La confiance n’exclut pas le contrôle Xavier Hameroux - Chief Sales Officer Your applications. Fast Secured Green Everywhere
Agenda 3 Contrôler les accès et identifier les comportements suspects en temps réel (PAM) 1 Systancia 4 Un poste de travail administrateur totalement dédié, étanche et contrôlé 2 Enjeux et recommandations de l’ANSSI
Systancia « La nouvelle génération d’infrastructure de mise à disposition des applications, centrée sur la sécurité et les utilisateurs »
Une entreprise reconnue innovante et de confiance 2017 2018 élue solution de mobilité la plus innovante par les membres du CRiP Elément de langage sur la qualification : la qualification est la recommandation par l’État français de produits ou services de cybersécurité éprouvés et approuvés par l’ANSSI. Le label France cybersecurity est la garantie que les produits qui portent le label sont français avec un niveau de qualité vérifié par un jury indépendant. Le CRIP est association indépendante d'utilisateurs qui rassemble plus de 7000 responsables d'Infrastructure et de Production IT représentant près de 400 grands comptes, entreprises et administrations.
Une entreprise fiable qui accélère sa croissance à l’international Belle rentabilité depuis 3 ans Croissance à 2 chiffres depuis 5 ans Dans 11 pays via un réseau de partenaires 3 Centres de Recherche & Innovation en France
1 million d’utilisateurs au quotidien – Secteur public
1 million d’utilisateurs au quotidien – Secteur privé Banque/Assurance Industrie Retail / Services
Agenda 3 Contrôler les accès et identifier les comportements suspects en temps réel (PAM) 1 Systancia 4 Un poste de travail administrateur totalement dédié, étanche et contrôlé 2 Enjeux et recommandations de l’ANSSI
La sécurité du SI : un enjeu quotidien 80 % des entreprises d’Europe ont déjà été victimes de piratage informatique. Source : Commission européenne TV5 Monde - Victime d’une attaque ciblée en avril 2015, la chaîne cesse d’émettre, le site web et les réseaux sociaux sont défigurés. - La chaine met des mois à retrouver un fonctionnement normal. Impact financier de plusieurs millions d’euros. - 1ère tentative d’intrusion : compte RDP avec identifiants par défaut d’un serveur permettant aux journalistes de transmettre leurs contenus. - 2ème tentative d’intrusion qui sera leur véritable point d’entrée: le compte VPN d’un prestataire Source Market Inspector – septembre 2017 Cabinet Deloitte - Victime d’une attaque ciblée à l’automne 2016, (découverte en mars 2017) - Données dérobées : logins de comptes et leurs mots de passe, des adresses IP, ainsi que les courriels des 244.000 salariés du groupe qui contiennent des échanges confidentiels et des informations sensibles sur les clients de Deloitte - Point d’intrusion : un compte administrateur « du serveur de messagerie global de l’entreprise », protégé par un simple mot de passe, sans authentification à facteurs multiples. 2 cyberattaques ont fait la une de l’actualité ces dernières années : celles subies par TV5 Monde et le cabinet Deloitte Pour ces deux victimes, le scénario était quasi le même : l’attaquant a profité d’un compte à pouvoir mal protégé, mal sécurisé pour accéder à des données sensibles. Pour TV5 Monde : 1ère tentative d’intrusion via un compte RDP (ayant des identifiants par défaut) d’un serveur permettant aux journalistes de transmettre leurs contenus. Mais les connexions de ce serveur au réseau étaient limitées donc 2ème tentative d’intrusion qui sera leur véritable point d’entrée: le compte VPN d’un prestataire Pour le cabinet Deloitte : Le point d’intrusion fut un compte administrateur « du serveur de messagerie global de l’entreprise », protégé par un simple mot de passe, sans authentification à facteurs multiples. Il y a donc véritablement nécessité à voir ce qui se passe sur les réseaux pour mieux les gérer et les sécuriser (ceci est d’ailleurs une des lacunes de sécurité remontées par l’ANSSI). Nous pouvons aller plus loin : voir et contrôler ce qui se passe sur les réseaux d’administration. Et directement sur le poste d’un administrateur ?
Quelques recommandations de l’ANSSI Protéger les ressources sensibles Contrôle strict des accès à ces ressources et identification des populations y ayant accès Privilégier lorsque c’est possible une authentification forte Authentification multi-facteurs et jeton OTP Définir et vérifier les règles de choix et de dimensionnement des mots de passe Protéger les mots de passe stockés sur les systèmes Coffre-fort numérique et chiffrement Sécuriser les connexions réseau avec les partenaires et par les postes nomades Privilégier l’usage de produits et de services qualifiés par l’ANSSI Source : Guide d’hygiène informatique de l’ANSSI
Agenda 3 Contrôler les accès et identifier les comportements suspects en temps réel (PAM) 1 Systancia 4 Un poste de travail administrateur totalement dédié, étanche et contrôlé 2 Enjeux et recommandations de l’ANSSI
Contrôle des accès et surveillance des utilisateurs à pouvoirs Enjeux Qui se connecte? Comment? Identification Authentification Contrôle d’intégrité Contrôle de conformité Que peut-il faire? Qu’a-t-il fait ? Autorisation Profils d’accès SSO Bouquet de ressources Notification Audit / contrôle Capture / record
IPdiva Secure pour le contrôle des accès externes au SI Les enjeux Cybersécurité, Mobilité, Traçabilité, Conformité, Intégrité Une gestion homogène de la sécurité des accès aux ressources du SI pour tout type d’utilisateurs (nomades, home-workers, tiers-mainteneurs…) Certification CSPN & seule solution qualifiée par l’ANSSI dans le domaine technique identification, authentification et contrôle des accès. L’ANSSI recommande de recourir en priorité aux solutions qualifiées Solution VPN SSL homogène sans ouverture de port Accès contrôlé et sélectif aux ressources du SI Sécurité renforcée des mobile devices (Active Sync) & authentification OTP Installation par défaut selon les meilleures pratiques de sécurité Fonctionnalités d’authentification adaptative
IPdiva Safe pour la surveillance des utilisateurs à pouvoirs Les enjeux Cybersécurité, Mobilité, Traçabilité, Intégrité, surveillance des utilisateurs à pouvoirs Identifier les comportements suspects en temps réel Live streaming permettant réactivité et anticipation Analyse très fine des comportements sur les serveurs cibles Intelligence Artificielle pour détecter en temps réel les comportements anormaux ou suspicieux Paramétrage d’alertes et actions conservatoires arrêtant automatiquement l’utilisateur malveillant
Agenda 1 Systancia 3 Identifier les comportements suspects en temps réel (PAM) 4 Un poste de travail administrateur totalement dédié, étanche et contrôlé 2 Enjeux et recommandations de l’ANSSI
Pourquoi un poste de travail séparé pour l’administrateur? Risque d’actions maladroites ou mal intentionnées Poste utilisé pour des actions autres que l’administration pouvant conduire à une vulnérabilité non intentionnelle Plus facile de tracer et suivre les actions sur un poste hypersécurisé que sur un poste « classique » Dans la liste des lacunes de sécurité constatées par le Centre de cyberdéfense de l’ANSSI, nous retrouvons, entre autres, l’absence de séparation des usages entre utilisateur et administrateur, un laxisme dans la gestion des droits d’accès mais également une ouverture abusive d’accès externes à un SI. Dans sa note technique datée de 2015, l’ANSSI précise que les opérations d’administration doivent s’effectuer sur des postes dédiés et qu’un compte d’administration ne doit servir qu’à l’administration. Pourquoi faut-il un poste de travail séparé pour l’administrateur? 1/ le fait d’avoir un droit administrateur sur un système fait que l’on ne prête pas attention à certaines actions, elles peuvent être cause de dommage par maladresse. 2/ le fait d’utiliser le poste pour des actions autres que l’administration ( surfer sur Internet, consulter sa messagerie perso….) peut conduire à une vulnérabilité non intentionnelle. 3/ De même en matière de traçabilité et suivi des actions, nous pouvons difficilement envisager l’enregistrement des sessions sur le poste de travail classique où l’utilisateur pourrait lire des messages personnels ou confidentiels (ne concernant pas son travail d’administrateur). Le poste dédié à l’administration peut être lui enregistré sans difficulté.
IPdiva VDI Cleanroom Les enjeux Offrir une réponse de sécurité de très haut niveau en adéquation avec les exigences actuelles Ergonomie moderne Garantie de l’aseptie Standardisation de l’usage unique Maintien du niveau de sécurité en mobilité Evite les dangers inhérents à la rotation des personnels
IPdiva VDI Cleanroom Le principe : Un poste de travail administrateur totalement étanche, contrôlé et surveillé
IPdiva VDI Cleanroom Les avantages par composant Mise à disposition d’un poste administrateur virtualisé Totalement étanche : avec fonctionnalités avancées : interdiction du copier-coller, isolation des périphériques etc. A usage UNIQUE : Provisioning de postes administrateurs à la volée qui peuvent ensuite être automatiquement supprimés Banalisé: Les masters VDI administrateurs peuvent être définis par métier et identiques pour chaque membre Renforcement des connexions aux ressources et de la politique de mots de passe Occultation des mots de passe d’accès aux ressources pour les administrateurs (Authentification SSO automatisant l’authentification aux ressources administrateur après saisie des moyens de connexions primaires ) Ségrégation de la gestion des mots de passe et de l’administration Renforcement de l’authentification primaire grâce à des fonctionnalités d’authentification multi-facteurs Coffre-fort de mots de passe permettant de stocker l’ensemble des logins et mots de passe et de gérer le cycle de vie des mots de passe ainsi que leur complexité.
IPdiva VDI Cleanroom Les avantages par composant Surveillance des actions menées par l’administrateur sur les ressources Enregistrement vidéo des sessions utilisateurs avec fonctionnalités de live streaming pour un visionnage en temps réel. Interprétation temps réel Analyse très fine des comportements de l’administrateur Paramétrage d’alertes et d’actions conservatoires pour arrêter les actions non autorisées Une solution répondant aux attentes de mobilité sécurisée de l’administrateur La cleanroom n’est pas lieu géographique Système à double barrières (Accès à distance sans ouvrir de port sur le Système d’Information : un seul flux sortant) Gestion avancée : sites autorisés / Horaires / conformité des devices de connexion Basée sur le moteur de IPdiva Secure, seule solution qualifiée par l’ANSSI dans le domaine technique Identification, authentification et contrôle d’accès