En réalité, bien des entreprises qui s’appuient sur la solution IBM i courent des risques élevés en matière de sécurité. Le problème, ce n’est pas la solution IBM i, mais bien la façon dont plusieurs entreprises l’utilisent.

Imaginez que la solution IBM i et une lourde porte équipée de dizaines de serrures. Pour protéger vos données, vous ne pouvez pas vous contenter d’installer la porte. Vous devez la fermer, puis verrouiller chaque serrure. Bon nombre d’entreprises pensent que leurs données sont protégées automatiquement avec IBM i, mais pour que leur système informatique soit véritablement protégé, elles doivent suivre les meilleures pratiques et mettre en place les bons éléments.

Les façons d’atteindre une sécurité maximale avec IBM i sont, en quelque sorte, un secret bien gardé. Nous partageons ici ces astuces secrètes et vous expliquons comment utiliser IBM i à son plein potentiel pour protéger vos données

La solution IBM i n’offre-t-elle pas automatiquement une protection?

IBM i est un système d’exploitation entièrement intégré qui roule sur un serveur de système IBM Power. Il ne s’agit pas de la technologie la plus récente, mais la solution IBM i demeure populaire parce qu’elle offre une solide protection — c’est sa principale fonctionnalité.

Comme la solution IBM i est solide et intégrée, sa gestion ne requiert que peu de personnel. Dans bien des entreprises, la personne responsable du système IBM i n’est même pas un spécialiste des TI. Ce peut être un commis à la comptabilité, ou une autre personne occupant ce type de poste. On a même déjà vu des entreprises qui laissaient leur serveur IBM i entièrement sans surveillance; l’une d’elles a perdu la trace de son serveur, pour finalement se rendre compte qu’il était caché derrière un mur.

Grâce à sa solidité exceptionnelle, un serveur IBM i peut régler les problèmes seul et fonctionner avec peu de soutien technique, voire aucun. Il s’agit d’un avantage, mais qui comporte des risques. Si peu de gens surveillent le serveur, et que ces personnes ne sont pas des spécialistes des TI, le système peut devenir désuet. Les problèmes de sécurité et les risques peuvent augmenter sans que l’entreprise ne soit au courant, surtout si celle-ci a l’impression que son serveur IBM i est protégé en raison de sa nature-même et qu’elle ne s’assure pas de mettre en place les mises à niveau et les éléments les plus récents en matière de sécurité pour protéger ses données.

Les attaques envers des serveurs IBM i sont rares, mais quand un serveur IBM i tombe en panne, les conséquences sont désastreuses. Dans plusieurs entreprises, toutes les activités reposent sur le serveur IBM i. Si elles perdent ce serveur, elles perdent tout.

L’enjeu est trop important : vous devez vous assurer que votre serveur IBM i protège vos données au meilleur de ses capacités. La solution IBM i offre de nombreuses fonctions, récentes ou anciennes, qui sont méconnues des entreprises et qui peuvent les aider à protéger leurs systèmes. Voici les cinq principales fonctions d’IBM i que nous vous recommandons de commencer à utiliser dès aujourd’hui.

5 astuces secrètes à propos d’IBM i

1. Vous pouvez ajouter l’authentification multifacteur (AMF)

De plus en plus d’entreprises cherchent à se protéger des cyberattaques en raison de l’augmentation des attaques par rançongiciel et des coûts qu’elles entraînent. Ces attaques peuvent être fatales pour une entreprise, qui voudra donc avoir recours à une assurance.

Cependant, les assureurs exigent maintenant habituellement l’authentification multifacteur (AMF) avant d’accorder une assurance contre les cyberattaques.

La plupart des gens connaissent l’AMF puisqu’ils l’utilisent quand ils se connectent au portail de leur banque ou à tout autre site aussi sécurisé. Quand vous entrez votre mot de passe en ligne, vous recevez un texto contenant un code qui vous permet de confirmer votre identité.

Ce que bon nombre d’entreprises ne réalisent pas, c’est que, avec IBM i, vous pouvez mettre en place l’AMF en passant directement par le système d’exploitation.

Si vous souhaitez obtenir une cyberassurance et devez offrir l’AMF, vous verrez que sa mise en place est simple. Vous ne souhaitez pas obtenir de cyberassurance? R2i recommande tout de même fortement la mise en place de l’AMF — il s’agit d’une pratique exemplaire en matière de cybersécurité pour n’importe quelle entreprise.

2. Les sauvegardes inaltérables sont prises en charge

La cybersécurité se définit traditionnellement par trois piliers : une disponibilité élevée, la récupération en cas d’incident, et les sauvegardes. Récemment, un quatrième aspect a fait son apparition : la cyber résilience.

Par rapport à la récupération en cas d’incident, qui vise à protéger vos données contre des catastrophes naturelles ou d’autres menaces, la cyber résilience représente la capacité de votre entreprise à se préparer à des cyberattaques de joueurs mal intentionnés et à y réagir.

Les sauvegardes inaltérables constituent un aspect clé de la cyber résilience. Elles ne peuvent être modifiées par qui que ce soit, ce qui est essentiel parce que les attaquants par rançongiciel savent que les sauvegardes sont un point vulnérable. Dans la plupart des cas d’attaques par rançongiciel, les attaquants commencent par détruire les métadonnées et les répertoires liés à vos sauvegardes de façon à rendre celles-ci inutilisables. Quand une attaque par rançongiciel rend votre système inopérant, vous n’avez pas d’autre choix que de payer la rançon puisque vos sauvegardes ne sont plus accessibles.

Les sauvegardes inaltérables règlent ce problème. Les attaquants sont incapables de les modifier ou de les détruire. Ainsi, même victime d’une attaque, vous pouvez récupérer vos données à partir de ces sauvegardes.

La bonne nouvelle? IBM i vous permet de faire des sauvegardes inaltérables de vos serveurs.

3. Le système de fichiers intégré (SFI) vous expose à des risques

Au cours des dernières années, IBM a ouvert la plateforme IBM i pour qu’elle puisse accueillir des fichiers de type Windows dans un SFI.

Le SFI est très pratique, mais il expose aussi votre entreprise à des risques. Les fichiers IBM i sont bien protégés puisque leur extension ne peut être modifiée. Dans un système comme Windows, cependant, un fichier peut avoir l’air d’un fichier texte, mais être en réalité un fichier exécutable et attaquer votre système. Avec les fichiers IBM i conventionnels, cette situation n’est pas possible. Mais avec le nouveau SFI, la plateforme IBM i devient plus vulnérable à ce type d’attaques.

Le SFI d’IBM i présente un enjeu important, peu connu de bien des entreprises : tout le monde peut, par défaut, lire, écrire et modifier les fichiers SFI. Ainsi, n’importe quel utilisateur ordinaire qui obtient l’accès à votre SFI peut faire ce qu’il veut.

Pour protéger vos données, la solution est simple : il suffit de modifier les permissions dans votre SFI pour que seuls les utilisateurs approuvés puissent modifier les fichiers.

Le SFI ouvre une porte dans votre système IBM i. Il peut s’agir d’un avantage — à condition de vous assurer de la verrouiller.

4. Vous pouvez imposer des règles pour les mots de passe

Avec IBM i, les entreprises peuvent imposer des règles applicables à la complexité des mots de passe des utilisateurs. Cette option existe depuis des années, mais plusieurs entreprises l’ignorent.

Le système IBM i vous permet, par exemple, d’obliger les utilisateurs à utiliser une diversité de caractères en exigeant que chaque mot de passe contienne trois types de caractères parmi ceux-ci : des lettres minuscules, des lettres majuscules, des chiffres ou des symboles spéciaux. Les mots de passe sont ainsi beaucoup plus sûrs.

Le système vous permet aussi d’exiger des utilisateurs qu’ils changent leurs mots de passe tous les 30 ou 60 jours, ce qui constitue une autre pratique exemplaire en matière de sécurité. Nos experts, chez R2i, vous recommandent fortement d’utiliser ces deux fonctions pour rendre les mots de passe plus sûrs.

5. L’outil Start Authority Collection aide à fixer les niveaux d’autorisation

Un principe de base de la cybersécurité consiste à accorder à chaque utilisateur le niveau d’autorisation le moins élevé possible, en fonction de ce dont il a besoin pour faire son travail.

Concrètement, ce n’est pas toujours facile. Quand un utilisateur doit effectuer une tâche et qu’il se heurte à une barrière de sécurité, ce peut être difficile de déterminer quels privilèges supplémentaires lui accorder précisément. Les administrateurs des TI gagneront du temps en lui accordant de larges autorisations pour lui permettre de s’acquitter de sa tâche.

Au fil du temps, de nombreux utilisateurs se retrouvent avec des autorisations beaucoup plus larges que ce dont ils ont réellement besoin pour faire leur travail. Mais si l’entreprise tente de régler ce problème de protection des données en réduisant les niveaux d’autorisations, elle risque de nuire au fonctionnement du système. Certaines tâches ne pourront être réalisées, et les opérations ralentiront. Pour éviter ces désagréments, l’entreprise risque de ne plus tenter de resserrer sa sécurité.

Le nouvel outil Start Authority Collection d’IBM i règle ce problème. Il crée une trace qui permet de suivre les utilisateurs pendant qu’ils font leur travail. Vous pouvez ainsi savoir précisément de quelles autorisations chaque utilisateur a besoin, et limiter les niveaux d’autorisation sans crainte puisque vous saurez que vos utilisateurs ont les autorisations dont ils ont besoin.

Protégez vos données avec des vérifications de sécurité

L’équipe de R2i recommande fortement la mise en place des fonctions d’IBM i énumérées ci-dessus pour protéger vos données, mais elle vous recommande aussi un autre aspect essentiel de la protection des données : les vérifications de sécurité.

Comme la solution IBM i fonctionne si bien, de nombreuses entreprises sont portées à penser qu’elle est sûre. Mais vous devez absolument vérifier la sécurité de vos serveurs IBM i.

IBM i s’appuie sur trois piliers, et une vérification de sécurité doit tenir compte de chacun d’entre eux.

1. Valeurs système — les valeurs système déterminent les règles pour tout le système. Par exemple, vous pouvez déterminer que tout le monde doit changer son mot de passe tous les 60 jours. Ce pilier détermine un niveau de sécurité par défaut qui s’applique à l’ensemble du système.
2. Utilisateurs — les personnes qui peuvent accéder à votre système sont regroupées par types d’utilisateurs. Les utilisateurs généraux ont des accès limités, mais les superutilisateurs et les administrateurs ont des niveaux d’autorisation élevés et peuvent outrepasser les règles qui s’appliquent à tout le système.
3. Objets — les objets sont les données, les programmes et le code source que vous voulez protéger. Ils sont protégés par les règles applicables à tout le système, mais vous pouvez aussi les protéger individuellement.

Imaginez que votre serveur IBM i est une maison. Les valeurs système représentent les serrures de la porte avant. Les règles applicables aux utilisateurs déterminent qui a la clé de quelle serrure. Les objets, pour leur part, représentent chacune des pièces de la maison, que vous pouvez aussi verrouiller pour plus de sécurité.

Quand vient le temps d’effectuer une vérification rapide de la sécurité, les entreprises examinent parfois seulement les valeurs système, mais il est important de tenir compte des trois niveaux. Voici un exemple qui le démontre : le changement obligatoire des mots de passe. Votre solution IBM i prévoit peut-être une règle applicable à tout le système selon laquelle les utilisateurs doivent changer leurs mots de passe tous les 60 jours. Cette règle permet de protéger vos données efficacement. Cependant, un administrateur pourrait être tenté de se donner l’autorisation d’outrepasser cette règle pour ne pas avoir à modifier ses nombreux mots de passe puisque cette opération prend beaucoup de temps. S’il se fait voler ses mots de passe et que vous n’avez pas l’AMF, votre système est vulnérable à une attaque.

C’est pourquoi il est essentiel de vérifier les règles qui s’appliquent non seulement à tout le système, mais aussi à chaque utilisateur et à chaque objet, pour détecter toutes les failles. Vous devez aussi vous assurer que très peu d’utilisateurs disposent de niveaux d’autorisation élevés, et que ceux dont c’est le cas n’ont pas quitté l’entreprise ni contourné une règle.

Une vérification de sécurité vous permet aussi de vous assurer que vous adoptez toutes les meilleures pratiques en matière de sécurité. Comme la plateforme IBM i tombe rarement en panne, on voit parfois un relâchement de la sécurité. Chez R2i, nous avons déjà vu une entreprise qui n’avait fait aucune sauvegarde de son serveur IBM i depuis un an. La plateforme est solide, c’est vrai, mais si l’entreprise avait perdu son serveur, elle n’aurait pas pu continuer à fonctionner. Ne courez pas ce risque, assurez-vous de vérifier vos systèmes et d’appliquer les meilleures pratiques.

Chez R2i, nous recommandons une vérification de la sécurité d’IBM i deux fois par année. Votre équipe des TI à l’interne peut s’en charger, mais il peut être utile d’avoir recours à une équipe de l’externe, comme celle de R2i, pour vérifier régulièrement votre système. Des spécialistes de l’externe apporteront un regard neuf et des connaissances additionnelles, garantissant une vérification de sécurité la plus exhaustive et la plus utile possible.

Suivez le rythme des correctifs

Nous vous conseillons de profiter de vos vérifications de sécurité semi-annuelles pour appliquer des correctifs à votre système. Avec les correctifs, vos logiciels sont à jour et votre sécurité est préservée.

Il arrive que des entreprises prennent du retard dans la gestion des correctifs pour leurs systèmes IBM i. Elles hésitent alors à entreprendre l’application des correctifs, puisqu’elles se retrouveraient à devoir effectuer de nombreux changements en même temps, ce qui pourrait affecter, voire endommager, certaines de leurs applications.

Une entreprise qui a du retard dans la gestion des correctifs est toutefois plus vulnérable aux risques en matière de sécurité. Nous recommandons d’appliquer des correctifs environ deux fois par année, de façon à limiter les changements importants qui pourraient poser problème.

Protégez vos données et vos systèmes IBM i avec l’aide d’experts.

Pour avoir des conseils pour mettre en place les fonctions de sécurité décrites ci-dessus, ou pour faire vérifier la sécurité de votre système IBM i à l’externe, faites appel à l’équipe de R2i.

Nos spécialistes des TI connaissent en profondeur les fonctions de sécurité d’IBM i et peuvent vous aider à faire des choix pour protéger vos données le mieux possible. Nous pouvons travailler avec votre système actuel ou vous guider dans votre transformation numérique.

Comme les spécialistes des TI de la grande équipe de R2i ont des expertises variées, nous pouvons aussi effectuer une vérification de la sécurité de l’entièreté de vos systèmes informatiques, au-delà de la plateforme IBM i.

Si vous aimeriez qu’un spécialiste de R2i vérifie la sécurité de votre solution IBM i, ou si vous avez des questions sur IBM i et sur la protection de vos données, n’hésitez pas à communiquer avec nous.