Des profils utilisateurs ont souvent des champs de droits spéciaux qui sont spécifiés pendant l'installation et la programmation. Ces droits confèrent aux utilisateurs un large accès au système. Une fois les droits spéciaux accordés, il est difficile de les éliminer sans affecter les fonctionna-lités.
Les expositions liées aux droits spéciaux
incluent les spécifications suivantes :
1 – *ALLOBJ permet aux utilisateurs d’accéder à tous les objets dans le système
2 – *SPLCTL permet aux utilisateurs d’accéder à toute la sortie spoulée (imprimée). C’est similaire à *ALLOBJ mais l’OS/400 ne considère pas les fichiers spoule comme des objets.
3 – *SERVICE permet aux utilisateurs de se servir d’outils de service système, que l’on peut utiliser pour contourner la sécurité et afficher ou altérer des données du système.
Pour empêcher cette exposition, il faut restreindre soigneusement le nombre d’utilisateurs dotés de droits spéciaux puissants. On peut aussi diriger la commande DSPUSRPRF (Display User Profile) vers un OUT-FILE et créer des rapports montrant quels utilisateurs ont des droits spéciaux. Il existe un problème de même nature : celui des produits tiers qui créent des profils utilisateurs avec des droits excessifs ou qui installent des objets qui adoptent les droits QSECOFR. Il faut prendre le temps de déterminer les implications sur la sécurité, des profils utilisateurs associés à tous les packages tierce partie que l’on installe. En particulier, si un package tierce partie doit être installé comme QSECOFR, il faut y regarder à deux fois. Il est bon de demander à de tels fournisseurs s’ils sont prêts à remanier leurs installeurs pour qu’ils fonctionnent sans droits sur tous les objets (all-object authority).
Dans le contexte actuel, l'expérience client est un levier clé de réussite. Pour rester compétitives, les entreprises doivent adopter des stratégies CX audacieuses, en s'appuyant sur le cloud, le digital et l'IA. Alors quelles stratégies mettre en place pour garder une longueur d’avance ?
