SlideShare une entreprise Scribd logo
IDENTITY & ACCESS 
Gestion des utilisateurs 
privilégiés 
Contrôler les accès sans dégrader la satisfaction des utilisateurs
Selon les recherches de CERT, 
L'abus de privilège a 
représenté 88 % des 12.000 
incidents concernant les 
mauvais usages des 
informations par les 
utilisateurs internes en 
20133 
Introduction 
Selon une étude récente de l'Institut Ponemon, les erreurs commises par les 
utilisateurs et les bugs informatiques sont les causes principales des brèches de 
sécurité pour les données de l'entreprise. Ensemble, bugs informatiques et 
erreurs humaines représentent 64 % des brèches de sécurité et étonnamment, 62 
% des salariés pensent qu’ils peuvent transférer des données de l'entreprise à 
l'extérieur de l’entreprise sans problème.1 
Par accident ou volontairement, vos salariés peuvent être à l’origine des brèches 
de sécurité pour vos informations. Les dommages encourus génèrent 
potentiellement des pertes de revenu, de répudiation des échanges commerciaux 
effectués, des coûts dus à des recours légaux et de mise à niveau technologique et 
plus important encore, une atteinte à la réputation de votre entreprise. 
Des utilisateurs privilégiés existent dans chaque organisation ; ils tiennent les clés 
des informations les plus sensibles d'une grande partie de l’entreprise. 
Les cadres supérieurs et dirigeants, les opérationnels travaillant dans les départements tel que finance, ressources 
humaines, etc., sont tous des utilisateurs bénéficiant de privilèges informatiques auxquels il faut rajouter les 
administrateurs de système d'information. Les comptes de ces usagers sont autorisés à accéder à une multitude de 
ressources au travers des serveurs et des applications via leur PCs, téléphones portables et tablettes 
Un manque de contrôles d'accès 
Le fait qu'un simple nom d'utilisateur et un mot de passe soient toujours le protocole de sécurité le plus répandu dans 
la plupart des entreprises est un problème majeur en soi. Mais la situation est pire encore lorsque les logins et mots 
de passe des comptes d’administration sont partagés pour faire fasse à la multiplicité des composants informatiques 
de l’entreprise : chaque domaine, serveur et connexion à distance génèrent dans certains cas des milliers 
d’informations sensibles. 
Beaucoup d'autres problèmes peuvent survenir, liés au processus d'identification simple comme : 
> Des oublis – et donc des brèches - au moment de révoquer les accès multiples d'un individu (démission, 
fin de contrat ou autres causes). 
> Une complexité importante lors du changement de mot de passe pour les comptes d'administration 
partagés : ceci exige un effort coordonné afin d'assurer que tout le monde soit informé et éviter un 
blocage provisoire de comptes. 
> Une gestion encore plus risquée: avec tant de mots de passe, ils sont souvent stockés au même endroit, 
sur le même serveur où les administrateurs ont accès. 
> Enfin, sans doute le problème le plus évident avec des mots de passe, est la menace de logiciels 
malveillants ou espions, conçus pour voler les identifiants de connexion. 
1 Ponemon 2013 Cost of a Data Breach Study 
3.2014 Verizon Data Breach Investigations Report
En plus d'utiliser un protocole de sécurité faible, certaines organisations diminuent les contraintes pour les 
utilisateurs privilégiés. Et on peut observer les problèmes suivants: 
Selon les recherches de 
CERT, la moitié des 
attaques malveillantes sont 
le fait d’anciens employés 
qui ont pénétré le réseau 
par des brèches de 
sécurité connues d’eux, ou 
par des comptes 
d'entreprise qui n'ont 
jamais été mise hors de 
service. 
> Faible taux de réinitialisation : à cause de la difficulté de 
coordonner un changement parmi tous les systèmes 
administrés, l’entreprise applique des règles minimales pour 
réinitialiser des mots de passe, les rendant moins sécurisés que 
des mots de passe d'utilisateur normaux. 
> Diminution de la responsabilité individuelle : puisque tout le 
monde se connecte avec le même mot de passe, la traçabilité 
des changements administratifs est minimale. 
> Ces mots de passe ne sont pas supprimés lorsqu’un employé 
quitte l'entreprise, ce qui pourrait mener à la mauvaise 
utilisation de comptes privilégiés par un ancien salarié. 
Menaces accrues de l'intérieur 
Les départements informatiques dans le monde entier ont vécu un rappel à l’ordre quand Edward Snowden a montré 
comment il était facile de contourner certains contrôles de sécurité parmi les plus contraignants. Les plus privilégiés 
des utilisateurs ont un accès libre aux données confidentielles d'une organisation, aux réseaux et aux systèmes. Selon 
une enquête récente auprès de plus de 700 décideurs en sécurité informatique, 46 % croient qu'ils sont "très 
vulnérables" ou "vulnérables" à une attaque d'un utilisateur interne. Certaines de ces organisations prennent 
maintenant en compte la problématique des utilisateurs privilégiés très sérieusement : 45 % des décideurs interrogés 
admettent que l'action d'Edward Snowden les a aidés à changer leur point de vue sur les menaces internes.2 
Les menaces liées à des utilisateurs internes n’ont pas toujours comme origine une intention malveillante. Comme 
mentionné auparavant, l'erreur humaine représente la majorité des brèches de sécurité concernant les données de 
l’entreprise d'aujourd'hui. Les ‘post-it’ avec les mots de passe, le partage de connexion, la négligence dans la 
fermeture du compte d'un ancien salarié, l’oublie de déconnexion d’une ressource partagée - n'importe lequel de ces 
cas pourrait aboutir à un accès non autorisé au patrimoine le plus sensible de votre entreprise. 
En plus des risques générés par les employés internes, les utilisateurs privilégiés sont souvent la cible des 
cybercriminels par le biais d’attaques de type APT : Advanced Persistent Threat. Ces comptes d’utilisateurs privilégiés 
ressemblent à un passe-partout qui peut donner aux pirates informatiques des accès en profondeur à une 
organisation pour y découvrir les informations les plus sensibles. 
Il est temps de repenser la sécurité 
Tandis que la plupart des entreprises dépensent une grande partie du budget informatique pour se protéger des 
attaques extérieures, l'augmentation des menaces venant de l'intérieur de l’entreprise, accidentelles ou malveillantes, 
2.2013 Vormetric/ESG Insider Threats Survey, September 2013 
4 2013 Verizon Data Breach Investigations Report
ne peuvent pas être ignorées. Les menaces de sécurité concernant les utilisateurs privilégiés ne sont pas les seules 
auxquelles doit faire face la direction informatique. Ces utilisateurs privilégiés doivent avoir un accès rapide et facile, 
parfois à plusieurs dizaines voir une centaine de domaines et systèmes tous les jours. Ces utilisateurs sont 
extrêmement occupés et de ce fait ne peuvent adhérer à tout ce qui rend leur travail plus difficile. Les techniques 
utilisées pour contrôler l'accès doivent être simples, efficaces et fiables, en plus de renforcer la sécurité. 
Caractéristiques nécessaires pour un contrôle et une gestion de comptes privilégiés réussis: 
> Authentification multi-facteur 
> Capacité d'assigner le bon accès basé sur une granularité des rôles pour les comptes privilégiés. Pour plus 
d'informations, nous vous conseillons de lire l'article technique de Microsoft, Securing Active Directory 
Administrative Groups and Accounts 
> Ajout et clôture facile de comptes privilégiés 
> Traçabilité des accès 
> Intégration parfaite avec les outils quotidiens utilisés par les administrateurs informatiques et les autres 
catégories d’utilisateurs privilégiés 
> Conformité avec des exigences d'audit 
Comment fonctionnent les cartes à puce ? 
Pour se connecter avec une carte à puce, l'utilisateur insère simplement sa carte dans un lecteur spécial intégré à son 
clavier ou à son ordinateur portable, ou dans un lecteur autonome relié par une connexion USB, ou par sans contact 
NFC. Une fenêtre s’affiche alors lui demandant d’entrer son code utilisateur PIN. Une fois le code PIN accepté par la 
carte, il y a un échange crypté pour procéder à l'identification de l’usager, entre les données d'identité de l'utilisateur 
stocké sur la carte et le système hôte ou le serveur distant. Le fait que la carte à puce utilise son propre processeur et 
logiciel indépendant du PC pour représenter l'identité de l’utilisateur est le garant de la sécurité de cette approche. 
Puisque les identités sont sécurisées et isolées du PC et que chaque connexion utilise un processus de 
question/réponse, les utilisateurs sont protégés des menaces venant de leur ordinateur ou du réseau. La carte reste 
dans le lecteur ou à proximité pour la durée de la session sécurisée. Le retrait de la carte termine la session. 
La carte à puce fournit non seulement plus de sécurité, mais aussi plus de facilité d’utilisation pour les utilisateurs. Au 
lieu d’avoir à se souvenir de mots de passes complexes, qui changent fréquemment, les utilisateurs doivent 
seulement se rappeler de leur code PIN ; la carte s'occupe de l'authentification forte de l'utilisateur et de 
l'établissement d'une session cryptée sécurisée. 
De plus, les cartes à puce sont intégrées en standard dans les environnements Windows - les certificats utilisés pour 
la connexion peuvent être générés directement par un serveur Microsoft Windows CA et la connexion par carte à puce 
se fait en natif sur tous les systèmes d'exploitation Windows. 
Cette intégration native signifie que les utilisateurs peuvent avoir accès aux ressources auxquelles ils sont autorisés à 
se connecter de n'importe quelle machine faisant partie du domaine d'entreprise, une exigence clé pour les équipes de 
support informatique.
La connexion par carte à puce bénéficie de l'investissement en sécurité fait dans l’architecture de domaine Windows 
sans investissement supplémentaire. 
Des utilisateurs privilégiés sont gérés directement depuis le répertoire de l’entreprise ; la suppression d'un utilisateur 
clos automatiquement ses autorisations de connexion ; cette gestion de compte centralisée de l'entreprise constitue 
un avantage. 
Toutes les authentifications peuvent être tracées directement depuis le journal d'événement du Contrôleur de 
Domaine Windows, ce qui évite d’ajouter un contrôleur pour cette ressource critique dédiée. 
La technologie carte à puce peut être déployée dans une variété de facteurs de forme incluant des cartes ou des clés 
USB. En plus des capacités de sécurité de connexion, la technologie carte à puce peut être utilisée pour le contrôle 
d’accès physique, le courrier électronique sécurisé, l’accès VPN sécurisé et le cryptage des données, par exemple 
avec l’application Bitlocker de Microsoft. 
Utilisation de la carte à puce par un utilisateur privilégié 
Connexion à une machine hôte 
L'ordinateur de l'utilisateur, son téléphone ou sa tablette sont utilisés systématiquement lors de chaque journée de 
travail; ce sont donc des éléments importants à sécuriser. 
Un accès protégé par une carte à puce empêchera toute utilisation non autorisée.
Utiliser la fonctionnalité « exécutez en tant que» 
Un utilisateur n’a pas besoin d’avoir accès aux ressources critiques en permanence. Quand l'utilisateur exécute des 
tâches qui n’exigent pas des ressources critiques, il devrait utiliser un compte avec les privilèges plus faibles. Si 
l'utilisateur doit exécuter une commande spécifique ou exécuter une demande qui exige des privilèges élevés, il peut 
exécuter cette application en utilisant un compte différent. Ce procédé est connu sous le nom de « exécutez en tant 
que » chez Microsoft. 
Connexion RDP à un serveur distant - « bureau à distance » 
Les utilisateurs peuvent travailler sur des centaines de machines, certaines peuvent être physiques et d'autres 
pouvant être virtualisées. La capacité d'avoir accès à ces ressources à distance est critique pour la productivité des 
utilisateurs. La connexion « bureau à distance » permet à un utilisateur de prendre le contrôle complet d'une machine 
en utilisant sa carte à puce. 
SSH 
L’accès aux ressources Linux peut aussi être sécurisé avec une carte à puce. La clé privée est stockée sur la carte à 
puce, tandis que la clé publique doit être configurée dans la configuration du serveur SSH. 
Utilisation du même certificat pour plusieurs domaines 
De grandes entreprises mettent en oeuvre des dizaines de domaines. Les administrateurs informatiques peuvent avoir 
un ou plusieurs comptes dans chacun de ces domaines. La méthode d’authentification par nom d'utilisateur et mot de 
passe signifie que les administrateurs doivent se rappeler d’une multitude de mots de passe. Les certificats stockés 
dans les cartes à puce peuvent être associés à de multiples comptes dans des domaines différents, donc 
l'administrateur peut s’authentifier avec la même carte en utilisant des identités différentes. Une carte à puce peut 
contenir plusieurs certificats qui sont protégés soit par un code PIN simple ou différents codes PIN. L'utilisateur est 
incité à choisir le certificat à utiliser au moment de la connexion. 
Émission de certificats multiples pour les domaines différents 
Les systèmes anciens peuvent ne pas accepter un certificat unique pour des comptes multiples. Dans ce cas, on peut 
fournir à l'administrateur une carte contenant des certificats multiples, en ligne avec ses identités dans les différents 
domaines. 
Mise en oeuvre 
Pour les instructions d'installations d’une autorité de certification Microsoft Windows 2012 CA qui émet des certificats, 
nous vous conseillons la lecture de notre guide ExecProtect Armored Office Setup Guide. 
Émission et gestion des identités avec la solution IDAdmin 200 de Gemalto 
La solution IDAdmin 200 fournit tous les outils pour gérer des cartes à puce d'une façon sécurisée et facile. IDAdmin 
200 est pleinement opérationnel avec le standard Microsoft mini-driver/cartes à puce ; il rationalise tous les aspects 
d'un système de gestion de carte à puce en se connectant au répertoire d'entreprise, autorités de certification et 
serveurs de synchronisation. Avec IDAdmin 200, les organisations peuvent fournir des cartes à puce aux salariés, 
personnaliser les cartes à puce avec des certificats et gérez le cycle de vie de chaque carte.
Bénéfices de IDAdmin 200 : 
> Déploiement rapide et facile de 10 utilisateurs à des milliers d’utilisateurs 
> Gestion complète des identités 
o Pré personnalisation électrique des cartes et pré-impression des corps de carte 
o Émission des identités et personnalisation (incluant l’impression) 
o Déblocage de carte 
> Administration distribuée possible 
> Solution intégrée avec Microsoft AD 
> Publication facilement des certificats pour des domaines multiples dans l'entreprise 
Pour résumer : l’Authentification Forte pour les utilisateurs 
privilégiés est une bonne pratique 
Chaque semaine apporte son lot d’informations sur des entreprises touchées par la perte d'informations sensibles, un 
problème qui peut être endigué grâce à de meilleures pratiques basées sur la gestion des identités. Les pertes de 
données et l’utilisation d’informations sensibles dues à un accès non autorisé devrait être une préoccupation majeure 
de chaque entreprise. Bien que la mise en oeuvre de l’authentification forte pour tous au sein de l’entreprise soit une 
pratique souhaitable, nous vous conseillons de commencer par les utilisateurs qui manipulent les données les plus 
sensibles ou qui ont des droits d’accès aux systèmes élevés. 
Il est évident que l’accès par - nom d'utilisateur et mot de passe - n’est pas un processus sûr pour protéger le capital 
informatique de votre entreprise. Mettre une authentification basée sur l’utilisation de certificats et de cartes à puce 
pour vos utilisateurs privilégiés peut empêcher la perte de données et protéger vos informations confidentielles. 
> Vos utilisateurs privilégiés peuvent continuer à travailler avec les outils dont ils ont l’habitude 
> Les solutions Gemalto sont parfaitement intégrées avec l'architecture d'entreprise de Microsoft 
> Les solutions Gemalto sont faciles à déployer et à gérer 
> La gestion des utilisateurs des systèmes informatiques vous met en conformité avec les revues d'audit 
rigoureuses 
> La mise en place des systèmes d’authentification forte est un investissement rentable en vue de la mise en 
conformité de votre entreprise vis-à-vis de ses obligations 
Que faire à présent ? 
Demandez plus d'informations ou une démonstration … 
Contactez-nous

Contenu connexe

Tendances

Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
polenumerique33
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelle
Sylvain Maret
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
polenumerique33
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
polenumerique33
 
Rapport PFE
Rapport PFERapport PFE
Rapport PFE
oussama Hafid
 
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
Cyber Security Alliance
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Eric DUPUIS
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
GARRIDOJulien
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
Sylvain Maret
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?
Marie-Claire Willig
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
ITrust - Cybersecurity as a Service
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
NRC
 
Collecte des données métiers et constitution d'un entrepôt centrale
Collecte des données métiers et constitution d'un entrepôt centraleCollecte des données métiers et constitution d'un entrepôt centrale
Collecte des données métiers et constitution d'un entrepôt centraleoussama Hafid
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
Manuel Cédric EBODE MBALLA
 

Tendances (19)

Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelle
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
 
Rapport PFE
Rapport PFERapport PFE
Rapport PFE
 
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Collecte des données métiers et constitution d'un entrepôt centrale
Collecte des données métiers et constitution d'un entrepôt centraleCollecte des données métiers et constitution d'un entrepôt centrale
Collecte des données métiers et constitution d'un entrepôt centrale
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
 

Similaire à Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la satisfaction des utilisateurs.

Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
Nis
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure Fr
FredericPaumier
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
SOCIALware Benelux
 
Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...
Alice and Bob
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
Bertrand Carlier
 
Utilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet MobilitéUtilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet Mobilité
Sylvain Maret
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
Astoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
Sylvain Maret
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
Association Transition Numérique +
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Andréanne Clarke
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
 L'authentification Forte - A&B -  Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B -  Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
Alice and Bob
 
annibal_mysqlcluster.ppt
annibal_mysqlcluster.pptannibal_mysqlcluster.ppt
annibal_mysqlcluster.ppt
Khalil BOUKRI
 
Authentification - Sécurité des SI
Authentification - Sécurité des SIAuthentification - Sécurité des SI
Authentification - Sécurité des SI
Mélody Durand
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
Laurent DAST
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
CGPME des Pays de la Loire
 
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesGuide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiques
Sophie Roy
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiquehediajegham
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
Microsoft Technet France
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
depinfo
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
Antoine Vigneron
 

Similaire à Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la satisfaction des utilisateurs. (20)

Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure Fr
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
 
Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Utilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet MobilitéUtilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet Mobilité
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
 L'authentification Forte - A&B -  Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B -  Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
 
annibal_mysqlcluster.ppt
annibal_mysqlcluster.pptannibal_mysqlcluster.ppt
annibal_mysqlcluster.ppt
 
Authentification - Sécurité des SI
Authentification - Sécurité des SIAuthentification - Sécurité des SI
Authentification - Sécurité des SI
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
 
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesGuide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiques
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 

Plus de Nis

Les utilisateurs privilégiés sécurisé : 5 recommandations !
Les utilisateurs privilégiés sécurisé : 5 recommandations !Les utilisateurs privilégiés sécurisé : 5 recommandations !
Les utilisateurs privilégiés sécurisé : 5 recommandations !
Nis
 
Who is the privileged user
Who is the privileged userWho is the privileged user
Who is the privileged user
Nis
 
Strong authentication implementation guide
Strong authentication   implementation guideStrong authentication   implementation guide
Strong authentication implementation guide
Nis
 
Privileged identity management
Privileged identity managementPrivileged identity management
Privileged identity management
Nis
 
Exec protect armored office
Exec protect armored officeExec protect armored office
Exec protect armored office
Nis
 
Protiva ExecProtect Armored Office
Protiva ExecProtect Armored OfficeProtiva ExecProtect Armored Office
Protiva ExecProtect Armored Office
Nis
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
Nis
 

Plus de Nis (7)

Les utilisateurs privilégiés sécurisé : 5 recommandations !
Les utilisateurs privilégiés sécurisé : 5 recommandations !Les utilisateurs privilégiés sécurisé : 5 recommandations !
Les utilisateurs privilégiés sécurisé : 5 recommandations !
 
Who is the privileged user
Who is the privileged userWho is the privileged user
Who is the privileged user
 
Strong authentication implementation guide
Strong authentication   implementation guideStrong authentication   implementation guide
Strong authentication implementation guide
 
Privileged identity management
Privileged identity managementPrivileged identity management
Privileged identity management
 
Exec protect armored office
Exec protect armored officeExec protect armored office
Exec protect armored office
 
Protiva ExecProtect Armored Office
Protiva ExecProtect Armored OfficeProtiva ExecProtect Armored Office
Protiva ExecProtect Armored Office
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 

Dernier

Éveil BM-Rapport d'activités 2023-2024.pdf
Éveil BM-Rapport d'activités 2023-2024.pdfÉveil BM-Rapport d'activités 2023-2024.pdf
Éveil BM-Rapport d'activités 2023-2024.pdf
megmedia
 
Présentation Plaspack, l'entreprise derrière Soliday
Présentation Plaspack, l'entreprise derrière SolidayPrésentation Plaspack, l'entreprise derrière Soliday
Présentation Plaspack, l'entreprise derrière Soliday
Soliday das Sonnensegel
 
Livre Blanc sur l'Intelligence économique, discipline endémique à la francoph...
Livre Blanc sur l'Intelligence économique, discipline endémique à la francoph...Livre Blanc sur l'Intelligence économique, discipline endémique à la francoph...
Livre Blanc sur l'Intelligence économique, discipline endémique à la francoph...
benj_2
 
Analyse résultats Luxembourg IMD 2024.pdf
Analyse résultats Luxembourg IMD 2024.pdfAnalyse résultats Luxembourg IMD 2024.pdf
Analyse résultats Luxembourg IMD 2024.pdf
Paperjam_redaction
 
Cours_Evaluation_dEntreprise_HEM_2012_20.pptx
Cours_Evaluation_dEntreprise_HEM_2012_20.pptxCours_Evaluation_dEntreprise_HEM_2012_20.pptx
Cours_Evaluation_dEntreprise_HEM_2012_20.pptx
HervBriceKOYA
 
Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...
Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...
Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...
Mohamed Bouanane
 
FORMATIONS SUR LES TRANSFERTS A L'ETRANGER SD FINEX.pptx
FORMATIONS SUR LES TRANSFERTS A L'ETRANGER SD FINEX.pptxFORMATIONS SUR LES TRANSFERTS A L'ETRANGER SD FINEX.pptx
FORMATIONS SUR LES TRANSFERTS A L'ETRANGER SD FINEX.pptx
HervBriceKOYA
 

Dernier (7)

Éveil BM-Rapport d'activités 2023-2024.pdf
Éveil BM-Rapport d'activités 2023-2024.pdfÉveil BM-Rapport d'activités 2023-2024.pdf
Éveil BM-Rapport d'activités 2023-2024.pdf
 
Présentation Plaspack, l'entreprise derrière Soliday
Présentation Plaspack, l'entreprise derrière SolidayPrésentation Plaspack, l'entreprise derrière Soliday
Présentation Plaspack, l'entreprise derrière Soliday
 
Livre Blanc sur l'Intelligence économique, discipline endémique à la francoph...
Livre Blanc sur l'Intelligence économique, discipline endémique à la francoph...Livre Blanc sur l'Intelligence économique, discipline endémique à la francoph...
Livre Blanc sur l'Intelligence économique, discipline endémique à la francoph...
 
Analyse résultats Luxembourg IMD 2024.pdf
Analyse résultats Luxembourg IMD 2024.pdfAnalyse résultats Luxembourg IMD 2024.pdf
Analyse résultats Luxembourg IMD 2024.pdf
 
Cours_Evaluation_dEntreprise_HEM_2012_20.pptx
Cours_Evaluation_dEntreprise_HEM_2012_20.pptxCours_Evaluation_dEntreprise_HEM_2012_20.pptx
Cours_Evaluation_dEntreprise_HEM_2012_20.pptx
 
Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...
Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...
Libérer le Potentiel à l'Ère de la Transformation Numérique pour des Organisa...
 
FORMATIONS SUR LES TRANSFERTS A L'ETRANGER SD FINEX.pptx
FORMATIONS SUR LES TRANSFERTS A L'ETRANGER SD FINEX.pptxFORMATIONS SUR LES TRANSFERTS A L'ETRANGER SD FINEX.pptx
FORMATIONS SUR LES TRANSFERTS A L'ETRANGER SD FINEX.pptx
 

Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la satisfaction des utilisateurs.

  • 1. IDENTITY & ACCESS Gestion des utilisateurs privilégiés Contrôler les accès sans dégrader la satisfaction des utilisateurs
  • 2. Selon les recherches de CERT, L'abus de privilège a représenté 88 % des 12.000 incidents concernant les mauvais usages des informations par les utilisateurs internes en 20133 Introduction Selon une étude récente de l'Institut Ponemon, les erreurs commises par les utilisateurs et les bugs informatiques sont les causes principales des brèches de sécurité pour les données de l'entreprise. Ensemble, bugs informatiques et erreurs humaines représentent 64 % des brèches de sécurité et étonnamment, 62 % des salariés pensent qu’ils peuvent transférer des données de l'entreprise à l'extérieur de l’entreprise sans problème.1 Par accident ou volontairement, vos salariés peuvent être à l’origine des brèches de sécurité pour vos informations. Les dommages encourus génèrent potentiellement des pertes de revenu, de répudiation des échanges commerciaux effectués, des coûts dus à des recours légaux et de mise à niveau technologique et plus important encore, une atteinte à la réputation de votre entreprise. Des utilisateurs privilégiés existent dans chaque organisation ; ils tiennent les clés des informations les plus sensibles d'une grande partie de l’entreprise. Les cadres supérieurs et dirigeants, les opérationnels travaillant dans les départements tel que finance, ressources humaines, etc., sont tous des utilisateurs bénéficiant de privilèges informatiques auxquels il faut rajouter les administrateurs de système d'information. Les comptes de ces usagers sont autorisés à accéder à une multitude de ressources au travers des serveurs et des applications via leur PCs, téléphones portables et tablettes Un manque de contrôles d'accès Le fait qu'un simple nom d'utilisateur et un mot de passe soient toujours le protocole de sécurité le plus répandu dans la plupart des entreprises est un problème majeur en soi. Mais la situation est pire encore lorsque les logins et mots de passe des comptes d’administration sont partagés pour faire fasse à la multiplicité des composants informatiques de l’entreprise : chaque domaine, serveur et connexion à distance génèrent dans certains cas des milliers d’informations sensibles. Beaucoup d'autres problèmes peuvent survenir, liés au processus d'identification simple comme : > Des oublis – et donc des brèches - au moment de révoquer les accès multiples d'un individu (démission, fin de contrat ou autres causes). > Une complexité importante lors du changement de mot de passe pour les comptes d'administration partagés : ceci exige un effort coordonné afin d'assurer que tout le monde soit informé et éviter un blocage provisoire de comptes. > Une gestion encore plus risquée: avec tant de mots de passe, ils sont souvent stockés au même endroit, sur le même serveur où les administrateurs ont accès. > Enfin, sans doute le problème le plus évident avec des mots de passe, est la menace de logiciels malveillants ou espions, conçus pour voler les identifiants de connexion. 1 Ponemon 2013 Cost of a Data Breach Study 3.2014 Verizon Data Breach Investigations Report
  • 3. En plus d'utiliser un protocole de sécurité faible, certaines organisations diminuent les contraintes pour les utilisateurs privilégiés. Et on peut observer les problèmes suivants: Selon les recherches de CERT, la moitié des attaques malveillantes sont le fait d’anciens employés qui ont pénétré le réseau par des brèches de sécurité connues d’eux, ou par des comptes d'entreprise qui n'ont jamais été mise hors de service. > Faible taux de réinitialisation : à cause de la difficulté de coordonner un changement parmi tous les systèmes administrés, l’entreprise applique des règles minimales pour réinitialiser des mots de passe, les rendant moins sécurisés que des mots de passe d'utilisateur normaux. > Diminution de la responsabilité individuelle : puisque tout le monde se connecte avec le même mot de passe, la traçabilité des changements administratifs est minimale. > Ces mots de passe ne sont pas supprimés lorsqu’un employé quitte l'entreprise, ce qui pourrait mener à la mauvaise utilisation de comptes privilégiés par un ancien salarié. Menaces accrues de l'intérieur Les départements informatiques dans le monde entier ont vécu un rappel à l’ordre quand Edward Snowden a montré comment il était facile de contourner certains contrôles de sécurité parmi les plus contraignants. Les plus privilégiés des utilisateurs ont un accès libre aux données confidentielles d'une organisation, aux réseaux et aux systèmes. Selon une enquête récente auprès de plus de 700 décideurs en sécurité informatique, 46 % croient qu'ils sont "très vulnérables" ou "vulnérables" à une attaque d'un utilisateur interne. Certaines de ces organisations prennent maintenant en compte la problématique des utilisateurs privilégiés très sérieusement : 45 % des décideurs interrogés admettent que l'action d'Edward Snowden les a aidés à changer leur point de vue sur les menaces internes.2 Les menaces liées à des utilisateurs internes n’ont pas toujours comme origine une intention malveillante. Comme mentionné auparavant, l'erreur humaine représente la majorité des brèches de sécurité concernant les données de l’entreprise d'aujourd'hui. Les ‘post-it’ avec les mots de passe, le partage de connexion, la négligence dans la fermeture du compte d'un ancien salarié, l’oublie de déconnexion d’une ressource partagée - n'importe lequel de ces cas pourrait aboutir à un accès non autorisé au patrimoine le plus sensible de votre entreprise. En plus des risques générés par les employés internes, les utilisateurs privilégiés sont souvent la cible des cybercriminels par le biais d’attaques de type APT : Advanced Persistent Threat. Ces comptes d’utilisateurs privilégiés ressemblent à un passe-partout qui peut donner aux pirates informatiques des accès en profondeur à une organisation pour y découvrir les informations les plus sensibles. Il est temps de repenser la sécurité Tandis que la plupart des entreprises dépensent une grande partie du budget informatique pour se protéger des attaques extérieures, l'augmentation des menaces venant de l'intérieur de l’entreprise, accidentelles ou malveillantes, 2.2013 Vormetric/ESG Insider Threats Survey, September 2013 4 2013 Verizon Data Breach Investigations Report
  • 4. ne peuvent pas être ignorées. Les menaces de sécurité concernant les utilisateurs privilégiés ne sont pas les seules auxquelles doit faire face la direction informatique. Ces utilisateurs privilégiés doivent avoir un accès rapide et facile, parfois à plusieurs dizaines voir une centaine de domaines et systèmes tous les jours. Ces utilisateurs sont extrêmement occupés et de ce fait ne peuvent adhérer à tout ce qui rend leur travail plus difficile. Les techniques utilisées pour contrôler l'accès doivent être simples, efficaces et fiables, en plus de renforcer la sécurité. Caractéristiques nécessaires pour un contrôle et une gestion de comptes privilégiés réussis: > Authentification multi-facteur > Capacité d'assigner le bon accès basé sur une granularité des rôles pour les comptes privilégiés. Pour plus d'informations, nous vous conseillons de lire l'article technique de Microsoft, Securing Active Directory Administrative Groups and Accounts > Ajout et clôture facile de comptes privilégiés > Traçabilité des accès > Intégration parfaite avec les outils quotidiens utilisés par les administrateurs informatiques et les autres catégories d’utilisateurs privilégiés > Conformité avec des exigences d'audit Comment fonctionnent les cartes à puce ? Pour se connecter avec une carte à puce, l'utilisateur insère simplement sa carte dans un lecteur spécial intégré à son clavier ou à son ordinateur portable, ou dans un lecteur autonome relié par une connexion USB, ou par sans contact NFC. Une fenêtre s’affiche alors lui demandant d’entrer son code utilisateur PIN. Une fois le code PIN accepté par la carte, il y a un échange crypté pour procéder à l'identification de l’usager, entre les données d'identité de l'utilisateur stocké sur la carte et le système hôte ou le serveur distant. Le fait que la carte à puce utilise son propre processeur et logiciel indépendant du PC pour représenter l'identité de l’utilisateur est le garant de la sécurité de cette approche. Puisque les identités sont sécurisées et isolées du PC et que chaque connexion utilise un processus de question/réponse, les utilisateurs sont protégés des menaces venant de leur ordinateur ou du réseau. La carte reste dans le lecteur ou à proximité pour la durée de la session sécurisée. Le retrait de la carte termine la session. La carte à puce fournit non seulement plus de sécurité, mais aussi plus de facilité d’utilisation pour les utilisateurs. Au lieu d’avoir à se souvenir de mots de passes complexes, qui changent fréquemment, les utilisateurs doivent seulement se rappeler de leur code PIN ; la carte s'occupe de l'authentification forte de l'utilisateur et de l'établissement d'une session cryptée sécurisée. De plus, les cartes à puce sont intégrées en standard dans les environnements Windows - les certificats utilisés pour la connexion peuvent être générés directement par un serveur Microsoft Windows CA et la connexion par carte à puce se fait en natif sur tous les systèmes d'exploitation Windows. Cette intégration native signifie que les utilisateurs peuvent avoir accès aux ressources auxquelles ils sont autorisés à se connecter de n'importe quelle machine faisant partie du domaine d'entreprise, une exigence clé pour les équipes de support informatique.
  • 5. La connexion par carte à puce bénéficie de l'investissement en sécurité fait dans l’architecture de domaine Windows sans investissement supplémentaire. Des utilisateurs privilégiés sont gérés directement depuis le répertoire de l’entreprise ; la suppression d'un utilisateur clos automatiquement ses autorisations de connexion ; cette gestion de compte centralisée de l'entreprise constitue un avantage. Toutes les authentifications peuvent être tracées directement depuis le journal d'événement du Contrôleur de Domaine Windows, ce qui évite d’ajouter un contrôleur pour cette ressource critique dédiée. La technologie carte à puce peut être déployée dans une variété de facteurs de forme incluant des cartes ou des clés USB. En plus des capacités de sécurité de connexion, la technologie carte à puce peut être utilisée pour le contrôle d’accès physique, le courrier électronique sécurisé, l’accès VPN sécurisé et le cryptage des données, par exemple avec l’application Bitlocker de Microsoft. Utilisation de la carte à puce par un utilisateur privilégié Connexion à une machine hôte L'ordinateur de l'utilisateur, son téléphone ou sa tablette sont utilisés systématiquement lors de chaque journée de travail; ce sont donc des éléments importants à sécuriser. Un accès protégé par une carte à puce empêchera toute utilisation non autorisée.
  • 6. Utiliser la fonctionnalité « exécutez en tant que» Un utilisateur n’a pas besoin d’avoir accès aux ressources critiques en permanence. Quand l'utilisateur exécute des tâches qui n’exigent pas des ressources critiques, il devrait utiliser un compte avec les privilèges plus faibles. Si l'utilisateur doit exécuter une commande spécifique ou exécuter une demande qui exige des privilèges élevés, il peut exécuter cette application en utilisant un compte différent. Ce procédé est connu sous le nom de « exécutez en tant que » chez Microsoft. Connexion RDP à un serveur distant - « bureau à distance » Les utilisateurs peuvent travailler sur des centaines de machines, certaines peuvent être physiques et d'autres pouvant être virtualisées. La capacité d'avoir accès à ces ressources à distance est critique pour la productivité des utilisateurs. La connexion « bureau à distance » permet à un utilisateur de prendre le contrôle complet d'une machine en utilisant sa carte à puce. SSH L’accès aux ressources Linux peut aussi être sécurisé avec une carte à puce. La clé privée est stockée sur la carte à puce, tandis que la clé publique doit être configurée dans la configuration du serveur SSH. Utilisation du même certificat pour plusieurs domaines De grandes entreprises mettent en oeuvre des dizaines de domaines. Les administrateurs informatiques peuvent avoir un ou plusieurs comptes dans chacun de ces domaines. La méthode d’authentification par nom d'utilisateur et mot de passe signifie que les administrateurs doivent se rappeler d’une multitude de mots de passe. Les certificats stockés dans les cartes à puce peuvent être associés à de multiples comptes dans des domaines différents, donc l'administrateur peut s’authentifier avec la même carte en utilisant des identités différentes. Une carte à puce peut contenir plusieurs certificats qui sont protégés soit par un code PIN simple ou différents codes PIN. L'utilisateur est incité à choisir le certificat à utiliser au moment de la connexion. Émission de certificats multiples pour les domaines différents Les systèmes anciens peuvent ne pas accepter un certificat unique pour des comptes multiples. Dans ce cas, on peut fournir à l'administrateur une carte contenant des certificats multiples, en ligne avec ses identités dans les différents domaines. Mise en oeuvre Pour les instructions d'installations d’une autorité de certification Microsoft Windows 2012 CA qui émet des certificats, nous vous conseillons la lecture de notre guide ExecProtect Armored Office Setup Guide. Émission et gestion des identités avec la solution IDAdmin 200 de Gemalto La solution IDAdmin 200 fournit tous les outils pour gérer des cartes à puce d'une façon sécurisée et facile. IDAdmin 200 est pleinement opérationnel avec le standard Microsoft mini-driver/cartes à puce ; il rationalise tous les aspects d'un système de gestion de carte à puce en se connectant au répertoire d'entreprise, autorités de certification et serveurs de synchronisation. Avec IDAdmin 200, les organisations peuvent fournir des cartes à puce aux salariés, personnaliser les cartes à puce avec des certificats et gérez le cycle de vie de chaque carte.
  • 7. Bénéfices de IDAdmin 200 : > Déploiement rapide et facile de 10 utilisateurs à des milliers d’utilisateurs > Gestion complète des identités o Pré personnalisation électrique des cartes et pré-impression des corps de carte o Émission des identités et personnalisation (incluant l’impression) o Déblocage de carte > Administration distribuée possible > Solution intégrée avec Microsoft AD > Publication facilement des certificats pour des domaines multiples dans l'entreprise Pour résumer : l’Authentification Forte pour les utilisateurs privilégiés est une bonne pratique Chaque semaine apporte son lot d’informations sur des entreprises touchées par la perte d'informations sensibles, un problème qui peut être endigué grâce à de meilleures pratiques basées sur la gestion des identités. Les pertes de données et l’utilisation d’informations sensibles dues à un accès non autorisé devrait être une préoccupation majeure de chaque entreprise. Bien que la mise en oeuvre de l’authentification forte pour tous au sein de l’entreprise soit une pratique souhaitable, nous vous conseillons de commencer par les utilisateurs qui manipulent les données les plus sensibles ou qui ont des droits d’accès aux systèmes élevés. Il est évident que l’accès par - nom d'utilisateur et mot de passe - n’est pas un processus sûr pour protéger le capital informatique de votre entreprise. Mettre une authentification basée sur l’utilisation de certificats et de cartes à puce pour vos utilisateurs privilégiés peut empêcher la perte de données et protéger vos informations confidentielles. > Vos utilisateurs privilégiés peuvent continuer à travailler avec les outils dont ils ont l’habitude > Les solutions Gemalto sont parfaitement intégrées avec l'architecture d'entreprise de Microsoft > Les solutions Gemalto sont faciles à déployer et à gérer > La gestion des utilisateurs des systèmes informatiques vous met en conformité avec les revues d'audit rigoureuses > La mise en place des systèmes d’authentification forte est un investissement rentable en vue de la mise en conformité de votre entreprise vis-à-vis de ses obligations Que faire à présent ? Demandez plus d'informations ou une démonstration … Contactez-nous