ING : IT New Generation - ITnation
ING : IT New Generation - ITnation
ING : IT New Generation - ITnation
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
La sécurité devient<br />
mature<br />
La traçabilité des accès est essentielle pour l’audit en regard<br />
des conformités mais se révèle de plus en plus complexe,<br />
sans centralisation de l’information.<br />
En plus de ses solutions d’Identity et d’Access Management (IAM), IBM<br />
propose Tivoli Compliance Insight Manager (TCIM), acquis via la société<br />
Consul. TCIM permet de surveiller l’activité des utilisateurs sur le système,<br />
notamment via la solution SEM (Security Event Manager). Une fois qu’un<br />
utilisateur externe ou un consultant (notamment en cas d’externalisation de<br />
certains services) est sur le système, ces personnes qui font plus ou moins<br />
partie du réseau doivent être identifiées. «Il y a encore beaucoup d’impunité<br />
car le comportement des utilisateurs n’est pas assez surveillé, explique<br />
Michael Cable, Tivoli Security Audit & Compliance Sales Leader chez IBM.<br />
Neuf incidents internes sur 10 sont commis par des utilisateurs privilégiés.<br />
Il suffirait donc de mieux surveiller les 10% restants pour diviser par 10 le<br />
nombre des attaques.»<br />
D’abord, il importe d’avoir sous contrôle ce<br />
qui se passe dans l’entreprise via la gestion<br />
des logs, qui permet de tracer l’historique des<br />
activités des utilisateurs et de le comparer<br />
ensuite avec les politiques de sécurité<br />
en vigueur. L’idéal est que les langages<br />
des données soient les plus semblables<br />
possibles et correspondent donc à des<br />
normes. «Le grand avantage de Consul est<br />
que le langage n’est pas technique mais<br />
rédigé en W7 : who, did what, when, where,<br />
from where, how, and why, explique Michael<br />
Cable. Tous les rapports tirés de l’analyse des<br />
données sont mis dans un langage unique,<br />
compréhensible par le business et l’audit.»<br />
Comme par exemple, la comparaison avec<br />
les règles émises par la CSSF, SOX, les<br />
normes ISO, CobiT, PKI…<br />
APRèS LES VIRUS…<br />
Si les auditeurs et le business s’accordent à<br />
réduire les incidents, le plus difficile demeure<br />
la définition du niveau d’accès des utilisateurs,<br />
qui ne peut en aucun cas les empêcher… de<br />
travailler. En plus de gérer la traçabilité, l’outil<br />
doit pouvoir aussi déterminer si l’usage des<br />
données est approprié. «On a rajouté de l’intelligence<br />
dans TCIM, dit Michael Cable. Les<br />
utilisateurs de la solution peuvent déterminer<br />
la cause de l’incident et prendre les mesures<br />
pour qu’il ne se produise plus. TCIM les<br />
assiste dans le processus de détection et<br />
d’investigation.» Par exemple, un utilisateur<br />
dont les logs successifs sur un programme<br />
spécifique ont été ensuite suivis par un «clear<br />
log», peut devenir un suspect aux yeux de<br />
l’audit. «En cas de doute, la spreadsheet<br />
peut être imprimée et apportée au manager<br />
pour analyse», dit Michael Cable. Pour éviter<br />
la fraude, TCIM peut être fine-tunée sur les<br />
applications choisies par le business. «L’époque<br />
des virus destructeurs est révolue, estime<br />
Michael Cable. Il faut des solutions précises<br />
pour répondre à des attaques ciblées.»<br />
LE RISQUE, AU QUOTIDIEN<br />
«Certaines sociétés ont atteint le niveau<br />
où l’information importante est transmise<br />
aux auditeurs en temps réel, comme<br />
le veut la norme Bâle II, explique Pierre<br />
Noël, Worldwide Risk Management &<br />
Information Security Evangelist chez IBM.<br />
Le niveau suivant voit la sécurité divisée<br />
en deux parties. D’un côté, l’informatique<br />
pure, et de l’autre, ceux qui regardent ce<br />
qui se passe en termes d’incidents,…<br />
La sécurité fait de plus en plus partie du<br />
quotidien de ces personnes, qui gèrent<br />
le risque opérationnel. Au Luxembourg,<br />
la plupart des sociétés financières ont<br />
l’approche adéquate, même si souvent,<br />
les RSSI ne possèdent pas tous les outils<br />
nécessaires pour collecter les informations.<br />
Par exemple, leur connaissance du nombre<br />
d’incidents à un temps t est mauvaise.<br />
Or, ces informations sont déterminantes<br />
pour le CFO, le CIO, voire le conseil<br />
d’administration. La sécurité va être le<br />
reflet des nouveaux besoins de l’entreprise,<br />
traduits en politiques claires.»<br />
44 AVRIL 08