Sécurité IT: quand l’ennemi vient de l’intérieur…

Pratique
Par · 25/08/2016

Comment protéger systèmes et données non seulement contre des hackers mais aussi contre des erreurs ou des malversations provenant de collaborateurs?

Les incidents qui voient des personnes non autorisées accéder, voire dérober des données et fichiers, demeurent monnaie courante et semblent même se multiplier.

Des solutions telles que l’IAM (identity & access management) peuvent apporter une réponse. Encore faut-il les paramétrer correctement et définir des règles qui correspondent à la réalité de chaque entreprise.

Voici quelques conseils émanant de Hypersocket Software (société britannique spécialisée en logiciels de gestion d’accès et de sécurité réseau).

Si le principe de la gestion d’identité, qui permet d’octroyer un accès à une personne sur base de son “identité” (profil, fonction) dûment authentifiée, est insuffisant et risque de rater l’objectif: être identifié comme employé de la société n’implique en effet pas de jouir d’un accès sans limite.

Le principe du “privilège minimal” (chaque personne n’a accès qu’aux systèmes et données utiles et nécessaires dans le cadre de ses fonctions) constitue une solution déjà plus pertinente mais, prévient Hypersocket, n’est pas aisé à mettre en oeuvre et conduit souvent à des erreurs.

Définir les privilèges d’accès sur base d’un rôle rempli au sein de la société, c’est oublier que les individus opèrent rarement dans un seul rôle, qu’un employé peut avoir besoin, de manière ponctuelle – et atypique -, d’accéder à certaines ressources qui ne cadrent pas avec son “rôle” habituel, que les conditions d’accès de deux personnes remplissant le même rôle peuvent être différentes…

Résultat: le concept de “privilège minimal” impose une gestion granulaire, différenciée, pour chaque personne, avec surveillance des activités qu’elle mène réellement.

D’où ce conseil de Hypersocket: “prévoyez un système qui définit des permissions par action, ainsi que des domaines définis sur base de ressources spécifiques. On établira alors une corrélation entre les personnes et les rôles, ces derniers étant associés à un ensemble déterminé d’autorisations. Les ressources sont ainsi assignées à chaque rôle. Chaque action déclenchera par ailleurs un “événement”, permettant de générer des rapports et une analyse détaillée du système.”

Autre conseil: appliquer le principe du privilège minimal aux utilisateurs… bénéficiant d’un accès privilégié. Exemple classique: les administrateurs système.

La raison? Eux aussi peuvent être source de risques. Dans leur cas, la solution déployée “devrait être en mesure de fournir une analyse temps réel et continue de risque, détaillant qui a accès aux ressources privilégiées, documentant leurs activités, leur comportement, et fournissant un score de risque par utilisateur.”