Johan Bourgeois Nomios

Peut-on avoir confiance dans les services managés ?

Les services managés ont le vent en poupe… Mais peut-on leur faire confiance ? Et jusqu’à quel point ? C’est ce sujet très intéressant qu’aborde cet avis d’expert émanant de Nomios, un spécialiste de la sécurité IT.

Johan Bourgeois Nomios
Johan Bourgeois (Nomios)

Par Johan Bourgeois, Ingénieur Sécurité Réseaux, Nomios

Au jour où l’externalisation est l’un des mots les plus à la mode dans notre secteur, à travers des notions de SaaS ou simplement de prestataires de services, la Tierce Maintenance Applicative (ou TMA), ou les services managés prennent de plus en plus de sens dans la plupart des entreprises. En effet, les organisations font toujours appel à des intégrateurs pour les accompagner dans la conception de projet de sécurité et d’optimisation. Mais de façon plus récente, elles entrent également en contact avec leur intégrateur pour l’exploitation au quotidien de leur infrastructure. Ce nouveau mode de fonctionnement nécessite évidemment la mise en place de nouveaux outils pour rendre le service fonctionnel, et surtout conforme aux politiques de sécurité des entreprises.

Les outils mis à disposition

Pour que tout fonctionne correctement, la mise en place d’un service managé demande des actions de part et d’autres.

Le premier élément, inévitable, est l’accès aux ressources à manager pour les équipes de l’intégrateur. Deux types d’outils existent pour rendre ce service : le tunnel IPSec Site à Site, et le portail VPN SSL. Pour le premier, une fois le tunnel monté entre les entités en place, il permet un accès complet aux ressources mises à disposition et un contrôle avancé de celles-ci. Le deuxième lui, nécessite une configuration uniquement du côté de l’entreprise cliente et donne accès aux ressources grâce à un système de bookmark. Il est le plus souvent hébergé par une technologie dédiée.

Le second élément est à mettre en place côté intégrateur : un outil de gestion des demandes webifié, accessible depuis l’extérieur et le plus clair possible pour permettre réactivité adéquate dans ce genre de situation. En complément un outil de reporting peut être d’une grande utilité et très apprécié.

Une fois ces deux éléments en place, les services managés sont fonctionnels mais reste à savoir ce qu’il se passe exactement sur les équipements de l’entreprise lorsqu’ils sont accédés par les prestataires. Comment connaitre les actions effectuées par un service managé sur un serveur via un accès distant? Peut-on bloquer les utilisateurs s’ils tentent d’effectuer une opération non permise malgré les comptes « tout pouvoir » qu’ils possèdent ?

La surveillance des connexions

Un marché d’audit des sessions administrateurs commence à faire sa place. Les acteurs principaux proposent aujourd’hui de contrôler toutes les connexions des opérateurs vers les équipements critiques à travers les protocoles d’administration RDP, SSH, Telnet, ou même ICA. Deux grandes notions sont à prendre en compte afin d’appréhender au mieux ce genre de technologie : L’authentification et la surveillance.

« Qui accède à mes équipements ? ». Les comptes « root » ou « administrateurs » sont encore beaucoup trop utilisés (non conforme PCI-DSS d’ailleurs) et il est donc impossible de savoir qui se connecte réellement à l’équipement. Pour répondre à ce problème, il est possible de mettre en place une première authentification qui va s’appuyer sur les différents annuaires de l’entreprise avant de jouer automatiquement l’authentification côté serveur. Ainsi il n’est plus utile de communiquer ses comptes à privilèges aux prestataires ; ils peuvent être gérés directement par le biais des annuaires avec une gestion de la durée de validité du compte beaucoup plus adaptée par exemple

« Que font mes prestataires sur mes équipements ?». Ce n’est pas du tout évident de répondre à cette question avec  certitude. Grâce à ces nouvelles technologies il est possible de surveiller ce qui est fait lors des accès distants aux machines. On peut par exemple effectuer une action définie sur la rencontre de certains mots clés, et même rejouer les connexions sous forme de vidéos pour comprendre les opérations menées.

C’est un grand pas en avant dans la sécurisation des accès administrateurs aux équipements sensibles. Mais dans le contexte actuel où l’installation clandestine de Keylogger fait scandale jusqu’à la CNIL, il convient de se demander jusqu’où peut-on aller dans cette surveillance.

Et la loi dans tout ça ?

La limite de mise en place ce type de surveillance commence bien entendu au moment où l’on rentre dans le domaine privé des exploitants surveillés. Mais le fait que ces systèmes soient mis en place pour filtrer les requêtes à destination des équipements sensibles, et donc des administrateurs permet en général aux entreprises de placer ces technologies dans leur architecture sans même en avertir les principaux concernés. Ceux-ci ayant le plus souvent signé une charte informatique mentionnant le fait que les équipements sont « à utiliser à des fins uniquement professionnelles ». Mais nous savons tous que cet adage n’est que théorique et que la forte progression de ces technologies va sans doute être un sujet de discussions dans les tous prochains mois …