Un rêve d’ubiquité entretenu par les outils numériques. Roman Odintsov/Pexels , CC BY Par Emmanuel Carré , Excelia La « peur de rater quelque chose » (« Fear Of Missing Out », ou FOMO) n’est pas née avec Instagram. Cette peur d’être exclu, de ne pas être là où il faut, ou comme il faut, a déjà été pensée bien avant les réseaux sociaux, et révèle l’angoisse de ne pas appartenir au groupe. Vous l’avez sans doute déjà ressentie : cette sensation distincte que votre téléphone vient de vibrer dans votre poche. Vous le sortez précipitamment. Aucune notification. Autre scénario : vous partez en week-end, décidé à vous « déconnecter ». Les premières heures sont agréables. Puis l’anxiété monte. Que se passe-t-il sur vos messageries ? Quelles conversations manquez-vous ? Vous ressentez la « peur de rater quelque chose », connue sous l’acronyme FOMO (« Fea...
Par William Culbert, Directeur Technique de Bomgar
Selon le rapport, 99 % des systèmes de l'organisation doivent être protégés par un outil d'authentification multifactorielle et obéissent à plusieurs procédés de contrôle des accès logiciels par les super-utilisateurs. Parmi ces procédés figurent : l'obligation pour chaque utilisateur de disposer d'un compte utilisateur propre, l'application du principe du moindre privilège, le contrôle de l'utilisation des comptes, la vérification annuelle de l'ensemble des comptes, la désactivation des comptes après 60 jours d'inactivité, la mise en place, l'administration et le contrôle des comptes privilégiés en fonction des rôles et la restriction des comptes privilégiés aux seuls utilisateurs spécifiés. Ces procédés s'appliquent à tous les systèmes, les utilisateurs et les super-utilisateurs concernés du ministère.
L'authentification bifactorielle est principalement assurée par Active Directory. Les utilisateurs doivent présenter un badge électronique (carte PIV) et entrer un code PIN pour accéder au réseau. Pour accéder à un système privilégié ou sous haute sécurité, il leur faut également entrer un identifiant et un mot de passe, un code RSA ou un code aléatoire. Le ministère de la Santé a élaboré sa politique et ses procédures selon les normes NIST et attend de ses prestataires et de ses fournisseurs externes qu'ils y adhèrent à leur tour, pour renforcer davantage encore la sécurité de ses systèmes critiques.
Bien que l'authentification multifactorielle réduise les risques d'intrusion par usurpation d'identifiants, certaines organisations, comme le ministère de la Santé, doivent aller plus loin pour protéger l'accès à leurs systèmes, en particulier aux comptes privilégiés. Car si ces solutions exigent des utilisateurs qu'ils prouvent leur identité, elles ne restreignent pas nécessairement les ressources consultables, les actions réalisables ou la durée de validité des accès. Il est donc préférable d'y associer une politique stricte de gestion des identifiants d'accès, prévoyant notamment le changement régulier des identifiants des super-utilisateurs et le recours à des technologies de contrôle, de gestion et de surveillance des accès directs aux infrastructures sensibles. Ces multiples remparts de sécurité compliqueront considérablement la tâche des utilisateurs malveillants, même s'ils parviennent à subtiliser des identifiants. Car ils supposent non seulement d'utiliser les identifiants dérobés avant le prochain cycle de renouvellement des mots de passe, mais aussi de contourner l'authentification multifactorielle de chaque système visé au sein du réseau.
L'authentification multifactorielle s'inscrit parfaitement dans le cadre d'une stratégie de sécurité informatique renforcée et figure même parmi les exigences d'un nombre croissant de normes et de réglementations, telles que PCI, HIPAA et NIST.