À l’heure où les algorithmes confinent les individus dans des bulles informationnelles, le travail de sourcing réalisé dans le cadre d’une activité de veille stratégique constitue un bel exemple d’acte concret et efficace permettant d’éclairer véritablement la décision. Par Arnaud Marquant, directeur des opérations chez KB Crawl SAS Dans un rapport prospectiviste issu des derniers Etats Généraux de l’information, plusieurs experts s’attachent à décrire l’information telle qu’elle pourrait être en 2050 (« Le monde de l’information en 2050 : des scénarios possibles », coordination INA, sept. 2024). Ces experts y formulent le vœu selon lequel les assistants personnels générés par l’IA pourraient être à terme gérés par des algorithmes limitant au maximum l’enfermement des citoyens dans les bulles informationnelles. On l’aura compris : l’enjeu est de taille, tant il s’avère que nous sommes actuellement en prise avec cet « effet tunnel ». Diversifier ses sources pour éviter les angles ...
Par William Culbert, Directeur Technique de Bomgar
Selon le rapport, 99 % des systèmes de l'organisation doivent être protégés par un outil d'authentification multifactorielle et obéissent à plusieurs procédés de contrôle des accès logiciels par les super-utilisateurs. Parmi ces procédés figurent : l'obligation pour chaque utilisateur de disposer d'un compte utilisateur propre, l'application du principe du moindre privilège, le contrôle de l'utilisation des comptes, la vérification annuelle de l'ensemble des comptes, la désactivation des comptes après 60 jours d'inactivité, la mise en place, l'administration et le contrôle des comptes privilégiés en fonction des rôles et la restriction des comptes privilégiés aux seuls utilisateurs spécifiés. Ces procédés s'appliquent à tous les systèmes, les utilisateurs et les super-utilisateurs concernés du ministère.
L'authentification bifactorielle est principalement assurée par Active Directory. Les utilisateurs doivent présenter un badge électronique (carte PIV) et entrer un code PIN pour accéder au réseau. Pour accéder à un système privilégié ou sous haute sécurité, il leur faut également entrer un identifiant et un mot de passe, un code RSA ou un code aléatoire. Le ministère de la Santé a élaboré sa politique et ses procédures selon les normes NIST et attend de ses prestataires et de ses fournisseurs externes qu'ils y adhèrent à leur tour, pour renforcer davantage encore la sécurité de ses systèmes critiques.
Bien que l'authentification multifactorielle réduise les risques d'intrusion par usurpation d'identifiants, certaines organisations, comme le ministère de la Santé, doivent aller plus loin pour protéger l'accès à leurs systèmes, en particulier aux comptes privilégiés. Car si ces solutions exigent des utilisateurs qu'ils prouvent leur identité, elles ne restreignent pas nécessairement les ressources consultables, les actions réalisables ou la durée de validité des accès. Il est donc préférable d'y associer une politique stricte de gestion des identifiants d'accès, prévoyant notamment le changement régulier des identifiants des super-utilisateurs et le recours à des technologies de contrôle, de gestion et de surveillance des accès directs aux infrastructures sensibles. Ces multiples remparts de sécurité compliqueront considérablement la tâche des utilisateurs malveillants, même s'ils parviennent à subtiliser des identifiants. Car ils supposent non seulement d'utiliser les identifiants dérobés avant le prochain cycle de renouvellement des mots de passe, mais aussi de contourner l'authentification multifactorielle de chaque système visé au sein du réseau.
L'authentification multifactorielle s'inscrit parfaitement dans le cadre d'une stratégie de sécurité informatique renforcée et figure même parmi les exigences d'un nombre croissant de normes et de réglementations, telles que PCI, HIPAA et NIST.