> Tech > Sécurité et packages applicatifs

Sécurité et packages applicatifs

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Patrick Botz
Le package applicatif de votre fournisseur est-il compatible avec vos exigences en matière de sécurité ? Voici 11 questions et leurs réponses, qui vous aideront à  le déterminer. Face aux nombreux éditeurs de logiciels applicatifs, on risque fort d'en rencontrer un (si ce n'est déjà  fait…) qui connaît peu la sécurité, ou qui l'ignore purement et simplement. Mais comment protéger le système et les données contre des fournisseurs laxistes ? Premièrement, ne partez pas du principe que le fournisseur comprend la sécurité, même s'il vend lui-même des produits de gestion de sécurité ! Ensuite, sachez que sauf si vous êtes sur le point d'acheter du logiciel à  un fournisseur, vous n'avez pas beaucoup de moyens pour l'amener à  respecter vos règles de sécurité.

La sécurité et l'intégrité du système sont finalement de votre propre responsabilité. Pour les assumer, il faut comprendre les ramifications du logiciel, en matière de sécurité. Il faut savoir comment les éditeurs réalisent leurs applications et comprendre le modèle de sécurité utilisé. Pour cela, il faut interroger les éditeurs pour déterminer leur degré de connaissance des sécurités et pour voir si leur modèle de sécurité applicative est en harmonie avec le ou les modèles de sécurité en vigueur sur votre système.

Pour vous aider à  trier le bon grain de l'ivraie, j'ai dressé une liste de questions à  poser aux fournisseurs d'applications. Chaque question est suivie d'une explication, d'une description de réponse rationnelle, et des mesures supplémentaires à  prendre pour s'assurer que les programmes du fournisseur ne contourneront pas votre politique de sécurité. Ce jeu de questions n'est nullement exhaustif, mais il comporte quelques points importants.

Sécurité et packages applicatifs

Il n’est pas rare de demander des droits spéciaux pour installer un logiciel.
Cependant, une application qui requiert des droits spéciaux *ALLOBJ, par exemple,
peut les utiliser dans n’importe quel but. Les droits spéciaux sont un puissant
mécanisme capable de contourner, voire de modifier, la politique de sécurité (nous
y reviendrons dans un moment). Il existe tout de même de bonnes raisons pour demander
des droits spéciaux. L’application peut, par exemple, nécessiter les droits spéciaux
*IOSYSCFG pour configurer les communications ou *ALLOBJ pour accéder aux ressources
PUBLIC *EXCLUDE.

Le besoin d’un profil utilisateur système peut indiquer que le processus d’installation
a besoin de modifier les configurations système. Il peut aussi signifier que le
fournisseur ne sait pas que l’utilisation de profils système peut créer des risques
potentiels de sécurité, en particulier si quelqu’un utilise ce profil défini par
le système pour modifier des programmes ou des données.

Une application qui requiert des droits spéciaux *ALLOBJ peut les utiliser
dans n’importe quel but

Les éditeurs doivent savoir expliquer pourquoi leurs applications ont besoin de
droits spéciaux ou de profils utilisateurs définis par le système. Il est important
qu’ils donnent des raisons claires et acceptables pour utiliser ces mécanismes
afin que l’on puisse déterminer si ces actions transgressent la politique de sécurité
de l’entreprise ou présentent un risque inacceptable.

Si on décide d’installer l’application d’un fournisseur, on peut utiliser l’audit
et les rapports de sécurité pour vérifier son explication, selon le principe  »
la confiance n’exclut pas le contrôle « . Il existe diverses commandes et rapports
pour aider à  analyser les changements apportés aux profils utilisateurs, aux valeurs
système, à  la sécurité des ressources et aux configurations de communications.
L’utilisation périodique de ces outils, avant et après l’installation du logiciel,
permettra de détecter des modifications apportées à  votre système, et qui n’ont
pu l’être qu’avec des droits spéciaux.

Téléchargez gratuitement cette ressource

TOP 5 Modernisation & Sécurité des Postes Clients

TOP 5 Modernisation & Sécurité des Postes Clients

Pour aider les entreprises à allier les restrictions liées à la crise et la nécessaire modernisation de leurs outils pour gagner en réactivité, souplesse et sécurité, DIB-France lance une nouvelle offre « Cloud-In-One » combinant simplement IaaS et DaaS dans le Cloud, de façon augmentée.

Tech - Par iTPro.fr - Publié le 24 juin 2010