Accueil GESTION DES IDENTITES ET DES ACCES

GESTION DES IDENTITES ET DES ACCES

La brique fondamentale de la sécurité

Avec la multiplication des applications en mode Saas et celle des mobiles, la sécurité des réseaux internes n’a jamais été aussi menacée. L’une des solutions de sécurité les plus répandues et efficaces est certainement l’IAM (Identity Access Management), qui permet de savoir qui se sert de quoi et qui a le droit d’accéder à telle ou telle application.

 

Par définition, l’objectif d’un projet de gestion des identités et des accès (Identity and Access Management) est précisément de créer un référentiel unique afin de gérer les accès et les droits des collaborateurs dans le système d’information. Une solution d’identifiant unique (SSO), plus spécifique, permet pour sa part à un utilisateur d’accéder à plusieurs applications informatiques (ou sites Web sécurisés) en ne procédant qu’à une seule authentification. Ces restrictions, si elles avaient été mises en place à la Société Générale, auraient empêché Jérôme Kerviel de faire des paris risqués (lire notre encadré sur la Société Générale) Malgré la mise en place de pare-feu, de solution de chiffrements, il faut bien constater que les vols d’informations stratégiques, les usurpations d’identités, les fuites de données continuent de faire la Une des journaux. Le scepticisme est de rigueur.

Les solutions miracles n’existent pas

On ne peut que conseiller de suivre les recommandations relatives à l’administration des systèmes d’informations de l’Anssi (Agence nationale de la sécurité informatique), qui veut absolument réduire les risques auxquels sont confrontées les entreprises. Le Premier ministre lui-même, Manuel Valls, lors de son discours sur la cybersécurité le 16 octobre dernier rappelait les méfaits de la jungle d’Internet et la nécessité que toutes les entreprises françaises se protègent. L’anonymat dans lequel les pirates agissent en toute impunité va devenir un enjeu essentiel du 21e siècle. Il faudrait idéalement supprimer tous les relais et écrans qui masquent les agissements des malfrats et que chaque utilisateur du Net soit identifié, un principe qui va à l’encontre des appels à la liberté absolue réclamée par les « libertaires ». C’est l’affaire de tous et même des objets connectés qui ne manqueront pas bientôt de relayer, à l’insu de leurs propriétaires, les attaques.

La meilleure des solutions actuelles

Les combinaisons de défense les plus solides, et qui continuent à se vendre, sont justement du ressort de l’IAM. Depuis plus de vingt ans, certains grands utilisateurs exploitent ces solutions et même s’il leur arrive d’être attaqués, ils ont plus de chance de se défendre que certaines firmes qui sont piratées sans qu’elles le sachent. Le vol sans trace est le sommet du raffinement, le crime parfait en quelque sorte. Les entreprises qui ne peuvent plus se permettre d’ignorer le risque de cyberattaques doivent faire leurs enquêtes sur les attaques de leurs secteurs professionnels, car la professionnalisation des pirates les incite à procéder par domaines afin de consolider les informations de marchés particuliers.

Pour Dell Security, qui rassemble plus de 3 000 professionnels, l’IAM peut être divisé en trois piliers fonctionnels : la gestion des accès, la gestion des droits et la gouvernance des identités. Lors du récent Dell World, la firme a lancé la version 8.1 de sa solution de gestion des identités et des accès pour applications Web : One Identity Cloud Access Manager. Elle exploite enfin l’authentification à facteurs multiples du service Saas Defender as a Service -on saisit un code obtenu à partir d’un jeton OTP, reçu par exemple, par SMS sur son mobile. En outre, SecureWorks s’étend avec l’Emergency Cyber Incident Response, une fonctionnalité dédiée aux entreprises déployant des traitements sur l’infrastructure Cloud d’Amazon. Pour le responsable Florian Malecki, directeur marketing produits, interrogé sur le point de départ à suivre dans l’IAM « Il faut mieux démarrer l’ensemble des opérations IAM à partir de la gestion des accès qui regroupe par exemple la gestion des mots de passe, l’authentification unique et le provisioning » Des éléments qui sont souvent gérés par le service des ressources humaines. Pour Florian Malecki, la gestion des droits concerne essentiellement les comptes à privilèges. Ce sont eux qui poseraient le plus de problèmes, à tel point que des sociétés comme Wallix, récemment entrée en bourse en ont fait un gestionnaire spécifique. A noter qu’avec le rachat d’EMC, Dell aura bientôt sous la main RSA Security, qui est un poids lourd du secteur.

jean-noel-de-galzain

« L’attrait pour les pirates des comptes à privilèges tient à leur pouvoir d’administration sans limite et au fait qu’ils sont anonymes, et donc personne ne se sent concerné, s’il n’est pas incriminé . »

Jean-Noël de Galzain, Wallix

Pour Jean-Noël de Galzain, le PDG de Wallix, l’éditeur de logiciels de sécurité informatique spécialisé dans la traçabilité des accès et la gestion des utilisateurs privilégiés : « L’attrait pour les pirates des comptes à privilèges tient à leur pouvoir d’administration sans limite et au fait qu’ils sont anonymes, et donc personne ne se sent concerné, s’il n’est pas incriminé ». Enfin, le troisième pilier pour Dell Security tient justement à la gouvernance des identités. Les mises à jours des personnes accréditées doivent être régulièrement effectuées.

Une diversité excessive des outils

Pour Dell, les raisons actuelles des échecs tiennent souvent à une diversité excessive des outils d’administration. Il n’est pas rare, selon Todd Peterson, un des spécialistes de la gestion des accès et des identités, de voir les mises à jour des annuaires être effectuées avec des outils natifs, alors qu’il existe un système d’authentification pour les accès. On voit souvent aussi un processus manuel pour les mots de passe des comptes à privilèges ou encore des solutions maison pour l’accès à des applications pourtant standardisées. Mais « les silos » laissent passer les pirates. L’uniformisation a pourtant aussi ses détracteurs, l’enfer étant dans les détails de solutions prétendument universelles. Pour Charles Dupont, directeur général de Usercube, un éditeur de logiciel qui permet de constituer un référentiel des identités et des droits d’accès aux applications, il est bon de différencier les deux systèmes d’environnements SSO et IAM. En effet, pour lui, un certain nombre d’éditeurs de solutions de SSO (Single Sign-On) ont cherché à se différencier et à améliorer leurs revenus en mettant à leur catalogue une offre IAM. Cela tiendrait au « vieux » marché du SSO qui est un marché fortement concurrentiel et en déclin, car la normalisation des applications vers des protocoles standards rend à terme ces solutions inutiles. « Or, c’est là que le bât blesse : utiliser un même produit pour ces deux problématiques rend les sociétés captives de leur éditeur. De plus, cela complexifie et logiquement augmente le coût des deux projets. IAM et SSO ne sont pas deux aspects d’un même problème, ils diffèrent catégoriquement de par leur nature et leur logique.

Les problématiques SSO sont des problématiques techniques et sécuritaires. L’architecture d’une solution SSO doit être construite avec l’objectif d’être la plus robuste possible face aux menaces sécuritaires et la plus résiliente possible.»

 

« IAM et SSO ne sont pas deux aspects d’un même problème, ils diffèrent catégoriquement de par leur nature et leur logique. »

Charles Dupont, Usercube

 

 

Société Générale l’exemple à 4,9 milliards de l’intérêt de l’IAM

Jerome-Kerviel
Jérôme Kerviel a réussi à masquer les opérations grâce à sa très bonne connaissance des procédures de contrôle interne.

En 2008, Jérôme Kerviel n’aurait pas pu faire perdre 4,9 milliards d’euros, si l’IAM en place avait fonctionné correctement. Kerviel avait pu en 2007 intervenir sur le front office et le middle office alors que le second est censé contrôler le premier.

Jérôme Kerviel faisait partie des effectifs de traders de la Société Générale, et comme on l’a su à la suite de son procès, aurait accumulé des positions acheteuses sur des contrats à terme portant sur indice, et dissimulé ces opérations faites sur le marché en introduisant dans le système informatique de la Société Générale des opérations inverses fictives les compensant. Jérôme Kerviel aurait obtenu entre 2000 et 2005 les identifiants et des mots de passe lui donnant un accès privilégié à certaines parties du système d’information à l’époque où il travaillait au middle office, le département qui contrôle justement les traders. Après une position négative de près de 2,2 milliards d’euros en juin 2007, le trader aurait pris ensuite des positions plutôt heureuses pour terminer au 31 décembre 2007 avec un crédit de 1,4 milliard d’euros, réussissant à masquer l’ensemble grâce à sa très bonne connaissance des procédures de contrôle interne qu’il aurait acquises lors de ses quelques années passées au middle office : Si les codes d’accès de Jérôme Kerviel avaient été mis à jour, il n’aurait pas pu intervenir à ce niveau mais la tentation de corriger le tir et masquer certaines opérations a été trop forte (par exemple, la contrepartie d’une opération doit avoir été dûment homologuée et ses caractéristiques documentées). Depuis cette affaire, la Société Générale a transformé ses modes de gestion et a récemment annoncé son programme SAFE (Service d’Authentification Fédérateur d’Entreprise).