Vous êtes sur la page 1sur 23

Gestion des comptes à privilèges

(PIM: Privileged Identity Management)

© 2013 by Lieberman Software Corporation


Comptes à privilèges
A tous les niveaux de l'entreprise et du Cloud

Système d’exploitation des serveurs, Les comptes les plus


postes de travail et équipements réseau puissants
– Administrateur, domaine/local de l’entreprise
– Source, super utilisateur, administrateur...

Bases de données (DBA + Apps) Assurer l'accès à


– SA, Sysadmin, SYS... des informations
sensibles

Infrastructure réseau Rarement modifiées, et


– Routeurs, commutateurs (switch), connues de nombreuses
passerelles (gateway)
personnes
Applications
– Configuration, administration, appli locales Aucune responsabilité
– Comptes de service Web individuelle des
utilisateurs
Posez-vous la question…
• Savez-vous où se trouvent tous vos comptes à privilèges ?
• Qui partage des données d'identification ? Sont-ils
responsables ?
• Les mots de passe sont-ils modifiés ? Est-ce que les
fournisseurs procurent des mots de passe en cours
d’utilisation par défaut ?
• Vos mots de passe résisteront-ils
à des attaques par dictionnaire ?
• Le manque d'automatisation rend-il
le respect de votre politique de sécurité impossible ?
Modèle de maturité PIM
Phase de maturité PIM

Sophistiqué 0 1 2 3 4
Défaillant Mauvais Passable Bon Le Meilleur
Listes obsolètes
d'inventaires IT ;
Connaissance de Mots de passe
Manque
quelques Feuilles de calcul
de
serveurs avec accès Données
connaissances
répertoriés ; contrôlé d’informations
sur ce qui se
Maturité trouve sur
Mots de passe locales et du domaine
conservés dans randomisées ;
le réseau ; Identification Exécution du flux de
des feuilles de
les mots de immédiate des travail interne et
calcul partagés
passe équipements et externe ;
ne changent des comptes ; SIEM et Aide
jamais Intégration du bureau
L'accès aux
données
Conformité
d’identification
ponctuelle
privilégiées est
Immature contrôlé de près
Conformité
continue

Où se trouvent la plupart des


entreprises
aujourd'hui
Modèle de maturité PIM :
Défaillant
Indices
• Des identifiants de connexion à hauts privilèges sont
partagés sur des « post-it »
• Des espaces vides destinés aux mots de passe sont
découverts dans des endroits surprenants
• Les mots de passe par défaut (usine) sont présents sur
le matériel et les applications
• Les données d’identification
privilégiées ne sont jamais modifiées
Modèle de maturité PIM :
Défaillant
Conséquences
• Aucune idée de ce qui se passe sur le réseau, quel que
soit le moment
• Aucun contrôle de qui a accès à des données
d'identification privilégiées ni de la façon dont celles-ci
sont utilisées
• Les identifiants des connexions sont connus par
beaucoup de monde et communément partagés
• Les utilisateurs finaux et les prestataires ont
la possibilité de causer des dommages
Modèle de maturité PIM :
MAUVAIS
Indices
• Le réseau n'est pas documenté, à l'exception de
quelques serveurs principaux
• Les mots de passe sont stockés dans une feuille de
calcul Excel sur un dossier de partage
• Les postes de travail partagent tous un mot de passe
"secret" bien connu
• Mots de passe rarement modifiés - voire jamais
• Un équipement principal, est sécurisé
le temps d'une journée, lorsque l’auditeur
est sur place (cadre PCI-DSS)
Modèle de maturité PIM :
MAUVAIS
Conséquences
• Les données d'identification sensibles sont connues de tous
• La sécurité est "contrôlée" par des politiques écrites qui sont
exposées aux risques de défaillances humaines
• Des activités malveillantes et des modifications inexpliquées
de configuration apparaissent souvent
• Les mots de passe sont encore valides pour des employés
partis depuis de nombreuses années
• Cela peut suffire à certains auditeurs,
si personne ne "vend la mèche" à propos de
ce qui se passe réellement .
Modèle de maturité PIM :
ACCEPTABLE
Indices
• Parc obsolète de serveurs et de postes de travail
• Informations manquantes relatives aux équipements connectés
au réseau
• Beaucoup de comptes partagent les mêmes mots de passe
• Les comptes locaux utilisent tous le même mot de passe et
sont rarement modifiés
• Utilisation de feuilles de calculs contenant
les mots de passe avec un accès contrôlé
• Mots de passe rarement modifiés – voir jamais
Modèle de maturité PIM :
ACCEPTABLE
Conséquences
• Les identifiants privilégiés sont connus seulement par le
personnel du service informatique
• Le personnel du service informatique peut accéder ou
reconfigurer tout ce qu'il veut sans attribution et sans avoir à
modifier des données d’identification après accès
• Il réussit la plupart des audits si personne ne teste les
contrôles
• Il échoue dans tout ce qui est testé par
l’auditeur – ce qui conduit à une stratégie
visant à "réparer seulement ce que
l’auditeur découvre"
Modèle de maturité PIM :
BON
Indices

• Toutes les machines et tous les équipements sont


immédiatement identifiés ou découverts - effacement
automatique des données obsolètes
• Toutes les données d’identification locales sont
automatiquement et régulièrement randomisées : plus
aucune donnée d'identification commune
• Les données d’identification privilégiées doivent être
extraites/enregistrées
• L'accès peut être accordé sans
les données d'identification via SSH ou RDP
Modèle de maturité PIM :
BON
Indices (suite)
• Les feuilles de calcul sont converties en coffre-fort
sécurisé, avec des informations confidentielles (lignes)
contrôlables individuellement
• Stockage sécurisé et attribution d’accès aux
certificats et fichiers
• Gestion limitée des données d'identification de domaine
• Gestion limitée des comptes de service
(gestion de l’utilisation de compte)
Modèle de maturité PIM :
BON
Conséquences
• Tous les accès aux données d'identification et aux comptes
privilégiés sont contrôlés de près
• L'accès est limité selon la durée, la raison, les tickets d’incident
et le flux du travail
• L’attribution existe pour toutes les utilisations des données
d’identification privilégiées
• L’information issue des données d’identification est détruite
après utilisation
• Réussit toujours les audits, mais
nécessite une intervention manuelle pour
la conformité de la gestion des comptes
de service
Modèle de maturité PIM :
LE MEILLEUR
Indices
Toutes les caractéristiques de la BONNE solution :
• Aussi bien les données d’identification locales que celles du
domaine sont randomisées
• Tous les accès sont strictement contrôlés ; les utilisations tant
des comptes que celles des comptes de service sont mises à
jour après leur divulgation
• Interfaçage avec des solutions de traçabilité et SIEM
• Alerte automatique liée à l’intervention
manuelle lorsque le contrôle rencontre des
exceptions
• Intégration complète aux systèmes de
tickets d'incident destinés aux processus ITIL
Modèle de maturité PIM :
LE MEILLEUR
Conséquences
• Toute la gestion des mots de passe est automatisée -
intervention humaine peu ou pas requise
• Création automatique de tickets d'incident destinés aux
systèmes de conformité/comptes
• Application du flux de travail interne/externe
• Capacité des auditeurs à pouvoir tester tous les
contrôles, à tout moment et en détail
• Convient à un environnement vaste,
dynamique et réglementé
• Conformité continue
Vers un modèle PIM efficace
Améliorer la gestion des Qu’est-ce qui entrave le
identités privilégiées n'est déploiement dans le
pas toujours un choix monde réel ?
• Violations • Culture
• Auditeur/Conclusions • Technologies
• Amendes • Silos et politiques
• Menaces de fermeture • Perte des connaissances
• Atteinte à la réputation historiques collectives
• Pertes financières et IP • L'argent ? Le travail ? Le
temps ?
Vers un modèle PIM efficace
La sécurité : un centre de Qui vient et pourquoi ?
coûts ou un "signal"
• Les cadres de niveau C
• S’agit-il d'argent ? auxquels vous vous
• S’agit-il de culture attendez : DSI, ASE, RSSI
d'entreprise ? • Les cadres C auxquels vous
• S’agit-il de priorités ? ne pensez pas : DAF, PDG
• Administrateurs du service
informatique
• Les prestataires de service
• Les utilisateurs finaux
• Les auditeurs et les
régulateurs
Vers un modèle PIM efficace

Combien de temps faut-il Conformité continuelle :


pour progresser ? Nirvana
• Combien cela • Les criminels vous détestent
coûte-t-il réellement ? • Les auditeurs vous adorent
• Est-il possible d’avoir à la • Le personnel informatique
fois des auditeurs et des vous aime
régulateurs satisfaits ? • Plus jamais "de préparation"
• Est-ce que cela permet pour les auditeurs
de faire des économies ? • La direction dort plus
"profondément"
• Les choses s’améliorent de
plus en plus
Dialogue : Leçons apprises

• Avant la mise en œuvre


– Quelle était la situation générale ? Processus interne ?
– Taille et portée de la couverture ?
– Diversité réglementaire ?
• Au cours du déploiement
– Enjeux politiques ? Défis techniques ?
– Délai d’exécution ?
– Des "piégés" ?
• Après
– Défis quotidiens ? Avantages ? Auditeurs informatiques ?
À propos de Lieberman Software
 Pionniers de la gestion des identités privilégiées
 Entreprise basée aux États-Unis, détenue par ses
dirigeants et rentable
 Suivie par Gartner, Forrester, groupe 451,
Kuppinger-Cole
 Les partenariats technologiques incluent :
Plus de 1200 entreprises clientes
Questions
Merci !

© 2013 by Lieberman Software Corporation