blog ID-INFO
Sécurité sur IBM i :
10 risques majeurs et comment les éviter
Les menaces en matière de sécurité sont croissantes. Qu’il s’agisse de cyberattaques ou de virus, l’usurpation d’identité est de plus en plus fréquente.Sans compter que certaines failles peuvent aussi amener à des pertes de données sans pour autant avoir une intention de nuire au départ.
L’IBM i, bien que particulièrement sécurisé par rapport aux autres plateformes n’échappe pas aux risques à 100%, comme nous l’indique Bob Losey.
Traduction de l’article de Bob Losay avec son aimable autorisation. Sept. 2022.
Vous le savez, la sécurité sur IBMi n’a rien à voir avec la sécurité sur Windows, UNIX ou Linux. L’objectif de ce post est de mettre brièvement en évidence 10 risques majeurs de sécurité IBM i et d’expliquer ce que vous pouvez faire pour y remédier.
1. Trop d’utilisateurs IBM i Operator/Admin
Presque tous les systèmes IBM i adressent trop d’utilisateurs avec beaucoup plus d’autorisations qu’ils n’en ont besoin. En fait, de nombreuses organisations accordent l’accès à tous les fichiers et objets de la base de données sur l’OS IBM i à un nombre colossal de profils d’utilisateurs. Concrètement : rien n’empêche les collaborateurs d’accéder à des données non autorisées et de les partager voire d’effacer l’ensemble du système d’exploitation.
Solution : Faites l’effort d’évaluer les profils d’utilisateurs et leurs activités sur une base régulière. Standardisez les profils avec des autorisations basées sur les rôles, gardez la trace de ceux qui ont accès et gardez un œil sur les collaborateurs qui obtiennent un accès par des moyens pour le moins surprenants.
2. Autoriser les mots de passe IBM i par défaut
Les utilisateurs conservent souvent des mots de passe qui correspondent à leurs noms d’utilisateur… GROSSE ERREUR. Comme vous devez le savoir, les hackers essaient toujours d’utiliser des identifiants de connexion dont le nom d’utilisateur et le mot de passe correspondent ou sont plus faciles à deviner.
Cela permet aux hackers de vérifier s’ils peuvent accéder au système (et ils y parviennent souvent). L’ensemble de votre système IBM i risque alors d’être exploité ou de voir toutes les données importantes et confidentielles effacées.
Solution : Les changements de mots de passe à l’arrivée dans l’entreprise et pendant sa formation est obligatoire pour résoudre ce problème. Un contrôle continu de la conformité permet également de créer des rapports pour déterminer combien d’utilisateurs ont des mots de passe par défaut et rechercher des paramètres de mot de passe appropriés.
3. Ignorer les règles de conformité
Certaines organisations n’arrivent pas à mettre correctement en place les mesures de sécurité pour répondre à leurs obligations car elles ne maîtrisent pas les outils ou les contrôles nécessaires.
Remettre la tâche à plus tard, c’est risquer des sanctions ou espérer que les auditeurs ne détecteront aucun problème. D’autant qu’il est fort possible qu’un auditeur ne se rende pas compte que l’IBM i n’est pas protégé contre les virus, car il ne comprend pas le fonctionnement de la plate-forme. Et ça offre aux administrateurs une échappatoire, au moins d’un point de vue légal.
Solution : Il est impératif de connaître parfaitement les exigences spécifiques auxquelles votre organisation doit répondre. À partir de là, vous pourrez utiliser les logiciels appropriés ou autres procédures pour garantir aux auditeurs que vous faites tout votre possible pour vous conformer pleinement à ces directives et sauvegarder vos données.
4. Utiliser une version qui n’est plus prise en charge d’IBM i
Comme pour tout système d’exploitation, le fait de ne pas utiliser la version la plus récente peut causer des problèmes, surtout si vous utilisez une version qui n’est plus prise en charge par le fournisseur.
Utiliser une version obsolète de l’IBM i, c’est (souvent) ne pas disposer des mises à jour les plus récentes de vos outils de sécurité et ainsi être vulnérable. En outre, si votre version est trop ancienne, vous risquez de ne pas pouvoir obtenir de support d’IBM.
Solution : La seule option sage est de rester à jour et de se mettre à jour.
5. Se reposer sur la sécurité des menus
La sécurité des menus de l’écran vert propose à chaque utilisateur des options uniques en fonction de son profil. Cependant, il n’y a rien à contrôler dans le système car ce sont les seuls endroits auxquels un utilisateur peut accéder.
Sauf que les utilisateurs expérimentés peuvent facilement accéder à des zones situées au-delà des options du menu. Ces points d’entrée permettent à un utilisateur de contourner les options de menu qui sont initialement affichées.
Solution : Il est essentiel de ne pas se fier aux politiques de sécurité des menus auxquels les utilisateurs peuvent accéder via le système. De même, vous devez prêter attention aux autres interfaces PC utilisées et mettre en place une autorité au niveau de l’objet.
6. S’appuyer sur une seule couche de sécurité
Supposer qu’un pare-feu ou une protection antivirus pour PC offre une sécurité suffisante contre une attaque n’est pas judicieux. Une solution à plusieurs niveaux est nécessaire, comprenant la gestion des points de sortie, la protection antivirus, les pare-feu et des profils d’utilisateur rigoureux.
Solution : Évaluez votre position en matière de sécurité sous plusieurs aspects, car les utilisateurs ou les acteurs malveillants utilisent tous les moyens pour se faire passer pour des utilisateurs autorisés et ainsi obtenir l’accès au système.
7. Ne pas utiliser l’authentification multifactorielle (AMF) avec les comptes privilégiés
L’utilisation de plusieurs niveaux d’authentification pour s’assurer que vous identifiez les personnes qui accèdent au système IBMi est de plus en plus répandue. C’est particulièrement important lorsque l’on travaille avec des utilisateurs ayant un accès administratif.
Solution : Certaines directives, telles que PCI DSS, nécessitent une authentification multifactorielle pour tout administrateur du système IBM i qui entre dans l’environnement des données des titulaires de cartes. Cette couche de sécurité supplémentaire, associée à d’autres mesures de contrôle d’accès, peut minimiser de manière significative les dommages que peuvent causer les informations d’identification divulguées.
8. Permettre aux utilisateurs finaux d’avoir des autorisations en ligne de commande
Les organisations utilisent fréquemment des menus pour limiter la capacité des utilisateurs à utiliser une ligne de commande. Cependant, même l’utilisateur le plus inexpérimenté peut provoquer des erreurs qui lui permettent d’accéder à la ligne de commande. Et ils pourraient ainsi exécuter plus de 2 000 commandes dans le système d’exploitation d’IBM i, dont certaines peuvent avoir des effets désastreux : effacer des données, désactiver des sous-systèmes, voire exposer des données !
Solution : Vous devez contrôler l’environnement dans lequel tout opérateur IBMi peut exécuter des commandes, comme l’écran vert ou le FTP. Vous devez également garder la trace des autorisations dont disposent les utilisateurs, comme mentionné dans les menaces précédentes.
9. Fonctionnement en dessous du niveau de sécurité 40, voire 30
IBM vous recommande vivement de définir le niveau de sécurité de votre système d’exploitation à au moins 40. Certains utilisateurs, cependant, rétablissent la configuration lors des mises à jour pour intégrer des programmes obsolètes, dans l’intention de rétablir le niveau de sécurité plus tard. Sauf qu’il n’y reviennent jamais.
Il s’agit d’une vulnérabilité majeure car un utilisateur peut éventuellement exécuter une tâche sous un autre profil, sans autorisation.
Solution : Il est essentiel d’atteindre le niveau de sécurité 40, même si ce n’est pas une procédure rapide sur IBM i. Vous devez donc planifier la mise à jour et effectuer les tests nécessaires pour vous assurer qu’aucun processus lié n’est perturbé.
10. Ne pas avoir de plan de réponse aux cyber-attaques
Un plan de réponse aux cyber-attaques diffère d’un plan de reprise après sinistre, tant une cyber-attaque peut nécessiter une réponse très différente. Vous devrez déterminer d’où vient la menace de sécurité, comment empêcher l’accès et déterminer la meilleure stratégie pour restaurer les dommages ou évaluer la perte de données.
Gérer un virus n’a rien à voir avec une attaque malveillante qui tente de voler des données dans votre système en est un autre : dans le premier cas, le serveur peut être endommagé de façon irrémédiable, dans le deuxième, ce sont les données qui fuitent.
Solution : Assurez-vous que vous disposez de deux contre-mesures distinctes pour faire face à ces scénarios, ainsi que des solutions et des communications nécessaires.
En matière de sécurité IBM i, il existe de nombreuses options. Malheureusement, beaucoup ne sont pas spécifiques à IBM i pour vous aider à protéger votre système contre les violations de données. En effet, de nombreuses solutions de sécurité proposées ne sont pas spécifiques à IBM i. En outre, les fournisseurs de solutions n’ont souvent pas l’expertise administrative IBM i pour fournir une sécurité efficace contre la violation des données.
Pour en savoir plus : www.Source-Data.com.
Article initial en anglais :
https://www.linkedin.com/pulse/10-ibm-i-iseriesas400-security-risks-ways-avoid-them-bob-losey/
Autres articles qui pourraient vous plaire
Terres du Sud exploite son environnement IBMi au maximum grâce à Armonie-Notos
cas client Terres du Sud exploite son environnement IBMi au maximum grâce à Armonie-Notos A propos de Terres du Sud Le groupe Terres du Sud est la première coopérative de Lot-et-Garonne. Acteur majeur de l’agriculture et de l’alimentation du Sud-Ouest, elle est...
Comment choisir son consultant en cybersécurité sur IBM i
blog ID-INFO Comment choisir son consultant en sécurité sur IBM i ? Malgré tous les avantages que peut avoir un AS/400 en matière de sécurité, les attaques actuelles obligent leurs détenteurs à mettre en place les meilleures pratiques pour leur organisation : il en va...
IBM i : la sécurité reste la principale préoccupation (Etude Fortra 2023)
Étude Fortra 2023 IBM i : la sécurité reste la principale préoccupation Le 1er février 2023, Alex Woodie journaliste au The Four Hundred nous expliquait comment la sécurité restait la préoccupation numéro un des revendeurs IBM i. Dans sa neuvième enquête annuelle),...
Utilisateurs historiques IBM i : résumé de 2022
blog ID-INFO Utilisateurs historiques IBM i : ce qu’il faut savoir en 2022 Passage au cloud pour limiter les coûts, problèmes de sécurité, de pièces détachées, augmentation du coût du support IBM : garder son AS/400 parfois, ça se mérite ! Quelques pistes de réflexion...
IBM i : quatre grandes tendances qui affectent le marché
blog ID-INFO IBM i : quatre grandes tendances qui affectent le marché Tout le monde vit une époque intéressante. En effet personne ne pouvait imaginer un confinement mondial, ni vivre une pandémie aussi répandue avec de telles restrictions pour empêcher la propagation...
L’étrange histoire de l’IBM i
blog ID-INFO L'étrange histoire de l'IBM i Les développements sur IBM i sont aujourd'hui presque aussi célèbres que le roman de Fitzgerald où Benjamin Button, le protagoniste qui est né vieux, rajeunit au fil du temps. L'IBM i au lieu de « vieillir », de devenir un...
Les 6 fonctionnalités de l’IBM i qui lui donnent une longueur d’avance
blog ID-INFO Les 6 fonctionnalités de l'IBM i qui lui donnent une longueur d'avance Voici les principales caractéristiques d'IBM i en réponse aux critiques qui affirment que l'IBM i est « vieux ». Il n'est pas « vieux », il est toujours en avance. La semaine dernière,...
Est-ce que votre IBM i a un avenir ? Evidemement !
blog ID-INFO Est-ce que votre IBM i a un avenir ? Evidemement ! En tant que partenaire commercial IBM et fournisseur d'hébergement cloud, je parle quotidiennement aux utilisateurs d'IBM i. De nombreux « experts » affirment que l'IBM i est une technologie ancienne et...
Votre IBM i présente des failles de sécurité que vous ignorez. Et elles peuvent être réparées
blog ID-INFO Votre IBM i présente des failles de sécurité que vous ignorez. Et elles peuvent être réparées. L'IBM i a acquis une réputation de fiabilité basée sur des décennies de performance et de disponibilité pour de bonnes raisons. Malgré cela, au fur et à mesure...
Combien de temps faut-il pour quitter l’IBM i ?
blog ID-INFO Combien de temps faut-il pour quitter l'IBM i ? La semaine dernière je parlais avec un expert IBM qui expliquait que 5 années auparavant, la nouvelle direction s’est plaint que leur système IBM i était vraiment vieux. Pourquoi ? Car il était basé sur des...