Accueil Comment lutter contre les attaques venues de l'intérieur

Comment lutter contre les attaques venues de l’intérieur

Les révélations d’Edward Snowden puis de Bradley Manning ont démontré que le risque numéro 1 de fuite de données provient de l’intérieur. Qu’il s’agisse d’un prestataire en mission ou d’un employé mécontent, les entreprises commencent à mettre en œuvre des solutions pour contrer cette menace.

 

“Toutes les fuites de données viennent de l’intérieur de l’entreprise” assène Morgan Gerhart, vice-président d’Imperva qui ajoute “Il est rarissime qu’un hacker viennent jusqu’à votre datacenter, se connecte à une base de données, copie les données et s’enfuit. La plupart du temps, les fuites de données proviennent d’une source interne ou d’un employé dont l’identité numérique a été compromise.” Face à ce constat, les entreprises cherchent à contrôler les risques présentés par les utilisateurs à privilèges, c’est-à-dire les administrateurs pour qui il est si facile d’accéder à des données confidentielles. Avec CounterBreach, l’éditeur américain se positionne sur le créneau des solutions d’analyse comportementales, tout comme son concurrent Balabit IT Security. Yves Mimeran, responsable des ventes décrit sa solution : “Dès qu’un comportement sort des habitudes de l’utilisateur, notre solution réagit et déclenche un dispositif adapté. L’idée est de rendre la sécurité beaucoup moins contraignante mais aussi plus pertinente, car des niveaux de sécurité plus élevés sont mis en place lorsque des agissements particuliers sont repérés.” Ces déviances peuvent être des horaires ou des lieux d’accès inhabituels, ou bien l’utilisation de commandes systèmes inhabituelle. Même la vitesse de frappe et les déplacements de la souris sont analysés.

Avec AdminBastion Suite, Wallix enregistre toutes les actions des utilisateurs à privilèges, une solution qui masque aussi tous les véritables mots de passe. “Nous cachons le mot de passe véritable de chaque ressource à laquelle l’utilisateur doit accéder et nous assurons une rotation de ces mots de passe” explique Dominique Meurisse, COO de Wallix qui ajoute : “Tous les accès qui passent par le bastion génèrent des traces qui peuvent ensuite être analysées par un auditeur en temps réel ou en mode forensic, afin de rejouer toute la vidéo de la connexion suspecte.”

Une solution telle qu'Imperva Counterbreach analyse le comportement des utilisateurs à privilèges. En cas de comportement sortant de la norme, la solution est capable de générer des alertes afin d'inviter l'équipe de sécurité à vérifier les activités de l'utilisateur.
Une solution telle qu’Imperva Counterbreach analyse le comportement des utilisateurs à privilèges. En cas de comportement sortant de la norme, la solution est capable de générer des alertes afin d’inviter l’équipe de sécurité à vérifier les activités de l’utilisateur.

Aux métiers de gérer les droits de leurs collaborateurs

En marge de ces solutions focalisées sur les utilisateurs à privilèges élevés, beaucoup reste à faire pour industrialiser la gestion des droits des autres utilisateurs. La tendance des solutions de gestion d’identité comme Oracle Identity Cloud Service est de confier aux directions métier la gestion des droits accordés à leurs collaborateurs. C’est la position de Jonathan Deswarte, responsable de comptes chez GB and Smith : “Chaque application dispose de ses droits d’accès propres à ses utilisateurs. Nous proposons un outil unifié pour gérer les droits d’accès pour toutes les applications d’entreprise en un même point. Nous considérons que ce sont les utilisateurs métier qui sont les mieux placés pour savoir qui doit avoir accès à quoi et administrer ces droits d’accès depuis cet outil.”

 


Partage d’expérience

 

Comment Air France protège ses données de paye de ses propres administrateurs

COM-P056198

La paye des 63 800 salariés d’Air France est gérée sous HR Access, un progiciel dont les données sont hautement confidentielles. « Notre challenge numéro 1 était la protection des données vis-à-vis des administrateurs, c’est-à-dire les comptes à privilèges » explique Patrick Vergne, responsable des bases de données Linux chez Air France-KLM. La solution Oracle Vault a été déployée en janvier 2015 afin de contrôler finement la possibilité de lire ou modifier les données par les administrateurs Oracle. Elle a été paramétrée pour qu’en mode normal la sécurité sur les tables soit maximale. C’est seulement dans des phases bien spécifiques que les règles sont assouplies pour que les administrateurs puissent faire leur travail. « Nous n’avons pas encore étendue la solution à d’autres applications car cela représente un investissement et complexifie un peu les procédures, mais sur un applicatif très stable, l’approche fonctionne très bien », conclut Patrick Vergne.