Autour de l'IBM i : la sécurité
Sécuriser votre IBM i : une priorité stratégique
Les environnements IBM i sont conçus pour la performance, la fiabilité et la continuité d’activité. Mais dans un contexte où les cybermenaces se multiplient, leur sécurisation devient un enjeu majeur de gouvernance IT.
Une réalité souvent sous-estimée
Nos audits menés sur plusieurs centaines de partitions révèlent un constat préoccupant : malgré leur architecture robuste, de nombreux IBM i sont mal protégés.
Fonctions de sécurité désactivées, configurations inadaptées, méconnaissance du RGPD… autant de failles qui fragilisent la résilience des systèmes.
Notre expertise
ACMI accompagne les entreprises dans la mise en place d’une stratégie de sécurité IBM i sur mesure.
Nos experts identifient les vulnérabilités, renforcent les paramètres critiques et aident vos équipes à mieux comprendre et exploiter les mécanismes internes du système.
Une approche durable
Au-delà du correctif, nous privilégions la prévention : formation, bonnes pratiques et veille technologique.
L’objectif : transformer votre IBM i en un environnement sûr, maîtrisé et conforme aux exigences réglementaires et métier.
Assure Security
Solution de Sécurité et de Conformité complète pour IBM i
La solution Assure Security est composée d’une combinaison de modules. Ensemble, ils permettent d’identifier rapidement les problèmes de sécurité et de conformité en générant des alertes et des rapports sur l’activité du système IBM i, les modifications des bases de données et les consultations des données Db2. Assure Compliance Monitoring inclut deux fonctionnalités qui sont également disponibles séparément.
Assure Security offre des fonctionnalités de sécurité de premier plan qui aident votre entreprise à se conformer aux réglementations en matière de cybersécurité et à réduire les failles de sécurité. Un large éventail de fonctionnalités permet de répondre aux principaux enjeux qui préoccupent les responsables de la sécurité et les administrateurs de systèmes IBM i.
Maintien de la conformité
Assurez et maintenez votre conformité avec les exigences du RGPD, de la norme PCI DSS, des lois HIPAA et SOX et d’autres réglementations de l’industrie en matière de cybersécurité.
- Assure Monitoring and Reporting
Assure Monitoring and Reporting extrait de manière fluide les informations du journal IBM i pour générer des alertes et des rapports sur les incidents de sécurité et les écarts de conformité. Les fonctionnalités de contrôle du système et de la base de données sont disponibles séparément ou conjointement. Vous pouvez également envoyer les données directement à votre solution SIEM pour permettre d’intégrer le contrôle de la sécurité de l’IBM i aux côtés des autres plateformes de l’entreprise.
Objectifs
- Mise en conformité réglementaire
- Reporting et alerting proactif
- Investigation, recherche de preuves
Technologie
- Collecte de tout type de journal (système, base de données...)
- Reporting enrichi, automatisé, filtres puissants
- Intégration SIEM (ORadar, Splunk, ArcSight, )
- Audit des modifications hors applications, collecte d'événements ciblés
Cas d'usage
- Audit système et base de données
- Génération de rapports et alertes
- Assure Db2 Data Monitor
Assure Db2 Data Monitor est une solution unique et innovante qui contrôle et peut bloquer les consultations de données Db2 hautement confidentielles.
Fin des violations
Détectez et corrigez efficacement et rapidement les violations de la sécurité et les écarts de conformité.
- Assure Multi-Factor Authentication
Assure Multi-Factor Authentication renforce la sécurité de login des utilisateurs configurés. Certifiée pour RSA SecurID, il prend également en charge les serveurs RADIUS et un module d’authentification fourni par Precisely.
Objectifs
- Mise en conformité (PCI-DSS, 23 NYCRR 500 ...)
- Prévention des attaques et renforcement de l'authentification selon le contexte
Technologie
- Intégration avec l'infrastructure existante via RADIUS sur IBM i
- Expérience avec Duo, Okta, Azure, Gemalto, VASCO, Entrust, ..
- MFA activable pour les populations et contextes sensibles
- Gestion du self-service pour la réactivation de profil ou changement de mot de passe
Points clés
- Règles fines, intégration au Single Sign On
- Prise en charge des connexions asynchrones
- Principe des « Quatre Yeux» pour les opérations critiques
- Assure Elevated Authority Manager
Assure Elevated Authority Manager octroie automatiquement des niveaux supérieurs d’autorité utilisateur en fonction des besoins et de manière limitée dans le temps, tout en contrôlant étroitement les actions des profils bénéficiant de cette élévation. Des règles définissent le contexte dans lequel l’autorité peut être octroyée, ainsi que la méthode d’élévation à utiliser.
Objectifs
- Limitation des comptes à privilèges
- Mise en conformité réglementaire
- Prévention des attaques et limitation des erreurs humaines
Technologie
- Élévation temporaire et contrôlée des droits spéciaux (*ALLOBJ, *SECADM...)
- Audit complet (joblog, écrans, journaux, exit point)
- Système de ticketing, workflow intégré
- Fonctionnement interactif, batch, SOL
Cas d'usage
- Réduction du nombre de profils puissants
- Élévation contrôlée
- Auditabilité complète
- Assure System Access Manager
Assure System Access Manager assure un contrôle de tous les points d’entrée des systèmes IBM i, y compris les protocoles réseau, les ports de communication, les protocoles de base de données et les lignes de commande. Des règles granulaires régissent les accès sur la base des paramètres des profils utilisateur, de l’heure et de la date, de l’adresse IP, etc.
Objectifs
- Mise en conformité avec les règlementations (RGPD, PCI-DSS, HIPAA, SOX...)
- Prévention des attaques classiques et avancées
- Limitation des erreurs humaines et des fuites de données
- Application des bonnes pratiques (moindre privilège, isolation, Zero-Trust)
- Contrôle de l'intégrité du système et des données
Technologie
- Basé sur les points d'exit IBMi (ODBC, JDBC, FTP, etc)
- Prise en charge des protocoles natifs et non natifs IBMi
- Impact CPU maitrisé, mode simulation / bloquant
- Règles fines, listes blanches / noires, souplesse de décision
- Gestion multi-iASP et contrôle des comptes de service
Cas d'usage
- Capture, blocage, alerte et journalisation des connexions et transactions
Protection des données personnelles
Protégez la propriété intellectuelle de votre entreprise et évitez le vol des données de vos clients, partenaires et employés.
- Assure Data Privacy
Assure Data Privacy protège les données des accès non autorisés par le chiffrement, l’utilisation de jetons et le masquage. Ses modules Assure Encryption et Assure Secure File Transfer sont également disponibles séparément.
Assure Encryption protège les données du système à l’aide du seul mode de chiffrement AES certifié par le NIST pour IBM i. Cette fonction intègre également un masquage des données et un audit des accès.
La fonction de gestion des clés de chiffrement prend en charge la solution Alliance Key Manager de Townsend Security (conforme FIPS 140-2) et d’autres gestionnaires de clé conformes OASIS KMIP. Des fonctionnalités complètes d’utilisation de jetons permettent de remplacer de manière temporaire ou définitive les données sensibles.
- Assure Secure File Transfer
Assure Secure File Transfer protège les données échangées entre des réseaux et automatise les transferts. Les fichiers sont chiffrés pour le transfert à l’aide de protocoles courants comme Secure Shell (SSH SFTP) ou Secure FTP (SSL FTPS). Un chiffrement PGP est disponible en option pour protéger les données à la source et à la destination.
Evaluation des risques
Limitez les menaces pesant sur la sécurité de l’IBM i par le biais d’une évaluation régulière des risques et d’une gestion active de la sécurité de login, des autorités puissantes et des accès au système.
- Assure Security Risk Assessment
Pour aider les entreprises à appréhender en amont les risques de sécurité auquel l’IBM i est soumis, Assure Security Risk Assessment est inclus avec Assure Security et ses multiples modules. Cette solution examine de façon minutieuse plus d’une dizaine de catégories de valeurs de sécurité, génère des rapports de résultats et propose des recommandations pour corriger les vulnérabilités détectées. Un résumé global est fourni à l’intention des responsables.
Les solutions i.Gayte.IT
Sécurité et SIEM pour IBM i
Les IBM i (ex AS/400) sont des systèmes critiques qui gèrent souvent la majorité des activités d’une entreprise. La sécurité des environnements IBM i est un enjeu majeur pour les DSI.
Grâce à une intégration SIEM (Security Information and Event Management), il est possible de détecter les menaces en temps réel et d’améliorer la conformité aux réglementations telles que le RGPD ou la norme PCI DSS.
Mais les outils standard de sécurisation du réseau ignorent ou au mieux méconnaissent ce système.
Dans ce contexte, STR-iCT émerge comme la solution sur mesure, développée spécifiquement pour pallier ces lacunes et offrir une couverture de sécurité inégalée pour les systèmes IBM i.
Pour un SSO performant entre IBM i et Active Directory
Avec EIM, l’IBM i peut disposer d’un SSO avec l’AD (Active Directory). La solution proposée par IBM est d’excellente facture mais elle est difficilement utilisable en l’état sur une partition en production.
Dans cet environnement, AD-iCT fournit toutes les fonctionnalités clés nécessaires pour gérer et utiliser un Single Sign On (SSO) efficacement en milieu de production.
Les solutions M81
Vos sauvegardes n’impactent plus la production
FLASH for i a pour but principal de réduire le temps de sauvegarde à quelques minutes.
FLASH for i permet de faciliter certaines opérations d’exploitation, en dupliquant une partition IBM i de production pour permettre de réaliser des opérations telles qu’une sauvegarde, un test applicatif, ou des extractions de données, sans perturber la production.
Il devient donc possible, par exemple, de laisser les utilisateurs actifs sur la production, pendant qu’une sauvegarde complète (SAVE21) est en cours sur le clone de celle-ci.
Tous les historiques générés sur la partition Clone (DSPLOG, Spoules, fichiers résultants, historique de BRMS, …) sont transmis sur la partition de production, pour permettre de conserver un historique
Intégrez l’IBM i dans votre outil de supervision existant
Le produit Control for i a pour but de permettre de surveiller une partition IBM i à l’aide d’un produit tel que Nagios (ou l’un de ses dérivés : Centréon, Shinken, …).
Nagios permet, en standard, de vérifier des éléments de base : le PING, la puissance CPU utilisée, l’occupation de l’espace disque, etc. Il ne permet pas de surveiller si un sous système est démarré, ou si les sauvegardes ont bien été réalisées la nuit précédente.
Le plugin fourni avec Control for i permet de réaliser la connexion entre Nagios et la partition IBM i.
Le seul paramètre à lui fournir est une commande IBM i qui sera exécutée sur la partition. Le message en retour de cette commande constituera le texte affiché par Nagios, ou envoyé par mail s’il s’agit d’une erreur.
