Bonnes pratiques de la gestion des identités et des accès au système d’information (IAM)
Lionel GAULIARDON –
Solutions techniques et Organisations
SOMMAIRE
• IAM … Qu’est-ce que c’est et à quoi cela sert
• Cas concrets
– Identity and Access Management / Externe et Interne – Gestion des droits utilisateurs / Interne
Points abordés :
– Besoins, Souhaits ou … Obligations ? – Organisation
Identity and Access Management
• En français : « Gestion des identités et des habilitations »
• En 3 mots:
– Authentification – Autorisation – Traçabilité
• Besoins internes et externes
Identity and Access Management
CAS CONCRET :
(Télé-)Maintenance
Offres de sécurité
APPLICATIONS
Sécurisation de l’accès
Performance/
Haute Disponibilité
INFRASTRUCTURE
Sécurité de Sécurité du Sécurité
Sécurité Sécurité des
DONNEES
Disponibilité Intégrité Confidentialité
Offre de sécurité : Bastion de connexions
APPLICATIONS
Sécurisation de l’accès
Performance/
Haute Disponibilité
INFRASTRUCTURE
Sécurité de
l’accès Sécurité du réseau Sécurité
Système Sécurité
Stockage
Sécurité des terminaux
DONNEES
Disponibilité Intégrité Confidentialité
Surveiller les accès des prestataires
externes
Objectifs:
En complément des solutions de sécurisation de la connexion au SI plus classique,
Tracer complètement l’activité réalisée pour les ressources sensibles
Mieux gérer les ressources qui peuvent être atteintes par le prestataire (Nom des ressources et mots de
passe)
Faciliter le dé-provisioning sécurisé des accès en cas de changement de prestataire (Comptes prestataire
et mots de passe commun)
Tracer les accès
administrateurs (Réseau, Sécurité, Système,
Application) Réalisés depuis l’interne et faciliter l’application de la politique de sécurité liée à la gestion des mots de
passe des ressources atteintes (Durcissement, Fréquence des modifications)
Recommandations de L’ANSSI (Agence Nationale de Sécurité des systèmes d’information):
Etude sur la Maitrise des risques de l’infogérance. Externalisation des Systèmes d’informations Mettre en œuvre une passerelle sécurisée pour Authentifier l’utilisateur,
Sécuriser la donnée et Tracer les actions réalisées
ISO27001
A8.3.3: Retrait des droits d’accès A11.4.2: Authentification de l’utilisateur pour les connexions
externes
A11.5.3: Système de gestion des mots de passe
ISO27002
10.2.2: Surveillance et réexamen des services Tiers
10.2.3: Gestion des modifications dans les services
Tiers
LSF (Loi de Sécurité financière)
Contrôler plus efficacement chaque processus de l'entreprise,
La traçabilité est listée comme un point clé pour contrôler et surveiller les
processus
Les contraintes et recommandations
réglementaires
• Sécurise l’accès au SI
• Gestion complexe via du filtrage réseau à l’accès aux ressources Solutions de VPN IPSEC ou VPN SSL en mode Tunnel
• Sécurise l’accès au SI
• Gestion de la publication des ressources simplifiées Solutions de VPN SSL en mode publication
• Rend visible les actions effectuées
• Limite le nombre de ressources directement atteignables de l’extérieur Serveur de rebond
• Rend visible les actions effectuées
• Permet de contrôler les actions effectuées en temps réel
Plateforme de prise de main à distance (WebEx, SecureMeeting,…)
Les solutions actuelles ou initiales
Politique
d’authentification par équipement. Pas de centralisation des mdp
Pas de visibilité sur ce qui a été réellement fait.
(logs uniquement)
Nécessite d’être présent et disponible
lors des connexions pour contrôler ce qui
est réellement fait Pas industrialisable si
beaucoup de
BASTION :
NOUVEAU PRODUIT ?
Les solutions de « bastion »
Traçabilité Contrôle d’accès
Authentification centralisée
Prestataires externes Serveur Unix / Linux
Serveur Windows
Equipement réseau
Applicatif
Administrateurs Développeurs Responsable sécurité
Internet, Intranet
Gestion des mots de passe cibles
Bastion
Firewall
Visualisation des traces
Lecture Vidéo en Temps réel
Texte complet de la trace
BASTION
CAS D’UTILISATIONS
Bastion d’administration Les cas d’utilisations
• Contrôle des prestataires externes :
• 60 % des projets réalisés
• Contrôle des actions menées par les prestataires externes et du turnover
• Vérification du respect des SLAs
• Recommandation forte de l’ANSSI pour les opérateurs vitaux
• Conformité:
• 20 % des projets réalisés
• Obligation de traçabilité (Bâle II, SOX, ISO 27001)
• Données à caractère personnel, PCI DSS, … : Données CB, agréments secteur santé, régulation jeux en ligne
• Confidentialité:
• 20 % des projets réalisés
• Secret industriel, secret défense
• Traçabilité des actions menées sur des applications sensibles
Identity and Access Management
CAS CONCRET :
Gestion des droits
utilisateurs internes
Est-ce que l’IT a la réponse ?
Qui a accès à ces dossiers ?
A quels dossiers cet utilisateur ou ce groupe peut-il accéder?
Qui accède réellement à ce dossier et que fait-il ?
Si les permissions sont modifiées sur des dossiers
critiques, serai-je averti ?
Qui est le propriétaire des données ?
Où sont mes données sensibles, qui y a accès, qui y accède ?
Comment y remédier ?
Part où commencer ?
L’Explosion Des Données – Sommes-nous Prêt?
91%
Ne parviennent pas à identifier les
propriétaires des données
76%
Ne sont pas capables de déterminer qui sont
les personnes qui accèdent aux données
SOURCE:
+ de données + de Collaboration + d’équipes transverses + d’exigences de sécurité
=
PLUS de Containers
PLUS d’ACLs
PLUS de temps pour la gestion
Toujours PLUS
10 Choses Que Devrait Faire l’IT
1. Auditer l’accès aux données
2. Faire l’inventaire des permissions
3. Hiérarchiser le traitement des données
4. Révoquer les
permissions globales 5. Identifier le
propriétaire métier des données
6. Recertifier les autorisations régulièrement
7. Aligner les groupes de sécurité aux
données 8. Auditer les
changements de groupes et de permissions
9. Verrouiller, archiver ou effacer les
données périmées ou inactives
10. Nettoyer les groupes inutiles et les
contrôles d’accès obsolètes
1. Auditer les accès – Pourquoi Est-Ce Important ?
• Un mécanisme d’audit
(simple et sans impact sur laproduction)
est nécessaire pour répondre aux questions clés :
– Qui utilise quels fichiers et quels dossiers ?
• Qui sont les propriétaires des données ?
– Qui n’utilise pas certaines données ?
• Quelles autorisations sont inutiles ?
– Quelles données ne sont pas utilisées du tout ?
• Que pouvons-nous archiver ?
– Questions IT courantes :
• Qui a supprimé mes fichiers ?
• Qui a modifié mes fichiers ?
– Questions de sécurité courantes :
• A quoi cette personne accède ?
Que Faut-il Examiner ?
2. Inventaire des Permissions – Pourquoi Est-Ce Important ?
• Les autorisations sont notre façon de gérer l'accès
• Elles existent sur tous les types de containers
– Les dossiers, les sites SharePoint, les boîtes aux lettres, etc.
• Sans une visibilité sur les autorisations, nous ne pouvons pas savoir :
– Qui a accès à quels fichiers, quels dossiers, etc
– Quelles sont les données auxquels un utilisateur ou un groupe a accès
– Quels sont les autorisations mal configurées ou trop permissives
Active Directory, LDAP, NIS et/ou comptes Locaux
Serveurs de Fichiers Boites aux Lettres &
Dossiers Publics Exchange SharePoint
UNIX
Que Faut-il Examiner ?
• Non-intrusive
• Fait le lien entre utilisateurs &
groupes et les ressources
• Complète &
permanente (contrôle continu)
• Bi-directionnelle
Une Visibilité Sur Les Permissions : Que Faut-il Examiner ?
Que Faut-il Examiner ?
Double-Cliquez sur un Utilisateur ou un
Groupe Fichiers Accessibles
Boites aux Lettres et Dossiers Partagées Exchange accessibles
Sites SharePoint Accessibles Répertoires Unix Accessibles
3. Hiérarchiser les données – Pourquoi Est-ce Important ?
• La plupart des organisations ont plusieurs téraoctets de données non-structurées
• Des milliers de dossiers ont besoin d’un assainissement à cause des :
– Accès trop permissifs – Groupes trop larges
• Il est important de donner la priorité aux données les plus critiques
• La question principale est :
– Quelles données doit-on sécuriser en priorité ?
Que Faut-il Examiner ?
Sensitive Data
• Liste des dossiers prioritaires devant
Exposed Dataêtre traités
Ceux contenant un pourcentage important de données sensibles -ET-
Ceux disposant d’autorisations excessives/permissives
Hiérarchiser les données – Que Faut-il Examiner ?
Pourquoi Est-ce Important ?
• Des données accessibles à l’ensemble de l’entreprise
– Systèmes Ouverts de Partages
– Autorisations de type « Everyone », « Utilisateurs Authentifies »,
« Utilisateurs »
RISQUE SUR LA SENSIBILITE DES INFORMATIONS
5. Identifier les Propriétaires – Pourquoi Est-ce Important ?
• Qui décide de l’utilisation des données ?
– Qui doit pouvoir y accéder ?
– Quelle utilisation est appropriée ?
• Cette personne doit être définie ?
– Cela n’est probablement pas le service IT
• Réponses Communes :
– Nous avons un outil de ticketing pour traiter les demandes – Si la demande arrive au helpdesk, c’est qu’elle est approuvée
par le métier, nous affectons les droits
6. Réviser les autorisations – Pourquoi Est-ce Important ?
• Les contrôles d’accès doivent évoluer car :
– Le rôle et les postes des utilisateurs changent – Les équipes se composent et se décomposent
• Question Principale
– Comment pouvons-nous réviser les autorisations de manière efficace et évolutive ?
• L’existence de nombreux groupes n’est pas justifiée
Quel groupe peut accéder à quelle ressource ?
7. Aligner les Groupes aux Données – Pourquoi Est-ce Important ?
UNKNOWN
• Visualiser les permissions
• Simuler les modifications
• Identifier les groupes inutilisés et vides
Que Faut-il Examiner?
8. Auditer les Changements de Permissions – Pourquoi Est-ce Important ?
• Après avoir assaini l’environnement, il est nécessaire de l’entretenir par le biais des :
– ACLs
– Appartenances aux groupes
• Les changements doivent être approuvés par les propriétaires
Que Faut-il Examiner?
• Des ressources faciles à utiliser et à
trier
• Des ressources sous forme de
rapport
9. Identifier les données périmées – Pourquoi Est-ce Important ?
40 à 60 % des données sont périmées et peuvent être archivées sans affecter
l’activité de l’entreprise
Combien dépensez-vous dans le stockage ? Combien de données inutiles sont accessibles ?
9. Identifier les données périmées – Que Faut-il Examiner ?
• L’activité réelle des utilisateurs
• Sous forme de rapports
10. Nettoyer –
Pourquoi Est-ce Important?
• La complexité est source d’erreurs
• Les autorisations sans objet et les données sans utilité nuisent aux performances
10 Choses Que l’IT Doit Faire
1. Auditer l’accès aux données
2. Faire l’inventaire des permissions
3. Hiérarchiser le
traitement des données 4. Révoquer les
permissions générales 5. Identifier le propriétaire
métier des données
6. Réviser les autorisations régulièrement
7. Aligner les groupes de sécurité aux données 8. Auditer les
changements de groupes et de permissions
9. Verrouiller, archiver ou effacer les données
périmées ou inactives 10. Nettoyer les groupes
inutiles et les contrôles d’accès sans objet
La Secure Collaboration valorise l’activité
Des Accès trop Nombreux et
Incontrôlés
Une Collaboration
Pas d’Accès
Pas de Collaboration
Valeur Maximum
Valeur Negative
Des Accès Corrects Pas de Valeur
La Secure Collaboration
Confiance
• Accès Restreints
• Identification des Propriétaires
• Révisions des Autorisations
Vérification
• Audit des Accès
• Analyse de l’Utilisation
• Réduction des risques
• Les données sensibles méritent le même contrôle que les actifs financiers:
Seules les personnes autorisées doivent y avoir accès Les accès doivent être enregistrés et conservés
L’utilisation doit être contrôlée
Les abus doivent être observés et contrôlés