ING : IT New Generation - ITnation

Technical Development Manager
L’IAM contre la fraude interne
Pour lutter efficacement contre la fraude, la gestion des accès doit s’accompagner d’une politique
attribuant (ou retirant) les accès en fonction des rôles des utilisateurs, préconise Bull.
Centraliser la gestion des accès des employés est une manière efficace de combattre la fraude interne. En plaçant
un point de contrôle obligé entre un utilisateur et ses applications, les problèmes de mots de passe publics et d’accès
conservés indûment disparaissent. Il y a beaucoup d’éléments mais la complexité de ce domaine n’est souvent
qu’apparente. Fort de centaines de projets mis en place dans le monde, l’éditeur Evidian, filiale du groupe Bull, a
déterminé plusieurs règles-clé pour déployer un projet de ce type. Bien planifié, un projet de gestion des rôles et des
accès apporte à chaque étape des fonctions utiles.
L’authentification unique (Single Sign-On ou
SSO) peut être un point de départ solide pour
un tel projet. Le SSO renseigne les mots de
passe applicatifs à la place de l’utilisateur
et peut les changer automatiquement, donc
les utilisateurs s’alignent naturellement sur
la politique de sécurité. Autre avantage, la
continuité de service apportée par le SSO
réduit les coûts d’exploitation. Libérés des
mots de passe applicatifs, les utilisateurs
n’encombrent plus le help desk d’appels
improductifs.
POLITIQUES LISIBLES
De plus, l’apport d’une gestion rigoureuse
de la politique d’accès, basée sur les rôles,
est également capital. Avec une gestion de
politique (‘policy management’) efficace,
l’attribution des droits n’est plus nominative
: elle dépend du métier de l’utilisateur
et de sa place dans l’organisation. Cette
manière de procéder est rationnelle. Elle est
aussi facilement «auditable» car effectuée
en un seul endroit, et non application par
application. Avec un policy management,
la politique de sécurité de l’entreprise est
lisible et adaptable en fonction des besoins.
Les procédures sont simples et facilement
documentées : une seule interface est
utilisée. Du point de vue de l’utilisateur, les
délais de mise à disposition de ses applications
sont considérablement raccourcis,
et il est aisé de faire respecter les contraintes
de séparation des tâches (‘segregation
of duties’). Pour compléter le tout, un ‘workflow’
automatisera la chaîne de décision.
Car même si le rôle d’un utilisateur lui donne
théoriquement droit à un accès applicatif,
sa hiérarchie doit formellement autoriser
cet accès. Cela renforce les garanties qu’un
utilisateur ait accès uniquement aux applications
utiles à son travail.
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Sécurité virtuelle ?
La virtualisation est l’un des éléments
les plus importants de l’IT
dans les années à venir. Secaron
s’est intéressé aux aspects sécurité
de cette nouvelle tendance.
«Le niveau de sécurité des solutions de
virtualisation disponibles aujourd'hui est
considéré par les spécialistes comme satisfaisant,
dit Sébastien Bourgasser, Security
Consultant chez Secaron. Les éditeurs de
solutions de sécurité font évoluer leur gamme
de produits afin de déployer leurs outils au cœur
des systèmes de virtualisation. Et même si le
risque zéro n'existe pas, il est commu nément
admis que les mécanismes d’isolation et
de protection présents nativement dans les
hyperviseurs actuels sont robustes et garantissent
l’intégrité des machines virtuelles.»
«En permettant l’accès à la mémoire, au
disque et au trafic réseau de manière centrale,
les nouveaux hyperviseurs fournissent
aux outils de sécurité un accès privilégié aux
machines virtuelles. Si cette fonctionnalité
permet d’augmenter sensiblement le niveau
de sécurité individuel de chaque serveur,
elle accroît considérablement la surface
d’attaque sur l’hyperviseur lui-même, ouvrant
potentiellement une brèche dans le mécanisme
d’isolation des machines virtuelles.»
52 AVRIL 08