Présentation

Contact commercial : Julien Irondelle

E-mail : jirondelle@adines.fr

GSM : 06 22 57 43 27

Présentation de la société• Fondée en 2001

• Solutions de sécurité axées sur la conformité pour...– la gestion de mots de passe de compte partagé/compte de service (SAPM*)– l'accès distant des fournisseurs– l'accès des développeurs aux opérations de production– la gestion des privilèges de superutilisateur (SUPM*)

• Solutions éprouvées déployées dans TOUS les segments du marché– Plus de 350 installations dans le monde comprenant…

• 4 des 10 premières entreprises du classement Forbes• 3 des 5 principaux fournisseurs de services financiers• Des entreprises leader du secteur de la fabrication, des finances, des services, des

télécommunications, de l'industrie pharmaceutique/chimique, du domaine de la santé, et bien d'autres...

• Société non cotée à but lucratif et à croissance interne– Siège social à Delaware– Centre de R&D à Raleigh (Caroline du Nord)– Assistance eDMZ 24h/24 et 7j./7, 365 jours/an– Partenariats à l'échelle mondiale

* Termes et marchés définis par Gartner

REFERENCES

Présentation de TPAM

• Suite TPAM : Total Privileged Access Management– Cette suite produit est conçue en réponse aux problèmes de sécurité et de conformité

associés aux utilisateurs et aux accès privilégiés.– Sa conception modulaire garantit une grande souplesse d'évolutivité

• Démarrez avec les modules de base requis• Ajoutez des modules supplémentaires en fonction de l'évolution de vos besoins

Présentation de TPAM

• TPAM est basé soit sur Password Auto Repository™ (PAR), soit sur eGuardPost™ en guise de module de base.

• Chacune de ces plates-formes vous permet d'activer des modules supplémentaires le cas échéant.– Achetez ce dont vous avez besoin aujourd'hui.– Complétez votre système au fur et à mesure de vos besoins à venir.

Gestion de mots de passe privilégiés

• Les comptes privilégiés sont généralement UNIVERSELS

• Contrairement aux comptes « utilisateur », ils ne font pas l'objet d'une association individuelle – Ils sont fréquemment dotés de mots de passe par défaut connus

• Les comptes privilégiés existent dans tout système, périphérique réseau, base de données, etc.

• Les comptes privilégiés jouissent d'un ACCÈS et d'un CONTRÔLE étendus– Souvent, ils bénéficient même d'un accès et d'un contrôle total sur le système– Commandes d'audit et de configuration

• PROBLÈMES DE CONTRÔLE réglementaire et de conformité– Zone de contrôle croissante de la gestion de compte privilégié/partagé/de

service/d'application– Ce qui était acceptable hier n'est PLUS admis aujourd'hui

Problèmes et défis

Gestion de mots de passe privilégiés (PPM)

Exigence de l'entreprise

• Sécurité

• Double contrôle de version• Contrôle des changements

• Intégration à l'entreprise

Suite TPAM/Module PPM

• Sécurité complète incorporée– Mot de passe crypté via RSA Bsafe– Cryptage de disque complet via Guardian

Edge– Pare-feu matériel incorporé– Module dédié

• Contrôles de version doubles ou plus• Contrôle de changement configurable

complet– Périodique (tous les X jours)– En fonction de la dernière utilisation– Changement forcé

• Intégration approfondie avec– de solides solutions d'authentification – Active Directory– des systèmes de billetterie

Gestion de mots de passe privilégiés (PPM)

Exigence de l'entreprise

• Flux de travail efficace

• Facilité de déploiement et d'intégration

Suite TPAM/Module PPM• Avantages du flux de travail TPAM

– Accès client basé sur le Web– Basé sur la fonction– Double contrôle d'autorisation– Notifications par courrier électronique– Bonne prise en charge des écrans petit

format– Interface CLI/API robuste

• Installation et configuration en un jour– Module ouvert– Déploiement sans client/agent– Intégration étroite avec Active

Directory– Importation au format .csv– Interface API/CLI complète– Audit, SNMP, Syslog

Exemple de prise en charge d'écran petit format

Gestion des mots de passe d'application (APM)

• Les mots de passe incorporés/intégrés dans le code constituent souvent une forme d'exposition « cachée »– Comptes/mots de passe connus des programmeurs– Comptes dérobés

• Les besoins des applications peuvent varier fortement– Connectivité continue entre applications– Connectivité de transaction entre applications

Problèmes et défis

Gestion des mots de passe d'application (APM)

Exigence de l'entreprise

• Remplacement des mots de passe incorporés

• Prise en charge des applications ayant des transactions à « fortes exigences »

Suite TPAM/Module APM

• Interface API/CLI complète – C/C++– Java– .NET– Perl

• Cache PAR– Fonctionnalité additionnelle– Disponible sous forme de module de

cache de mémoire virtuelle– Prise en charge des besoins

centralisés ou distribués– Plus de 1000 requêtes/minute

Gestion de session privilégiée (PSM)

• Les exigences de conformité impliquent souvent de savoir ce qui a été fait au cours de certains accès privilégiés ou sensibles. Vous avez besoin de savoir ce qui a été fait par :– les fournisseurs distants ?– les fournisseurs de services externalisés ?– les développeurs ayant accès aux systèmes de production ?– les activités d'alerte incendie ?– les utilisateurs ou administrateurs ayant accès à des ressources ou des applications

sensibles (serveurs financiers/Sox, RH, etc.) ?

• Certains accès exigent un contrôle accru

• Besoin de restriction de l'accès direct aux ressources

Problèmes et défis

Gestion de session privilégiée (PSM)

Exigence de l'entreprise

• Contrôle d'accès de niveau fin

• Contrôles de connexion

• Audit de session

Suite TPAM/Module PSM

• Point de contrôle utilisateur– Limite l'affichage des ressources en se

basant sur la fonction

• Contrôle total des connexions– Double contrôle d'autorisation– Limites de durée de session– Alerte de notification de

dépassement de session– Options manuelles de clôture de

session• Audit de session inédit

– Audit/consignation de toutes les requêtes de connexion, approbations

– Enregistrement de session COMPLET avec relecture différée DVR

Gestion de session privilégiée (PSM)

Exigence de l'entreprise

• Audit approfondi

Suite TPAM/Module PSM

• Audit de session inédit– Audit/consignation de toutes les

requêtes de connexion, approbations– Enregistrement de session COMPLET

avec relecture différée DVR

Commande de lecture différée type DVR

Enregistrement de session complet etrelecture de TOUTES les activités

Gestion de commande privilégiée (PCM)

• Forte exigence de conformité pour restreindre l'accès privilégié de superutilisateur– Besoin d'accorder des droits de superutilisateur sans donner un contrôle total

• Besoin de restreindre les opérations accessibles aux fournisseurs et prestataires de services distants

• Réduction de personnel générant un besoin de « faire plus avec moins »– Nécessité de déléguer certaines fonctions privilégiées sans accorder un contrôle total

privilégié

• Besoin de prise en charge croisée des plates-formes Unix et Windows

Problèmes et défis

Gestion de commande privilégiée (PCM)

Exigence de l'entreprise

• Gestion des privilèges de superutilisateur (SUPM)

• Prise en charge d'environnements multi-plates-formes

Suite TPAM/Module PCM

• Avantages de SUPM– Contrôles d'accès au niveau des

commandes– Pas de possibilité d'exécution en

dehors des limites de la commande– Enregistrement de toutes les activités

• TPAM prend en charge PCM pour :– Unix– Windows– Autres (dans les versions à venir)

Session restreinte à une commande unique(la Gestion de l'ordinateur dans cet exemple)

Aucune autre fonction Windows n'est disponible

Récapitulatif de TPAM

Exemples de flux de travail

• Les diapositives suivantes donnent des exemples de flux de travail pour les différents modules de TPAM.

• E-DMZ Security peut également organiser une démonstration webex afin de fournir des informations plus détaillées et de répondre plus précisément à vos questions spécifiques.

• Bien que chaque module TPAM prenne en charge des fonctions spécifiques, ils peuvent être étroitement associés pour répondre au mieux aux exigences de flux de travail d'une entreprise.

Flux de travail – Requête de mot de passe

Lancez la requêtede mot de passe

Filtrage et sélection de compte(s)

Saisissez la date, l'heure, la durée et la raison pour laquelle un mot

de passe est requis

Champ de billet facultatif. Peut être activé (vérification du

billet) ou non.

Récupération du mot de passe

Flux de travail – Écran petit format

Initiation de requête au format hypertexte

Filtrer les requêtes ou afficher les plus récentes

Sélectionner un mot de passe.. La requête rapide est soumise automatiquement

avec la raison par défaut « Requête de périphérique

mobile »

Saisissez le numéro de billet (le cas échéant) et cliquez sur Submit pour obtenir le mot de passe

Mot de passe récupéré sur le terminal mobile.

* Prise en charge des écrans petit format configurée au niveau de l'utilisateur

Flux de travail – Requête de session

Demandez une connexion de session.

Sélectionnez parmi la liste des système et comptes auxquels l'utilisateur est autorisé à demander la connexion.

Saisissez la date/l'heure/la durée de la requête de connexion. Possibilité de requête pour une date/heure à venir afin de permettre une approbation avancée, en cas de double contrôle

d'autorisation.

Une fois la connexion approuvée (ou auto-approuvée)

cliquez simplement sur Connect !

Flux de travail – Requête de session

Proxy de connexion créé vers le système et le compte sélectionnés

L'utilisateur est connecté et effectue les travaux requis.

La session peut être configurée pour une ouverture de session interactive ou automatique

CHAQUE action effectuée sur le système cible est enregistrée (frappes clavier, clics de souris, liens, etc.)

Si la session utilisateur se prolonge au-delà de la durée demandée, des alertes de notification configurables peuvent être envoyées pour signaler le dépassement de session

Les administrateurs autorisés ont la possibilité de mettre fin manuellement aux sessions actives

Flux de travail – Relecture de sessionLes enregistrements de sessions peuvent être stockés

localement ou faire l'objet d'un archivage automatique. Les sessions mémorisées peuvent être retrouvées d'après

la date, le système, le compte, l'utilisateur et/ou le numéro de billet

Une fois la sélection effectuée, le bouton Replay

Session permet de récupérer et de relire la session.

Flux de travail - Relecture de session

Des commandes de type DVR permettent de contrôler la relecture des sessions

enregistrées.

Toutes les activités d'une session sont enregistrées et consultables par

l'intermédiaire de la fonction de relecture de session. L'enregistrement n'est PAS

effectué dans des fichiers de type AVI, mais dans un format compressé et TRÈS

maniable.

Flux de travail – Gestion de commandes

Des commandes sont ajoutées par l'intermédiaire de l'outil de gestion de commande privilégiée (PCM)

Flux de travail – Session limitée par commande

Même flux de travail qu'une requête de session normale.

Même flux de travail qu'une requête de session normale.

La session est restreinte à une cible/un compte principal (Windows A3/e22egp) via PCM, une

session utilisateur est établie et l'utilisateur est placé dans la « commande » en question. Dans

notre exemple, la Gestion de l'ordinateur.

Aucun accès à d'autres commandes cibles, menus, etc. n'est permis. La session existe uniquement dans le

contexte d'une commande spécifique (p.ex. la Gestion de l'ordinateur). Dès que l'utilisateur quitte la commande, la

session est immédiatement clôturée.

Flux de travail – Session limitée par commande