par Patrick Botz
Le package applicatif de votre fournisseur est-il compatible avec vos exigences
en matière de sécurité ? Voici 11 questions et leurs réponses, qui vous aideront
à le déterminer.
Face aux nombreux éditeurs de logiciels applicatifs, on risque fort d'en rencontrer
un (si ce n'est déjà fait…) qui connaît peu la sécurité, ou qui l'ignore purement
et simplement. Mais comment protéger le système et les données contre des fournisseurs
laxistes ? Premièrement, ne partez pas du principe que le fournisseur comprend
la sécurité, même s'il vend lui-même des produits de gestion de sécurité ! Ensuite,
sachez que sauf si vous êtes sur le point d'acheter du logiciel à un fournisseur,
vous n'avez pas beaucoup de moyens pour l'amener à respecter vos règles de sécurité.
La sécurité et l'intégrité du système sont finalement de votre propre responsabilité.
Pour les assumer, il faut comprendre les ramifications du logiciel, en matière
de sécurité. Il faut savoir comment les éditeurs réalisent leurs applications
et comprendre le modèle de sécurité utilisé. Pour cela, il faut interroger les
éditeurs pour déterminer leur degré de connaissance des sécurités et pour voir
si leur modèle de sécurité applicative est en harmonie avec le ou les modèles
de sécurité en vigueur sur votre système.
Pour vous aider à trier le bon grain de l'ivraie, j'ai dressé une liste de questions
à poser aux fournisseurs d'applications. Chaque question est suivie d'une explication,
d'une description de réponse rationnelle, et des mesures supplémentaires à prendre
pour s'assurer que les programmes du fournisseur ne contourneront pas votre politique
de sécurité. Ce jeu de questions n'est nullement exhaustif, mais il comporte quelques
points importants.
Sécurité et packages applicatifs
Il n’est pas rare de demander des droits spéciaux pour installer un logiciel.
Cependant, une application qui requiert des droits spéciaux *ALLOBJ, par exemple,
peut les utiliser dans n’importe quel but. Les droits spéciaux sont un puissant
mécanisme capable de contourner, voire de modifier, la politique de sécurité (nous
y reviendrons dans un moment). Il existe tout de même de bonnes raisons pour demander
des droits spéciaux. L’application peut, par exemple, nécessiter les droits spéciaux
*IOSYSCFG pour configurer les communications ou *ALLOBJ pour accéder aux ressources
PUBLIC *EXCLUDE.
Le besoin d’un profil utilisateur système peut indiquer que le processus d’installation
a besoin de modifier les configurations système. Il peut aussi signifier que le
fournisseur ne sait pas que l’utilisation de profils système peut créer des risques
potentiels de sécurité, en particulier si quelqu’un utilise ce profil défini par
le système pour modifier des programmes ou des données.
Une application qui requiert des droits spéciaux *ALLOBJ peut les utiliser
dans n’importe quel but
Les éditeurs doivent savoir expliquer pourquoi leurs applications ont besoin de
droits spéciaux ou de profils utilisateurs définis par le système. Il est important
qu’ils donnent des raisons claires et acceptables pour utiliser ces mécanismes
afin que l’on puisse déterminer si ces actions transgressent la politique de sécurité
de l’entreprise ou présentent un risque inacceptable.
Si on décide d’installer l’application d’un fournisseur, on peut utiliser l’audit
et les rapports de sécurité pour vérifier son explication, selon le principe »
la confiance n’exclut pas le contrôle « . Il existe diverses commandes et rapports
pour aider à analyser les changements apportés aux profils utilisateurs, aux valeurs
système, à la sécurité des ressources et aux configurations de communications.
L’utilisation périodique de ces outils, avant et après l’installation du logiciel,
permettra de détecter des modifications apportées à votre système, et qui n’ont
pu l’être qu’avec des droits spéciaux.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental
