Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bertrand Augé, Kleverware : La cartographie des habilitations aurait évité bien des problèmes à la Société Générale

février 2008 par Marc Jacob

Si l’on ne connaît qu’une toute petite partie de l’histoire de la perte historique subie par la Société Générale, il semble, selon Bertrand Augé, CEO de Kleverware, que les contrôles internes ou la mise en place de ceux-ci en soit une des causes. Ainsi, le déploiement de l’IAM, dans la mesure où il propose une cartographie des habilitations, aurait sans doute évité ce problème.

Global Security Mag : Quelles sont vos impressions sur le problème de la Société Générale ?

Bertrand Augé : Tout d’abord, je crois qu’il faut savoir raison garder et ne pas penser que nous savons à ce jour tout de cet événement. Néanmoins, cela montre que la sécurité n’est pas que se protéger de l’externe. Ce qui est en cause : les contrôles ou la mise en place de ceux-ci. Différentes sources relaient la possibilité forte qu’une seule personne aurait cumulé suffisamment de droits (autorisations au sens technique ou métier) pour dissimuler ses actions. Outre la somme vertigineuse qui est souvent avancée, il ne faut pas oublier les retombées en termes d’image. La Société Générale n’en reste pas moins une grande banque qui est profitable.

Global Security Mag : Comment ce problème aurait-il techniquement pu être évité ?

Bertrand Augé : Là, nous arrivons à notre avis au cœur du problème. En effet aujourd’hui toutes les entreprises ont des Systèmes d’Information complexes (hétérogénéité des technologies et des applications). Arrivé à pouvoir auditer et analyser la globalité n’est pas chose aisé et demande non seulement un travail conséquent mais permanent, un investissement humain et pécuniaire non négligeable. La validation de « qui peut faire quoi » doit être à notre sens aussi bien métier que technique, c’est pourquoi l’IAM (Identity and Access Management) n’est pas qu’un projet à un instant « t », mais passe par une cartographie de l’existant avant et pendant toute la durée de « vie » des utilisateurs dans le SI.

Global Security Mag : Quelles sont vos solutions techniques ?

Bertrand Augé : Kleverware a construit une solution non intrusive pour le SI qui est le fruit des demandes de plusieurs grandes entreprises principalement du monde de la finance et de l’assurance et qui sont confrontées aux réglementations de plus en plus drastiques (ie SOX, Bâle II, LSF, Solvency II…). Notre solution répond à la question « Qui a le droit à Quoi ? » avec une prise en compte des informations métier. Klever Audit Suite propose d’intégrer des règles de sécurité, cela afin d’avoir un Reporting pour l’IT vers la gouvernance d’entreprise sur l’Identity and Access Management.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants