Accueil Pas de lieu sûr pour les données sans gérer les habilitations

Pas de lieu sûr pour les données sans gérer les habilitations

Les Assises de la sécurité 2014 - Monaco
Sommaire du dossier

sécu-authentification

Protéger ses données sensibles passe par une gestion rigoureuse des droits d’accès aux applications, par une classification des informations et par des procédures adaptées. C’est ce qu’il ressort des témoignages recueillis aux Assises de la sécurité.

Les grandes marques n’ont plus le choix face aux fuites de données entachant leur réputation. Elles se penchent sur la gestion des identités et sur les habilitations auprès des serveurs critiques. Passer par un portail unifié d’accès aux applications simplifie le quotidien des utilisateurs, ils interagissent avec plusieurs services distants à l’aide d’une seule déclaration – un couple identifiant-mot de passe le plus souvent. Au passage, l’auditabilité concerne les accès aux applicatifs du portail et à leurs données, un must en matière de traçabilité.

Matthieu Lamothe, La Poste
Matthieu Lamothe,
La Poste

«Nous travaillons avec la solution Sign&go d’Ilex qui regroupe une fédération d’identités et une gestion des accès via un portail web SSO (Single Sign-On). Les 250 000 utilisateurs des bureaux de poste disposent d’un accès simple aux systèmes sensibles du siège, de la RH et de la comptabilité. Chaque salarié voit l’ensemble de ses applications sous son portail et y accède d’un clic, sans se déclarer à nouveau», retrace Matthieu Lamothe, chef de Projet IAM (gestion des identités et des accès) à la DSI centrale de La Poste.

Sécurité et productivité réconciliées

Gain de productivité et de sécurité vont enfin de pair : La Poste constate une baisse des appels au support technique grâce à l’unification des mots de passe et la facilité d’accès aux programmes. Le projet IAM est mené sans rogner sur le niveau de sécurité, en soignant l’intégration des applications et le respect des protocoles standards. La généralisation du SAML (Security Assertion Markup Language) et de l’annuaire LDAP (Lightweight Directory Access Protocol) fédèrent ainsi les identités au-delà du réseau interne : «Début 2015, les utilisateurs des filiales de la Poste, identifiés dans leur branche, accéderont de façon transparente à nos applications, via une synchronisation de nos annuaires menée en tâche de fond», prévoit le chef de projet. Quant au risque de fuites de données vers l’extérieur, il est couvert par le périmètre du réseau interne et par la corrélation et l’analyse constante de journaux systèmes. Après un audit de l’existant, la Poste a identifié ses applications sensibles à migrer en priorité – une soixantaine de services distribués.

Traitant des données financières et de santé, Docapost BPO (filiale du groupe La Poste depuis l’été dernier) emploie 2 000 salariés, une vingtaine d’informaticiens à la production et trois experts en sécurité IT. Ces derniers surveillent, en particulier, les incidents liés aux menaces externes et internes : attaques ou erreurs humaines.

Un bastion protège les données sensibles

Yannick Kereun, Docapost BPO
Yannick Kereun,
Docapost BPO

Chaque information numérique est classifiée, selon quatre niveaux de confidentialité, du public au secret. Et deux chartes d’utilisation sensibilisent les utilisateurs de la bureautique d’une part, et les exploitants de bases de données et de comptes à privilèges d’autre part. «Nous avons complété notre dispositif de corrélation d’événements de sécurité par un outillage préventif de contrôle d’accès, en mode bastion, d’origine Balabit. En cas d’incident, on peut remonter dans le temps pour vérifier ce qui s’est passé sur un serveur sensible, et distinguer une malveillance avérée d’une simple maladresse», précise Yannick Kereun, le RSSI Docapost BPO.

Acteur impliqué dans la dématérialisation, le traitement de chèques, le vote et la signature électronique, Docapost BPO conserve une traçabilité complète de l’activité de ses serveurs et équipements d’interconnexion pour former un faisceau de preuves en cas de besoin.

Se roder aux enquêtes cybercriminelles

Loïc Guezo, Trend Micro
Loïc Guezo,
Trend Micro

Le smartphone, prolongation du cadre itinérant, devient une cible majeure pour les cybercriminels. Il transporte de nombreuses données personnelles et contient des applications sensibles reliées au SI de l’entreprise ou à celui de la banque à distance, rappelle Loïc Guezo, directeur de Trend Micro pour l’Europe du sud : «Notre cellule de veille constate l’apparition de plusieurs millions de malwares sur mobiles, en croissance exponentielle.» L’éditeur japonais répond maintenant aux demandes d’OIV français (opérateurs d’importance vitale). Quitte à s’exposer davantage aux attaques en réseau, il renouvelle sa collaboration avec Interpol au niveau mondial, pour trois ans, en contribuant à développer de nouvelles capacités d’enquêtes cybercriminelles. Freiner la captation de données numériques, c’est aussi renforcer les connexions des terminaux mobiles vers les serveurs du Cloud. Apporter un chiffrement robuste et des fonctions d’étanchéité entre les applicatifs mobiles, c’est la promesse de Cloud App Security pour Office 365, nouveau service proposé par Trend Micro sur le Cloud Azure. Loïc Guezo explique que «beaucoup d’entreprises basculent leur bureautique en mode Cloud Office 365. Or on sait que Microsoft a collaboré avec la NSA depuis 2007. De nombreux décideurs s’interrogent donc sur le devenir de leurs données lorsqu’elles sont mises à disposition des partenaires étendus de l’éditeur. Notre solution consiste à mettre en place des fonctions de sécurité indépendantes de Microsoft, sous la garantie complète du client final ou d’une tierce partie de confiance.»

Vu sous l’angle de la sécurité, le Cloud computing ne résout pas toutes les difficultés propres à chaque entreprise et ses métiers. La gestion des accès, l’inventaire et la classification des données évitent de sur-sécuriser des informations qui ne le méritent pas. Des mesures importantes pour garantir le bon niveau de sécurité d’un système d’informations.

Enfin, parmi les derniers terminaux vulnérables, les objets connectés, bracelets communicants et autres sondes de traçabilité sont sensibles aux failles systèmes telles que Bash Shellshock. Leurs fournisseurs doivent donc anticiper la découverte de brèches et faciliter la mise à niveau, à distance, de leurs systèmes embarqués.