Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Harmonie Technologie : Projet de gestion des comptes à privilèges en contexte PCI-DSS présenté à l’occasion de la dernière Matinale SSI

février 2014 par Chrsitophe Gueguen, HARMONIE TECHNOLOGIE

Compte rendu du projet de Gestion des comptes à privilèges mené par le cabinet Harmonie Technologie en contexte PCI-DS : Comment passer d’un état de « tous les droits » à une politique de « moindre privilèges » ? Conférence animée par Christophe Gueguen, Directeur du pôle technique Harmonie Technologie, présenté le mardi 28 janvier à l’occasion de la matinale SSI organisée par le cabinet. Harmonie Technologie aura l’occasion d’échanger de nouveau sur ce sujet à l’occasion de la prochaine édition des GS Days le mardi 18 mars 2014. Inscription : http://www.gsdays.fr/sinscrire/10-g... La problématique de gestion des comptes à privilèges n’est pas nouvelle. Les comptes à privilèges constituent un enjeu prioritaire de la sécurité des systèmes d’information car ils permettent d’accéder à de nombreuses ressources sensibles. Souvent génériques, ils font courir 3 natures de risques aux entreprises : des risques opérationnels, de conformité, et de sécurité.

L’ouverture du SI, le développement des centres de services (infogérance, partenariat, etc.) et l’augmentation des cyber-attaques visant les administrateurs imposent une attention encore plus importante sur le sujet. Une mauvaise maîtrise de ces comptes crée des failles majeures sur le SI, la réalisation de tests d’intrusion sur un SI interne en fait souvent la démonstration.

Deux grandes familles de solutions sont aujourd’hui très présentes sur le marché et commencent à être implémentées : des solutions de bastions et de centralisation. Toutefois, au-delà des aspects techniques, la gestion des comptes à privilèges ne peut être totalement maîtrisée sans dispositif organisationnel associé « (…) Il est nécessaire de traiter des points de gouvernance structurants comme la définition des profils administrateurs, la gestion du changement, le traitement des demandes d’accès rapides hors profils (exceptions), la supervision, etc. (…) ».

Le projet réalisé par le cabinet Harmonie Technologie dans un contexte PCI-DSS qui a été présenté à l’occasion de cette matinale SSI, couvrait à la fois des problématiques organisationnelles et techniques. « (…) au-delà des aspects techniques, la gestion du changement fut l’une des problématiques importante du projet. Dans ce contexte il était question d’un changement délicat qui impactait fortement les habitudes des équipes avec la mise en œuvre d’un nouvel outil et l’évolution d’un état de tous les droits à une politique de moindre privilèges (…) » ont souligné les responsables du projet.

Ce retour d’expérience en contexte bancaire, fut l’occasion pour l’audience composée d’une quarantaine de RSSI et DSI, de parcourir les différents besoins couverts dans ce projet tels que : le respect des préconisations PCI DSS (Payment Card Industry Data Security Standard), la mise en place du principe du moindre privilège (« least privilege principle »), l’outillage de la gestion des rôles de comptes Unix, de type Role Based Access Control (RBAC), etc.

Une nouvelle conférence sur ce sujet, réalisée par Christophe Gueguen - Directeur du pôle technique Harmonie Technologie, aura lieu le mardi 18 mars 2014 à Paris l’occasion de la prochaine édition des GS Days. Inscription : http://www.gsdays.fr/sinscrire/10-g...




Voir les articles précédents

    

Voir les articles suivants