1 / 40

La GIA … pas toujours parfaite !

La GIA … pas toujours parfaite !. G I A I A M. estion de l’ dentité et des ccès dentity and ccess anagement. Pour qui?. Toute entité dont l’infrastructure technologique est accessible par un utilisateur… On veut protéger les comptes des utilisateurs.

nessa
Download Presentation

La GIA … pas toujours parfaite !

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. La GIA … pas toujours parfaite !

  2. G I A I A M estion de l’ dentité et des ccès dentity and ccess anagement

  3. Pour qui? • Toute entité dont l’infrastructure technologique est accessible par un utilisateur… • On veut protéger les comptes des utilisateurs. • On veut protéger les données conservées…L’identité est une porte d’entrée. • On veut connaître notre clientèle. • On veut se donner des moyens pour reconnaître notre clientèle. • … • Donc, la GIA on doit tous s’en occuper!!!!

  4. Gestion de l’Identité • Identité fédérée • Cycle de vie des utilisateurs: • Inscription • Désactivation • Suppression • Imputabilité/Responsabilité

  5. Accès à l’infrastructure

  6. Identification Mon compte est: …. Mon adresse de courriel est: … Mon nom est: …

  7. Compte vs Comptes Ce qui est recommandé: • Un mot de passe synchronisé entre les plates-formes et applicatifs • Des droits d’accès de groupe • Des droits d’accès spécifiques si requis • Des privilèges d’accès octroyés sur demande pour une période déterminée

  8. Compte vs Comptes Tendance: • Un compte de base est attribué à tout utilisateur / employé • Les accès courants sont attribués à ce compte • Un compte à privilège élevé est attribué à tout utilisateur / employé dont les responsabilités nécessitent des accès de haut niveau (PE, SU, XT, …) • Les accès de haut niveau (privilèges) sont attribués à ce compte… • Et une gestion de comptes multiples!!!

  9. Cas vécu – BD corrompue!!! Mon nom est : Josette!!!

  10. Authentification Valider l’identité déclarée: • Code confidentiel • Quelque chose que je suis seule à connaître/posséder… • Petit quiz!!!

  11. Code confidentiel Utiliser un algorithme personnel!!! A = @, E = 3, i = 1, o = 0, q = 9, s = $, z = 2 [+] Structure de nom: Consonne Voyelle Min Maj Cvccccc vCccccc [+] # caractères: 10 caractères maximum [+] Ne pas utiliser le même partout! + Doit être régulièrement actualisé!!!

  12. Exemples Vidéotron Vidéotronxxx V1d30tr0n%6% Banque Nationale BanqNtnlx9 B@n9Ntn1$1 Caisse populaire Desjardins Desjrdns99 D3$jrdn$78

  13. Petit QUIZ Afin de pouvoir protéger mon identité je fournis 3 questions et réponses… • Quels sont les 3 derniers chiffres de mon numéro d’assurance social…000 • Quel est le nom de ma meilleure amie en 1ière année…Carry • De quelle marque était ma 1ière voiture… Hot Wheels

  14. Accès aux Actifs Informationnels

  15. Gestion des accès • Protection des données: • Disponibilité • Intégrité • Confidentialité • S’assurer que l’utilisateur a les droits d’accès requis pour exécuter ses tâches/responsabilités.

  16. Préparation/meo/entretien Catégorisation des AI Modèle d’accès aux AI Attribution des seuls accès requis Paliers de livraison isolés Révision des droits d’accès Réorganisation administrative

  17. Les modèles d’accès Chaque application / système / solution nécessite un modèle d’accès correspondant aux lignes directrices de l’E et aux différents actifs et types d’AI impliqués. On doit tenir compte des données à caractère personnel, confidentiel et légal… La gestion des accès sera basée sur le modèle établi!!!

  18. Une histoire d’horreur!!!! Public Un modèle d’accès qui ne respecte pas la catégorisation des actifs!!! SECRET RESTREINT

  19. Le modèle d’accès souhaité par l’Entreprise !!!

  20. Le modèle d’accès souhaité par l’Entreprise !!!

  21. Les justifications données: Pas trop de gestion On l’aannoncécommeça! Ilsont déjà accès! Ce serait trop compliqué avec ce produit!

  22. Comment y arriver? • Un exercice de catégorisation appuyé par la Haute Direction et endossé par le détenteur des données, systèmes… • Une participation des spécialistes de la sécurité dès la conception du projet!!! • - Informer les ressources du projet • Intervenants du projet: • Chargés de projet • Architecte de la sécurité • Architectes de la solution • Organisation du travail • Informer le pilote • Informer la clientèle utilisatrice

  23. Doit-on paniquer???

  24. Un modèle d’accès basé sur les dates!!!

  25. MSG999- votre accès est expiré. Veuillez contacter votre responsable de la sécurité. Oui bonjour comment puis-je vous aider? Je n’ai plus accès à mon application… J’avais accès hier! Un moment on vérifie vos accès(dates) 

  26. Comment prévenir? • Toujours avoir en tête les activités de gestion requises pour: • Attribuer les droits d’accès • Exploiter les droits d’accès • Supporter la clientèle: • Identifier le problème rapidement • Des messages significatifs… • Apporter une solution…définitive!!! Impliquer les ressources assignées à la gestion de la sécurité dans l’E ou qui ont une expérience de gestion!!!

  27. Une solution de GIA

  28. SAM Jupiter

  29. Soyons honnête!!! • Facilite l’intégration sous un même outil de gestion de différents répertoires de sécurité • Permet d’associer un utilisateur à différentes plates-formes • Permet d’assigner un ou plusieurs rôles à un utilisateur, … • Ne permet pas de définir les droits d’accès associés à un rôle, un individu,… • N’élimine pas la gestion spécifique à chacun des répertoires de sécurité.

  30. La « meo » d’une GIA • Toujours faire un état de la situation actuelle • Identifier les problématiques à corriger • Définir les besoins avec les clientèles impliquées • Tenir informées les ressources assignées à la gestion de la sécurité • Ne pas faire de notre projet, un projet technologique; • Avons-nous vraiment besoin d’une technologie • Ne nous limitons pas aux limites des technologies • Planifier une implantation graduelle des clientèles, systèmes, fonctions…

  31. Les solutions étaient développées selon les méthodes traditionnelles d’analyse et de développement: • La solution se collait parfaitement : • Aux seuls besoins énoncés • Aux seules fonctions demandées • L’accès aux données était contrôlé à partir d’un système de sécurité d’infrastructure et souvent jumelé à une sécurité interne • La solution était parfaitement maîtrisée par le pilote

  32. Les solutions technologiques sont disponibles et permettent de combler une panoplie de besoins. Aujourd’hui on se préoccupe de la technologie: • Ce que le produit peut faire…pas toujours ce dont on a réellement besoin! • L’interface du produit • Les répertoires qui peuvent être intégrés • Les connecteurs disponibles • Le profilage des accès peut-il être automatisé? • Bref, c’est de la techno !!!

  33. Les travaux préliminaires au choix d’une solution sont inévitables : • Quel est l’état de situation? • Quelles sont les problématiques de gestion actuelles? • Quelles sont les solutions potentielles? • La priorisation…des clientèles, des répertoires,… • Un travail de profilage c’est administratif d’abord et avant tout! • Une solution de GIA : • 80% de préparation et implantation! • 20% de technologie!

  34. Vendredi 16h30… Demande de dernière minute Changement applicatif urgent Demande non-approuvée: approbateur a quitté Utilisateur n’a pas les DA Eureka!!!! Aller voir un ASx, notre Josette! Qu’est-ce qu’il lui demande…

More Related