Loading...Mardi dernier, j’étais invité au séminaire Oracle Security Inside Out. Le programme était alléchant même si Oracle Identity & Access Management (IAM) n’est pas un produit qui m’est réellement familier.
Le thème principal du séminaire était la présentation de la nouvelle version de ce produit par l’équipe de consultants avant-vente et d’architectes de Oracle France. Les intervenants étaient bons, le ton était détendu et les sujets maîtrisés. Des présentations de grande classe. Le fait que le séminaire se tenait au Marriott des Champs-Elysées n’y était peut-être pas étranger.
Voilà pour la forme, sur le fond, les intervenants ont d’abord insisté sur l’approche globale de la sécurité informatique par l’identification des menaces, intérieures et extérieures et par la mise en place d’une plate-forme de services d’administration de la sécurité.
Ces deux points, identification des menaces et solution orientée services sont cruciales pour aborder la sécurité informatique dans l’environnement actuel où cloud, outsourcing, insiders et advanced persistant threats sont plus que des buzzwords, des réalités concrètes.
Il est difficile de résumer en un article de blog plus de quatre heures de conférence de haute volée mais j’aimerais mettre l’accent sur la vision qu’a Oracle de la sécurité.
La sécurité du SI vue par Oracle
Oracle Identity & Access Management (OIAM) est une plateforme d’administration de la sécurité extensible et inter-opérable qui s’adapte au SI quel que soit son niveau de maturité.
Parmi les fonctions de base, on retrouve l’administration des identités, des annuaires, des privilèges ainsi que des fonctions d’authentification. Ces fonctionnalités de base permettent de faire de OIAM le composant central d’une architecture de sécurité applicative car la variété des protocoles supportés permet l’identification et l’authentification sur de multiples infrastructures (UNIX, Windows), plateformes (par ex. Oracle Database Server, divers middlewares) et applications (par ex. Peoplesoft).
Bien entendu, OIAM proposant une architecture orientée services, ce produit fait partie d’Oracle Fusion Middleware dont il utilise les services de base (orchestrateur, conteneur de services, adaptateurs de protocole).
Parmi les nouvelles fonctionnalités offertes par cette version, on peut noter une offre PaaS, des fonctions d’audit avancées et des algorithmes de détection de fraude basés sur des arbres de décision.
Une dernière fonctionnalité sur laquelle je vais m’appesantir est l’interface graphique du produit qui offre la possibilité aux utilisateurs finals d’utiliser OIAM comme un libre service de commande d’accès et d’autorisations. La démonstration faite en séance nous a présenté une interface basée sur un catalogue et un moteur de recherche, la sélection des droits se faisant en suivant la métaphore du panier chère au commerce électronique, l’ensemble se révélant en première analyse très ergonomique.
Naturellement, la présentation d’un nouveau produit par un acteur comme Oracle est toujours l’occasion de faire un peu de teasing. On a apprit que les prochaines versions de Database Server et d’Entreprise Manager seraient estampillés 12c (« c » comme cloud). Oracle semble prendre le virage du cloud computing alors que l’estimable Larry Ellison a longtemps prétendu que son entreprise n’y toucherait jamais. Comme le dit l’adage populaire : « Il n’y a que les imbéciles qui ne changent pas d’avis ».
Pour résumer, OIAM nouvelle version propose une plateforme cloud-ready, compatible avec l’infrastructure SOA de la gamme et disposant d’une IHM favorisant la libre-service utilisateurs. Tout cela dans une optique de réduction du TCO et d’amélioration de la productivité.
Deux autres thèmes ont été abordés lors de cette conférence, des thèmes qui nous touchent plus particulièrement, nous, fournisseurs de services informatiques.
Le premier de ces thèmes sont les menaces pernicieuses avancées (APT, Advanced Persistant Threats dans la langue de Mark Twain), notamment les failles de sécurité induites par les comptes orphelins et les comptes sur-privilégiés.
La sécurité n’est pas un produit, c’est un processus
Les comptes orphelins sont bien connus des prestataires, combien d’entre nous disposent d’un compte chez un de leurs clients chez lequel ils interviennent 2 ou 3 fois par an ? Combien de consultants disposent d’un accès DBA à des bases Oracle ? Les intervenants ont démontré que cette faille de sécurité est bien couverte par un processus métier de gestion du cycle de vie des identités.
Les utilisateurs sur-privilégiés sont une APT plus difficile à détecter et à résoudre. Un audit généralisé des autorisations et des rôles et une application des bonnes pratiques permet de limiter le problème. Un exemple de bonne pratique indique qu’un rôle et par extension une identité ne devrait disposer que des privilèges associés à la fonction occupée.
La sécurité des données passe par l’anonymisation
Le dernier thème abordé concernait la sécurité des données lorsque pour les besoins d’un développement ou d’un test des données provenant d’un référentiel de production étaient répliquées vers un environnement moins sécurisé.
Cette problématique est loin de se satisfaire d’accords de non divulgation (Non Disclosure Agreement pour les non-francophones) car les données ont une valeur intrinsèque (coordonnées clients, coordonnées bancaires, habitudes de consommation) qui pourraient pousser des insiders à les exploiter. La seule protection valable reste l’anonymisation (Data Masking).
A ce titre, une autre nouveauté annoncée par Oracle dans ce séminaire est la refonte complète de Oracle Data Masking Pack qui disposera d’une IHM distincte de OEM, de fonctions d’anonymisation plus avancées et d’une possibilité d’échantillonner les données pour produire des jeux de tests de taille raisonnable.
