Solutions de contrôle d’accès à l’IBM i

Avec des techniques de piratage de plus en plus élaborées et des conséquences – notamment financières – toujours plus lourdes, les stratégies de sécurité basées sur de simples mots de passe ne sont plus suffisantes pour protéger vos systèmes IBM i. L’authentification multifacteur renforce la sécurité de login en imposant aux utilisateurs une forme d’identification supplémentaire en plus de leur mot de passe. Plusieurs réglementations de conformité exigent déjà une authentification multifacteur, et cette tendance va sans nul doute se généraliser à l’avenir.

L’authentification multifacteur exige qu’un utilisateur fournisse au moins deux types de preuve attestant de son identité. Ces facteurs d’authentification peuvent comprendre des informations connues de l’utilisateur (comme un mot de passe ou un code PIN), quelque chose qu’il possède (un jeton d’authentification ou un téléphone portable, par exemple) ou des données biométriques le concernant (reconnaissance d’une empreinte digitale ou de l’iris).

Un mot de passe à usage unique généré par un jeton matériel ou un logiciel est souvent utilisé comme facteur d’authentification. Ces mots de passe à usage unique sont produits par de nombreux services d’authentification. La solution d’identification multifacteur de votre système IBM i doit s’intégrer aux solutions de jetons existantes pour d’autres plateformes, telles que RSA SecurID ou à d’autres authentificateurs compatibles RADIUS comme Duo et Microsoft Azure Authenticator. Vous pouvez également opter pour une solution d’authentification multifacteur qui génère des jetons sur IBM i sans besoin de logiciels sur d’autres plateformes.

Une solution d’authentification multifacteur performante pour IBM i devra également être assez flexible pour pouvoir être invoquée d’une multitude de façons en fonction du contexte ou de l’utilisateur qui souhaite s’authentifier. Cette solution devra notamment vous permettre de configurer les situations, les utilisateurs ou les groupes d’utilisateurs pour lesquels l’authentification multifacteur est requise. En outre, vous devrez pouvoir l’invoquer depuis l’écran de connexion et l’intégrer à d’autres workflows.

Enfin, votre solution d’authentification multifacteur IBM i devra consigner tous les échecs d’authentification, désactiver les comptes après un certain nombre de tentatives infructueuses et alerter si besoin les administrateurs de tout éventuel problème de sécurité.

Découvrez comment Assure Multi-Factor Authentication de Precisely peut répondre à vos besoins d’authentification multifacteur IBM i.

En accordant des autorisations élevées à un trop grand nombre d’utilisateurs de votre système IBM i, vous exposez votre système et ses données à un risque important de violations et d’autres activités malveillantes. De nombreuses réglementations, telles que les lois Sarbanes-Oxley et HIPAA ou le Règlement Général sur la Protection des Données (RGPD) exigent des organisations informatiques qu’elles limitent l’attribution de privilèges élevés et contrôlent les activités des utilisateurs qui disposent de tels droits.

Sur les systèmes IBM i, les privilèges des utilisateurs sont définis à l’aide d’autorités spéciales. Ces autorités permettent aux utilisateurs de créer, modifier, supprimer des profils utilisateurs, de modifier des configurations système, de modifier et limiter des accès utilisateur, etc. Certaines autorités spéciales, telles que *ALLOBJ et *SECADM, sont tristement célèbres pour les ravages qu’elles peuvent occasionner, car elles donnent un accès total à toutes les données du système.

Les auditeurs en conformité recommandent de n’accorder aux utilisateurs que les droits dont ils ont besoin pour accomplir leur mission. Des privilèges spéciaux pourront leur être accordés au cas par cas, pour une période limitée, lorsque cela s’avère nécessaire. Et toutes les actions des utilisateurs disposant d’une autorité élevée devront être consignées au sein d’un journal d’audit.

Une gestion manuelle des affectations et des révocations des autorités est sujette à des erreurs ou des oublis. Trop souvent, des profils conservent des privilèges élevés, sans le moindre contrôle, alors que cela n’a plus lieu d’être. Un outil performant de gestion des autorités gère automatiquement et selon les besoins l’attribution d’autorités élevées, la tenue de journaux complets consignant les actions prises par les utilisateurs privilégiés et la révocation de ces autorités lorsqu’elles ne sont plus nécessaires. Une intégration avec votre solution d’assistance utilisateur permet une gestion de bout en bout des demandes d’autorités.

En automatisant la gestion des autorités élevées ainsi que la génération d’alertes, de rapports et d’une piste d’audit des actions réalisées par les profils élevés, vous pouvez limiter les risques liés à des comptes disposant d’une autorité excessive, apporter les preuves de votre conformité et inscrire la séparation des rôles dans vos bonnes pratiques de sécurité.

Découvrez comment Assure Elevated Authority Manager peut automatiser la gestion des autorités utilisateur sur vos systèmes IBM i.

Les pirates tenteront par tous les moyens d’accéder à vos systèmes et à vos données, que ce soit par le biais de votre réseau, d’un port de communication, d’un protocole de base de données open source ou d’une ligne de commande. Les points d’entrée potentiels ne cessent de se multiplier, et des réglementations comme les lois Sarbanes-Oxley et HIPAA ou le RGPD vous imposent de prendre des mesures pour contrôler toute forme d’accès à vos données.

La bonne nouvelle pour les administrateurs IBM i, c’est qu’IBM permet l’appel de programmes utilisateur pour de nombreuses opérations liées au système d’exploitation. Ces programmes, appelés « programmes d’exit », peuvent être invoqués à des points précis, dits « points d’exit ». Les programmes d’exit offrent un moyen puissant de contrôler les accès. En associant ces programmes à certaines opérations du système d’exploitation, vous pouvez inspecter les tentatives d’accès et les autoriser ou les refuser en fonction de l’identité de l’utilisateur ou du contexte de la requête.

Par exemple, un programme d’exit peut surveiller et consigner l’ensemble des activités FTP et autoriser ou non certains utilisateurs à transférer un fichier en fonction de différents paramètres (paramètres de profil, adresse IP, autorisations sur l’objet, plage horaire, etc.).

Lisez l’étude de cas.

Compte tenu de la diversité et de la modernité des moyens d’accès aux données IBM i et du niveau de compétence requis pour créer et gérer des programmes d’exit, vous avez besoin de solutions tierces pour sécuriser les points d’entrée à votre système IBM i. Une solution tierce performante devra être mise à jour et améliorée en continu afin d’intégrer de nouveaux points d’exit et de nouvelles méthodes d’accès.

Les programmes d’exit peuvent utiliser une logique granulaire à base de règles qui contrôle les accès en fonction de circonstances spécifiques, pour une approche nuancée et contextualisée de la sécurité.

En plus de contrôler les accès, les programmes d’exit doivent conserver un journal de toutes les tentatives d’accès, mais aussi générer des rapports et émettre des alertes. Ces fonctionnalités offrent aux responsables de la sécurité une visibilité totale sur les tentatives d’accès au système, assurent la séparation des rôles et fournissent les informations de conformité exigées en cas d’audit.

Découvrez comment Assure System Access Manager offre une sécurité puissante et complète par points d’exit sur IBM i.