{"id":964,"date":"2015-01-03T19:08:42","date_gmt":"2015-01-03T17:08:42","guid":{"rendered":"http:\/\/www.identitycosmos.com\/?p=964"},"modified":"2015-01-03T19:08:42","modified_gmt":"2015-01-03T17:08:42","slug":"gestion-des-privileges-et-protection-de-la-donnee-quelle-strategie-adopter","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2015\/01\/03\/gestion-des-privileges-et-protection-de-la-donnee-quelle-strategie-adopter\/","title":{"rendered":"Gestion des privil\u00e8ges et protection de la donn\u00e9e : quelle strat\u00e9gie adopter ?"},"content":{"rendered":"

Les 2, 3 & 4 d\u00e9cembre 2014, Las Vegas a h\u00e9berg\u00e9 la convention annuelle sur la gestion des identit\u00e9s\u00a0: \u00ab\u00a0The Gartner IAM Summit\u00a0\u00bb. J’avais assist\u00e9 au Summit de l’ann\u00e9e derni\u00e8re (version Europe), et l’une des sessions qui m’avait laiss\u00e9 le plus dubitatif portait sur la gestion des privil\u00e8ges\u2026 En effet, la session s’appelait \u00ab\u00a0The Death of Least Privilege\u00a0\u00bb – ce qui me semble \u00eatre au mieux un r\u00eave fou, au pire un postulat compl\u00e8tement improbable dans certains secteurs d’activit\u00e9 comme par exemple le secteur bancaire, soumis \u00e0 des r\u00e8gles de r\u00e9gulation de type PCI-DSS\u2026\n<\/p>\n

Les \u00e9chos que j’ai re\u00e7us de la suite de cette session, cette ann\u00e9e, m’ont confort\u00e9 dans certaines convictions\u2026 L’approche du Gartner a quelque peu \u00e9volu\u00e9e\u2026 L’id\u00e9e est maintenant de s\u00e9parer en deux populations et deux p\u00e9rim\u00e8tres distincts les employ\u00e9s d’une organisation\u00a0:\n<\/p>\n

    \n
  1. Une population \u00e0 \u00ab\u00a0haut risque\u00a0\u00bb repr\u00e9sent\u00e9e par les administrateurs syst\u00e8mes, les gestionnaires applicatifs, les responsables de la production de donn\u00e9es, etc\u2026 qui repr\u00e9sente environ 20% de la population d’une entreprise => La gestion des privil\u00e8ges est ici un enjeu majeur<\/strong>\n\t\t<\/li>\n
  2. Une population \u00ab\u00a0Lambda\u00a0\u00bb qui consulte les donn\u00e9es et en cr\u00e9\u00e9 tr\u00e8s peu, avec des comptes syst\u00e8mes qui n’ont aucun pouvoir => ici, l’approche n’est pas de g\u00e9rer finement les privil\u00e8ges mais de r\u00e9sonner en mode \u00ab\u00a0IAM People centric<\/strong>\u00a0\u00bb – ce qui signifie globalement que l’effort investi dans la gestion des privil\u00e8ges dans cette population n’a pas de ROI possible \u2013 qu’il faut plut\u00f4t investir dans des solutions IAM simples, sans gestion des privil\u00e8ges, b\u00e9n\u00e9ficiant d’une approche unitaire des choses, par exemple, en basant le contr\u00f4le d’acc\u00e8s sur un annuaire et des groupes, mais rien de plus complexe\n<\/li>\n<\/ol>\n

    Encore une fois, l’id\u00e9e est ici de pouvoir fournir un v\u00e9ritable retour sur investissement ou pas \u2013 et pour en avoir r\u00e9alis\u00e9 \u2013 fournir un retour sur investissement du d\u00e9ploiement d’une solution de gestion de privil\u00e8ges sur des postes de travail standardis\u00e9s pour une population sans compte administrateur local\u2026 c’est comme qui dirait\u2026 pas \u00e9vident\u2026\n<\/p>\n

    Cette slide r\u00e9sume bien la situation actuelle et la tendance en termes de strat\u00e9gie\u00a0:\n<\/p>\n

    \"\"\/\n\t<\/p>\n

    Source: Gartner IAM Summit 2014
    \n<\/em><\/span><\/p>\n

    En effet, l’av\u00e8nement de la multiplicit\u00e9 des supports et formes d’acc\u00e8s aux donn\u00e9es (PC, navigateur, mobile, tablette, etc.) m’am\u00e8ne \u00e0 penser que seul une protection au niveau de la donn\u00e9e elle-m\u00eame est valide. Ici, point besoin de gestion des privil\u00e8ges au niveau du \u00ab\u00a0poste de travail\u00a0\u00bb, mais il faut\u00a0:\n<\/p>\n

      \n
    1. D\u00e9cider des crit\u00e8res de classification et de diffusion de la donn\u00e9e\n<\/li>\n
    2. Appliquer cette strat\u00e9gie de classification et de diffusion via des r\u00e8gles automatiques sur les supports de donn\u00e9es permettant un traitement automatique\n<\/li>\n
    3. Impl\u00e9menter une solution de choix de la classification et du crit\u00e8re de diffusion des donn\u00e9es au niveau du cr\u00e9ateur de la donn\u00e9e elle-m\u00eame\u00a0: la classification bas\u00e9e sur le choix du cr\u00e9ateur de l’information est r\u00e9ellement la seule valide et indiscutable\n<\/li>\n
    4. D\u00e9ployer une solution de DLP voir d’IRM bas\u00e9e sur ces crit\u00e8res de classification et de diffusion\n<\/li>\n<\/ol>\n

      Le nouveau monde nous am\u00e8ne \u00e0 penser diff\u00e9remment la protection de l’information et des privil\u00e8ges des utilisateurs au niveau du SI \u2013 Ne d\u00e9pensez pas de l’argent dans un projet de gestion des privil\u00e8ges au niveau des utilisateurs \u00ab\u00a0normaux\u00a0\u00bb mais consacrez l’investissement l\u00e0 o\u00f9 il y a de la valeur, c’est-\u00e0-dire au niveau de la donn\u00e9e.\n<\/p>\n

      En parall\u00e8le, investissez imm\u00e9diatement dans un projet de gestion des privil\u00e8ges au niveau des personnes poss\u00e9dant des comptes \u00e0 pouvoir, l\u00e0 o\u00f9 vous trouverez un ROI imm\u00e9diat en termes de s\u00e9curit\u00e9 et m\u00eame de continuit\u00e9 de service, donc un int\u00e9r\u00eat fort pour le business.\n<\/p>\n

      Cette slide r\u00e9sume cette id\u00e9e, les analystes du Gartner indiquent que cette transformation de l’approche de protection des donn\u00e9es dure en moyenne 3 ans, ce qui me semble un tr\u00e8s bien chiffre \u2013 Un projet de classification et de protection de l’information coupl\u00e9 \u00e0 une solution de gestion des privil\u00e8ges est effectif tr\u00e8s rapidement, apr\u00e8s 6 mois, mais l’ensemble des p\u00e9rim\u00e8tres critiques n’est couvert qu’apr\u00e8s au moins une vingtaine de mois. Le probl\u00e8me, c’est que notre approche \u00ab\u00a0fran\u00e7aise\u00a0\u00bb des choses biaise ce type d’approche \u2013 combien de RSSI m’ont indiqu\u00e9\u00a0: \u00ab\u00a0 si je ne peux pas couvrir l’ensemble du p\u00e9rim\u00e8tre, je ne bouge pas\u00a0!\u00a0\u00bb – je pense que c’est l’argument le plus consternant qu’une personne en charge de la \u00ab\u00a0s\u00e9curit\u00e9\u00a0\u00bb peut me fournir, \u00e0 priori, plut\u00f4t que de prot\u00e9ger 20% du p\u00e9rim\u00e8tre, il vaut mieux \u00eatre \u00e0 poil, curieuse approche\u2026\n<\/p>\n

      \"\"\/\n\t<\/p>\n

      Source: Gartner IAM Summit 2014
      \n<\/em><\/span><\/p>\n

      Pour finir, une slide r\u00e9sumant l’approche d’un projet de gestion des privil\u00e8ges selon le Gartner, pour moi, les deux points cruciaux sont \u00ab\u00a0Limit Scope\u00a0\u00bb et \u00ab\u00a0Monitor access\u00a0\u00bb\u00a0:\n<\/p>\n

      \"\"\/\n\t<\/p>\n

      Source: Gartner IAM Summit 2014
      \n<\/em><\/span><\/p>\n

      En esp\u00e9rant vous avoir donn\u00e9 quelques pistes sur vos futures projets \u2013 n’h\u00e9sitez pas \u00e0 laisser vos commentaires ou \u00e0 me contacter pour des retours d’exp\u00e9rience.<\/p>\n","protected":false},"excerpt":{"rendered":"

      Les 2, 3 & 4 d\u00e9cembre 2014, Las Vegas a h\u00e9berg\u00e9 la convention annuelle sur la gestion des identit\u00e9s\u00a0: \u00ab\u00a0The Gartner IAM Summit\u00a0\u00bb. J’avais assist\u00e9 au Summit de l’ann\u00e9e derni\u00e8re (version Europe), et l’une des sessions qui m’avait laiss\u00e9 le plus dubitatif portait sur la gestion des privil\u00e8ges\u2026 En effet, la session s’appelait \u00ab\u00a0The Death of Least Privilege\u00a0\u00bb – ce qui me semble \u00eatre au mieux un r\u00eave fou, au pire un postulat compl\u00e8tement improbable dans certains secteurs d’activit\u00e9 comme par exemple le secteur bancaire, soumis \u00e0 des r\u00e8gles de r\u00e9gulation de type PCI-DSS\u2026
      Les \u00e9chos que j’ai re\u00e7us de la suite de cette session, cette ann\u00e9e, m’ont confort\u00e9 dans certaines convictions\u2026 L’approche du Gartner a quelque peu \u00e9volu\u00e9e\u2026 L’id\u00e9e est maintenant de s\u00e9parer en deux populations et deux p\u00e9rim\u00e8tres distincts les employ\u00e9s d’une organisation\u00a0:
      Une population \u00e0 \u00ab\u00a0haut risque\u00a0\u00bb repr\u00e9sent\u00e9e par les administrateurs syst\u00e8mes, les gestionnaires applicatifs, les responsables de la production de donn\u00e9es, etc\u2026 qui repr\u00e9sente environ 20% de la population d’une entreprise => La gestion des privil\u00e8ges est ici un enjeu majeur<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-964","post","type-post","status-publish","format-standard","hentry","category-strategie"],"_links":{"self":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/964","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/comments?post=964"}],"version-history":[{"count":0,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/964\/revisions"}],"wp:attachment":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/media?parent=964"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/categories?post=964"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/tags?post=964"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}