Les mainframes sont considérés comme les systèmes informatiques les plus sûrs. Mais parce qu’ils gèrent 90% de toutes les transactions par cartes bancaires et 68% des workloads de production, ils restent des cibles privilégiées pour des cyberattaquants particulièrement intéressés par des logins. Voici un guide des bonnes pratiques pour bien sécuriser les accès aux mainframes et intégrer les mastodontes de l’informatique aux approches Zero Trust.

Les menaces cyber sont de plus en plus nombreuses et ne cessent de se perfectionner. D’après le Data Breach Investigations Report 2022 de Verizon, les identifiants de connexion constituent le principal moyen par lequel un cybercriminel s’infiltre dans une entreprise, et cela concerne 50% des violations de données. Par ailleurs, le volume mondial des attaques par ransomware ne cesse de se multiplier. Au cours de l’année 2021, la CNIL comptabilisait en France près de 5 millions de victimes, contre « seulement » un million au premier semestre 2020. Dans son Rapport d’activité annuel, l’institution indique que parmi toutes les notifications d’attaques reçues en 2021, 43% concernaient des ransomwares.

Enfin, la facture, elle aussi, est de plus en plus salée ! En effet, d’après une étude IBM de 2021, le coût moyen d’une violation de données était, en France, de 3,84M d’euros, soit une augmentation de 5% par rapport à 2020. Le risque pour les entreprises est bien réel, et les enjeux financiers liés à une violation sont plus élevés que jamais.

Des records d’attaques en 2021

L’année 2021 aura été marquée par des attaques comme celles visant Colonial Pipeline, JBS Food ou Brenntag entraînant des dépenses supplémentaires pour les entreprises victimes, mais provoquant également des arrêts des productions et des ruptures de stock.

Dans le cas de Brenntag, les cyberattaquants ont procédé au chiffrement des appareils connectés au réseau et ont volé des fichiers non chiffrés. Afin de récupérer ces fichiers et éviter que les données ne soient publiquement divulguées, l’entreprise a payé une rançon de 4,4 millions de dollars. Le groupe responsable de l’attaque, et affilié de DarkSide, affirme avoir obtenu l’accès au réseau après avoir acheté des identifiants de connexion volés. Enfin, des entreprises comme HubSpot, la Croix-Rouge et Kaseya ont récemment été la cible de cyberattaquants.

Bien que ces exemples ne soient pas spécifiquement liés au mainframe, il constitue une vulnérabilité qu’il ne faut pas sous-estimer. Il doit être fortement sécurisé, et ce en permanence, au même titre que toutes les surfaces d’attaque comme le montre l’enquête BMC Mainframe de 2021. Celle-ci révèle en effet que pour la deuxième année consécutive, la sécurité est considérée comme une priorité absolue pour les entreprises dotées d’un environnement mainframe.

Se conformer aux règlementations

Si les statistiques montrent que les violations sont en augmentation dans tous les domaines, il ne faut pas oublier qu’il existe des réglementations, comme la Norme de Sécurité de l’Industrie des Cartes de Paiement (PCI DSS) ou le Règlement Général sur la Protection des Données (RGPD), auxquelles les entreprises doivent se conformer sans quoi, elles peuvent s’exposer à de lourdes pénalités, qui viendraient s’ajouter aux pertes liées à une potentielle attaque. Ces directives protègent les individus et leurs données. Par exemple, PCI DSS peut imposer l’authentification multifactorielle (MFA) pour les données relatives aux titulaires de cartes, le cryptage et le masquage des données, ainsi que l’application de correctifs de sécurité. Le RGPD, quant à lui, protège les données, qu’elles soient en cours d’utilisation ou déjà stockées, et exige notamment que toute information personnelle identifiable ne soit accessible qu’aux personnes ayant une raison légitime de le faire.

Il existe de nombreuses autres réglementations, que ce soit au niveau régional, national et international. Il est donc indispensable que les entreprises se tiennent à jour et s’y conforment afin de garantir la sécurité de leurs données.

L’accès au Mainframe sécurisé en 4 actions

Pour sécuriser au maximum les accès au mainframe et les données qu’il contient, les entreprises doivent se doter de dispositifs de contrôle.

Une authentification forte :

Le recours à l’authentification forte, et notamment l’authentification multi-facteur (MFA) permet de réduire la probabilité qu’un cyberattaquant puisse pénétrer dans le système. Dans des environnements mainframe, celle-ci se fait généralement à plusieurs niveaux, par exemple, via les contrôles de gestion des identités et des accès (IAM) de l’entreprise afin de protéger la majorité des systèmes et des données.

De nombreuses entreprises opérant sur mainframe utilisent encore des mots de passe faibles, souvent dotés de huit caractères. Non pas parce qu’elles estiment que ce système est sûr, mais parce qu’elles pensent qu’il est impénétrable. Or, le mainframe peut être attaqué, et doit être protégé au même titre que tous les actifs IT critiques. En renforçant les authentifications, notamment par le biais de plateformes d’authentifications multi-facteurs, une entreprise assure une meilleure protection de ses données, mais surtout de son mainframe.

Des accès autorisés :

Les autorisations d’accès aux données et/ou aux systèmes doivent reposer sur le principe du moindre privilège. Avant de les accorder, il faut pouvoir s’assurer que l’utilisateur justifie d’un besoin légitime pour y accéder en fonction de son rôle dans l’entreprise. Cela signifie qu’il doit y avoir une procédure de vérification avant qu’un utilisateur n’accède au mainframe afin de garantir que celui-ci dispose des autorisations nécessaires, au lieu de dépendre uniquement des mesures de protection du mainframe. Les entreprises doivent protéger leurs ressources en tirant parti de leurs services de répertoire internes déjà existants.

Cryptage et protection des données sensibles :

Les données sensibles doivent être protégées à tout moment, qu’elles soient déjà stockées ou en cours de traitement (c’est-à-dire entrant ou sortant du réseau). Les entreprises doivent également envisager de protéger les données au niveau de la couche de présentation. Le chiffrement, la réécriture et la tokenisation sont des techniques permettant de sécuriser les données sensibles. Combinées, ces approches réduisent la quantité d’informations sensibles auxquelles un cyberattaquant peut avoir accès, même en cas de violation du système.

Endpoint Hardening :

Le Endpoint Hardening consiste à renforcer la sécurité de tous les périphériques accédant au mainframe dans le but de prévenir les attaques. Ce procédé sécurise tous les systèmes en réduisant la surface de vulnérabilité. Cela repose sur l’installation des derniers correctifs de sécurité et la configuration des systèmes d’exploitation et des applications selon les principes, les politiques et les normes du moindre privilège. Dans un environnement mainframe, la principale application nécessitant un endpoint hardening sera par exemple l’émulateur de terminal, ou tout autre software de type host access. Les propriétaires devront alors verrouiller l’émulation de terminal, car tous les utilisateurs n’ont pas besoin de créer de nouvelles sessions, de modifier des macros ou de se connecter à des systèmes non autorisés.

Ces mesures de contrôle sont plus efficaces si elles sont appliquées ensemble. Cependant, si une entreprise choisit d’en introduire une ou plusieurs, elle aura fait un premier pas dans la sécurisation de son mainframe et de ses données.
___________________

Par Que Mangus, Responsable Marketing Produit chez Micro Focus

 


À lire également :

Au-delà du monitoring, l’observabilité…

Restreindre l’accès aux systèmes mainframe pour renforcer leur sécurité.

La pandémie accélère la transformation de la cybersécurité des entreprises.

IBM lance son nouveau mainframe : le z16</h23

IBM défend ses propriétés intellectuelles et brevets sur les mainframes

IBM met ses mainframes dans son cloud…

Google Cloud veut aller plus loin dans la migration des mainframes et s’offre Cornerstone