Retour

Le concept de Cleanroom pour une administration sécurisée et sécurisante

Un bastion est un ouvrage militaire lié à une fortification faisant saillie sur l’enceinte d’une place forte. Nous pouvons extrapoler, dans le domaine informatique, le terme « bastion » à un hôte exposé au réseau externe (non réputé de confiance). En règle générale, un bastion informatique vise à protéger un réseau ou une partie d’un réseau de menaces extérieures ; il constitue en conséquence l’élément le plus exposé, celui qui est susceptible de subir un maximum d’attaques de la part d’agents menaçants externes. Si un bastion « tombe » alors c’est toute l’organisation protégée qui sera impactée.

Les accès à privilèges au système d’information d’une organisation ont toujours été un des points névralgiques. Cependant, les habitudes ont changé avec l’évolution des contraintes et enjeux (groupements de collectivités, centralisations, etc.). Aujourd’hui, une tâche d’administration ne s’effectue pas toujours sur un réseau interne ou dédié mais potentiellement à distance, voire est réalisée par un sous-traitant externe dont l’environnement (technique et opérationnel) n’est pas forcément maîtrisé par le donneur d’ordre.

Après avoir présenté les réponses apportées par une solution PAM (Privileged Access Management) classique aux enjeux de sécurité des accès à privilèges, le présent article présentera les réponses innovantes proposées par Systancia avec la solution IPdiva Cleanroom qui offre de sécuriser les accès administrateurs avec un environnement de travail à usage unique, isolé et contrôlé.

Solution PAM dite solution bastion

Il est indispensable pour toute organisation de tracer les actions de ses utilisateurs à pouvoirs, qu’ils se trouvent sur un réseau externe ou un réseau interne ([01]). Pour répondre à la problématique de la maîtrise et du contrôle de telles actions, la réponse est de déployer un produit de type PAM.

Une solution PAM peut être vue comme un bastion en informatique permettant de tracer et surveiller des utilisateurs à pouvoirs (avec enregistrement vidéo ou non) ainsi qu’éventuellement analyser en temps réel des données et comportements afin de détecter des actes suspicieux ou anormaux. Un produit PAM peut également offrir des fonctionnalités de coffre-fort et de gestion d’identifiants et d’authentifiants secondaires (en lien avec les ressources administrées). Une solution PAM peut aussi aider à la détection de cyberattaques dès leur première tentative en sus d’une analyse post-mortem.

En résumé, une solution PAM est techniquement intéressante pour la gestion ainsi que la surveillance des comptes à privilèges (internes et/ou externes). Comme le rappelle l’ANSSI dans [02], il est important d’être vigilant sur le choix, le déploiement et l’exploitation d’une telle solution.

Cependant, comment traiter le cas d’un infogéreur ou d’une administration à distance depuis un poste non maîtrisé ? En effet, il est illusoire de penser qu’un poste dédié sera utilisé pour chaque réseau administré. A titre d’exemple, l’article [01] évoquait la propagation d’un virus entre deux réseaux différents administrés par le même infogéreur.

Le concept de Cleanroom

Spécialiste de la virtualisation, de la sécurité des systèmes d’information et de la confiance numérique, Systancia a combiné le VDI (Virtual Desktop Infrastructure), le VPN (Virtual Private Network), le PAM (Privileged Access Management) et le SSO (Single Sign-On) afin de proposer une solution innovante et globale de sécurité qui va au-delà d’une solution classique de bastion : IPdiva Cleanroom.

sécurité des accès à privilèges

La solution IPdiva Cleanroom est dédiée à la sécurité des postes d’administration ; en particulier, elle dissocie l’environnement d’administration de l’environnement habituel de travail. L’offre IPdiva Cleanroom de Systancia permet une administration sécurisée d’un système d’information en offrant les fonctionnalités suivantes :

  • Mise à disposition d’un poste de travail virtualisé, totalement étanche (c’est-à-dire sans adhérence avec le poste sur lequel il est exécuté), entièrement contrôlé par l’organisation administrée et (surtout) à usage unique ;
  • Supervision des actions menées par un administrateur sur des ressources avec enregistrement vidéo pour une analyse post-mortem mais également une analyse en temps réel des comportements (avec alertes et actions conservatoires) ;
  • Renforcement des connexions aux ressources (occultation des identifiants et authentifiants) et de la politique des mots de passe (gestion des éléments secrets) ;
  • Réponse aux attentes de mobilité sécurisée d’un administrateur avec une connexion garantissant la confidentialité et l’intégrité des flux.

La solution IPdiva Cleanroom de Systancia est disruptive car son approche par environnement de travail à usage unique rompt avec un déploiement d’une solution PAM dite bastion. En effet, le poste virtualisé est généré à chaque connexion sur la base d’un master défini par l’organisation. Ainsi, il est possible de définir différents masters avec les outils adéquats pour l’administration de bases de données, d’applications métiers, de serveurs, etc. Quand l’utilisateur à pouvoirs met fin à ses travaux, le poste sur lequel les travaux ont été réalisés est supprimé et, à la prochaine connexion, un nouvel environnement (sur la base du master) est mis à disposition, vierge des travaux précédents.

En combinant les briques de virtualisation (VDI), de cybersécurité (VPN et PAM) ainsi que de confiance numérique (SSO), IPdiva Cleanroom apporte une réponse technique à la séparation des usages entre utilisateur et administrateur (c’est l’organisation administrée qui met à disposition le ou les postes d’administration via des masters personnalisables) mais également à l’ouverture abusive d’accès externes à un système d’information (accès unique proposé permettant d’identifier et d’authentifier l’utilisateur à privilèges puis de protéger son flux). Enfin, la brique SSO implémentée dans IPdiva Cleanroom permet d’éviter les dangers inhérents au turnover des utilisateurs à pouvoirs ainsi que les dangers de l’effet « post-it ». En effet, un utilisateur à pouvoirs utilisant IPdiva Cleanroom n’a plus connaissance des mots de passe d’accès aux ressources administrées mais seulement du couple nécessaire pour s’identifier et s’authentifier auprès d’IPdiva Cleanroom.

Dans [03], Sun Tzu annonce que « L’art […] consiste à tenir l’ennemi éloigné du lieu que vous aurez choisi pour votre campement, et de tous les postes qui vous paraîtront de quelque conséquence ». IPdiva Cleanroom s’inscrit naturellement dans cette logique en fournissant une solution unique répondant aux exigences de sécurité croissantes des postes de travail des administrateurs.

Antoine COUTANT – Directeur Cybersécurité

Références

[01]        Comment sécuriser le poste de travail des administrateurs informatiques ?, Antoine Coutant, janvier 2018

https://www.systancia.com/comment-securiser-le-poste-de-travail-des-administrateurs-informatiques/

[02]        Recommandations relatives à l’administration sécurisée des systèmes d’information, ANSSI, version 2.0 du 24/04/2018

https://www.ssi.gouv.fr/entreprise/guide/securiser-ladministration-des-systemes-dinformation/

[03]       The Art of the War, Sun Tzu.