Solutions IBM i
Solutions de contrôle d’accès à l’IBM i
Le contrôle d’accès à l’IBM i exige une sécurité par mot de passe fort, une gestion minutieuse des autorités élevées ainsi qu’une analyse approfondie de l’ensemble des tentatives d’accès aux systèmes afin d’assurer votre conformité réglementaire et la protection de vos données
Contrôle de l’accès aux systèmes et aux données
Transactions financières, dossiers médicaux ou informations d’identification personnelles de vos clients, partenaires et employés : vos systèmes IBM i contiennent l’ensemble des données dont dépendent vos activités.
La plupart de ces données sont soumises à des réglementations telles que les lois Sarbanes-Oxley et HIPAA, la norme PCI DSS ou le RGPD. Et la moindre violation de données peut avoir de multiples conséquences : lourdes amendes, pertes de revenus, mesures de correction coûteuses, frais juridiques, pertes de productivité, atteinte à votre image de marque, et bien plus encore.
Pour protéger totalement vos données et assurer votre conformité réglementaire, vous devez superposer plusieurs couches de sécurité afin de détecter et neutraliser les menaces et de répondre à des exigences en constante évolution.
En plus de superviser les événements survenant sur vos systèmes et chiffrer leurs données pour assurer leur confidentialité, vous devez disposer d’outils pour contrôler l’accès à vos systèmes IBM i et à leurs données.
Ces solutions de contrôle d’accès vous permettent de savoir :
- Qui peut se connecter à vos systèmes IBM i ;
- Les actions que ces utilisateurs sont autorisés à réaliser ;
- Les commandes qu’ils peuvent exécuter et les données qu’ils peuvent consulter.
Avec des techniques de piratage de plus en plus élaborées et des conséquences – notamment financières – toujours plus lourdes, les stratégies de sécurité basées sur de simples mots de passe ne sont plus suffisantes pour protéger vos systèmes IBM i. L’authentification multifacteur renforce la sécurité de login en imposant aux utilisateurs une forme d’identification supplémentaire en plus de leur mot de passe. Plusieurs réglementations de conformité exigent déjà une authentification multifacteur, et cette tendance va sans nul doute se généraliser à l’avenir.
L’authentification multifacteur exige qu’un utilisateur fournisse au moins deux types de preuve attestant de son identité. Ces facteurs d’authentification peuvent comprendre des informations connues de l’utilisateur (comme un mot de passe ou un code PIN), quelque chose qu’il possède (un jeton d’authentification ou un téléphone portable, par exemple) ou des données biométriques le concernant (reconnaissance d’une empreinte digitale ou de l’iris).
Un mot de passe à usage unique généré par un jeton matériel ou un logiciel est souvent utilisé comme facteur d’authentification. Ces mots de passe à usage unique sont produits par de nombreux services d’authentification. La solution d’identification multifacteur de votre système IBM i doit s’intégrer aux solutions de jetons existantes pour d’autres plateformes, telles que RSA SecurID ou à d’autres authentificateurs compatibles RADIUS comme Duo et Microsoft Azure Authenticator. Vous pouvez également opter pour une solution d’authentification multifacteur qui génère des jetons sur IBM i sans besoin de logiciels sur d’autres plateformes.
Une solution d’authentification multifacteur performante pour IBM i devra également être assez flexible pour pouvoir être invoquée d’une multitude de façons en fonction du contexte ou de l’utilisateur qui souhaite s’authentifier. Cette solution devra notamment vous permettre de configurer les situations, les utilisateurs ou les groupes d’utilisateurs pour lesquels l’authentification multifacteur est requise. En outre, vous devrez pouvoir l’invoquer depuis l’écran de connexion et l’intégrer à d’autres workflows.
Enfin, votre solution d’authentification multifacteur IBM i devra consigner tous les échecs d’authentification, désactiver les comptes après un certain nombre de tentatives infructueuses et alerter si besoin les administrateurs de tout éventuel problème de sécurité.
En accordant des autorisations élevées à un trop grand nombre d’utilisateurs de votre système IBM i, vous exposez votre système et ses données à un risque important de violations et d’autres activités malveillantes. De nombreuses réglementations, telles que les lois Sarbanes-Oxley et HIPAA ou le Règlement Général sur la Protection des Données (RGPD) exigent des organisations informatiques qu’elles limitent l’attribution de privilèges élevés et contrôlent les activités des utilisateurs qui disposent de tels droits.
Sur les systèmes IBM i, les privilèges des utilisateurs sont définis à l’aide d’autorités spéciales. Ces autorités permettent aux utilisateurs de créer, modifier, supprimer des profils utilisateurs, de modifier des configurations système, de modifier et limiter des accès utilisateur, etc. Certaines autorités spéciales, telles que *ALLOBJ et *SECADM, sont tristement célèbres pour les ravages qu’elles peuvent occasionner, car elles donnent un accès total à toutes les données du système.
Les auditeurs en conformité recommandent de n’accorder aux utilisateurs que les droits dont ils ont besoin pour accomplir leur mission. Des privilèges spéciaux pourront leur être accordés au cas par cas, pour une période limitée, lorsque cela s’avère nécessaire. Et toutes les actions des utilisateurs disposant d’une autorité élevée devront être consignées au sein d’un journal d’audit.
Une gestion manuelle des affectations et des révocations des autorités est sujette à des erreurs ou des oublis. Trop souvent, des profils conservent des privilèges élevés, sans le moindre contrôle, alors que cela n’a plus lieu d’être. Un outil performant de gestion des autorités gère automatiquement et selon les besoins l’attribution d’autorités élevées, la tenue de journaux complets consignant les actions prises par les utilisateurs privilégiés et la révocation de ces autorités lorsqu’elles ne sont plus nécessaires. Une intégration avec votre solution d’assistance utilisateur permet une gestion de bout en bout des demandes d’autorités.
En automatisant la gestion des autorités élevées ainsi que la génération d’alertes, de rapports et d’une piste d’audit des actions réalisées par les profils élevés, vous pouvez limiter les risques liés à des comptes disposant d’une autorité excessive, apporter les preuves de votre conformité et inscrire la séparation des rôles dans vos bonnes pratiques de sécurité.
Les pirates tenteront par tous les moyens d’accéder à vos systèmes et à vos données, que ce soit par le biais de votre réseau, d’un port de communication, d’un protocole de base de données open source ou d’une ligne de commande. Les points d’entrée potentiels ne cessent de se multiplier, et des réglementations comme les lois Sarbanes-Oxley et HIPAA ou le RGPD vous imposent de prendre des mesures pour contrôler toute forme d’accès à vos données.
La bonne nouvelle pour les administrateurs IBM i, c’est qu’IBM permet l’appel de programmes utilisateur pour de nombreuses opérations liées au système d’exploitation. Ces programmes, appelés « programmes d’exit », peuvent être invoqués à des points précis, dits « points d’exit ». Les programmes d’exit offrent un moyen puissant de contrôler les accès. En associant ces programmes à certaines opérations du système d’exploitation, vous pouvez inspecter les tentatives d’accès et les autoriser ou les refuser en fonction de l’identité de l’utilisateur ou du contexte de la requête.
Par exemple, un programme d’exit peut surveiller et consigner l’ensemble des activités FTP et autoriser ou non certains utilisateurs à transférer un fichier en fonction de différents paramètres (paramètres de profil, adresse IP, autorisations sur l’objet, plage horaire, etc.).
Lisez l’étude de cas.
Compte tenu de la diversité et de la modernité des moyens d’accès aux données IBM i et du niveau de compétence requis pour créer et gérer des programmes d’exit, vous avez besoin de solutions tierces pour sécuriser les points d’entrée à votre système IBM i. Une solution tierce performante devra être mise à jour et améliorée en continu afin d’intégrer de nouveaux points d’exit et de nouvelles méthodes d’accès.
Les programmes d’exit peuvent utiliser une logique granulaire à base de règles qui contrôle les accès en fonction de circonstances spécifiques, pour une approche nuancée et contextualisée de la sécurité.
En plus de contrôler les accès, les programmes d’exit doivent conserver un journal de toutes les tentatives d’accès, mais aussi générer des rapports et émettre des alertes. Ces fonctionnalités offrent aux responsables de la sécurité une visibilité totale sur les tentatives d’accès au système, assurent la séparation des rôles et fournissent les informations de conformité exigées en cas d’audit.
Toyota Material Handling Australia
Toyota Material Handling Australia (TMHA) devait mettre en place un système de contrôle interne performant pour assurer la fiabilité de son reporting financier et répondre aux exigences de la loi japonaise sur les instruments et les échanges financiers (également appelée la loi « Sarbanes-Oxley japonaise » ou J-SOX). Suite à son développement, TMHA a dû répondre à des exigences plus strictes en matière d’audit et de gouvernance.
Un de ses défis était d’accorder à ses fournisseurs externes des autorisations d’accès temporaires à son application Infor M3. Grâce à la solution Assure Elevated Authority Manager de Precisely, TMHA accorde à ses fournisseurs le niveau d’accès dont ils ont besoin, uniquement pour la durée pendant laquelle ils en ont besoin. À la fin de cette période, leur autorisation d’accès est automatiquement révoquée, mais peut à tout moment être prolongée, modifiée ou réactivée si besoin.
Lisez l’étude de cas.
Votre sécurité avant tout
Les exigences de cybersécurité imposées par les réglementations de conformité visent principalement à imposer aux entreprises de déployer des technologies et des dispositifs interdisant tout accès non autorisé à leurs systèmes, tout en contrôlant avec précision les actions que les utilisateurs accrédités peuvent réaliser une fois connectés. Assurer la sécurité et la conformité de vos systèmes IBM i n’est pas chose aisée, et requiert une approche multifacette. Vous devez renforcer la sécurité de login, gérer les droits dont disposent les utilisateurs autorisés et restreindre leur accès aux données, aux paramètres du système et aux options de ligne de commande.
La mise en place d’une authentification multifacteur, d’une gestion rigoureuse des autorités élevées et d’un contrôle d’accès pour vos systèmes IBM i contribue à assurer votre conformité et à vous protéger contre les violations de données et autres cyberattaques.
Mais viser une simple conformité réglementaire n’est bien souvent pas suffisant, car celle-ci ne couvre pas l’ensemble des couches de sécurité requises pour une protection totale. Pour minimiser les risques de violation, il vous faut une parfaite compréhension de toutes vos vulnérabilités potentielles.
Lisez le livre blanc Les couches indispensables de sécurité IBM i pour bénéficier d’une feuille de route pour la sécurisation de vos systèmes IBM i au travers de six niveaux de pratiques et de technologies d’excellence en matière de sécurité.