L’IAM vous protège contre l’espionnage industriel

Publié le 10 juillet 2013

On ne plaisante pas avec les attaques informatiques

Face à une compétition technologique accrue, les industriels doivent sans cesse innover et protéger leurs innovations. Se défendre dans ce contexte contre les attaques d’espionnage économique devient essentiel pour la survie d’une entreprise. Les dommages dus à l’espionnage industriel ont été mesuré en Allemagne, par exemple, lors d’une enquête de l’université de Lunebourg. Avec une augmentation de 250 pour cent en seulement quatre ans, ce danger ne menace pas seulement les grandes entreprises, mais aussi les PME qui produisent des innovations technologiques. L’IAM (Identity and Access Management ou gestion des identités et des habilitations), bien conçu et mis en œuvre, peut grandement contribuer à défendre durablement les systèmes d’une entreprise et leurs données sensibles contre ces attaques. Grâce à la vérification minutieuse des identités, l’IAM prévient les accès indésirables provenant de l’extérieur comme de l’intérieur.

Le risque d’être victime d’espions industriels est de plus en plus présent. Une mauvaise conjoncture constitue souvent un moteur supplémentaire. En s’emparant d’informations cruciales en matière de concurrence, les espions industriels ou leurs donneurs d’ordres espèrent économiser des dépenses élevées en recherche ou en développement, ou s’enrichir en vendant ces informations à une entreprise concurrente. Les agresseurs opèrent sur Internet. Ils peuvent aussi séduire des salariés insatisfaits, par de l’argent et d’autres promesses et les encourager à leur procurer les informations convoitées. Afin de contrer ce genre de menaces pour les entreprises, il est important d’avoir une identification infaillible des personnes et un contrôle des accès, combinés à une consignation de tous les accès et tentatives d’accès. L’IAM couvre précisément ces flancs en fournissant les modules Identity Management, Access Management et Auditing & Reporting. Des solutions comme Identity & Access Manager d’ Evidian offrent d’autres modules en complément, comme une authentification unique (Single Sign-on ou SSO) et un provisionnement automatique des droits. Des procédures d’authentification de différents degrés permettent de sécuriser la connexion aux systèmes et applications comprenant des données particulièrement sensibles.

Les bonnes pratiques recommandent une identification de chaque personne autorisée à accéder au système d’information. L’administration des identités est centralisée par le système IAM. Cette centralisation contribue, non seulement, à définir une identité unique pour chaque utilisateur ; et également, à les associer aux comptes utilisateur existants et donc à exclure les comptes en double ou orphelins (par exemple, les collaborateurs ayant quitté l’entreprise). Des comptes utilisateur avec tous les droits d’accès associés, non mis à jour, sont les portes d’entrée privilégiées par les espions.

Une attribution réfléchie des droits d’accès à chaque identité est décisive pour la qualité de l’écran de protection contre l’espionnage. En général, la règle suivante s’applique : autant de droits d’accès aux systèmes et applications que nécessaire, ni plus, ni moins. Cette démarche limite les possibilités d’attaques. La centralisation de l’administration des droits au moyen de l’IAM garantit par ailleurs que l’attribution des droits personnels

L’IAM dans le rôle pivot
Le projet Predykot clarifie le rôle stratégique d’une gestion des identités et des accès élaborée de façon modulaire. Predykot est un projet de recherche européen officiel (ITEA-2) conduit par Evidian. Il vise à orienter la gestion de la politique de sécurité selon les exigences des processus commerciaux et les données associées, et à adapter de manière dynamique les politiques de sécurité à chaque changement au niveau des processus commerciaux. Ainsi, les entreprise et organismes doivent pouvoir passer au niveau supérieur de Gouvernance, Risk Management et Compliance. Pour atteindre cet objectif ambitieux, plusieurs grands fabricants européens et acteurs dans le domaine de la sécurité se sont regroupés dans Predykot sous la direction d’Evidian. Les innovations développées dans le projet doivent également s’intégrer dans des processus de standardisation.
ou groupes de droits reste à jour quand les structures organisationnelles, les missions ou les attributions des collaborateurs sont amenées à changer.

ESPIONNAGE ÉCONOMIQUE

L’association du SSO avec l’IAM contribue à la défense contre l’espionnage industriel : en arrière-plan, le moyen d’authentification – en général l’identifiant/mot de passe utilisateur – est combiné avec les droits d’accès du collaborateur. Cet automatisme a l’avantage de ne plus obliger les salariés à retenir d’innombrables mots de passe, un pour chaque système et chaque application. Les antisèches de mots de passe (encore un objet très convoité par les espions de données) deviennent ainsi superflues. Le SSO a un autre avantage du point de vue de la défense contre l’espionnage pour l’entreprise : au moyen de cet automatisme, des workflows définis peuvent être déclenchés pour, par exemple, conférer rapidement à des comptes utilisateurs les droits de système et d’application correspondants. Ainsi, l’attribution de droits d’accès actuels se fait rapidement et les fausses attributions manuelles de droits sont exclues. Sinon, ces deux éléments, des attributions de droits obsolètes ou fausses, peuvent être utilisés à mauvais escient par des espions.

D’ailleurs, le SSO appelle formellement à sécuriser l’authentification pour accéder aux systèmes et applications comportant des données sensibles par des procédures strictes comme des jetons, des cartes à puce avec certificat ou informations biométriques. Autrement, l’espion connaissant la combinaison identifiant/mot de passe d’un utilisateur aurait accès automatiquement à tous les systèmes et applications pour lesquels le collaborateur a été autorisé. Si les processus de connexion de l’intérieur et de l’extérieur sont sécurisés par une authentification forte, les espions industriels n’ont aucune chance de forcer l’accès avec des identités et des autorisations de collaborateurs dans le but de se procurer des données sensibles.

Cependant, tout ceci n’aide pas l’entreprise à se protéger contre des salariés malveillants qui accèdent à des informations stratégiques ou concurrentielles enregistrées dans des systèmes et des applications pour le compte d’espions industriels. Dans ce cas, il s’agit de personnes légitimées qui copient des données et en ont apparemment le droit, pour ensuite les transmettre à autrui. Les outils d’Audit et de Reporting intégrés dans l’IAM sont d’autant plus importants. Ils donnent à l’entreprise les moyens de consigner, d’évaluer et de documenter à partir d’un point central tous les accès des collaborateurs. Cet ensemble d’outils permet également d’enregistrer, d’analyser et d’empêcher toute modification de procédés de copie atypiques dans certaines applications cibles. Si les accès aux applications sont encore différenciés par des attributs, comme pour certains contenus ou documents, alors les risques que des collaborateurs copient et transmettent des informations sensibles sont réduits. Si l’Audit et le Reporting s’étendent jusqu’au niveau des contenus et des documents, les tentatives d’accès non autorisées sont en outre automatiquement enregistrées et sauvegardées pour demander des comptes au salarié concerné.

L’Auditing et le Reporting s’avèrent particulièrement importants pour le contrôle des administrateurs. De par leur domaine d’activité, ils ont des droits d’accès étendus aux systèmes et applications, et sont donc la proie favorite des espions industriels. Il est indispensable pour l’entreprise d’enregistrer, d’évaluer et de documenter sans faille tout ce que font les administrateurs. Ce n’est qu’à cette condition qu’on peut suivre des accès et comportements atypiques et détecter une éventuelle attaque d’espionnage. En outre, préalablement à l’attribution des droits d’administration et d’accès, il est nécessaire de vérifier précisément quelles autorisations sont effectivement requises pour l’administration des systèmes et des applications, et lesquelles sont superflues.

De nombreuses entreprises créent pour leurs administrateurs informatiques une hiérarchie plus ou moins marquée, qui apporte une certaine dose de sécurité par la limitation des autorisations et un contrôle réciproque. Dans cette constellation, le grand administrateur est à la tête de la hiérarchie, qui doit être contrôlée dans les détails par les fonctions d’Auditing et de Reporting dans l’IAM.

Le provisionnement automatique des droits ne doit en aucun cas être sous-estimé en matière de défense contre l’espionnage industriel. Par ce module IAM, on peut concevoir et mettre en œuvre des processus de demande et d’autorisation des droits régis au moyen de workflows. A l’aide de ces processus de demande et d’autorisation, il est facile de voir qui a demandé des droits d’accès et droits administratifs spéciaux, et qui les a autorisés. Toute l’attribution des droits dans l’entreprise devient claire et limpide au niveau central, permettant de déceler dès cette phase les éventuelles attaques par des salariés. Là où des données sensibles risquent d’être la cible d’attaques, il est recommandé de sécuriser l’autorisation d’attribution des droits par une validation multiple : effectuée par plusieurs personnes. Ainsi, il ne peut accorder d’autorisation sans qu’une ou plusieurs autres personnes n’en soient informées.

Pour les experts du marché et des technologies, cela ne fait aucun doute : l’IAM et tous ses modules intégrés rendent des services inestimables en termes de défense contre l’espionnage industriel. Bien pensé et implémenté, l’IAM devient un système de défense qui peut être adapté librement par les salariés conformément à la politique de sécurité. En parallèle, l’entreprise s’assure avec l’IAM le contrôle des accès à un niveau stratégique, facilement maîtrisable et gouvernable (gérable ?), qui lui confère aussi plus de transparence en termes de sécurité informatique, de gouvernance et de conformité.

Article adapté de l’interview en allemand d’Erwin Schöendlinger (Directeur Evidian Gmbh) paru sur www.datakontext.com


Démonstration



contact
CONTACT


contact
NEWS

Pour recevoir des informations d'Evidian, veuillez remplir le formulaire suivant.