Produits logiciels
- Gestion des accès (IAM)
  - Systancia Access
    L’authentification transparente, sous toutes ses formes, à toutes vos applications, on-premise ou cloud
    
    Découvrir le produit
    
    Evaluer
  - Systancia Identity
    La gestion puissante des identités de tout votre écosystème et des habilitations à toutes vos applications, on-premise ou cloud
    
    Découvrir le produit
    
    Evaluer
- Accès privilégié (PAM)
  Enquête du cabinet Teknowlogy : Les bonnes pratiques des RSSI en matière d’administration sécurisée du SI
  Découvrez les résultats
  - Systancia Cleanroom
    La solution de PAM qui adapte le niveau de contrôle au contexte des interventions
    
    Découvrir le produit
    
    Evaluer
- Accès virtuel (VDI)
  - Systancia Workplace
    La fenêtre d’accès immédiat à votre bureau virtuel et toutes vos applications, on-premise ou cloud
    
    Découvrir le produit
    
    Evaluer
- Accès distant (ZTNA)
  Mettre en place une stratégie long terme et évolutive pour sécuriser les accès à distance et le télétravail dans une ère post-covid-19.
  Télécharger le livre blanc
  - Systancia Gate
    Le portail d’accès sous haute sécurité à toutes vos applications, on-premise ou cloud
    
    Découvrir le produit
    
    Evaluer
Services cloud
- Systancia Workroom
  - Systancia Workroom Session Service
    Le portail d’accès distant sécurisé à toutes vos applications en toute situation (télétravail, mobilité, astreinte, infogérance, prestation).
    
    Découvrir le service
    
    Essayer gratuitement
  - Systancia Workroom Desk Service
    Le portail d’accès distant sécurisé à vos bureaux virtuels et toutes vos applications en toute situation (télétravail, mobilité, astreinte, infogérance, prestation).
    
    Découvrir le service
    
    Evaluer
- Systancia Cleanroom
  - Systancia Cleanroom Session Service
    La surveillance des accès des utilisateurs à pouvoirs et des administrateurs aux ressources du SI.
    
    Découvrir le service
    
    Essayer gratuitement
  - Systancia Cleanroom Desk Service
    Le bureau virtuel d’administration stérile et jetable pour la surveillance des accès des utilisateurs à pouvoirs et des administrateurs aux ressources du SI.
    
    Découvrir le service
    
    Evaluer
Solutions et cas d’usage
- Télétravail
  
  Afin de s’adapter aux nouveaux usages en matière de mobilité, de télétravail ou d’infogérance, les entreprises et organisations doivent permettre aux collaborateurs d’accéder depuis l’extérieur au SI via une expérience transparente pour l’utilisateur en matière d’ergonomie et de performance, tout en garantissant la sécurité des accès depuis un poste ou un réseau non maîtrisés....
  Lire le cas d'usage
- Accès de tiers (prestataire, écosystème)
  
  Pour s’assurer de l’adhésion des utilisateurs et de la DSI, toute solution IT doit garantir une expérience d’accès et d’utilisation optimale tout en élevant la sécurité du SI sans que cela soit vécu comme une contrainte par l’utilisateur....
  Lire le cas d'usage
- Surveillance des accès (traçabilité et audit des accès)
  
  La sécurité des systèmes d’informations (SSI) repose principalement sur celle de son maillon le plus faible qui est également l’élément essentiel : l’humain....
  Lire le cas d'usage
- Conformité réglementaire
  
  La conformité aux multiples réglementations est parfois perçue comme une contrainte mais elle est pourtant nécessaire pour garantir une sécurité efficace du SI....
  Lire le cas d'usage
- Agilité de la gestion des accès
  
  Les mouvements de collaborateurs, qu’il s’agisse de turnover, rotation interne ou d’infogérance ou encore les opérations de fusion acquisition nécessitent que la DSI puisse bénéficier d’une réelle agilité dans un souci de fluidification de ces mouvements et d’élévation du niveau de sécurité du SI....
  Lire le cas d'usage
- Remplacement d’une solution en place
  
  Que ce soit pour garantir la sécurité du SI, optimiser l’expérience de travail ou simplifier la gestion des applications, les entreprises et organisations peuvent être amenées à moderniser et remplacer leurs solutions IT devenues obsolètes et qui ne proposent plus les innovations pour répondre aux enjeux de l’inclusion digitale....
  Lire le cas d'usage
- Virtualisation de bureau ou d’application
  
  La solution de virtualisation d’applications et des postes de travail aux fonctionnalité avancées adaptée à toutes les organisations, et permettant de tirer le meilleur parti des infrastructures hyperconvergées....
  Lire le cas d'usage
- « SaaSification » d’applications
  
  La virtualisation d’applications permet aux organisations de rendre disponibles toutes leurs applications métiers en mode SaaS....
  Lire le cas d'usage
- Le cloud comme un levier
  
  Rendre l’accès aux applications indépendantes des systèmes d’exploitation et devices utilisés par les collaborateurs d’une organisation....
  Lire le cas d'usage
- Risque digital et protection des données
  
  La multiplication des données au sein des entreprises et organisations, ainsi que leur caractère parfois sensible rend leur protection indispensable contre tout risque de fuite potentiellement dévastateur comme nous le rappellent quotidiennement les unes de la presse....
  Lire le cas d'usage
Customer Success
Partenaires
Événements
Presse
Blog

SystanciaBlogCybersécuritéCirculez, y’a rien à voir ! ou pourquoi la « sécurité par l’obscurité » n’est pas une solution

Circulez, y’a rien à voir ! ou pourquoi la « sécurité par l’obscurité » n’est pas une solution

On ignore ce qui se cache dans l’obscurité.
David Lynch

L’annexe B1 du Référentiel Général de Sécurité (RGS) de l’ANSSIL’agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est une organisation gouvernementale française.... More (Agence nationale de la sécurité des systèmes d’information) [02] ne mentionne pas directement le principe ci-dessus de Kerckhoffs mais les recommandations « RecomAlgoBloc-1 » et « RecomChiffFlot-2 » le sous-entendent de mon point de vue : « il est recommandé d’employer des algorithmes […] largement éprouvés dans le milieu académique ». En effet, ces deux recommandations indiquent clairement qu’il est nécessaire d’utiliser des systèmes étudiés par la communauté et je rajouterai également qu’il faut apporter une attention particulière aux clés utilisées (leur cycle de vie et notamment leur génération, leur utilisation).
Nous pouvons généraliser le principe évoqué précédemment à tous les produits de sécurité. En effet, il est préférable de communiquer (à la discrétion du développeur bien entendu) comment la sécurité est assurée sans pour autant dévoiler de secret industriel, ni les clés.
J’aurais effectivement tendance à faire plus confiance à un produit qui précise clairement la primitive cryptographique utilisée pour rendre un service assurant la confidentialité et/ou l’intégrité plutôt qu’à un produit qui ne spécifie pas l’algorithme utilisé ou qui utilise un algorithme « exotique » voire modifié. Personnellement, les produits « boîte noire » ne m’ont jamais beaucoup inspiré…
A titre illustratif, le produit IPdiva Secure, maintenant Systancia Gate est une solution de cybersécurité 100% française permettant de donner un accès sécurisé aux ressources d’un système d’information pour tout type d’utilisateur (collaborateur en déplacement ou en télétravail, prestataire, tiers-mainteneur, etc.). La solution de Systancia a été qualifiée, dans le domaine technique « identification, authentificationL'authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service... More et contrôle d’accès », par l’ANSSI ([03]) suite à une certification délivrée après une évaluation réalisée par un laboratoire indépendant, agréé et compétent. Pour résumer, le niveau de sécurité et de confiance a été vérifié pour cette solution.
L’évaluation de sécurité d’IPdiva Secure a consisté, dans un premier temps, à valider que les vulnérabilités ou attaques connues ne permettaient pas de mettre en défaut la solution. Dans un deuxième temps, l’évaluateur a cherché si le produit souffrait de vulnérabilités inconnues dans le temps qui lui était imparti (vulnérabilités non découvertes à l’instant t). En complément de ces travaux, dans un troisième temps, une expertise dédiée portant sur les mécanismes cryptographiques a également été réalisée, en accord avec le RGS de l’ANSSI.
En synthèse, l’évaluation de sécurité a permis de valider la conformité et l’efficacité de la solution IPdiva Secure dans un contexte opérationnel sous couvert du respect des recommandations. La solution IPdiva Secure a donc été « testée » par un laboratoire indépendant, reconnu et surtout agréé par l’ANSSI. En particulier, Systancia a fourni, à ce laboratoire et à l’ANSSI, l’implémentation de ses mécanismes cryptographiques qui a subi une expertise particulière et dédiée (dont une analyse de code sous l’angle fonctionnel et conformité).
Pour finir, je ne milite pas pour que tout produit de sécurité dévoile son code source (besoin de confidentialité industrielle ou autre dans certains cas). Par contre, son fonctionnement interne en matière de sécurité doit pouvoir être obtenu, a minima par un laboratoire agréé afin qu’il réalise des travaux d’expertise en toute indépendance. La sécurité par l’obscurité n’a clairement jamais fait recette.

Références

[01]       La Cryptographie Militaire, Auguste Kerckhoffs, Journal des Sciences Militaires, janvier 1883
[02]       Référentiel Général de Sécurité version 2.0 – Annexe B1, version 2.03 du 21/02/2014
[03]       Retour d’expérience sur la qualification par l’ANSSI de la solution IPdiva Secure 8, Antoine Coutant, mars 2018

Publié le 26 mars 2019 par Systancia

Thématiques

Cybersécurité CIO CISO CTO

Circulez, y’a rien à voir ! ou pourquoi la « sécurité par l’obscurité » n’est pas une solution

Références

Ne manquez pas ces évènements :

Le PAMaaS au service de la sécurité et de la performance de votre organisation

Offrez la meilleure expérience à vos utilisateurs à privilèges

Faites progresser votre PAM avec vos usages

Ces articles pourraient vous intéresser :

Rançongiciel as a Service (RaaS), le nouveau virus de l’année 2021 ?

Le PAM n’exclut pas le PAS

Authentification continue : quand l’analyse comportementale garantit votre identité