Faut-il investir dans la sécurité du SI ?

Publié: 13 octobre 2008 dans DSI
Tags:, , ,

La sécurité est à l’ordre du jour dans de nombreuses entreprises. L’affaire Kirviel a mis à mal la sécurité du système d’information de la Générale, mais ces consœurs savent qu’elles encourent le même risque car leurs systèmes ont les mêmes attributs….

Revenons sur deux d’entre eux. Le premier concerne la gestion des utilisateurs, c’est-à-dire les multiples login/mot de passe que vous tapez chaque jour si vous êtes utilisateur de plusieurs applications. Tout nos SI ont aujourd’hui en commun ce problème d’avoir multiplié le nombre d’annuaires, chaque application – développement spécifique ou progiciel – s’évertuant à recopier ces données d’identification. Des efforts d’intégration ont été entrepris et ont permis de répliquer cette information à peu près automatiquement dans tous ces annuaires. En revanche, l’opération inverse, c’est-à-dire la suppression des utilisateurs et de leurs privilèges après leur mutation ou leur départ, a été faiblement automatisée. Au final le système est de plus en plus désynchronisé avec le temps, nul ne voulant prendre la responsabilité de supprimer des accès qui pourraient susciter l’ire d’un collaborateur légitimement « à cheval sur deux postes pendant huit mois » ou « offrant ponctuellement son aide à son successeur »…mais aussi un accès à celui qui « utilise ces anciennes fonctions dans le contrôle pour dissimuler ces opérations dans son poste de vendeur ». L’interface de suppression des droits est difficilement automatisable, elle cause l’entropie des annuaires, notre premier trait.
Notre second trait concerne la philosophie même selon laquelle ont été bâtis les programmes de sécurité, qui ouvrent ou pas l’accès à des informations, en lecture, ou en écriture. Tous les SI des grandes entreprises obéissent à la même philosophie : tout ce qui n’est pas expressément autorisé est interdit. On vous fournira des autorisations selon vos fonctions dans l’entreprise. Du bon sens ? Dans les faits cette politique conduit à empiler les autorisations avec le temps, chaque utilisateur ayant de plus en plus de droits au fil de sa carrière et de ses différents postes. Elle conduit également à construire des systèmes complexes d’autorisations hiérarchiques ou matricielles comme « vous pouvez faire des opérations sur ces comptes, du département de l’Isère, mais vous pouvez consulter tous les comptes de la région Rhône-Alpes ». Au-delà du coût en développement informatique et en gestion quotidienne, cette micro-segmentation amplifie paradoxalement les risques. Il devient difficile voire impossible de garantir une quelconque interdiction, puisque rien ne garantit qu’une autorisation au fin fond d’une pile ne vous ouvre un accès, et il faut avoir épluché la pile pour en être sûr !
Certains systèmes, par exemple Wikipedia pour le plus connu, ont opté pour une politique inverse, paradoxalement beaucoup plus efficace : tout ce qui n’est pas expressément interdit est autorisé, mais tracé. On positionnera des interdictions dans les zones sensibles. Une telle politique permet un énorme gain en simplicité – caractéristique nécessaire à la sécurité – et permet une bien meilleure maîtrise des risques, car elle garantit les interdictions, sans éplucher une pile d’informations, mais en lisant une seule ligne. Dans notre exemple nous aurions eu cette interdiction dans l’application back-office : l’accès est interdit à tout opérateur du front-office.
Enfin, une exploitation judicieuse des traces avec des outils modernes de requêtage voire de data mining, permet de détecter des comportements suspects, comme « s’est loggué tous les jours ouvrés sans interruption pendant plus de six mois, donc sans prendre de vacances, donc en ne déléguant jamais ses positions à ses collègues ». Ces formes que les moteurs de data mining vont reconnaître représentent l’expérience accumulée en gestion des risques par l’entreprise. Celle que je cite était connue avant l’affaire…

Alors pour augmenter la sécurité de votre SI, prenez le risque de l’ouvrir et faites des économies au passage !

Advertisements
commentaires
  1. Mouton 2.0 dit :

    Un bon post se bonifie avec le temps 🙂

    Merci pour cette re-publication. La gestion d’identité#sécurité est en effet un sujet toujours d’actualité.

    Je partage votre vision : ouvrir plutôt que fermer pour gagner en efficacité et optimiser les coûts.

    D’ailleurs, je me demande si l’entreprise ne gagnerait pas à aller encore plus loin en externalisant simplement la fonction de gestion d’identité, aussi importante qu’elle soit ?

    Accordez-moi le bénéfice du doute le temps de quelques lignes 🙂

    Par ‘externalisation’, j’entends ‘délégation’. Nous avons tous une, voire plusieurs identités que nous utilisons et gérons tous les jours. Ces identités numériques sont fournies soit par nos fournisseurs d’accès (Free, SFR, Orange…) soit par nos fournisseurs de services en lignes (mon.service-public.fr, Google, Yahoo, Windows Live, Facebook, OpenID).

    Est-ce que les entreprises ne gagneraient pas à déléguer cette fonction une bonne fois pour toute à leurs utilisateurs et se concentrer plutôt sur l’essentiel : la gestion des droits associés à chaque identité ?

    A mon sens, l’entreprise gagnerait en réduisant les coûts (provisionning, deprovisionning, reset password, support des nouveaux devices, sécurisation…) et l’utilisateur gagnerait en simplicité et en autonomie !

    Et au passage, les deux (entreprise et utilisateur) profiteraient des innovations qui améliorent la sécurité : j’ai d’ailleurs pris une claque en testant le nouveau joujou de Google ‘2-step-verification code’. Certes, ce n’est pas un service pour Madame Michu mais c’est un service bien pensé et surtout super bien implémenté dans le respect des standards.

    Au plaisir de vous lire.
    Mouton 2.0

    PS : je n’ai pas d’action chez Google

  2. Tout à fait en phase avec ce positionnement. Laisser les identités gérées à l’extérieur révèlerait d’ailleurs d’énormes gains sur le « second cercle » d’usagers du SI : prestataires, fournisseurs, clients, etc. Mais psychologiquement, ce n’est pas très mouton dans les consensus architecturaux actuels … 😉 L’arrivée de fournisseurs de messagerie externalisée comme Google ou Office365 va probablement influer sur ce mouvement, car il va créer de facto cette situation …. Cordialement, PP

  3. Bonjour,

    Approche intéressante. Je suis d’accord avec Pierre, ce n’est pas très Mouton, mais très 2.0.
    De manière pratique, cela permettra aux entreprises de répondre à une demande croissante, faire son travail sur son device personnel (bring your own device).
    Cela va aussi dans le sens d’une nouvelle relation avec l’entreprise, où le salarié est considéré en tant qu’individu à part entière (avec son identité privée) et non comme un membre indéfectible de l’entreprise pour qui la vie avant et celle après n’aurait aucune importance. D’ailleurs est-ce que l’entreprise donne un nouveau nom à un nouveau salarié? Non. Ce ne serait donc qu’un respect digital de la vraie vie.

    Frédéric

  4. switcherdav dit :

    On pourrait également faite état des postes « sécurisé », basés sur des masters qu’i faut refaire à chaque nouvelle gamme … certains entreprises ont pris le parti de laisser le poste avec l’OS livré et d’y installer un anti-virus ..et puis c’est tout.
    Au final, moins de temps passé à verrouiller des fonctionnalités qui peuvent rendre le poste instable et en responsabilisant les utilisateurs, ils deviennent responsables.

  5. switcherdav dit :

    … j’ai fait le plein de fautes, désolé …

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s