En règle générale, il utilise son poste de travail pour exercer aussi bien ses missions critiques que pour consulter un site internet. Et là, danger !!!
- Le premier concerne la contagion d’une menace virale ou malveillante parvenue par son environnement le moins protégé (messagerie personnelle, travaux de bureautique, etc…).
- Le second est lié aux fonctions d’administration qui ont un impact majeur pour l’entreprise et doivent être exécutées dans un environnement spécifique où l’administrateur a conscience que chaque geste est engageant.
Répondre aux exigences croissantes de sécurité des postes administrateurs
Dans les arrêtés fixant les règles de sécurité relatives aux SI des opérateurs d’importance vitale, il est précisé que les opérations d’administration doivent s’effectuer sur des postes dédiés et qu’un compte d’administration ne doit servir qu’à l’administration, pratique également très fortement recommandée par l’ANSSI.
Le contrôle d’un environnement à privilèges est devenu aujourd’hui incontournable pour tracer les actions réalisées afin de stopper le plus rapidement possible toute action maladroite ou malveillante. C’est la raison pour laquelle Systancia, seul acteur présent sur le marché du VDI (Virtualisation Desktop Infrastructure) et du PAM (Privileged Access Management), a eu l’idée d’associer les performances, l’agilité de la mise à disposition de postes de travail virtualisés et la sécurité apportée par les mécanismes de surveillance d’utilisateurs à pouvoirs.
Le principe IPdiva Cleanroom :
Un poste de travail administrateur totalement étanche, contrôlé et surveillé.
Systancia IPdiva Cleanroom répond aux exigences de sécurité croissantes des postes de travail administrateurs.
Mise à disposition d’un poste administrateur virtualisé
IPdiva Cleanroom repose sur les performances et l’agilité de la mise à disposition de postes de travail virtualisés. En intégrant les fonctionnalités VDI d’AppliDis Fusion, la solution apporte une gestion dynamique du cycle de vie du clone VDI en permettant de provisionner des postes administrateurs à la volée (avec suppression automatique si besoin). Le poste de travail administrateur peut être soit « permanent », soit « à usage unique ». L’environnement de travail de l’administrateur devient totalement étanche et apporte des fonctionnalités avancées pour renforcer la sécurité (interdiction du copier-coller, isolation des périphériques, etc…).
Renforcement des connexions aux ressources et de la politique de mots de passe
L’accès aux ressources protégées est réalisé avec des authentifications pour lesquelles le mot de passe n’est jamais dévoilé à l’administrateur. IPdiva Cleanroom intègre des fonctionnalités de coffre-fort de mot de passe au travers d’un composant de la solution d’authentification SSO de Systancia, « Systancia Access », labélisé France Cybersecurity. Ce coffre-fort de mots de passe permet de gérer le cycle de vie des mots de passe ainsi que leur complexité, renforçant ainsi la mise en place de la politique de sécurité des systèmes d’information au sein de l’entreprise.
IPdiva Cleanroom s’appuie sur le moteur de Systancia Gate, seule solution ayant obtenu la qualification « niveau élémentaire » délivrée par l’ANSSI dans le domaine technique « identification, authentification et contrôle d’accès ».
Surveillance des actions menées par l’administrateur sur les ressources
IPdiva Cleanroom permet également l’enregistrement vidéo des sessions utilisateurs avec une fonctionnalité de live streaming pour visionner en temps réel les actions menées par l’administrateur sur le système d’information. Il est ainsi possible de réagir en temps réel en cas de problème détecté, en décidant de suspendre ou encore d’interrompre la session de l’administrateur.
Fonctionnalités principales
- Mise à disposition d’un poste de travail virtualisé
- Fonctionnalités avancées garantissant l’étanchéité du poste de travail virtualisé : interdiction du copier/coller, isolation des périphériques...
- Provisioning de postes administrateurs à la volée qui peuvent ensuite être automatiquement supprimés
- Possibilité de définir des masters VDI administrateur par métier et ainsi de banaliser le poste VDI pour les membres d’un même groupe métier.
- Authentification SSO automatisant l’authentification aux ressources administrateur après saisie des moyens de connexions primaires
- Coffre-fort de mots de passe permettant de gérer le cycle de vie des mots de passe ainsi que leur complexité
- Enregistrement au format vidéo de la session administrateur
- Visualisation live des sessions en cours et visualisation complète des sessions finalisées
- Paramétrage d’alertes déclenchant, en cas de suspicion de malveillance, des actions automatiques comme la fermeture de la session
- Recherches transverses par mot clé et positionnement des événements sur la timeline de la vidéo enregistrée
- Traçabilité étendue
- Accès distant sécurisé via un seul flux sortant, sans ouverture de ports sur le SI
- Accès sélectif et contrôlé aux ressources administrateurs autorisées
- Contrôle de conformité et intégrité des postes administrateurs