La sécurité est un vieux sujet en TI mais elle prend de plus en plus d’ampleur avec les années et les cas que l’on peut entendre dans la presse spécialisée ou non ces dernières années.
Pour différentes raisons, on peut être amené à se faire auditer par un organisme externe.
L'audit informatique se déroulera sous la responsabilité d’une entreprise externe qui aura entre autres pour objectif d’évaluer les risques opérationnels et financiers associés aux activités informatiques d'une entreprise ou d'une administration.
Dans notre scénario, nous partons du principe que l’entreprise possède sa propre zone d’atterrissage (landing zone).
Notre auditeur aura besoin de se connecter à la plateforme AWS pour réaliser son audit.
Par Vincent Savigny
Vous allez devoir vous connectez au compte Maitre (ou Master account).
Le service que nous allons utiliser est AWS SSO puis nous allons créer un nouvel utilisateur.
Remplissez les champs en étant le plus complet possible et bien faire ressortir le fait que cela concerne l’audit. Cet utilisateur doit être facilement identifiable de manière à le supprimer une fois l’audit terminé. On choisit de générer un mot de passe temporaire que l’on enverra de façon sécuritaire.
On ne l’affecte à aucun groupe
On peut alors cliquer sur « ajouter un utilisateur ».
Notre utilisateur a été créé avec succès et AWS nous informe que l’on doit enregistrer un appareil pour gérer l’authentification à 2 facteurs. On peut récupérer son mot de passe temporaire et lui communiquer de manière sécuritaire et différente du nom d’utilisateur.
Il nous reste quelques étapes avant que notre utilisateur puisse se connecter.
Cliquer sur l’utilisateur que vous venez de créer, les informations ci-dessous s’afficheront, puis cliquer sur « envoyer un lien de vérification d'e-mail »
L’utilisateur va recevoir un courriel avec un lien de vérification. Il lui suffira de cliquer sur le lien web.
Concernant l'enregistrement d’un appareil pour la double authentification, cliquez sur l’utilisateur que vous venez de créer et aller sur l’onglet « MFA Devices (0) ou Périphériques MFA (0) ».
Cliquer sur « Enregistrer un périphérique MFA ».
Entrer un nom pour l’appareil que vous allez ajouter, dans notre cas « téléphone ».
À l’étape 2, afficher le QR Code
Dans notre cas, nous utilisons déjà « Google Authenticator » donc nous allons garder celui-ci. Ci-dessous les applications pour téléphones compatibles :
Si l’auditeur est physiquement à côté de vous alors il vous suffit de lui demander de démarrer son application et de scanner le Code QR. Il pourra alors vous donner le code de 6 chiffres généré.
Si l’auditeur est à distance, contacter l’auditeur par téléphone. Vous pouvez alors lui envoyer le Code QR pour qu’il le scanne et vous transmettre directement les 6 chiffres.
Nous avons désormais un utilisateur qui a été créé mais qui ne possède pas de droits.
Allez ensuite dans AWS SSO puis Comptes AWS. On retrouve notre infrastructure avec nos différents comptes de notre zone d'atterrissage.
Notre auditeur, dans notre cas, a besoin d’auditer la plateforme de Production, on clique donc sur « Prod » et « affecter des utilisateurs ».
On sélectionne notre utilisateur « exemple email ».
On va créer un nouveau jeu de permission pour l’audit
On clique sur « créer un nouveau jeu d’autorisations »
On va sélectionner « SecurityAudit » puis « créer ».
On choisit désormais « SecurityAudit » puis « terminer »
Notre utilisateur peut désormais se connecter à la plateforme AWS, dès qu’il se connecte il devra utiliser le jeton puis il aura le choix d’utiliser l’interface web ou les API/Commande CLI. Pour les API/Command CLI, des accès temporaires clé d’accès et clé secret seront générés pour le temps de sa session.
Les informations du portail se trouvent dans la section Paramètres, on y trouve le « URL du portail utilisateur »
Ouvrez l’URL dans un navigateur puis entrer le code présent dans l’application sur votre téléphone.
Utilisez ensuite votre nom d’utilisateur et mot de passe temporaire ainsi que votre nouveau mot de passe pour vous connecter.
Vous êtes alors connecté au portail et vous avez deux possibilités pour vous connecter.
Une fois votre audit terminé, n’oubliez pas de supprimer ce compte.
INSCRIVEZ-VOUS À NOTRE INFOLETTRE
Vous recevrez ainsi par courriel des informations sur les nouvelles innovations technologiques du marché, l’actualité de Linkbynet, nos bulletins d’experts traitant des meilleures pratiques TI, des invitations à des évènements ciblés, des témoignages de nos clients, ainsi que nos infolettres.
Notez que chacune de nos infolettres contiendra un lien qui vous permettra de vous désabonner de celles-ci. Inscrivez-vous maintenant !
La protection des renseignements personnels fait depuis quelques années l’objet de nombreuses initiatives de citoyens et d’organismes étatiques dans le monde. Car les entreprises commerciales, GAFAM en tête, mais aussi de nombreux acteurs installés localement, ont eu conscience très tôt de la valeur des données personnelles qu’elles récoltaient. Elles ont ainsi longtemps pu profiter, sans contrepartie, d’un vide juridique en matière de récolte et d’usage de ces dernières qui leur a offert un avantage concurrentiel capital sur leurs marchés respectifs.
La norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard), mieux connue sous la dénomination PCI DSS, est un standard de sécurité mis en place par les grands acteurs de la chaîne monétique. Son but ? Augmenter la sécurité et le contrôle des informations associées au détenteur d’une carte de crédit lorsque celui-ci effectue un achat et réduire par la même occasion les possibilités d’utilisation frauduleuse de son moyen de paiement.
À l’heure où les technologies infonuagiques sont plus prisées que jamais par des organisations en quête de réduction de la complexité et des coûts associés à leurs infrastructures et à leurs applicatifs, les besoins en formation des professionnels du secteur des TI ont également progressé de manière exponentielle.
Des services numériques sur mesures, centrés sur l’humain. Des expertises et des technologies innovantes fondées à la fois sur un collectif fort et la passion de l’innovation.
Copyright © 2022 LINKBYNET