|
Comment gérez-vous
les mots de passe de vos administrateurs
et de vos utilisateurs ?
"Il s'agit de la seule manière
correcte et professionnelle de travailler"
- Bernard Philippe, Server Product Manager, Belgacom NSI |
|
 |
Contexte
10% des entreprises ont créé des droits de haut
niveau - réservés à leurs administrateurs - mais ne les ont jamais changés
5% des entreprises ont conservé les droits d’accès éditeur configurés par défaut sur leurs bases de données, firewalls, routeurs, serveurs…
19% des entreprises reconnaissent que leurs collaborateurs notent leurs mots de passe sur de simples Post-it©
(étude Cyber Ark)
"Les
administrateurs techniques abuseraient de
leurs pouvoirs" (Vulnerabilite.com, juin
2007)
Vous avez investi de fortes sommes pour bâtir
une infrastructure sécurisée et pour mettre en
œuvre des procédures assurant l’intégrité et la
sécurité du système d’informations de votre
entreprise.
Vous êtes-vous penché sur la gestion des « clefs
» d’accès à ce dispositif ? Avez-vous englobé la
protection des droits d’accès administrateurs à
votre politique de sécurité ?
| |
La Gestion des Privilèges ?
Chaque serveur, chaque ordinateur, chaque
application, chaque équipement (routeur, switch, PABX, firewall…), chaque base de
données est sous le contrôle d’un
administrateur ou d’un opérateur, qui y
accède de façon privilégiée. A l’échelle
d’une entreprise de taille moyenne, ces
droits d’accès privilégiés se comptent
rapidement par milliers ! À elle seule,
une simple base de données Oracle, par
exemple, en présente trente et un …
• Comment gérez vous au quotidien ces
milliers de droits d’accès privilégiés au
sein de votre entreprise ?
• Comment contrôlez vous leur création,
leur modification, leur suppression, leur
protection ?
• Peuvent-ils être audités, par exemple en
cas de contrôle de la CNIL ou pour le
rapport Sarbanes Oxley ?
• Conservez-vous la trace de tous les
accès administrateurs ?
• Que se passe-t-il lorsque l’un de vos
administrateurs est injoignable et que
l’accès à un élément clef de votre système
d’information est indispensable et urgent
?
• Disposez vous d’une sauvegarde sécurisée
de tous vos mots de passe stratégiques ?
• L’un de ces accès privilégiés peut-il
être utilisé, après des années
d’inactivité, sans que vous en soyez
alerté ?
• A quelle fréquence autorisez vous la
modification de ces droits spécifiques ?
• Comment éviter la prolifération des
Post-it© sur lesquels on note ses
multiples mots de passe ?
• Comment augmenter la fréquence de
renouvellement des mots de passe et
compliquer leur structure sans les rendre
inemployables par les administrateurs ?
• Comment éviter la communication des
droits d’accès entre collègues ?
C’est à toutes ces questions que permet de
répondre au quotidien un outil de gestion
et de protection des droits privilégiés. |
|
« La
gestion des accès privilégiée n’est pas chose
facile. Ces droits sont souvent abusivement
partagés entre collègues, quelque fois laissés à
leur valeur par défaut et généralement
insuffisamment protégés»
 Livre blanc
à télécharger en bas de page : « La gestion des accès privilégiés » Spire Research, février 2005.
Trop de sécurité tue la sécurité
!
L’application des règles de sécurité concernant
les mots de passe (structure, longueur,
modification, multiplication…) représente un
coût pour l'entreprise et est source
d'insatisfaction pour les utilisateurs.
Si la
multiplicité des accès privilégiés est pénible
pour les administrateurs, elle a également des
conséquences pour l’entreprise en
introduisant des risques majeurs au niveau de la
sécurité.
Selon
une étude récente, le quart des
administrateurs ont à mémoriser plus de 13 mots
de passe, 60 % des employés personnes
interrogées gèrent plus de six mots de passe
différents et neuf opérateurs sur dix se disent
agacés par la gestion de cette quantité de
droits d’accès privilégiés (RSA Security
septembre 2005, sur 1.700 entreprises
américaines).
Cette
frustration donne naissance à des
comportements dangereux pour la sécurité :
mots de passe notés sur de simples bout de
papier, droits d’accès hautement stratégiques (firewall,
antivirus, base de données confidentielles…)
regroupés dans un simple tableau Excel ou un
document Word – combien de ceux-ci sont
régulièrement retrouvés sur les vieux PC donnés
aux associations ou les postes volés ? –,
informations d’accès regroupés sur un PDA, mots
de passe identiques sur plusieurs systèmes
critiques, mots de passe communiqués entre
collègues, privilèges de l’éditeur laissés par
défaut… Autant de comportements à risques...
 Les
deux-tiers des entreprises ne protègent pas
suffisamment leurs mots de passe (Daniel Thomas, Computing, juin 2005)
Gestion
simplifiée et sûre des droits d’accès
privilégiés (Administrateurs et Opérateurs)
Pour répondre à cette problématique, Cortina a
sélectionné la solution Password Vault®,(en
anglais, « Vault » signifie coffre-fort) conçue
par Cyber Ark. Elle automatise, simplifie et
sécurise la gestion des droits d’accès aux
éléments vitaux de votre infrastructure :
serveurs, bases de données, routeurs, firewall…
Password Vault® est une zone hautement sécurisée conçue
spécifiquement pour cette mission : les
droits privilégiés des administrateurs
peuvent y être archivés, transférés,
partagés. L’outil associé Central
Password Manager permet de changer
automatiquement les mots de passe sur les
éléments concernés (tels qu’un droit
d’accès à un domaine Windows ou à un Unix root), sans intervention humaine, selon la
politique de sécurité de votre
organisation. Ces modifications sont
répertoriées et les mots de passe protégés
également durant leur transfert. |
|
 |
Password Vault®
fournit toute information nécessaire aux
audits (rapports Sarbane Oxley, contrôle de la
CNIL…).
|
Aucun autre produit n'est capable de
gérer des mots de passe administratif dans
un environnement sécurisé avec des
politiques de sécurité"
"Vous pouvez faire en sorte que la
solution change automatiquement le mot de
passe après deux heures, si vous estimez
que le prestataire chargé de
l'intervention n'aura pas besoin de plus
de temps"
"L'intérêt de Password Vault, c'est qu'il
dispose aussi d'une fonction de contrôle"
Bernard Philippe, Server Product
Manager, Belgacom NSI |
|
|
|
La solution Passworld Vault® vous apporte
:
|
|
Tableau de bord avec nombre de mots de
passe gérés, distribution, rotation des
mots de passe... |
 Un « repository » sécurisé – ou coffre-fort— sécurisé (firewall, VPN,
authentication, contrôle d’accès, encryption…) et centralisé pour protéger
tous vos droits privilégiés et pour les stocker sur le long terme
Un outil de gestion (Central Password Management) qui vous permet de
modifier automatiquement des milliers de mots de passe selon vos politiques
prédéfinies (chaque jour, semaine, mois…)
Un outil d’audit et de traçabilité (Visual Security™) permet un contrôle
et un audit total de tous les comptes
Un dispositif de business continuity et de tolérance aux pannes,
qui permet de dupliquer le repository dans un ou plusieurs sites de votre
choix
Un mécanisme de contrôle double pour veiller au respect des règles
spécifiques de sécurité propres aux éléments les plus sensibles, tels les
firewall
Un mécanisme de partage sécurisé des mots de passe (si besoin)
Un mécanisme de demande d’autorisation permet un accès aux mots de passe
de l’entreprise 24h/24 7j/7(si besoin)
Un mécanisme de « One-time Password » (si besoin) |
|
Une place forte
dans votre réseau où les mots de passe
peuvent être stockés, gérés et
partagés |
Grâce à Passworld Vault®, vous
diminuez votre exposition aux risques, en évitant les comportements nés de
la complexité et de la multiplication croissante du nombre de mots de
passe.
Documents
Dans une note d’information du CERTA, datée de mars 2005, il est recommandé de sensibiliser les administrateurs sur l'intérêt
de mettre en place un contrôle systématique de
la qualité des mots de passe
L'administrateur, bête noire pour la sécurité
des IBM System i (ex- AS/400) ! Selon
une étude récente, nombre d'entreprises n'ont
pas assez de mécanismes de contrôle interne en
place pour protéger les données sur leurs
mid-range serveurs IBM. Par exemple, 95% des
systèmes audités disposaient au moins de dix
utilisateurs avec des droits d'accès
administrateur et 43 % avait plus de trente
utilisateurs avec des droits "root". 77% des
systèmes avaient aussi au moins 20
utilisateurs dont les mots de passe étaient
les mêmes que leur login.
Article : Gérés efficacement, les mots de passe
fournissent une meilleure protection
qu’imaginée, par Simson Garfinkel (CSO Online,
août 2005)
La CNIL sensibilise les RSSI à la protection
des données personnelles : "Les
administrateurs système n'ont pas vocation à
pouvoir accéder librement à toutes les
informations, notamment les données à
caractère personnel, voire sensibles. Ainsi,
il convient de limiter à tout prix le nombre
d'informaticiens ayant le profil
super-utilisateur ou administrateur système"
Les administrateurs techniques abuseraient de
leurs pouvoirs : "E-mails des salariés,
fichiers de ressources humaines, informations
salariales, données personnelles de tiers...
les administrateurs techniques utiliseraient
leurs droits et mots de passe privilégiés pour
'fouiner' hors du strict champs de leur
responsabilité, selon un sondage effectué par
Cyber-Ark Software auprès de 200
professionnels de l'informatique". Article
parue sur Vulnerabilite.com en juin 2007.
Guides et Livres Blancs
  |
