Axa IM sécurise ses comptes à privilèges avec CyberArk

Arnaud Tanguy, CISO d’Axa Investment Managers, a expliqué les avantages et les difficultés de la gestion centralisée des comptes à privilèges lors des Assises de la Sécurité.

Même si cela contrevient aux règles de base de la sécurité, il n’est pas rare de trouver des mots de passe en clair au sein de scripts, de batchs ou d’applications. Et c’est sans surprise qu’Arnaud Tanguy, CISO d’Axa Investment Managers, en a trouvé dans son environnement, y compris avec des mots de passe datés et peu robustes : « nous avons décidé de commencer par mettre en œuvre des solutions manuelles pour réduire le risque. » A savoir, demander aux responsables des traitements concernés de changer les mots de passe : « une mission difficile… » Mais pas impossible, notamment parce que la « fonction sécurité est bien soutenue par le top management » chez Axa IM.

Reste que, comme le relève Arnaud Tanguy, « changer des mots de passe dans une organisation complexe, lorsqu’on ne maîtrise pas toutes les applications qui les utilisent, cela a un coût prohibitif. Cela demande beaucoup d’investigation, de rétro-ingénierie. » Et si le faire une fois en passant est envisageable, le demander de manière récurrente, tous les mois ou tous les trois mois… « c’est impossible si l’on est responsable et pragmatique. »

Un risque trop grand

Mais voilà, cela signifie accepter de laisser perdurer un risque, « notamment si le mot de passe vient à être connu ou partagé. Nous avons donc décidé de nous outiller. » Le tout pour travailler à la protection des mots de passe, à leur secret et à leur robustesse. Mais le SI d’Axa IM est marqué par un historique fort, d’où le besoin d’une solution qui s’intègre bien aux applications patrimoniales. En outre, Arnaud Tanguy avait identifié un important besoin en matière de continuité de l’activité : « la gestion des mots de passe centralisée peut s’avérer critique pour l’activité ». Des contraintes auxquelles les outils de CyberArk répondaient bien.

Ceux-ci proposent deux principes de fonctionnement : « lorsqu'un script a besoin d’accéder à un compte privilégié, il va aller demander le mot de passe pour pouvoir s’exécuter avec les droits du compte qu’il appelle. Le mot de passe est stocké en local sur un agent qui se synchronise avec le coffre-fort. Cette réplication permet de gérer les questions de disponibilité du coffre-fort. » La seconde technique de mise en œuvre consiste en une réécriture du mot de passe par l’agent, qui reste en clair dans le script, « mais c’est l’outil qui vient le changer. On l’utilise pour les applications les moins critiques. On vient ainsi résoudre le problème de l’administrateur et retirer le problème de la capacité à changer le mot de passe. »

Une flexibilité nouvelle

La force d’une telle solution, telle que le souligne le RSSI d’Axa IM, c’est qu’une fois que les applications et les administrateurs passent par CyberArk, le mot de passe que l’on changeait autrefois tous les ans, est désormais modifiable toutes les 5 minutes ou toutes les 30 secondes. 

Pour l’heure, le déploiement est en cours, le projet ayant été initié au printemps 2014. Le déploiement se fait progressivement, application par application. Mais, déjà les API CyberArk ont été intégrées à l’environnement de développement, en faisant un standard d’architecture. L’objectif cible à mi-2015 étant de migrer « un grand nombre de nos applications », et en particulier les applications critiques.

Une passerelle pour les administrateurs est aussi en cours de déploiement, afin de consolider et contrôler les accès aux comptes administrateur locaux sur les serveurs : les administrateurs n’auront ainsi pas à connaître les mots de passe associés à ces comptes. En outre, les traces de ces accès seront intégrées à un SIEM pour en assurer le suivi.

Reste que la tâche est « phénoménale » sur les applications patrimoniales. Et cela même « si l’analyse de risque permet de définir les priorités d’implémentation. » Au final, pour Arnaud Tanguy, un tel projet « demande un plan d’action très précis dans le déploiement pour tenir les délais ». Et que l’on tienne compte d’une autre difficulté : prendre en considération le besoin de redémarrage de certaines applications devant recharger en mémoire les mots de passe des comptes à privilèges qu’elles utilisent.

Mais le retour sur investissement, entre tâches manuelles fortement consommatrices de ressources et automatisation… est « évident. »

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close