Après une brève présentation du Groupe Mazars, spécialisé dans l’audit, le contrôle interne et la maîtrise des risques, notamment en matière financière, Christophe Tallot, rappelle à quel point la traçabilité de l’information est devenue essentielle dans la certification des entreprises. L’audit des SI permet ainsi d’aider à valider les comptes en contrôlant la conformité des systèmes, en évaluant les risques et en jugeant de la bonne application des lois et des réglementations.
L’analyse des risques liés au SI montre que les deux préoccupations essentielles des entreprises sont la confidentialité des informations et la conservation des données. Deux points qui résultent en partie de la traçabilité de l’information.

La traçabilité demeure une notion récente puisqu’elle n’apparaît qu’en 1994. Dérivant de l’anglais traceability, elle suggère l’aptitude à retrouver l’historique, la mise en œuvre ou l’emplacement de ce qui est examiné (norme ISO). Née dans l’industrie, cette notion s’est ensuite appliquée rapidement aux SI. Elle répond à l’exigence d’un triptyque : l’existence de la trace, la mise en place d’un mécanisme de recueil, la présence d’une structure d’analyse.

Ascendante, elle permet de retrouver l’origine, descendante, elle permet de déterminer une localisation (produit, dysfonctionnement), dynamique, elle permet de suivre un process de fabrication ou d’analyser un flux comptable.

La traçabilité permet de prévenir et de limiter les risques : concernant les biens, elle intervient notamment en matière de sécurité sanitaire, concernant les personnes, elle permet de garantir la sécurité publique. En matière de systèmes d’information la traçabilité permet la préservation du patrimoine matériel et immatériel de l’Entreprise. Il est ainsi possible de détecter les anomalies, fraudes, erreurs de pilotage des systèmes et de se conformer à la réglementation en vigueur.
La traçabilité est aujourd’hui de plus en plus encadrée par des réglementations.

Tout d’abord, le Livre Blanc de la Sécurité des SI, en 1996, inaugure un ensemble de textes réglementaires qui vont définir les cadres juridiques et pratiques de la sécurité de l’information. Essentiellement à visée pédagogique, ce premier texte vise à recenser les obligations des établissements bancaires autour de quatre facteurs clés : disponibilité, intégrité, confidentialité, et possibilité de contrôle et de preuve, celle-ci devant permettre la mise en place de la piste par une reconstitution des flux, du traitement et par l’identification des données.

En 1997, le CRBF, Comité de la Réglementation Bancaire et Financière a mis en place le règlement 97-02 visant à renforcer le contrôle interne et à prévenir les risques de toute nature. De manière générale il s’agit de garantir « la piste d’audit », c’est-à-dire recueillir les informations nécessaires à la reconstitution dans l’ordre chronologique des opérations et de justifier toute information par une remontée vers son origine de manière ininterrompue, de conserver la trace de tous les mouvements effectués et ceci particulièrement en matière comptable. Le CRBF est renforcé en 2005.

Engagée en 1998, la réforme du Comité de Bâle accentue les exigences pesant sur les établissements bancaires en matière de fond propres. Bâle II, constituant une réforme du ratio de solvabilité est adoptée au plan national en février 2007. Cette réforme entend prévenir le risque de crédit tant sur les entreprises que dans la clientèle de détail, en obligeant à mettre en place des mécanismes de traçabilité, d’évaluation des caractéristiques des clients, de prévention des risques opérationnels.

En 2007, le Code Monétaire et Financier, transposition française du MIFID (2004), établit un nouveau cadre réglementaire sur les marchés financiers : Il impose la conservation des informations relatives à toute transaction, la traçabilité des accords dans l’usage des portefeuilles clients, et la mise en place des mécanismes de lutte anti-blanchiment.
Parallèlement, la Commission Nationale des Commissaires aux Comptes préconise l’audit du système d’information accompagnant celui des comptes pour détecter d’éventuels utilisateurs non-autorisés intervenant sans traces visibles et modifiant, supprimant ou accédant à des données comptables. En la matière, il est donc devenu évident que l’absence de traçabilité entraine l’impossibilité de certifier des comptes.

Le Sarbanes Oxley Act, en 2002, participe de la même obligation de fournir une documentation interne certifiant du contrôle adéquat des procédures financière, impliquant des tests de cheminement et d’efficacité. Pareillement, en France, le Contrôle Fiscal des Comptabilité Informatisées CFCI implique pour les entreprises la conservation de preuves et de fortes pénalités en cas d’absence de trace des opérations.

En ce qui concerne plus particulièrement les personnes, la Loi sur la confiance dans l’économie numérique (LCEN), adoptée en 2004, fixe en 58 articles les règles de base en matière de droits sur l‘Internet. Elle impose également de nouvelles responsabilités aux hébergeurs, notamment la lutte contre l’apologie de crime contre l’humanité, contre l’incitation à la haine raciale, contre la pédophilie, impliquant une nécessaire traçabilité des connexions.

Même si la CNIL garantit la transparence et l’anonymat des salariés, ces obligations sont les même pour les entreprise, qui doivent mettre en œuvre des systèmes de traçabilité des connexions, notamment par la conservation et éventuellement l’audit des logs, afin de prévenir ou de sanctionner des comportements délictueux.

Pour conclure, Christophe Tallot rappelle les principaux points de la norme ISO27001 qui fixe les principes de la sécurité des entreprises et des institutions : de la sécurité physique jusqu’à la préservation des informations sensibles, à chaque instant, la traçabilité s’impose comme une nécessité.

Mais à aucun moment, la norme ne suggère comment mettre en œuvre cette traçabilité…

Wallix AdminBastion, de la sécurité à la traçabilité

Après une présentation de l’offre globale de Wallix en matière de sécurité des SI, incluant la sécurisation, la collecte des logs, le contrôle des accès et la supervision, Marc Balasko va préciser le contexte de naissance de la solution Wallix AdminBastion.

Répondant originellement à une problématique interne à la société Wallix, l’élaboration du WAB a permis de résoudre un ensemble de contraintes liées à l’administration des accès : la multiplication des mots de passes en fonction de l’évolution du parc machine, une gestion confidentielle de la part des administrateurs, les départs de certains administrateurs systèmes engendrant un ensemble de procédures lourdes de recensement, désactivation et changement des accès. Tout cela sans avoir la certitude que tous les accès et autorisations ont été désactivés.
D’autre part, Wallix AdminBastion a permis de mettre en place un système de prévention des risques, fondé sur la traçabilité des actions d’administration. Ce système permettant d’aller au delà des informations fournies par les logs. Tout était donc en place pour fournir une solution complète offrant non seulement la possibilité de détecter l’origine d’un incident en interne, d’en retrouver la cause ou d’identifier un responsable, mais également permettre de gérer les intervenants externes.

En effet, dans le cas ou un réseau et des serveurs sont tout ou partie externalisés chez des prestataires externes, difficile d’avoir une visibilité sur leurs actions. Qui se connecte ? A Quoi ? Quand et comment ? Le WAB répond à cette exigence de contrôle du périmètre, et de remontée.

L’historique du projet Wallix AdminBastion permet de percevoir l’étendue des possibilités offertes par cette solution. La société Wallix administre plus de 600 plate-formes sécurisées dans 60 pays à travers le monde. L’exigence de contrôle imposait le développement en interne d’un logiciel de gestion des accès et des mots de passe pour gérer le parc machine. La solution SSHProxy a donc été développée et publiée en janvier 2007 sur notre site contributif. A partir de cette solution, l’offre professionnelle Wallix AdminBastion a été enrichie de nouvelles fonctionnalités, packagée, testée. Elle est aujourd’hui accompagnée d’une offre de services et de support professionnel.

Marc Balasko explicite le schéma fonctionnel de la solution AdminBastion intervenant entre l’administrateur, le responsable sécurité, les prestataires ou hébergeurs, et les éléments du SI de l’entreprise. Le WAB permet ainsi de déterminer qui a le droit de se connecter sur tel ou tel élément du SI, quand et comment, offrant une traçabilité de toutes les actions opérées sur le système. En quelques mots, l’administrateur se connecte directement à AdminBastion, qui lui permet d’accéder aux équipements sur lesquels il dispose de droits d’accès, dans des plages horaires définies. C’est la fonction de contrôle d’accès.

Mais le WAB répond à différentes problématiques en fonction des besoins clients qui eux-mêmes déterminent des types d’utilisation : Gestion centralisée et simplifiée des accès, des identifiants et des mots de passe, SSO administration & exploitation, contrôle des accès des prestataires internes et externes, traçabilité des connexions et des opérations d’exploitation, authentification forte des administrateurs système (via solutions externes), alerte (ex : envoi de message) en cas de connexion à des serveurs critiques.

Les schémas d’architecture WAB sont de différentes natures :
Soit le serveur WAB héberge les bases de données utilisateurs, les ACLs, bases de contrôle d’accès qui répertorient les administrateurs autorisés, et les bases équipements. Soit le serveur WAB se connecte à un ou plusieurs serveurs d’annuaire (Active Directory, LDAP, RADIUS), des bases ACL et des bases d’équipements.

En matière de contrôle d’accès, le WAB dispose de plusieurs couches : pré-authentification, authentification, autorisation allant de l’identification de la personne connectée jusqu’au contrôle et à l’autorisation d’accès à l’équipement cible. En ce qui concerne la traçabilité des opérations, pour les connexions RDP, l’ensemble du contenu des connexions est enregistré au format flash. Dans le cas de connexions SSH2/Telnet, l’ensemble des lignes de commande entrées par l’utilisateur est enregistré.

Afin de souligner la simplicité d’utilisation de WAB, Marc Balasko présente deux exemples de connexion à un équipement, en RDP puis en SSH. Connexions transparentes, simples et ne rajoutant pas de procédures supplémentaires pour les utilisateurs. Deux cas concrets sont ensuite présentés, connexions à différents équipements et applications client-serveur.

Wallix AdminBastion fonctionne sans agent spécifique, ce qui permet un gain de temps de déploiement, une intégration aisée et une baisse du coût d’utilisation. De surcroît, Wab ne change pas les méthodes de travail.

WAB est fourni sous forme d’appliances, et éventuellement en cas de demande spécifique sous forme de package logiciel.

La gamme d’appliance varie essentiellement en fonction du nombre d’équipements à administrer. L’enregistrement de la configuration sur une carte flash permet aisément la configuration d’autres machines
Pour conclure, la solution Wallix AdminBastion réduit le niveau de complexité de l’administration du SI en même temps qu’elle augmente son niveau de sécurité. Grâce à cette solution, l’entreprise bénéficie des avantages suivants :

– Une gestion centralisée et unifiée des identifiants / mots de passe (SSO)

– Un contrôle de sécurité et gestion de la sécurité des accès interne et des prestataires

– Une authentification forte des intervenants sur le réseau

– La traçabilité des accès et des opérations menées sur les serveurs et le réseau

– L’identification & recherche de responsabilité en cas de panne

– Une politique de sécurité et mise en conformité SOX, Bâle II, ISO 27000

– Une facilité de mise en œuvre, déploiement sans agent, aucun impact sur les flux métiers