange Online hébergé sur Office 365.
La solution NetIQ Privileged Account Manager permet aux administrateurs de travailler sur les systèmes sans devoir dévoiler les mots de passe administrateurs ou superviseurs, ni les références des comptes racine. Elle gère, contrôle et enregistre les activités des comptes privilégiés pour tous les systèmes utilisant des références, notamment les applications, les bases de données, les services cloud et les serveurs virtuels. Elle prend également en charge l’authenti fication multifacteur et l’authentification unique pour améliorer la sécurité de l’accès.
Découvrez les prochaines étapes à suivre en visitant le site www.netiq.com.
L’automatisation des systèmes permet d’éviter des problèmes :
1. Provisioning/déprovisioning/reprovisioning automatisés des droits et privilèges d’accès des utilisateurs
2. Source RH centralisée pour la création, la suppression ou la mise à jour des droits
Ceci est particulièrement utile lorsque de grands groupes d’utilisateurs qui ont besoin d’un accès privilégié (tels que les soustraitants ou les employés temporaires) voient leur contrat se terminer. Ne leur laissez pas la porte ouverte !
ASSUREZ-VOUS QUE LA SOLUTION :
s’intègre de façon transparente ;
permet d’automatiser de nombreuses tâches ;
permet de mettre en place un monitoring basé sur des règles ;
est abordable à long terme.
Nos solutions de gestion des privilèges aident les entreprises à réduire le nombre total d’utilisateurs ayant un
accès privilégié, à s’assurer que les bonnes personnes ont les bons droit d’accès lorsqu’elles en ont besoin,
ainsi qu’à surveiller ce que les utilisateurs, en particulier les utilisateurs disposant de privilèges étendus, sont en train
de faire avec les droits qui leur ont été accordés.
584FR0014003 | Q | 05/17 | © 2017 NetIQ Corporation et ses filiales. Tous droits réservés. NetIQ, le logo NetIQ, Directory and Resource Administrator et Sentinel sont des marques commerciales ou des marques déposées de NetIQ Corporation aux ÉtatsUnis. Tous les autres noms de produits et d’entreprises peuvent être des marques commerciales appartenant à leur propriétaire respectif.
NetIQFranceTel: +33 (0) 1 55 70 30 13
Siège social au Royaume-UniRoyaumeUniTel: +44 (0) 1635 565200
contact[email protected]/communitieswww.netiq.com
Pour obtenir la liste complète de nos bureaux d’Amérique du Nord, d’Europe, du MoyenOrient, d’Afrique, d’AsiePacifique et d’Amérique latine, visitez la page : www.netiq.com/contacts.
www.netiq.com
www.netiq.com