agility made possible™

LIVRE BLANCMai 2012

promouvoir l’activité en ligne en toute sécurité Fonctionnalités clés pour dynamiser, promouvoir et protéger votre activité

Sumner BlountGestion de la sécurité CA

Table des matières

Résumé 3

SECTION 1 : Défi 4

Dynamiser et protéger l’activité : fini les compromis !

SECTION 2 : Solution 5

Promouvoir en toute sécurité l’activité en ligne : les conditions de réussite

SECTION 3 : Avantages 10

Développer votre activité : la sécurité avant tout

SECTION 4 : Conclusions 10

SECTION 5 : À propos de l’auteur 11

Table des matières

Promouvoir l’activité en ligne en toute sécurité

Résumé

3

DéfiLes entreprises d’aujourd’hui sont confrontées à deux impératifs majeurs : elles doivent dynamiser leur activité pour garantir agilité et croissance, mais elles doivent également la protéger contre toute violation ou perte d’informations. Par le passé, c’était une affaire de compromis : une sécurité accrue freinait souvent la productivité et la croissance, tandis que plus d’accès affaiblissait la sécurité et augmentait les risques.

Ces compromis sont aujourd’hui inacceptables. Les entreprises actuelles ont besoin d’agilité et de croissance. Et si elles souhaitent développer efficacement leur activité, la protection des données de l’entreprise et des clients est indispensable, de même que la conformité réglementaire.

SolutionLa capacité à dynamiser et à protéger votre activité exige une vision claire, une planification rigoureuse et des solutions technologiques efficaces. Trois éléments vous aideront à atteindre ces objectifs, auparavant contradictoires. Pour une organisation informatique et métier efficace, vous devez répondre aux besoins suivants :

•Connecter les clients aux principaux services et applications métier en ligne de manière sécurisée

•Gérer et régir les accès, pour tous les employés et partenaires

•Contrôler les données et les utilisateurs à forts privilèges, au sein du datacenter

Mais cela est plus facile à dire qu’à faire ! Le présent document explique les approches et les fonctionnalités clés qui permettront à votre organisation d’atteindre ces objectifs essentiels.

AvantagesLes avantages d’une approche globale de la gestion des identités, des accès et de l’utilisation des informations pour l’ensemble des acteurs de l’entreprise (clients, employés, partenaires, utilisateurs à forts privilèges, etc.) peuvent être très intéressants. En éliminant les silos de sécurité, en automatisant les principaux processus d’identité et en simplifiant le déploiement des applications sécurisées, vous aiderez votre entreprise à :

•Favoriser la croissance, l’innovation et la collaboration (gagner de l’argent)

•Favoriser l’excellence opérationnelle informatique (économiser de l’argent)

•Protéger les informations critiques (réduire les risques)

Promouvoir l’activité en ligne en toute sécurité

44

Section 1 : Défi

Dynamiser et protéger l’activité : fini les compromis ! Développer son activité commerciale est une véritable gageure aujourd’hui. Car tout en favorisant la croissance de votre entreprise, vous devez également vous assurer que celle-ci est en sécurité ; les systèmes, les applications et les données critiques doivent impérativement être protégés contre toute utilisation inappropriée, divulgation ou vol. Aussi difficiles que soient ces défis, les responsables informatiques et métiers doivent aussi faire face aux fluctuations permanentes des tendances de l’industrie et de consommation, qui compliquent grandement leur tâche. En voici quelques exemples.

•Les menaces croissantes (aussi bien externes qu’en interne) envers la confidentialité des données client et de l’entreprise

•La consumérisation de l’informatique, qui nécessite de supporter des équipements grand public (non professionnels) pour l’accès aux ressources de l’entreprise

•L’externalisation de l’activité, qui entraîne une disparition des frontières de l’entreprise à mesure que les sociétés adoptent des modèles de déploiement Cloud

•L’utilisation croissante d’écosystèmes partenaires distribués, destinés à optimiser l’efficacité et à délivrer de nouvelles opportunités commerciales

Face à ces tendances qui ont entraîné un changement d’orientation stratégique majeur dans la manière dont les entreprises répondent aux conditions du marché, les responsables se retrouvent face à un dilemme : dois-je renforcer la sécurité ou me concentrer sur le développement de l’activité ? Comme sur une balance à double plateau, accroître la sécurité implique souvent de renforcer les contrôles et les restrictions, ce qui a pour conséquence de ralentir la croissance de l’activité. De même, lorsque la priorité est d’identifier de nouvelles opportunités commerciales, la sécurité est souvent la première à en pâtir, entraînant un risque accru de violation de sécurité pouvant compromettre la réputation de l’entreprise.

Ces compromis ne sont plus acceptables aujourd’hui. Les responsables métiers doivent donc trouver un moyen de déployer plus rapidement des applications en ligne sécurisées et les responsables informatiques de déployer des contrôles de sécurité afin de détecter et de prévenir tout accès inapproprié, fraude et perte ou utilisation abusive des données. La viabilité future de leur activité en dépend.

Promouvoir l’activité en ligne en toute sécurité

Promouvoir l’activité en ligne en toute sécurité

55

Section 2 : Solution

Promouvoir en toute sécurité l’activité en ligne : les conditions de réussiteNous avons donc vu que les responsables devaient à la fois dynamiser et protéger leur activité. Mais sur quels domaines se concentrer pour atteindre cet objectif ? Pour commencer, découvrons trois facteurs de réussite essentiels dans tout environnement informatique actuel.

Illustration A.Arguments économiques pour favoriser la sécurisation de l’activité en ligne.

Connecter de manière sécurisée les clients aux applications métier en ligne

L’organisation doit soutenir et développer son activité en offrant à l’utilisateur des outils simples et pratiques et en permettant l’innovation et la collaboration essentielles à la croissance de l’activité. Les initiatives technologiques choisies doivent permettre un accès sécurisé, afin que les clients puissent utiliser les nouvelles applications simplement et en toute confiance, en sachant que leurs transactions et leurs données confidentielles sont en sécurité. Vous devez donc être capable de déployer des applications de manière rapide et sécurisée et l’accès à ces applications doit être supporté sur tous les types de périphériques requis et via les méthodes d’accès appropriées. Ceci permet d’éliminer les silos de sécurité, qui augmentent les coûts de gestion et le temps global de déploiement des applications. En outre, aussi bien l’organisation que les clients doivent être protégés contre toute activité frauduleuse. La fraude client peut avoir un impact sur la rentabilité, car une

Promouvoir l’activité en ligne en toute sécurité

6

réputation compromise affaiblit la fidélité des clients. Enfin, l’augmentation importante de la population de consommateurs en ligne exige une grande évolutivité pour supporter sans problème le nombre toujours croissant d’utilisateurs.

Quelles sont les fonctionnalités technologiques les plus importantes, qui serviront de base à une sécurité efficace pour les applications client en ligne ? Les solutions clés doivent inclure les éléments suivants.

•Une gestion centralisée des accès Web : centraliser la gestion des règles de sécurité aide à réduire le coût global de gestion de la sécurité. En favorisant l’élimination des silos de sécurité, elle permet également une mise en oeuvre homogène des règles sur l’ensemble de vos applications. L’authentification Web unique centralisée (SSO, Single Sign-On) peut également améliorer et simplifier l’expérience client générale.

•Une authentification utilisateur solide mais flexible : vos applications en ligne ne pourront être sécurisées que si vous êtes capable de confirmer avec certitude l’identité de chaque utilisateur. Un mot de passe simple peut être facilement deviné ou piraté ; ce n’est plus suffisant. Les méthodes d’authentification appliquées doivent être flexibles, et leur degré de restriction doit être fondé sur la sensibilité des informations, le rôle de l’utilisateur ainsi que d’autres paramètres contextuels (horaire, jour, lieu, etc.). En outre, il est essentiel que ces méthodes d’authentification soient d’une commodité totale pour l’utilisateur ; un tarif trop élevé ou un fonctionnement peu pratique enverra les utilisateurs directement dans les bras de la concurrence.

•Une détection et une prévention des fraudes basées sur les risques : il est souvent possible d’identifier et d’empêcher des activités ou des transactions frauduleuses en effectuant une analyse détaillée de certains paramètres contextuels. Ceux-ci incluent entre autres l’endroit où se trouve l’utilisateur, mais également son historique récent, la taille et le type de transaction et la méthode d’authentification. La capacité à évaluer un risque sur la base de ces facteurs, pour chaque transaction, vous permet d’entreprendre les actions appropriées le moment venu, par exemple appliquer des méthodes d’authentification supplémentaires ou refuser la transaction.

Il existe un certain nombre de technologies qui facilitent l’accès des clients à vos applications, notamment la possibilité de gérer un grand nombre d’identités d’utilisateur. La capacité à déployer rapidement de nouvelles applications client, associée à une authentification solide pour la validation des identités d’utilisateur et à la prévention des activités frauduleuses, forme la base nécessaire à la sécurisation des nouvelles opportunités métier.

Régir l’accès des employés et des partenaires à l’ensemble de l’entreprise

La plupart des entreprises doivent faire face à deux problématiques importantes :

•Les processus manuels d’octroi d’accès aux applications et aux services sont longs et coûteux.

•Les utilisateurs disposent souvent de privilèges inadéquats ou excessifs.

La première problématique est responsable en grande partie des coûts élevés de gestion de la sécurité, ce qui est particulièrement ennuyeux actuellement, alors que les budgets informatiques stagnent ou n’augmentent que très faiblement. L’octroi des accès exige souvent des processus manuels très longs, et donc coûteux. En outre, les processus de certification d’accès imposent souvent aux responsables de vérifier manuellement les droits d’accès de chaque utilisateur, ce qui accroît encore les coûts et réduit la productivité.

Promouvoir l’activité en ligne en toute sécurité

7

L’une des conséquences courantes de ces processus manuels, sources d’erreur, est que les employés disposent souvent de droits d’accès trop larges par rapport à leurs besoins réels. Ceci est aggravé par le fait que, lorsqu’un employé change de rôle, ses anciens droits d’utilisateur ne sont pas toujours révoqués. Au final, de nombreux utilisateurs disposent de droits d’accès inappropriés qui génèrent un risque pour l’organisation, risque que l’on pourrait facilement éliminer.

Face à ce problème de coûts de gestion de la sécurité élevés et de droits d’accès inadéquats, plusieurs technologies peuvent vous être d’un grand secours :

•Provisioning et administration des utilisateurs : l’automatisation du processus d’octroi de droits pour les nouveaux employés et la suppression des comptes et des droits des anciens employés ou partenaires offrent une efficacité améliorée et aident à réduire les risques dus aux erreurs humaines et à l’accès des anciens employés aux ressources de l’entreprise.

•Gouvernance des accès : valider manuellement les droits d’accès de chaque employé est une véritable surcharge pour les ressources pour l’entreprise et peut avoir pour conséquence des droits d’accès non valides qui ne sont pas supprimés en temps opportun. Automatiser l’ensemble du processus de certification des accès peut faire gagner du temps aux responsables et diminuer le nombre d’erreurs de négligence. En outre, cela peut simplifier les audits de conformité, en réduisant le temps nécessaire pour collecter les données de droits d’accès des employés et en fournissant la preuve de contrôles de sécurité efficaces.

•Intelligence d’identité : les responsables du déploiement des solutions de gestion des identités et des accès (IAM, Identity and Access Management) naviguent souvent à vue, car ils ne disposent pas d’une visibilité suffisante pour savoir ce que chaque utilisateur fait dans son environnement. En outre, lorsque des composants IAM fonctionnent de manière isolée et ne partagent pas d’informations sur les activités des utilisateurs, leur efficacité globale s’en trouve amoindrie.

La solution réside dans le partage d’informations entre les composants IAM ; on parle alors d’« intelligence d’identité ». Par exemple, le composant de protection des données peut interagir avec le composant de gestion des accès, de manière à empêcher un employé d’accéder à certaines informations confidentielles. La sécurité est, par conséquent, plus efficace et le risque est réduit. De plus, lorsque ces informations d’identité sont correctement analysées et présentées à un responsable informatique, en termes métier, la transparence et la qualité des décisions métier qui en découlent peuvent être nettement améliorées.

Contrôler les données et les utilisateurs à forts privilèges, au sein du datacenter

Votre entreprise a besoin d’une infrastructure de datacenter importante pour supporter ses besoins actuels et futurs. Pour gérer les risques et simplifier le travail de mise en conformité, cette infrastructure doit être sécurisée de manière à protéger les données critiques des clients et de l’entreprise contre toute utilisation abusive ou divulgation accidentelle. Que le datacenter soit situé dans les locaux de l’entreprise ou sur le site d’un fournisseur de services gérés (MSP, Managed Service Provider), les actions de tous les utilisateurs à forts privilèges doivent être contrôlées. En contrôlant ces accès et en évitant que les informations soient envoyées vers l’extérieur ou à un tiers non autorisé, le système informatique peut minimiser les risques de sécurité et le travail d’audit de conformité. Il peut également supporter l’adoption de la virtualisation et l’amélioration d’efficacité qu’elle apporte, si des contrôles de sécurité solides et efficaces sont implémentés pour les environnements virtualisés.

Promouvoir l’activité en ligne en toute sécurité

8

Il existe trois fonctionnalités clés qui vous aideront à contrôler les données et les utilisateurs à forts privilèges :

•Gestion des utilisateurs à forts privilèges : qu’elles soient involontaires ou malveillantes, les actions inappropriées des utilisateurs à forts privilèges peuvent avoir des effets désastreux sur la sécurité et la confidentialité des informations de l’entreprise. C’est pourquoi il est essentiel que les administrateurs soient autorisés à exécuter uniquement les actions pour lesquelles ils disposent des autorisations, et sur les systèmes spécifiquement définis comme faisant partie de leur champ d’action. Les administrateurs partagent souvent (et perdent parfois) leurs mots de passe système, ce qui accroît les risques de violation. Lorsque de nombreux utilisateurs se connectent en tant qu’utilisateur « racine » ou administrateur, les actions reportées dans le fichier journal sont généralement anonymes.

Une solution de gestion des utilisateurs à forts privilèges (PUM, Privileged User Management) permet de sécuriser les serveurs en offrant une habilitation plus fine (granulaire) pour les administrateurs que celle proposée par les systèmes d’exploitation natifs. Cela simplifie la mise en conformité grâce à une granularité améliorée du contrôle des accès basé sur les règles et d’une mise en oeuvre incluant la séparation des fonctions. Ce type de solution permet de contrôler avec exactitude qui a accès à quels systèmes, à quelles ressources sur ces systèmes et à quels services systèmes critiques.

En outre, une solution de gestion des mots de passe des utilisateurs à forts privilèges (PUPM, Privileged User Password Management) aide à rendre compte des accès privilégiés, grâce à l’émission de mots de passe temporaires à usage unique. Ainsi, chaque utilisateur est toujours associé à une action d’administrateur, ce qui simplifie la mise en conformité et aide à réduire les risques de sécurité.

•Sécurité de la virtualisation : les systèmes virtualisés nécessitent un degré de sécurité supplémentaire par rapport aux systèmes non virtuels. En particulier, des droits d’administrateur très précis et granulaires sont requis, de manière à ce que seul un petit nombre de personnes puisse réellement contrôler l’hyperviseur. La séparation des fonctions a également plus d’importance dans un environnement virtuel, en raison de la vaste palette de ressources (machines virtuelles, applications, etc.) qui cohabitent sur la même machine physique.

•Contrôle et classification des données : le système informatique doit non seulement contrôler la quantité massive de données sensibles qu’il contient, mais également les protéger de toute utilisation abusive ou divulgation inappropriée. Ceci implique de protéger les données en transit sur le réseau, les données en cours d’utilisation sur les terminaux, ainsi que les données stockées sur les serveurs et les référentiels. Pour ce faire, vous pouvez définir des règles spécifiant les données à vérifier, les classifications nécessaires pour ces données et l’action à entreprendre si une activité suspecte est détectée. Une solution de prévention des pertes de données (DLP, Data Loss Prevention) ne suffit généralement pas à prendre en charge la complexité de cette tâche. Une fonction complète de découverte et de classification des données est également essentielle pour protéger vos données critiques contre toute utilisation abusive.

Promouvoir l’activité en ligne en toute sécurité

9

N’oubliez pas le Cloud

Les fonctions présentées ci-dessus concernent aussi bien les déploiements IAM sur site que les déploiements Cloud, et offrent une approche hybride pour ces deux modèles. Certaines organisations apprécient les avantages « pratiques » d’un déploiement IAM entièrement sur site, là où d’autres souhaitent, et c’est compréhensible, tirer parti des avantages significatifs en termes d’efficacité et d’agilité offerts par les services Cloud. Toutefois, la plupart d’entre elles ont tendance à opter pour une approche hybride, consistant à migrer de nombreux services vers le Cloud et à conserver les applications ou informations plus critiques sur site.

Lorsque vous planifiez votre stratégie de gestion des identités et des accès, les fonctions décrites précédemment peuvent être appliquées indifféremment à un environnement Cloud et à un environnement sur site. Par exemple, votre solution IAM doit supporter le provisioning pour les applications Cloud, la protection des données et des applications Cloud, la gestion des utilisateurs à forts privilèges au niveau du fournisseur de services Cloud, etc. En outre, vous pouvez choisir que certaines de ces fonctions IAM soient déployées au sein de l’environnement Cloud. Ceci concerne par exemple l’authentification, la gestion des identités et la détection des fraudes. La flexibilité est essentielle dans le déploiement de ces services IAM et dans la protection des applications et des données, dans un environnement Cloud or ou sur site. Elle est indispensable pour obtenir l’agilité nécessaire à la croissance de votre activité.

Illustration B.Principales technologies pour dynamiser et protéger votre activité en ligne.

Pour résumer, sécuriser une activité métier en ligne exige plusieurs approches technologiques clés pour à la fois dynamiser et protéger votre activité. Bien qu’il existe d’autres fonctions associées capables de vous aider à affiner le déploiement de votre solution de gestion des identités et des accès, les fonctionnalités suivantes, telles que décrites dans l’illustration B, sont cruciales pour développer votre activité en ligne tout en protégeant les ressources clés de toute violation ou utilisation abusive.

Promouvoir l’activité en ligne en toute sécurité

10

Section 3 : Avantages

Développer votre activité : la sécurité avant tout Ce document vous a permis de découvrir les principales solutions technologiques capables de vous aider à renforcer et à développer votre activité en ligne, tout en améliorant l’efficacité des processus d’identité et en protégeant les informations et les applications clés contre une utilisation et un accès inappropriés. Le déploiement de ces fonctionnalités dépend en général du domaine où vos besoins en termes d’IAM sont les plus pressants, de votre infrastructure IAM, de votre stratégie d’adoption Cloud et de votre envie de gérer plusieurs projets en même temps. Un déploiement par phases de tout ou partie de ces fonctionnalités, ainsi qu’une approche progressive à l’IAM dans l’adoption Cloud, offre généralement un bon équilibre risques-bénéfices.

Les avantages métier premiers de l’approche définie dans ce document sont évidents, mais chacun d’eux offre également des avantages collatéraux, notamment :

•Favoriser la croissance, l’innovation et la collaboration : réduire les coûts de gestion de la sécurité, améliorer la sécurité des applications Web, éliminer les silos de sécurité, améliorer la validation des identités d’utilisateur, identifier et prévenir les activités frauduleuses.

•Favoriser l’excellence opérationnelle informatique : réduire les coûts associés aux identités, améliorer la productivité, automatiser la certification des accès, réduire le nombre d’utilisateurs disposant de privilèges excessifs, simplifier les audits de conformité.

•Gérer les risques et la conformité : réduire les risques par le contrôle des actions des utilisateurs à forts privilèges, supprimer les comptes d’administrateur partagés, améliorer la sécurité des environnements virtualisés, découvrir et classifier les informations confidentielles, empêcher le vol, l’utilisation abusive ou la divulgation des données confidentielles de l’entreprise et des clients.

Section 4 :

ConclusionsUne entreprise doit se développer et évoluer pour prospérer sur le marché actuel. Le moteur de cette croissance est une utilisation sécurisée des nouvelles applications en ligne, par les clients et les citoyens. Toute entreprise ayant une activité en ligne doit, pour réussir, fournir des efforts permanents afin d’améliorer l’efficacité des employés qui supportent ces initiatives métier. La gestion et la gouvernance de l’identité des utilisateurs et de leurs droits d’accès aux ressources étendues de l’entreprise sont des tâches essentielles pour atteindre ces objectifs d’efficacité. De plus, l’activité en ligne nécessite une infrastructure de datacenter sécurisée pour protéger les données et les ressources informatiques critiques. La gestion efficace des informations et des utilisateurs à forts privilèges au niveau du datacenter aide à protéger ces ressources et ces données contre le vol, la divulgation ou une utilisation abusive.

Promouvoir l’activité en ligne en toute sécurité

Section 5 :

À propos de l’auteurSumner Blount travaille depuis plus de 25 ans dans les domaines du développement et de la commercialisation de logiciels. Il a dirigé les vastes équipes de développement de systèmes d’exploitation de Prime Computer et de Digital Equipment, où il a également supervisé l’équipe en charge de la gestion des produits pour environnements informatiques distribués. Il a rejoint CA Technologies après avoir occupé plusieurs postes de chef de produit, notamment chez Netegrity, où il était responsable du produit SiteMinder®. Il est actuellement directeur de la division Solutions de sécurité de CA Technologies.

Il a également participé en tant qu’intervenant à de nombreuses conférences professionnelles et est le co-auteur de deux livres : « Cloud Security and Compliance—Who’s on Your Cloud » et « Under Control: Governance Across the Enterprise ».

CA Technologies est un éditeur de logiciels et de solutions intégrées de gestion des systèmes d’information dont l’expertise couvre tous les environnements informatiques, du mainframe au Cloud et des systèmes distribués aux infrastructures virtuelles. CA Technologies gère et sécurise les environnements informatiques et permet à ses clients de fournir des services informatiques plus flexibles. Grâce aux produits et aux services innovants de CA Technologies, les organisations informatiques disposent de la connaissance et des contrôles nécessaires pour renforcer l’agilité métier. La majorité des sociétés du classement « Fortune 500 » s’appuient sur CA Technologies pour gérer leurs écosystèmes IT en constante évolution. Pour plus d’informations, suivez l’actualité de CA Technologies sur ca.com.

Copyright © 2012 CA. Tous droits réservés. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. Ce document est uniquement fourni à titre d’information. CA décline toute responsabilité quant à l’exactitude ou l’exhaustivité des informations qu’il contient. Dans les limites permises par la loi applicable, CA fournit le présent document « tel quel », sans garantie d’aucune sorte, expresse ou tacite, notamment concernant la qualité marchande, l’adéquation à un besoin particulier ou l’absence de contrefaçon. En aucun cas, CA ne pourra être tenu pour responsable en cas de perte ou de dommage, direct ou indirect, résultant de l’utilisation de ce document, notamment la perte de profits, l’interruption de l’activité professionnelle, la perte de clientèle ou la perte de données, et ce même dans l’hypothèse où CA aurait été expressément informé de la survenance possible de tels dommages.

CS2357_0512