Tribune Libre de Jean-Noël de Galzain, PDG de WALLIX
Profitez de vos investissements dans le cloud
pour reprendre le contrôle des comptes à privilèges
Comment réduire la menace interne pour tirer pleinement partie du Cloud et de la révolution digitale?
Le cloud computing est un mouvement de fonds qui va consolider les infrastructures et concentrer les données rendant le système d’information aussi critique pour le business, qu’attractif pour les fraudeurs ou les espions.
Côté utilisateur, les nouveaux moyens de communication et modes de travail vont vers le nomadisme avec des moyens d’accès mobiles tels que les tablettes et les smartphones. Demain, avec l’Internet des objets, ce seront des systèmes interconnectés qui interagiront directement entre eux, avec l’homme.
Le besoin en ressources et les impératifs d’évolution des compétences rendent nécessaire l’interaction avec de multiples intervenants aux savoir-faire variés, dispersés géographiquement et répartis le plus souvent en interne et en externe des organisations. Difficile de savoir qui a accès à quoi dans cette complexité.
Les investissements des directions informatiques vont ainsi vers le déploiement de nouvelles infrastructures virtualisées, le cloud computing ou les applications en mode SAAS. D’où l’importance de la confiance numérique pour accompagner cette transformation digitale.
Depuis 50 ans, les systèmes d’information, et plus largement le digital, ont pris une telle importance que les enjeux de sécurité ne sont plus les mêmes. Protection du poste de travail, sécurité périmétrique, outils de filtrage, beaucoup de systèmes ont été déployés pour se protéger des menaces venant de l’extérieur.
Quid de la menace interne ?
Au total, ce sont des millions de serveurs, d’applications, d’équipements réseaux ou de sécurité qui sont déployés, surveillés et maintenus au quotidien par des ressources spécialisées (ingénieurs, techniciens, chefs de projets, administrateurs de bases de données, etc.) : les utilisateurs privilégiés. Pourquoi privilégiés?
Parce qu’ils ont accès au système d’information au moyen de comptes à privilèges qui leur confèrent un rôle de super utilisateurs ayant les possibilités les plus étendues sur tous ces systèmes et leur contenu.
Après plusieurs décennies d’histoire, on peut difficilement imaginer l’ampleur des comptes à privilèges dans nos systèmes d’information. Ils prolifèrent, rendant les organisations vulnérables à la menace interne : les pannes, la fraude ou la malveillance.
Les systèmes industriels, les systèmes experts, les bases d’informations confidentielles ou de données personnelles (santé, financières, citoyennes, comportementales parfois vitales) et demain les objets connectés, tous nécessitent un contrôle d’accès, des comptes à privilèges et une traçabilité des connexions.
Peut-on en effet envisager d’investir massivement ou de migrer son entreprise vers le Cloud sans savoir qui y a accès, quand et pourquoi faire ?
Est-on par exemple conscient qu’Edward Snowden, à l’origine de la révélation de Prism, était simple salarié chez un prestataire de services de la NSA très connu.
Comment imaginer qu’il a pu prendre seul l’initiative depuis son poste informatique, d’utiliser les privilèges de ses accès informatiques pour télécharger des informations au plus haut degré de confidentialité (confidentielles défense) avant de les diffuser au monde entier ? Peut-on croire qu’un trader dans une grande banque puisse utiliser ses accès au système de telle manière à engager plusieurs milliards d’ euros
en contrôlant lui-même ses engagements ? Combien y a-t-il d’Edward Snowden en gestation dans nos organisations?
Il faut se réveiller. Nous vivons dans une époque où la réalité en matière de cyber sécurité dépasse la fiction.
Les comptes à privilèges sont incontournables pour maintenir tous nos systèmes informatiques, nos applications et l’accès à nos données. Simplement leur gestion est complexe, et jusqu’à présent ignorée par de nombreuses directions informatiques. Il est temps d’arrêter de mettre le problème sous le tapis, et de le traiter de manière simple et organisée.
L’investissement massif dans les infrastructures du Cloud et l’évolution vers les applications en ligne offrent l’opportunité historique pour les directeurs informatiques, les RSSI ou les officiers de sécurité, d’intégrer la gestion des comptes à privilèges et la traçabilité des accès en priorité sur leurs projets, au sein d’architectures de confiance. Au niveau du Datacenter, intégrée dans l’infrastructure au même titre qu’un firewall ou un annuaire d’entreprise, une solution de gestion des comptes à privilèges est indissociable de la gouvernance des SI dans nos organisations.
A quoi sert-il de continuer à déployer des systèmes de sécurité perfectionnés sans en avoir la maîtrise complète?
Ceci ajoute-t-il une complexité ?
Au-delà des fonctions de traçabilité, une solution de type Bastion s’intègre dans l’architecture pour gérer les comptes à privilèges en combinant des outils qui simplifient l’accès au SI ainsi que des fonctionnalités pouvant contribuer à l’amélioration de la productivité des utilisateurs comme la gestion des mots de passe, la délégation d’administration ou le Single Sign- On.
Un éditeur comme WALLIX consacre, par exemple, une part de son effort en R&D à élever le niveau de sécurité de ses clients avec des fonctionnalités innovantes, tout en investissant une part significative dans la recherche d’outils de productivité pour faire gagner du temps aux utilisateurs en production. Ainsi les directeurs informatiques et les RSSI peuvent se mettre en conformité avec les réglementations en matière de gestion du risque informatique, les utilisateurs et l’exploitation tirer parti de la solution dans leur travail au quotidien, enfin l’entreprise bénéficier d’un retour sur investissement.
Aujourd’hui, au moment d’investir sur un Datacenter sécurisé, de migrer vers le Cloud dans de nouvelles applications accessibles en mode services, ou de changer de prestataire informatique, il est indispensable de prévoir un système de traçabilité des comptes à privilège. L’impact budgétaire est si faible comparé à l’investissement global, pourquoi risquer sa réputation ou des pertes incalculables?
Jean-Noël de Galzain, PDG de WALLIX
@JNdeGALZAIN @wallixcom