43Retrouvez nos actualités et dossiers sur

Security IT Expert

Par Bruno Vincent

Protéger les comptes à privilèges de son Système d'Information pour faire éviter le pire à son entreprise

SecurItY It exPert

Des menaces permanentes, à l'extérieur comme à l'intérieur De l'entrepriseLe piratage et le vol de données informatiques semblent s'être inexo-rablement installés en une de nos blogs et de nos journaux: sites Web marchands, industriels, Etats ou entreprises privées, toute organisation apparaît désormais comme une cible potentielle. En 2013, l'affaire « Snowden », avec les retentissements médiatiques et diplomatiques que l'on sait, a ainsi démontré que même la NSA, l'Agence Nationale de Sécurité de la première puissance économique et militaire du monde, pouvait se faire subtiliser des données ultra-sensibles et éminemment confidentielles, avec une simple clé USB placée dans les mains d'un administrateur systèmes travaillant pour un prestataire externe.

Si un tel vol de données a été possible dans le Système d'Information de la NSA, les responsables informatiques du monde entier peuvent légitimement avoir quelques craintes ou au moins quelques doutes sur la sécurité de leurs propres SI, surtout en vérifiant par cette piqûre de rappel médiatique que la menace peut aussi venir de leurs propres collaborateurs et partenaires. En sa qualité d'administrateur systèmes, Edward Snowden possédait en effet des accès privilégiés, c'est à dire des comptes informatiques lui permettant d'accéder à des serveurs,

Bruno Vincent

Les comptes à privilèges représentent des cibles de choix pour les attaquants du Système d'Information. Véritables pièces maîtresses du SI, ils peuvent, entre de mauvaises mains, compromettre tout ou partie des données de l'entreprise, enrayer son bon fonctionnement et porter une grave atteinte à son image. Dans un monde ouvert où les menaces viennent tout autant de l'intérieur que de l'extérieur de l'entreprise, ces derniers remparts du SI doivent être drastiquement protégés et contrôlés.

Pour aller plus loin sur ITPro.fr Cache-cache avec les permissions Active Directory bit.ly/permissions-active-directory

Top 5 des configurations de sécurité à ne pas faire pour un Administrateur Système bit.ly/configuration-securite-sysadmin

44 N° 133 | Mars 2014 | IT Pro Magazine

se retrouver sur une clé USB à partir de laquelle un pirate aura tout le temps et le loisir de tenter de casser la pass-phrase permettant de déchiffrer le fichier. D'autre part, le caractère le plus souvent partagé des comptes à privi-lèges fait qu'il est difficile de les organiser sous formes de fichiers : ainsi, si Pierre, un interne, doit avoir accès aux comptes administrateurs Windows et aux comptes admin des boîtiers Cisco, peut-être que Paul, prestataire externe, ne doit avoir accès qu'aux seuls comptes admi-nistrateurs Windows. On pourra bien entendu penser à créer deux fichiers Keepass ou Excel distincts en fonction des périmètres technologiques, mais que faire si Jacques, stagiaire, ne doit avoir accès qu'à un seul des comptes administrateurs Windows (voir figure 2) ?

la sécurité apportée par les solutions centraliséesCe problème de granularité est adressé par les éditeurs de solutions Web centralisées de gestion des comptes à privi-lèges (Shared Account Password Management en anglais).

On peut notamment citer Thycotic Secret Server, CyberArk Enterprise Password Vault, ManageEngine Password Manager ou encore Quest One Privileged Password Manager. Avec de telles solutions, l'accès aux comptes à privilèges peut être régi par des règles très fines : par exemple, seul Pierre pourra visualiser le mot de passe du compte root d'un serveur donné ou bien encore seuls les utilisateurs possédant le rôle « groupe de support des bases de données » pourront accéder au compte sa de MS SQL Server, mais sans pour autant pouvoir changer son mot de passe, droit qui sera réservé aux seuls utilisa-teurs dans le rôle « groupe des administrateurs des bases de données ».

des répertoires, des applications et des données sensibles. Comme tout administrateur systèmes, Edward Snowden devait ainsi posséder des comptes nominatifs et/ou requé-rant une authentification forte personnelle (par exemple par carte à puce ou par un système biométrique), mais probablement aussi un certain nombre de comptes par-tagés avec d'autres administrateurs et protégés par de simples mots de passe. Car cela peut paraître paradoxal à une époque où tout un chacun peut protéger son compte Gmail par un code à usage unique transmis par SMS, mais de très nombreux composants des SI ne voient sou-vent leurs accès restreints que par une simple chaîne de caractères : comptes root Unix, administrateurs locaux de serveurs Windows ou de domaines Active Directory, administrateurs Sharepoint, sysadmin de bases de don-nées etc. (voir figure 1).

les limites Des solutions Décentralisées (excel, Keepass, etc.)Tout administrateur informatique sait à quel point la liste de ces comptes et de ces mots de passe peut être longue, et se pose alors la question de leur stockage et de leur référencement. Or, si beaucoup de responsables de SI prétendront le contraire, nombreuses sont encore les équipes d'administrateurs qui stockent cette liste dans un simple fichier Excel, le plus souvent protégé par les seuls restrictions d'un partage Windows. Une autre solution très répandue : les coffres chiffrés, tels que ceux proposés par le logiciel Open Source Keepass, très populaire chez de nombreux informaticiens. Bien entendu, dans des Systèmes d'Information un tant soit peu conséquents, Excel et Keepass ne sont pas des solutions viables. D'une part parce que leur caractère décentralisé fait qu'un fichier de mots de passe peut, plus ou moins facilement,

Figure 1 : authentification en 2 étapes par code sms pour les services Google

Figure 2 : Keepass, coffre chiffré de mots de passe

N° ISSN 1961 - 3814

1er mensuel dédié à la gestion et l'optimisation des environnements Windows d'entreprise, des infrastructures virtualisées, du Cloud Computing, des solutions de messagerie, collaboration et mobilité d'entreprise.10 numéros par an : 95 € TTC

1ère publication technologique dédiée aux professionnels des environnements Windows Server, des infrastructures virtualisées, de Cloud Computing. IT Pro Magazine s'enrichit des dossiers Exchange Magazine dédiés à la gestion des solutions de messagerie, collaboration et solutions mobiles d'entreprise. La nouvelle formule enrichie du mensuel IT Pro Magazine constitue un formi-dable support d'informations technologiques et stratégiques pour accompagner vos compétences et vous permettre de tirer le meilleur profit de vos environnements informatiques d'entreprise.

ü Les Dossiers Exchange Magazine

L'expertise technologique et stratégique pour la gestion des environnements de messagerie, de collaboration et les services mobiles d'entreprise.

Les dossiers et ressources informatiques pour la compréhension, la gestion et l'optimisation des environ-nements de messagerie, des plateformes collaboratives et solutions mobiles d'entreprise. Une ligne édi-toriale à forte vocation technologique et une dimension stratégique unique, signée des meilleurs experts français et internationaux. Bénéficiez d'un véritable concentré d'expertise pour vous accompagner dans la mise en place, la gestion et l'optimisation des nouvelles solutions de collaboration étendue d'entreprise.

ü Le Club Abonnés sur iTPro.fr !Des services exclusifs, réservés aux abonnés des magazines !

Le Club Abonnés regroupe des services exclusivement réservés aux abonnés, c'est un service inclus dans votre abonnement et un complément indissociable des magazines. Le Club Abonnés est disponible dans une rubrique dédiée sur le site www.iTPro.fr. Il vous donne accès à l'intégralité des archives des magazines, au for-mat .PDF soit près de 1800 dossiers publiés depuis 2002 avec tous les scripts, codes et autres exécutables qui complètent chaque mois les dossiers publiés dans IT Pro Magazine, System iNEWS et Exchange Magazine.

ü Avis d'experts & Ressources IT stratégiques Les dossiers informatiques stratégiques pour comprendre les enjeux mais aussi les perspectives associées aux nouveaux usages et la valeur de la mise en œuvre des services informatiques de nouvelle génération.

Les fils éditoriaux stratégiques pour les responsables informatiques en charge d'assurer la pérennité et l'effec-tivité des environnements et des services informatiques dont ils ont la responsabilité. Les avis d'experts & les ressources IT stratégiques publiés dans IT Pro Magazine sont des dossiers exclusifs, des points de vue, des chroniques, signés des journalistes, experts et contributeurs reconnus de l'informatique d'entreprise.

Des ressources exclusives au service de vos compétences

et de celles de vos équipes.

Offre D'AbONNemeNT DUO france etranger

Je choisis d'abonner une 2ème personne au sein de la société en plus de l'abonnement principal

IT Pro magazine 1 an soit 2x 10 N°+ Club abonnés 142,50 e TTC* 192 e HT**

+ Les dossiers Exchange Magazine & les dossiers SQL Server Magazine 190 e TTC 238 e TTC

*France : TVA 2,1% ** Taux de TVA du pays destinataire/surtaxe postale incluse soit 27 e par titre

IT meDIA - Service AbonnementsBP 40002 - 78104 Saint Germain en Laye cedexFax +33 1 39 04 25 05 - E-mail : abonnement@itpro.fr

renvoyez votre bulletin à notre service abonnements

Signature (obligatoire)

L'abonnement principal concerne :

Société _______________________________________________________________________

Nom du contact _________________________________________________________________

Adresse de livraison ______________________________________________________________

Code postal _______________ Ville_______________________ Pays ______________________

Tél. : ___________________________________ Fax : __________________________________

Adresse de facturation (si différente de l'adresse de livraison) _______________________________________________________

____________________________________________________________________________________________________________

Le second abonnement concerne :

Société _______________________________________________________________________

Nom du contact _________________________________________________________________

Adresse de livraison ______________________________________________________________

Code postal _______________ Ville_______________________ Pays ______________________

Tél. : ___________________________________ Fax : __________________________________

Offre D'AbONNemeNT SImPle france etranger

IT Pro magazine 1 an soit 10 N°+ Club abonnés 95 e TTC* 119 e HT** + Les dossiers Exchange Magazine & les dossiers SQL Server Magazine

mODe De règlemeNT

A réception de facture : réservé aux sociétés en france - Belgique - Luxembourg - Suisse

Par chèque joint virement bancaire

Indiquez votre N° IVA :

références bancaires bNP :Code banque Code guichet Numéro de compte Clé rib30004 02953 00010009051 61

IbAN International bank Account Number bIC bank Identification CodeFR 76 3000 4029 5300 0100 0905 161 BNPAFRPPLAY

Accès Club Abonnés n°

N° 133 - Mars 2014 - www.ITPro.fr

Le mensuel informatique pour la gestion et l'optimisation des environnements IT Professionnels

IT-Media

138240

Virtualisation

TechDays 2014L'IT partout et pour tous

hébergemenT Web

Ce qu'il faut prendre en compte dans le choix de votre hébergeur

La paroLe aux DsILa virtualisation au cœur de la Mutuelle Générale de Police

cLouD IT experT

La journalisation en environnement IaaS, un mélange entre technique et justification économique

securITy IT experT

Protéger les comptes à privilèges de son Système d'Information

Dossier Spécial Dossier Virtualisation Réduire les coûts en entreprise

Les bases d'une infrastructure virtualisée en pleine santé

Virtualiser, ou comment faire simplement et rapidement !

Une virtualisation efficace passe par l'accélération des données

Hyper-V en roue libre

Tirer le meilleur parti de la virtualisation

Virtualisation IT Expert Les stratégies de haute disponibilité dans un environnement virtuel

Mobilité La mobilité des salariés et l'accès aux données et applications « ATAWAD »

Cloud La nouvelle stratégie Cloud OS

764105Accès Club Abonnés n°

Le mensuel informatique pour la gestion et l’optimisation des environnements IT Professionnels

N° 125 - Mai 2013 - www.ITPro.fr

Dossier Sauvegarde

Comment choisir la

meilleure sauvegarde ?

L'assurance vie

de l'entreprise

Dédupliquer pour mieux

sauvegarder

Et si on parlait

sauvegarde dans le Cloud ?

Quelle sauvegarde pour

quels besoins ?

Les questions relatives

à la sauvegarde

Business Intelligence

La Self-service BI

Cloud Comment construire

un Cloud privé ?

Virtualisation

IT Expert

Live Migration Shared

Nothing

Collaboration

Pourquoi utiliser

la visioconférence ?

Dossier IT Pro

Quelle

choisir ?

MobilitéROOMn : les applications au centre

de la sécurité mobile

La parole aux DSI

ARTE France : vers un monde numérique

StratégieComment les responsables de réseau

peuvent-ils faire plus avec moins ?

PerformancesVotre solution Office 365

est-elle compatible avec les réseaux IPv6 ?

Cloud IT Expert

Comment déterminer le modèle de gestion

de périphériques nomades le plus adapté

sauvegarde

526842Accès Club Abonnés n°

Le mensuel informatique pour la gestion et l’optimisation des environnements IT Professionnels

N° 120 - Décembre 2012 - www.ITPro.fr

Dossier Spécial Administration à distance au cœur des infrastructures virtuelles Les directions informatiques évoluent face au Cloud Comment externaliser en partie son informatique Rendre au DSI sa fonction stratégique Nouveautés de Windows Intune v3

BYOD Collaboration : la plus grande menace

Cloud IT Expert Le Cloud, une agriculture industrielle du numérique SQL Server Focus Data Compression Virtualisation IT Expert Infrastructure virtualisée : la souplesse

Infrastructure IT Expert Consumérisation de l'informatique

Dossier IT Pro

Gestion des données à distanceEvénementLes directions métier s'invitent aux TechDays 2013

La parole aux DSILes DSI et le défi de l'entreprise toujours opérationnelle !BYODL'amour du risque

Security IT ExpertTop 5 des configurations de sécurité à ne pas faire pour un Administrateur Système

Votre magazine 100 % IT Professionnel

46 N° 133 | Mars 2014 | IT Pro Magazine

réussir la mise en œuvre D'une solution De Gestion Des comptes à privilèGesLe choix de la solution technique doit bien entendu être regardé de près. D'une part pour les fonctionnalités avan-cées proposées (ex: authentification des administrateurs par OTP, découverte automatique des comptes à référen-cer, intégration avec des solutions SIEM etc.), mais aussi pour les prix pratiqués, les écarts pouvant être très signifi-catifs entre éditeurs ou pour un même éditeur entre solu-tions commerciales proposées (SMB, Enterprise etc.).

Néanmoins la phase la plus délicate consiste à référencer l'intégralité des comptes et de leurs informations (parfois dispersées dans plusieurs fichiers non maintenus ou non synchronisés), puis à établir les périmètres de responsabi-lité et les rôles associés : Qui est maître sur la donnée ? Qui doit avoir accès à cette information sans néanmoins pouvoir la modifier ? Etc.

Les rôles et plus globalement la solution utilisés devront être intégrés à la démarche de gestion des identités et des accès mise en œuvre par l'entreprise, car si un administra-teur systèmes et réseaux possède bien un rôle métier parmi d'autres, il possède aussi de très importants pouvoirs sur le Système d'Information, associables, par accident ou par malveillance, à de très grands risques pour l'entreprise.

bruno VincentPrésident d'Atlantis, Cabinet de conseil en ArchitectureSécurité et Production des Systèmes d'Information

Globalement, les solutions de gestion des comptes à privi-lèges offrent trois niveaux de contrôle :

• Un contrôle a priori, répondant en premier lieu à la problématique de ne présenter (et de n'autoriser) qu'aux seuls utilisateurs habilités les comptes et mots de passe aux-quels ils peuvent prétendre. Seuls les utilisateurs humains ont été évoqués jusqu'ici, mais d'autres composants du SI peuvent aussi requérir de telles informations, comme par exemple une application Web Java qui nécessiterait la connaissance du login et du mot de passe de connexion à une base de données Oracle. Avec une solution de gestion des comptes à privilèges, cette application peut récupérer, par une API de type Web Services, ces informations de connexion auprès du coffre de mots de passe centralisé.Le contrôle a priori s'exerce également sur les mots de passe eux-mêmes dans le sens où ils peuvent être régulièrement et automatiquement modifiés dans le coffre et propagés dans les systèmes cibles, cette fonctionnalité répondant à une problématique bien connue des RSSI à savoir « com-ment imposer, sans douleur, et de manière transparente, une Password Policy sur les composants d'infrastruc-ture ? ». Cette fonctionnalité peut même être étendue en ne fournissant aux administrateurs que des mots de passe à usage unique, immédiatement modifiés dans le coffre et propagés sur les serveurs après leur utilisation.

• Un contrôle pendant la demande d'accès aux comptes à privilèges, celle-ci pouvant en effet être soumise à un circuit de type « workflow » avant de pouvoir aboutir : si Paul veut utiliser le compte d'administration du proxy, il faudra que Jacques autorise cette demande particulière qui lui aura été signifiée dans sa boîte mail (voir figure 3).

• Un contrôle a posteriori, centré sur les traces. Les solu-tions de gestion des comptes à privilèges placent en effet toutes les demandes d'accès dans des pistes d'audit qui peuvent ensuite être requêtées par critères, comme par exemple les derniers accès demandés par Paul ou bien encore les accès demandés pour le compte root d'un ser-veur Unix le mois dernier. Certaines solutions, comme Thycotic Secret Server, vont même encore plus loin puisqu'elles permettent de tracer sous la forme d'un enre-gistrement vidéo, les actions d'un administrateur sur un serveur cible à partir du moment où il a sélectionné le compte à privilèges dans le coffre de sécurité. Les respon-sables informatiques qui ont dû participer à des investi-gations d'informatique légale suite à des incidents, savent à quel point une telle fonctionnalité se révèle être une véritable mine d'or.

Figure 3 : Demande d'accès à un compte à privilèges soumise à valida-tion dans thycotic secret server