Sécuriser l’accès aux ressources et vérifier l’efficacité

Définition d’une ressource

Tout ce qui permet de produire de la valeur ; physique ou logique : bâtiments et équipements, le code,
les applications et les données mais aussi les personnes. Le sujet est la personne, l’application ou
l’équipement qui demande l’accès à une ressource.

Pourquoi il faut les protéger

CIA => risques ?

Pertes d’avantage compétitif, de clients, d’images, de revenu.

La solution : IAM - HABILITATION

Définition
Identification : Le sujet affirme son identité par username, carte, visage. Il est unique.

Authentification : S’assurer que le sujet est bien celui qu’il dit être. Opération de comparaison avec une
base de données. Enrôlement auparavant. Usage de mot de passe ou autre. Ce sont des informations
à protéger IMPERATIVEMENT.

Enrôlement : Acquérir les informations pour identifier la personne de manière unique. Documents
officiels (ID Card), questions de sécurité ou administrative, informations biométriques. Utile pour
renouveler le mot de passe.

Autorisation ou « habilitation » : Les droits d’accès sont définis. Qu’est que le sujet à le droit de faire.

Accountability ou imputabilité : Le sujet est tenu responsable ou imputable des actions qu’il a
entreprises. Il ne peut pas les renier.

Précisions

Différences entre permission, droits et privilège. Privilèges = permission + droits

Permission :

En général, les permissions font référence à l'accès accordé à un objet et déterminent ce que vous
pouvez faire avec lui. Si vous avez le droit de lire un fichier, vous pourrez l'ouvrir et le lire. Vous pouvez
accorder à un utilisateur des autorisations de création, de lecture, de modification ou de suppression
d'un fichier sur un serveur de fichiers. De même, vous pouvez accorder à un utilisateur des droits
d'accès à un fichier, dans ce contexte, les droits d'accès et les autorisations sont synonymes. Par
exemple, vous pouvez vous voir accorder des droits de lecture et d'exécution pour une application et
d'exécution pour un fichier d'application, ce qui vous donne le droit d'exécuter l'application.

En outre, vous pouvez vous voir accorder des droits sur les données d'une base de données, ce qui
vous permet de récupérer ou de mettre à jour les informations contenues dans la base de données.

Christophe Rousset le 3 janvier 2024 – BTS SIO Bloc 3 1ère année – Chapitre 5
Droit :

Le droit se réfère principalement à la capacité d'effectuer une action sur un objet. Par exemple, un
utilisateur peut avoir le droit de modifier l'heure système d'un ordinateur ou le droit de restaurer des
données sauvegardées. Cette distinction est subtile et n'est pas toujours soulignée. Cependant, vous
verrez rarement le droit d'effectuer une action sur un système désigné comme une autorisation.

Privilège :

Les privilèges sont une combinaison de droits et d'autorisations. Par exemple, un administrateur d'un
ordinateur dispose de privilèges complets, ce qui lui confère tous les droits et autorisations sur
l'ordinateur. L'administrateur sera en mesure d'effectuer toutes les actions et d'accéder à toutes les
données de l'ordinateur.

Les facteurs d’authentification

3 facteurs : Une ce que tu sais, ce que tu as et ce que tu es

Ce que tu sais : Une chose mémorisée - mot de passe, code PIN

Ce que tu as : Un objet en ta possession : - Téléphone, token, smartcard

Ce que tu es : Biométrique - empreinte digitale, iris

Notion de MFA – Authentification multi facteur

Ce que tu sais
Souci avec les mots de passe : oubli, craquage, fuite, etc

Une politique de mot de passe comprend : la longueur, la complexité, mini et max âge, historique.

La passphrase est une alternative. Usage d’un coffre-fort genre Keepass.

Ce que tu as
OTP : « one time password » – via un token, une application (Google Authenticator), SMS

Ce que tu es :
Une donnée biométrique – efficace pour les accès physiques

Authentification des équipements

Accès au domaine, enrôlement des équipements persos ou NAC (Network Access Control), port-based
authentification

Authentification des services

Des services demandent une authentification : comptes de service (ex : SQL server, Exchange).

Christophe Rousset le 3 janvier 2024 – BTS SIO Bloc 3 1ère année – Chapitre 5
/!\ compte à très fort privilège – des règles à mettre en place comme très forte complexité,
changements réguliers manuels, compte non interactif (pas de login). Doivent être listés et suivis.

Authentification mutuelle
Client-Serveur, VPN par l’usage de certificats

Mettre en œuvre l’IAM

2 types : centralisé et décentralisé (ou distribué)

Centralisé : Un seul point de gestion (ex : Active Directory) donc plus simple et plus rapide.
Scalable/évolutif mais SPOF (Single Point of Failure)

Distribué : Demande plus de personnel et chaque changement doit être répliqué sur les systèmes.
Maintien de la consistance difficile.

Single Sign On – SSO - Centralisé

Un seul user/mdp pour toute l’organisation. Plus facile à gérer et moins de mots de passe à se souvenir.

Fédération d’identité – on premises ou Cloud (Facebook, Google)

/ ! \ Compromission d’un compte, risque de « privilege escalation »

Session Management
Usage du screen saver avec mot de passe pour le poste local.

Usage d’un « logoff » pour les applications Web => TLS et « timeout » de 2 à 5mn, connaitre le
framework qui intègre cette fonction nativement.

Cycle de vie des identités

Le cycle de création : création, gestion et suppression des identités (User, service, équipement)

Un bon process et de bonnes pratiques sont indispensables.

Enregistrement
Il doit y avoir une procédure spécifique de création de compte – appeler enregistrement ou
enrôlement. Cette procédure demande la collecte d’information (nom, adresse, biométrie) et les
preuves. Il faut garder trace de toutes les informations et matériels fournis – signé par l’arrivant.

Souvent les RH sont les initiateurs et transmettent les informations aux équipes IT. Le process peut être
très automatisé surtout s’il y a une utilisation d’outil et de rôles (groupes).

Il faut accompagner l’arrivant (charte informatique, MFA2, support informatique, accès ressource).

Décommissionnement
Une procédure doit exister aussi. Retour de tous les équipements fournis. Souvent les comptes sont
désactivés pour 30 jours (récupération d’informations) puis supprimés.

Christophe Rousset le 3 janvier 2024 – BTS SIO Bloc 3 1ère année – Chapitre 5
/ ! \ Fin de contrat d’un admin : révocation des droits à l’annonce de la fin de mission si situation
difficile (sanction).

Changement de responsabilités
Si la notion de groupe et de rôles existe, il faut modifier les droits de la personne dans son nouveau
rôle. Vérifier la suppression des anciens droits.

Risque de superposition des accès et non-respect de la ségrégation des tâches.

Maintenance des comptes

Maintenir les privilèges adaptés en supervisant régulièrement les droits associés à un compte (annuel).

Respecter le principe du moindre privilège.

Revue des droits

Un processus de revue régulière des droits doit exister au sein de l’entité. Le responsable de
l’application doit contrôler ou faire contrôler :

• Les comptes inactifs,

• Les comptes de service,
• Les comptes à haut privilège,
• Les comptes utilisateurs avec des privilèges exceptionnelles,
• Les comptes avec des privilèges « croisés (creeping).

Respecter le principe du moindre privilège.

Christophe Rousset le 3 janvier 2024 – BTS SIO Bloc 3 1ère année – Chapitre 5
Résumé

La gestion des identités et des accès (IAM) couvre les aspects de gestion, d'administration et de mise
en œuvre, de l'octroi ou de la restriction de l'accès aux actifs. Les actifs comprennent les informations,
les systèmes, les dispositifs, les installations et les applications. Les organisations utilisent des contrôles
d'accès physiques et logiques pour les protéger.

L'identification est le processus par lequel un sujet revendique ou professe une identité.
L'authentification vérifie l'identité du sujet en comparant un ou plusieurs facteurs d'authentification à
une base de données contenant les informations d'authentification des utilisateurs. Les trois principaux
facteurs d'authentification sont ce que vous savez, ce que vous avez et ce que vous êtes.
L'authentification multifactorielle utilise plus d'un facteur d'authentification et est plus forte que
l'utilisation d'un seul facteur d'authentification.

Les technologies d'authentification unique (SSO) permettent aux utilisateurs de s'authentifier une fois
et d'accéder à toutes les ressources d'un réseau sans avoir à s'authentifier à nouveau. Les réseaux
internes utilisent couramment le SSO, et des capacités de SSO sont également disponibles sur l'internet
et via le Cloud. Les systèmes de gestion de l'identité (FIM) relient les identités des utilisateurs d'un
système à d'autres systèmes afin de mettre en œuvre le SSO.

Le cycle de vie du provisionnement de l'identité et de l'accès comprend la création, la gestion et la

suppression des comptes utilisés par les sujets. Le provisionnement comprend la création des comptes
et l'assurance qu'ils aient l'accès approprié aux objets et de fournir aux employés le matériel dont ils
ont besoin pour leur travail. Les processus d'intégration informent les employés des processus
organisationnels et aident les nouveaux employés à réussir.

Les processus de « déprovisionnement » désactivent ou suppriment un compte lorsque les employés

quittent l'entreprise. Les processus d'offboarding garantissent que les employés rendent tout le
matériel que l'organisation leur a fourni.

Christophe Rousset le 3 janvier 2024 – BTS SIO Bloc 3 1ère année – Chapitre 5
Quizz

1 - Une organisation envisage de créer une fédération basée sur le cloud en utilisant un service tiers
pour partager les identités fédérées. Une fois le projet achevé, quel sera l'identifiant de connexion
utilisé par les utilisateurs ?

A. Leur compte habituel

B. Un compte qui leur a été attribué par la fédération basée sur le cloud
C. Gestion hybride des identités
D. SSO

2 - Lequel des énoncés suivants exprime le mieux l'objectif principal du contrôle de l'accès aux biens ?

A. Préserver la confidentialité, l'intégrité et la disponibilité des systèmes et des données.

B. Garantir que seuls les objets valides peuvent s'authentifier sur un système.
C. Empêcher l'accès non autorisé aux sujets.
D. S'assurer que tous les sujets sont authentifiés.

3 - Lequel des énoncés suivants est vrai en ce qui concerne un sujet ?

A. Un sujet est toujours un compte d'utilisateur.

B. Le sujet est toujours l'entité qui fournit ou héberge des informations ou des données.
C. Le sujet est toujours l'entité qui reçoit des informations ou des données d'un objet.
D. Une même entité ne peut jamais changer de rôle entre le sujet et l'objet.

4 - Sur la base des conseils du National Institute of Standards and Technology (NIST), quand les
utilisateurs réguliers doivent-ils changer leurs mots de passe ?

A. Tous les 30 jours

B. Tous les 60 jours
C. Tous les 90 jours
D. Uniquement si le mot de passe actuel est compromis

5 - Les administrateurs de sécurité ont appris que les utilisateurs passent d'un mot de passe à l'autre.
Lorsque le système leur demande de changer leur mot de passe, ils utilisent le second mot de passe.
Lorsque le système leur demande à nouveau de changer leur mot de passe, ils utilisent le premier mot
de passe. Lorsque le système leur demande à nouveau de modifier leur mot de passe, ils utilisent le
premier mot de passe. Qu'est-ce qui peut empêcher les utilisateurs d'alterner entre deux mots de passe
?
A. La complexité du mot de passe
B. L'historique des mots de passe
C. Longueur du mot de passe
D. Âge du mot de passe

6 - Lequel des énoncés suivants identifie le mieux l'avantage d'une « passphrase » ?

A. Elle est courte.

B. Elle est facile à mémoriser.
C. Elle inclut des caractères uniques

Christophe Rousset le 3 janvier 2024 – BTS SIO Bloc 3 1ère année – Chapitre 5
 D. Elle est facile à cracker

7 - Karen prend un congé de maternité et sera absente du travail pendant au moins 12 semaines.
Laquelle des mesures suivantes doit être prise pendant qu'elle prend son congé de maternité ?

A. Supprimer le compte.
B. Réinitialiser le mot de passe du compte.
C. Ne rien faire.
D. Désactiver le compte.

8 - Parmi les éléments suivants, quels sont ceux qui sont nécessaires pour garantir que les journaux
soutiennent correctement l'obligation de rendre compte ? (Choisissez-en deux.)

A. Identification
B. Autorisation
C. Audit
D. Authentification

9 - Fred, un administrateur, travaille au sein d'une organisation depuis plus de 10 ans. Auparavant, il
entretenait des serveurs de base de données alors qu'il travaillait dans une autre division. Il travaille
désormais dans le service de programmation, mais conserve des privilèges sur les serveurs de base de
données. Il a récemment modifié un paramètre sur un serveur de base de données afin qu'un script
qu'il a écrit puisse être exécuté. Malheureusement, sa modification a désactivé le serveur pendant
plusieurs heures avant que les administrateurs de la base de données ne découvrent la modification et
ne l'annulent.
Lequel des éléments suivants aurait pu permettre d'éviter cette panne ?

A. Une politique exigeant une authentification forte

B. L'authentification multifactorielle
C. La journalisation
D. Revue des comptes

Christophe Rousset le 3 janvier 2024 – BTS SIO Bloc 3 1ère année – Chapitre 5