ING : IT New Generation - ITnation

Technical Development Manager
le grand dossier
Sécurité
La sécurité devient
mature
La traçabilité des accès est essentielle pour l’audit en regard
des conformités mais se révèle de plus en plus complexe,
sans centralisation de l’information.
En plus de ses solutions d’Identity et d’Access Management (IAM), IBM
propose Tivoli Compliance Insight Manager (TCIM), acquis via la société
Consul. TCIM permet de surveiller l’activité des utilisateurs sur le système,
notamment via la solution SEM (Security Event Manager). Une fois qu’un
utilisateur externe ou un consultant (notamment en cas d’externalisation de
certains services) est sur le système, ces personnes qui font plus ou moins
partie du réseau doivent être identifiées. «Il y a encore beaucoup d’impunité
car le comportement des utilisateurs n’est pas assez surveillé, explique
Michael Cable, Tivoli Security Audit & Compliance Sales Leader chez IBM.
Neuf incidents internes sur 10 sont commis par des utilisateurs privilégiés.
Il suffirait donc de mieux surveiller les 10% restants pour diviser par 10 le
nombre des attaques.»
D’abord, il importe d’avoir sous contrôle ce
qui se passe dans l’entreprise via la gestion
des logs, qui permet de tracer l’historique des
activités des utilisateurs et de le comparer
ensuite avec les politiques de sécurité
en vigueur. L’idéal est que les langages
des données soient les plus semblables
possibles et correspondent donc à des
normes. «Le grand avantage de Consul est
que le langage n’est pas technique mais
rédigé en W7 : who, did what, when, where,
from where, how, and why, explique Michael
Cable. Tous les rapports tirés de l’analyse des
données sont mis dans un langage unique,
compréhensible par le business et l’audit.»
Comme par exemple, la comparaison avec
les règles émises par la CSSF, SOX, les
normes ISO, CobiT, PKI…
APRèS LES VIRUS…
Si les auditeurs et le business s’accordent à
réduire les incidents, le plus difficile demeure
la définition du niveau d’accès des utilisateurs,
qui ne peut en aucun cas les empêcher… de
travailler. En plus de gérer la traçabilité, l’outil
doit pouvoir aussi déterminer si l’usage des
données est approprié. «On a rajouté de l’intelligence
dans TCIM, dit Michael Cable. Les
utilisateurs de la solution peuvent déterminer
la cause de l’incident et prendre les mesures
pour qu’il ne se produise plus. TCIM les
assiste dans le processus de détection et
d’investigation.» Par exemple, un utilisateur
dont les logs successifs sur un programme
spécifique ont été ensuite suivis par un «clear
log», peut devenir un suspect aux yeux de
l’audit. «En cas de doute, la spreadsheet
peut être imprimée et apportée au manager
pour analyse», dit Michael Cable. Pour éviter
la fraude, TCIM peut être fine-tunée sur les
applications choisies par le business. «L’époque
des virus destructeurs est révolue, estime
Michael Cable. Il faut des solutions précises
pour répondre à des attaques ciblées.»
LE RISQUE, AU QUOTIDIEN
«Certaines sociétés ont atteint le niveau
où l’information importante est transmise
aux auditeurs en temps réel, comme
le veut la norme Bâle II, explique Pierre
Noël, Worldwide Risk Management &
Information Security Evangelist chez IBM.
Le niveau suivant voit la sécurité divisée
en deux parties. D’un côté, l’informatique
pure, et de l’autre, ceux qui regardent ce
qui se passe en termes d’incidents,…
La sécurité fait de plus en plus partie du
quotidien de ces personnes, qui gèrent
le risque opérationnel. Au Luxembourg,
la plupart des sociétés financières ont
l’approche adéquate, même si souvent,
les RSSI ne possèdent pas tous les outils
nécessaires pour collecter les informations.
Par exemple, leur connaissance du nombre
d’incidents à un temps t est mauvaise.
Or, ces informations sont déterminantes
pour le CFO, le CIO, voire le conseil
d’administration. La sécurité va être le
reflet des nouveaux besoins de l’entreprise,
traduits en politiques claires.»
44 AVRIL 08