Le coût moyen d’une fuite de données d’une PME est actuellement de 117 000 $ par incident, selon une vaste étude sur les coûts des atteintes à la protection des données dans les petites et moyennes entreprises.
Ladite étude a été menée par Kaspersky Lab et B2B International, auprès de plus de 5 000 entreprises dans 30 pays.
Le coût moyen a encore augmenté cette année et certains changements notables ont été apportés à la ventilation des coûts par rapport à celle d’une étude similaire réalisée l’année dernière. Il y avait également des différences notables entre les principaux coûts pour les PME et les grandes entreprises.
L’an dernier, la réaffectation du temps du personnel représentait le coût le plus élevé en matière d’atteintes à la protection des données. Pourtant, cette année, les répondants des PME ont indiqué que les coûts les plus élevés étaient liés à la perte d’activités découlant d’une fuite de données et au recours à des experts externes pour faire une enquête et pour résoudre les problèmes qui en découlent.
Sur le coût moyen de 117 000 $ concernant l’fuite de données d’une PME, 21 000 $ ont été dépensés pour le recours à des experts externes et 21 000 $ de plus ont dû être couverts en raison des affaires perdues. Parmi les autres coûts importants, on compte les salaires supplémentaires du personnel (16 000 $) ; les dommages à la cote de crédit et les augmentations des primes d’assurance (11 000 $) ; l’amélioration des logiciels et de l’infrastructure (11 000 $) ; la réparation des dommages aux marques (10 000 $) et l’embauche de nouveaux employés (10 000 $).
Les coûts les plus bas étaient liés à la formation (9 000 $) et à la rémunération (8 000 $).
Kaspersky Lab souligne que si ces coûts sont si élevés, c’est probablement à cause d’un manque de personnel interne qualifié. Autrement dit, les PME n’ont d’autre choix que de faire appel aux professionnels. Par ailleurs, elles sont particulièrement vulnérables à une perte d’activité à la suite d’une fuite de données.
Toutefois, l’étude a montré que les PME ont tendance à ne pas avoir à creuser profondément pour payer la compensation, ce qui a été attribué à des relations commerciales moins formelles.
Le type de fuite de données des PME a également une incidence importante sur les coûts de résolution. Certaines attaques se sont révélées beaucoup plus coûteuses à résoudre.
Le coût moyen d’une fuite de données d’une PME résultant d’une attaque ciblée était de 188 000 $ ; suivi de celui des incidents de sécurité qui ont affecté les dispositifs connectés (IoT), lequel était évalué à 152 000 $ par incident.
Les brèches causées par la perte de dispositifs contenant des renseignements de nature délicate ont coûté en moyenne 83 000 $, contre 79 000 $ pour celles liées à l’utilisation inappropriée des ressources informatiques. Quant aux infections par des virus et des malwares, elles ont été les moins coûteuses à résoudre, pour un coût moyen de 68 000 $.
Pour les entreprises, les coûts moyens des atteintes à la protection des données sont passés de 1,2 million de dollars en 2016 à 1,3 million de dollars en 2017. Les principaux coûts étant attribuables aux salaires supplémentaires du personnel interne (207 000 $) ; aux améliorations des logiciels et des infrastructures (172 000 $) ; aux recours à des professionnels externes (154 000) ; à la formation (153 000 $) à la perte de marchés (148 000 $) et aux indemnités (147 000 $).
Les PME ont augmenté leurs dépenses en sécurité informatique en réponse à la menace accrue d’attaques. Elles ont ainsi consacré 19 % de leur budget pour la sécurité informatique contre 16 % en 2017.
L’augmentation des dépenses de sécurité dans les très petites entreprises (de 1 à 49 employés) a été beaucoup plus faible (1 %), soit de 13 % à 14 % de leurs budgets informatiques. Il n’y a eu aucun changement en ce qui concerne les dépenses des grandes entreprises (plus de 1 000 employés). En réalité, 19 % de leurs budgets informatiques ont été consacrés à la sécurité.
Voici les bonnes pratiques en matière de cybersécurité pour les restaurants que vous pouvez adopter pour sécuriser votre réseau et empêcher les pirates informatiques d’accéder à votre système de point de vente et aux informations des cartes de crédit de vos clients.
Les cybercriminels ciblent les systèmes de point de vente des restaurants
Si vous exploitez un restaurant très fréquenté, vous traiterez probablement des milliers de transactions par carte de crédit et de débit chaque mois. Chaque fois qu’une personne paie avec une carte, vous avez la responsabilité légale de vous assurer que les détails concernant cette carte et enregistrés par votre système de point de vente (PDV) restent privés, qu’ils ne puissent pas être volés par vos employés et qu’ils ne tombent pas sur la main des cybercriminels.
Depuis le début de l’année, il y a eu plusieurs cyberattaques majeures dans les restaurants, ce qui a entraîné le vol de numéros de carte de crédit et de débit des clients. En août, Darden Restaurants a découvert que des pirates informatiques avaient accédé au système de PDV utilisé des clients de ses restaurants Cheddar’s Scratch Kitchen et qu’ils avaient volé plus d’un demi-million de numéros de cartes de paiement.
Applebee’s, PDQ, Zippy’s et Chili’s ont tous été victimes de cyberattaques en 2018, ce qui a permis aux pirates d’accéder aux cartes de paiement de leurs clients. L’année dernière, plusieurs cyberattaques ont également eu lieu dans d’autres établissements, y compris Shoney’s, Arby’s, Chipotle, et la chaîne Sonic Drive-In.
Les cyberattaques dans les restaurants sont notables en raison du nombre de numéros de cartes volés. Celle contre Cheddar’s aurait entraîné le vol de plus d’un demi-million de numéros de cartes de paiement, de dates d’expiration et de codes CVV ; tandis que l’atteinte à la protection des données contre Sonic aurait concerné des millions de clients.
Toutes les cyberattaques contre les restaurants ne sont pas menées contre les grandes chaînes de restaurants. Des restaurants de plus petite taille sont également attaqués. Ces petits établissements ne traitent peut-être pas autant de transactions par carte de paiement qu’une chaîne de la taille d’Applebee’s. Pourtant, les attaques peuvent s’avérer rentables pour les criminels.
Les détails des cartes de paiement se vendent jusqu’à 7 dollars. Un vol de 1 000 numéros de carte dans un petit restaurant pourrait donc générer un profit décent ; alors que l’effort mené par les cybercriminels pour attaquer ces petits restaurants est souvent bien inférieur à celui d’une attaque sur une grande chaîne.
Tous les restaurants risquent d’être piratés. Des mesures doivent donc être prises pour rendre l’accès à leurs réseaux, à leurs systèmes de PDV et à leurs données de clients aussi difficiles que possible pour les pirates informatiques. C’est dans cette optique que nous avons dressé la liste des pratiques exemplaires en matière de cybersécurité que les restaurants doivent adopter pour éviter une atteinte à la protection des données.
Bonnes pratiques en matière de cybersécurité pour les restaurants
Vous trouverez ci-dessous une liste des bonnes pratiques en matière de cybersécurité que les restaurants doivent adopter pour rendre l’accès à leurs réseaux et à leurs données plus difficile pour les pirates informatiques. Bien entendu, il n’y a pas de solution miracle pour mettre fin à toutes les cyberattaques, mais ces pratiques exemplaires vous aideront à améliorer votre système de sécurité.
La segmentation du réseau est un must
Si vous avez un restaurant, vous aurez probablement plusieurs ordinateurs en service ainsi que de nombreux autres appareils qui se connectent à votre réseau via une connexion Ethernet ou WiFi.
Chaque appareil qui se connecte à votre réseau pourrait être un point d’entrée pour un hacker. Il est donc important de mettre en place des mesures de telle sorte que, si un dispositif était compromis, les pirates informatiques n’auront pas l’accès à l’ensemble de votre réseau.
Votre système de PDV doit être séparé des autres parties du réseau, et les utilisateurs ne devraient pas avoir accès qu’à une partie du réseau, c’est-à-dire celle qui est nécessaire pour l’accomplissement des tâches qui leur sont assignées.
La gestion des correctifs et l’analyse de la vulnérabilité
Il suffit qu’une vulnérabilité ne soit pas traitée pour que vous soyez vulnérable aux attaques cybercriminels.
Il est donc essentiel de procéder à un inventaire de tous les périphériques qui se connectent à votre réseau et de s’assurer que les correctifs et les mises à jour logicielles nécessaires soient appliqués sur tous ces périphériques dès qu’ils sont disponibles.
Vous devriez également effectuer régulièrement des analyses de vulnérabilité pour identifier les éventuelles vulnérabilités et prendre rapidement des mesures pour vous assurer que ces failles soient corrigées.
Sécurisez votre périmètre avec un pare-feu
L’une des plus importantes solutions de cybersécurité que vous devez mettre en œuvre pour empêcher les pirates d’accéder à votre réseau est un pare-feu.
Un pare-feu surveille et contrôle le trafic réseau entrant et sortant et sert de barrière entre un réseau interne de confiance et un réseau externe non fiable. Il est également un élément important de la conformité PCI (un ensemble de normes destinées aux entreprises qui doivent gérer et sécuriser des données).
Implémentez un filtre antispam pour bloquer les e-mails malveillants
Le courrier électronique est le vecteur le plus couramment utilisé par les pirates pour installer des logiciels malveillants. Les attaques de phishing sont courantes et constituent un moyen facile pour ces derniers d’obtenir des informations d’identification et de prendre pied sur le réseau.
Utilisez un filtre antispam tel que SpamTitan pour empêcher les messages malveillants d’être envoyés dans les boîtes de réception des utilisateurs finaux et pour bloquer tous les e-mails malveillants.
Protégez votre réseau WiFi avec une solution de filtrage Web
Votre réseau WiFi est un point d’entrée potentiel pour un hacker. Il doit donc être sécurisé. Si vous fournissez un accès WiFi à vos clients, assurez-vous qu’ils ne disposent que d’un accès à un réseau invité et non à un réseau utilisé par votre personnel.
Implémenter un filtre Web vous permet de contrôler ce que les utilisateurs peuvent faire lorsqu’ils sont connectés à votre réseau. Il vous aidera à empêcher le téléchargement de malwares. Il peut également être configuré pour bloquer l’accès aux sites Web à risque.
WebTitan est un filtre Web idéal pour les restaurants qui veulent améliorer leur sécurité WiFi.
Achetez un logiciel antivirus
Le logiciel antivirus est l’une des solutions logicielles les plus élémentaires pour se protéger contre les malwares.
Ces malwares sont généralement installés sur les systèmes de PDV pour enregistrer et exfiltrer les informations relatives aux cartes de paiement.
Pour y remédier, vous devez non seulement vous assurer qu’une solution antivirus puissante est installée, mais vous devez aussi procéder à des analyses régulières de votre réseau.
Fournir une formation de sensibilisation à la sécurité à votre personnel
Vos employés sont un point faible potentiel dans vos défenses informatiques.
Ne présumez pas qu’ils sont conscients des enjeux en matière sécurité informatique. Enseignez à vos collaborateurs les meilleures pratiques en matière de cybersécurité pour les restaurants.
Offrez-leur une formation antiphishing et expliquez-leur les comportements à risque qui pourraient facilement conduire à une atteinte contre de la protection des données.
Sauvegardez… Et sauvegardez à nouveau !
Vous devez effectuer des sauvegardes régulières de toutes vos données essentielles pour vous protéger contre les pirates et vous protéger des attaques de ransomware.
En cas de catastrophe, vous devrez enregistrer toutes vos données.
Adoptez l’approche 3-2-1 pour créer des sauvegardes. Créez trois copies, sur deux supports distincts, et stockez une copie hors site, en toute sécurité, sur un périphérique isolé, c’est-à-dire un système qui n’est pas connecté à Internet.
Éduquez vos vendeurs
L’accès à votre réseau peut être obtenu par l’intermédiaire de vos fournisseurs.
Sachez que la cyberattaque contre les restaurants PDQ s’est produite via un outil d’accès à distance utilisé par l’un de ses fournisseurs de technologie. Si un fournisseur est capable de se connecter à votre réseau, il est essentiel qu’il dispose des contrôles de sécurité appropriés. Assurez-vous de vérifier le niveau de sécurité de votre fournisseur et les contrôles qu’il a mis en place pour empêcher le piratage informatique avant de lui accorder un accès à votre réseau.
Si vous adoptez ces meilleures pratiques en matière de cybersécurité pour les restaurants, les pirates informatiques auront plus de difficulté à accéder à votre réseau. Vous devriez ainsi être en mesure d’éviter une faille de sécurité dont les conséquences peuvent être coûteuses pour votre établissement.
La découverte d’une nouvelle d’une arnaque de phishing sur les services électroniques e-Services de l’IRS a incité cette agence du gouvernement fédéral des États-Unis à lancer ses conseils fiscaux sur la sensibilisation à la sécurité, avec un avertissement contre le phishing.
Nouvelle attaque de phishing signalée sur les e-Services de l’IRS
Les escroqueries fiscales de l’IRS n’ont rien de nouveau.
En fait, cette agence émet régulièrement des mises en garde contre les nouvelles arnaques par téléphone et par e-mail.
Les criminels conçoivent souvent de nouvelles escroqueries pour amener les consommateurs américains à divulguer des renseignements personnels. Toutefois, la récente escroquerie sur les services électroniques de l’IRS a visé les fiscalistes et tenté d’amener les utilisateurs à révéler leurs identifiants de connexion à la plateforme e-Services.
Comme c’est le cas pour la plupart des campagnes de phishing, un e-mail très réaliste a été envoyé pour demander que des mesures soient prises pour régler un problème nécessitant une attention urgente de la part de l’utilisateur. De nombreuses attaques de phishing menées contre l’IRS avertissent de la suspension immédiate d’un compte ; mais la dernière escroquerie sur les services électroniques de l’IRS a dit que c’est déjà fait. Afin de lever la suspension du compte, l’utilisateur doit cliquer sur le lien contenu dans l’e-mail et mettre à jour ses numéros d’identification de dépôt électronique (EFINs).
L’email se présente comme suit :
« Notre surveillance de compte a détecté des activités suspectes sur votre compte, et pour maintenir la sécurité, nous avons temporairement désactivé certaines fonctions sur votre compte ».
L’utilisateur dispose d’un lien sur lequel il doit cliquer pour réactiver toutes les fonctions de son compte. Après avoir cliqué sur ce lien, l’utilisateur est invité à vérifier son identité en entrant son nom d’utilisateur et son mot de passe.
Le lien contenu dans l’e-mail peut sembler authentique, mais il dirigera l’utilisateur vers un site Web de phishing qui va capturer son nom d’utilisateur et le mot de passe au fur et à mesure de la saisie.
L’accès aux services électroniques de l’IRS est potentiellement très lucratif pour les criminels. Ce service permet aux professionnels de la fiscalité d’offrir un certain nombre de services en ligne au nom de leurs clients.
L’accès à l’un de ces comptes peut fournir aux fraudeurs l’accès à une mine de données qui peuvent être utilisées pour commettre un vol d’identité et une fraude fiscale. Si l’accès au compte est obtenu, les criminels pourraient obtenir des détails sur les déclarations de revenus antérieures et d’autres détails sur le compte du client.
L’email semble avoir été envoyé à partir d’une véritable adresse email de l’IRS. Cette nouvelle escroquerie sur les services électroniques de l’IRS montre qu’on ne peut pas faire confiance aux adresses e-mail de l’expéditeur pour vérifier l’authenticité des e-mails.
Les professionnels de l’impôt ont été avertis de ne pas cliquer sur le lien contenu dans le courriel de phishing et de le supprimer.
L’IRS a indiqué aux utilisateurs ne jamais communiquer avec des individus par messagerie électronique, réseaux sociaux ou texto. L’agence ne demandera non plus aux utilisateurs de révéler leurs mots de passe.
Ce guide de l’administrateur système vous montrera comment utiliser LDAP de manière efficace et intelligente pour vous faciliter la vie.
« Si » vous comprenez déjà ce que c’est, à quoi il sert et quels sont les termes spécifiques à LDAP, alors cet article vous sera utile. Nous présentons ici une brève introduction à LDAP pour les administrateurs système et les programmeurs.
Si vous avez déjà été concerné par un aspect de ce protocole, cet article est fait pour vous !
Avant de vous expliquer ce qu’est le protocole LDAP, nous allons parler de la signification de LDAP en général. Ce concept a vu le jour à l’Université du Michigan lorsque des développeurs cherchaient des solutions à faible coût pour remplacer le DAP – le protocole d’accès au répertoire – et le service de répertoire précurseur X.500.
À cette époque, l’Internet était encore une solution tout juste émergente.
En conséquence, l’Organisation internationale de normalisation (ISO) a créé des normes pour tout ce qui concernait le web, y compris la messagerie électronique et les services d’annuaire.
Les développeurs travaillaient donc avec X.500, la norme ISO pour les services d’annuaire pour l’Université du Michigan. Mais ils ont découvert plus tard qu’il s’agissait d’un protocole beaucoup trop compliqué et trop lourd pour les machines utilisés dans les bureaux de la plupart des gens. LDAP a été né de leur désir de faire quelque chose d’un peu plus léger et qui pourra en conséquence s’adapter aux ordinateurs Mac et aux appareils utilisés dans les locaux du campus.
Depuis son introduction en 1993, le protocole LDAP a connu un grand succès. En 1997, la version LDAP.v3 est devenue la norme pour les services d’annuaire. Ce protocole LDAP a permis le développement d’OpenLDAP qui était devenue la plate-forme précurseur en matière de services d’annuaire open source. Quelques années plus tard, OpenLDAP a permis à d’autres développeurs de constituer la base de Microsoft Active Directory.
À noter que LDAP est actuellement considéré comme un aspect essentiel des annuaires dans le cloud comme JumpCloud Directory-as-a-Service. Il est donc évident de supposer que le protocole LDAP restera un élément fondamental de la gestion des identités à l’avenir.
Pour beaucoup de gens, le protocole LDAP peut sembler difficile à comprendre, car il est basé sur des abréviations peu communes et des concepts spéciaux. Nous allons donc tenter de les aider à comprendre le concept en faisant un tour d’horizon autour du LDAP et de son fonctionnement.
Il s’agit d’un protocole utilisé pour accéder aux répertoires d’information tels que les adresses et les numéros de téléphone.
Il est implémenté dans les navigateurs Web et les programmes de messagerie électronique pour permettre les requêtes de recherche. De nombreux grands sites Web utilisent LDAP pour l’authentification, tout comme Active Directory.
La raison est que LDAP est conçu pour les lectures à grande vitesse. Les systèmes de gestion de l’identité sont aussi souvent pilotés par LDAP.
LDAP n’utilise pas SQL pour l’accès. Au lieu de cela, vous faites appel aux commandes ldapsearch ou ldapmodify, lesquelles sont incluses dans la plupart des distributions Linux.
Différence entre LDAP et Active Directory
Tout administrateur système sait que les clés d’un réseau informatique se trouvent dans Active Directory. Si un pirate parvient à accéder à l’un de vos comptes d’utilisateur, une course contre la montre est lancée pour assurer la protection de vos données. L’administrateur doit être en mesure de bloquer les menaces avant que celles-ci ne réussissent, c’est-à-dire avant que les pirates arrivent à violer les données sensibles de votre organisation. Pour ce faire, il doit donc connaître à fond le fonctionnement d’Active Directory et protéger votre réseau contre les accès non autorisés, mais il doit aussi maîtriser le protocole LDAP.
Active Directory est un service d’annuaire qui fournit de nombreuses fonctionnalités telles que l’authentification, l’administration des politiques d’utilisation de l’Internet, la gestion des groupes d’utilisateurs, etc. Il supporte à la fois les protocoles d’authentification réseau Kerberos et LDAP et fonctionne parfaitement, qu’il soit utilisé sur site ou sur VPN.
Active Directory est un exemple de service d’annuaire qui peut prendre en charge le protocole LDAP, mais il existe d’autres variantes comme Apache et Red Hat Directory Service. En d’autres termes, LDAP est un moyen de parler à Active Directory. Ce protocole peut être compris par de nombreux services d’annuaire et différentes solutions de gestion d’accès.
Vous pouvez considérer la relation entre Active Directory et LDAP comme celle qui existe entre Apache et HTTP. HTTP est un protocole qui permet à un navigateur web de consulter un site Internet, tandis qu’Apache est un serveur web qui utilise ce protocole. Si un administrateur vous dit qu’il n’a pas Active Directory, mais qu’il a LDAP, c’est qu’il veut probablement dire qu’il utilise un autre service d’annuaire comme OpenLDAP. Cela revient à dire qu’il n’utilise pas le protocole HTTP, alors qu’il a recours à un serveur web Apache.
Comment fonctionnent l’authentification, l’autorisation et le contrôle d’accès LDAP ?
LDAP est un protocole d’application neutre qui sert à maintenir les informations d’annuaire distribuées de manière organisée et de sorte que les informations soient faciles à consulter.
Autrement dit, il vous permet de conserver un répertoire d’éléments et d’informations. Il enregistre ces données par le biais d’enregistrements contenant un ensemble d’attributs, comme les champs d’une base de données.
L’enregistrement lui-même possède un identifiant unique ou « Distinguished Name – DN » dans le langage LDAP. Le plus souvent, le DN est considéré comme le bit unique de chaque entrée, c’est-à-dire une sorte de chemin d’accès à un fichier système. Chaque attribut de l’enregistrement possède un nom, un type et une ou plusieurs valeurs.
LDAP peut servir à beaucoup de choses telles que contrôle et l’autorisation d’accès. Grâce à ce protocole, vous pourrez par exemple savoir dans quels groupes se trouve un utilisateur. Supposons que vous voulez qu’un groupe d’utilisateur particulier au sein de votre entreprise ait accès à des fichiers sensibles. Lorsque quelqu’un tente d’accéder à ces fichiers, le protocole LDAP vous permet de vous assurer qu’il est dans le bon groupe avant de lui accorder l’accès.
LDAP v2 vs LDAP v3
LDAP v3 est un service conçu pour répondre à certaines des limitations de son prédécesseur LDAP v2 dans plusieurs domaines comme l’authentification et le déploiement. Il permet également d’ajouter d’autres fonctionnalités sans avoir à modifier le protocole. Vous pouvez faire cela en utilisant des extensions et des systèmes de contrôle. Par ailleurs, LDAP v3 permet une mise en œuvre plus efficace en matière d’accès aux services d’annuaire sur le web.
Parmi les modifications apportées à la version 3 de LDAP, on compte l’utilisation de l’UTF-8 pour tous les attributs des chaînes de texte, ce qui permet de prendre en charge des jeux de caractères plus étendus. Il y a également les attributs opérationnels que l’annuaire maintient pour son propre usage. Cette fonctionnalité est intéressante, par exemple, lorsque vous voulez enregistrer la date et l’heure après avoir modifié un attribut. En outre, les systèmes de renvoi permettent à un serveur de diriger un client vers un autre serveur. Sans oublier que LDAP v3 offre plus de sécurité en comparaison à la version 2, et ce, grâce à un mécanisme d’authentification basé SASL (couche d’authentification et de sécurité simple).
A noter que LDAP v3 est compatible avec LDAP v2. Un client qui utilise LDAP v2 peut donc se connecter à un serveur LDAP v3. Par contre, un serveur LDAP v3 peut choisir de ne pas se connecter à un client LDAP v2.
Qu’entend-on par critères de recherche ?
Les critères de recherche pour LDAP utilisent ce qu’on appelle la notation polonaise ou « Polish notation », telle que :
(&(cn=Cameron)(st=10 Downing Street))
Cette requête permet dresser la liste de toutes les personnes qui habitent au 10 Downing Street (st) dont le n.c.n. (nom commun) est Cameron. Le nom commun donne l’attribut principal, comme une clé, utilisée pour localiser un enregistrement. L’attribut UID (User ID) est également utilisé.
En notation polonaise, l’opérateur & (AND) relie les deux filtres avec et. L’opérateur OR est représenté par le symbole « | ».
Les recherches LDAP sont généralement plus simples sans notation polonaise, comme celle-ci :
ldapsearch -D cn=directory manager -w password -p port -h hostname -b dc=example,dc=com -b » objectclass=person cn uid st
avec ces options de ligne de commande :
-D est le DN de l’utilisateur qui exécute cette requête (voir ci-dessous la signification de DN).
Dans cet exemple, il s’agit du Sun Super User Directory Manager.
-w est le mot de passe,
-p est port (le port par défaut est 386).
La sous-option -s fait référence à l’étendue de la recherche. Dans cet exemple, elle permet de faire la recherche susmentionnée et incluant la base -b (dc=exemple,dc=com).
Par exemple, la base pourrait être dc=example,dc=com or ou=employees, dc=example,dc=com.
Écrire un domaine comme dc=example.com en deux mots comme celui-ci est appelé composants de domaine.
cn=Cameron est le critère de recherche
Les trois derniers champs indiquent quels attributs retourner, soit cn uid st pour notre cas.
Enregistrement LDAP
Le DN d’un enregistrement LDAP est le même que celui d’un certificat SSL. Par exemple, un enregistrement LDAP peut ressembler à ceci :
Notez l’attribut objectclass. Pensez à objectclass comme un schéma de table. Chaque classe d’objets ajoute des attributs supplémentaires comme le numéro de téléphone, et ainsi de suite. Ensuite, vous pouvez vérifier le schéma LDAP en interrogeant cn=schema.
Nom de domaine
La première ligne d’un enregistrement LDAP est le dn (nom de domaine). Ceci donne l’adresse exacte dans l’arborescence des répertoires (DIT) ou l’endroit où se trouve l’enregistrement. Il indique également à quelle unité structurelle (ou) appartient l’enregistrement. Pour notre cas, c’est ou=politicians.
Pensez aux unités organisationnelles comme des groupes, sauf que le mot « group » a une signification bien distincte dans LDAP (voir ci-dessous). Un enregistrement LDAP appartient à une unité structurelle, mais peut appartenir à plusieurs groupes.
L’enregistrement LDAP de l’unité structurelle ressemble à ceci :
dn: cn=politicians, dc=Britain, dc=com
objectclass: OrganizationalUnit
cn=politicians
où cn est le nom du groupe.
Groupes
Certaines personnes peuvent aussi appartenir à des groupes comme celui-ci :
Ce groupe garde la trace des membres du groupe par l’attribut uniqueMember group, y compris le DN unique de chaque membre.
Certains serveurs LDAP, comme Novell eDirectory, le font de deux manières. Ils répertorient les personnes appartenant à chaque groupe de l’enregistrement de groupe, ainsi que groupes auxquels un utilisateur appartient dans l’enregistrement, et ce, à l’aide de l’attribut MemberOf.
Format LDIF
Les enregistrements LDAP sont stockés au format natif dans des serveurs LDAP. Mais pour ajouter ou supprimer un enregistrement, vous utilisez LDIF (LDAP interchange format). La deuxième ligne de l’enregistrement est l’opération.
Par exemple, l’entrée suivante supprime un enregistrement :
Pour un administrateur système, les principaux problèmes liés à la prise en charge et au fonctionnement de LDAP sont le maintien de la réplication. La réplication depuis un serveur LDAP des opérations d’écriture peut développer un cache important qui atterrissent dans une file d’attente (queue). Cela pourrait provoquer une condition d’erreur lors d’une opération de répétition alternée dans laquelle le serveur Web est configuré pour examiner plusieurs serveurs LDAP.
En réalité, l’un des principes de base de la sécurité informatique est la redondance. Mis à part les sauvegardes, les administrateurs doivent aussi, dans certains cas, répliquer les serveurs LDAP.
Bien entendu, il n’existe aucune norme concernant la réplication entre serveurs. Ceci signifie que l’interopérabilité, c’est-à-dire la possibilité de répliquer un annuaire d’un fournisseur à un autre, n’est pas toujours une nécessité.
Toutefois, même si la réplication LDAP n’est pas une obligation, il est recommandé d’avoir une copie de l’ensemble ou d’une partie de l’annuaire. C’est notamment le cas lorsqu’une application fait un usage important du serveur et que cela implique le ralentissement des autres.
La réplication LDAP est aussi recommandée lorsque votre serveur atteint ses limites, lorsque votre entreprise est multi-sites, lorsque vous avez des problèmes à cause de l’indisponibilité de l’annuaire ou encore lorsque l’annuaire est l’un des composants les plus importants de votre architecture informatique et que vous voulez qu’il soit hautement disponible.
Par exemple, si un utilisateur est ajouté à un enregistrement sur un serveur LDAP 1, il peut s’écouler quelques microsecondes avant que l’enregistrement apparaisse sur un serveur LDAP 2. Celui-ci peut donc s’inscrire pour un site web et ne pas être en mesure de s’y connecter si les deux opérations sont effectuées sur deux serveurs différents.
La manière dont vous surveillez la réplication sur LDAP est souvent effectuée à l’aide des commandes ldapsearch. Avec Oracle, vous devez par exemple entrer cn = réplica.
Gestion du cache LDAP
Dans le protocole LDAP, lorsque plusieurs utilisateurs envoient certaines requêtes, cela donne lieu à un large ensemble de résultats et peut poser quelques problèmes au serveur Windows.
A un moment donné, le nombre maximum d’objets autorisés sera atteint. Dans ce cas, le serveur LDAP peut conditionner le message de réponse et ajouter un cache contenant les informations dont les utilisateurs pourront avoir besoin pour poursuivre leurs recherches ultérieurement.
Pour un serveur LDAP qui stocke une grande quantité de données, la capacité de la mémoire cache doit donc être aussi grande que possible, en tenant compte de la mémoire disponible sur la machine. Cela réduit le temps de recherche pour les opérations de recherche, c’est-à-dire le temps de latence de la connexion au site web. Il est même possible de mettre en cache toute la base de données LDAP si la mémoire est suffisante.
Etant donné que le serveur LDAP sert plusieurs utilisateurs, ces derniers peuvent lancer des requêtes nécessitant l’utilisation du cache du serveur. Il incombe donc aux administrateurs de définir les paramètres selon la politique LDAP de l’entreprise.
Par exemple, si un administrateur configure MaxResultSetSize : 262 144 octets, cela signifie que la taille totale du cache sur le serveur LDAP ne doit pas dépasser les 256*1024 octets, soit 262 144 octets. Si c’est le cas, les caches les plus anciens seront supprimés jusqu’à ce que la taille maximale soit atteinte.
Qu’en est-il donc des caches supprimés ? La suppression des caches du serveur LDAP n’implique pas nécessairement une erreur immédiate pour les applications. Celles-ci peuvent relancer la recherche depuis le début et conserver le cache lors d’une autre tentative. Au cas où un cookie dans le cache est supprimé sur le serveur et si un client poursuit la recherche avec ce gestionnaire de cache, le serveur LDAP ne pourra pas satisfaire la demande et retournera une erreur vers l’utilisateur.
Nous avons fourni suffisamment d’informations générales qui vous permettront de vous familiariser avec LDAP. N’oubliez pas que nous archivons les enregistrements LDAP dans ArcTitan et que vous pouvez conserver vos enregistrements LDIF dans le même stockage permanent et pour la récupération après sinistre.
Maintenance du compte LDAP
Il faut savoir que LDAP est souvent utilisé pour l’authentification de sites web. L’administrateur LDAP passera donc beaucoup de temps à réinitialiser les mots de passe des utilisateurs lorsque ceux-ci ne peuvent pas se connecter, ou en éliminant les problèmes de mot de passe.
En voici les raisons :
Si votre site web dispose d’une fonctionnalité de libre-service, l’utilisateur peut réinitialiser lui-même son mot de passe. Sinon, vous pouvez le faire à l’aide de l’interface graphique d’Active Directory ou de Sun LDAP.
Cependant, si vous modifiez fréquemment les mots de passe, vous pouvez enregistrer un fichier LDIF, puis exécuter ldapmodify pour modifier simplement l’identifiant de l’utilisateur. C’est beaucoup plus rapide que d’utiliser une interface graphique.
Voici le mot de passe.LDIF à utiliser:
uid=user,dc=example,dc=com
changetype: modify
replace: userPassword
userPassword: newPassword
ldapmodify command:
ldapmodify -c -a -f password.ldif -h hostname -p port -D cn=Directory Manager -w password
Voici maintenant comment vous pouvez prouver que le mot de passe de l’utilisateur fonctionne. Vous vous connectez en tant que tels et vous consultez leur dossier.
L’authentification de l’expéditeur et la vérification du destinataire sont essentielles au maintien du flux de courrier électronique sécurisé de votre organisation.
Une fois que vous aurez identifié les expéditeurs et les destinataires approuvés, vous pouvez bloquer un grand pourcentage de spam, de virus et de malwares sur votre réseau.
Conclusion
LDAP est un protocole développé par l’université du Michigan. Son principal but était d’améliorer le protocole DAP qui permettait d’accéder au service d’annuaire X.500 de la suite de protocoles OSI.
Grâce à l’intégration de la suite de protocoles TCP/IP, LDAP permet désormais de gérer facilement des annuaires, c’est-à-dire que vous pouvez accéder à des bases de données sur les utilisateurs d’un réseau via TCP/IP. Ces bases de données concernent généralement des utilisateurs d’un réseau, mais elles peuvent aussi être utilisées à d’autres fins, notamment pour gérer les différents matériels au sein de votre entreprise. Mais le plus important, c’est que ce protocole peut aussi vous aider à renforcer la sécurité de votre réseau.
Si vous utilisez SpamTitan, vous pouvez le synchroniser avec votre serveur LDAP pour créer automatiquement des comptes pour les utilisateurs du domaine.
Questions fréquentes sur LDAP
Pour un utilisateur particulier, quels sont les avantages d’utiliser LDAP ?
LDAP simplifie le processus d’envoi d’un fax ou la numérisation de certains documents vers un e-mail, car la méthode de recherche est plus efficace. D’autre part, vous gagnez du temps important, surtout si l’expéditeur ne connait pas l’adresse e-mail des destinataires.
Vous n’avez pas abordé le sujet sur le certificat de vérification TLS dans votre blog, pouvez vous donner plus d’explications à ce sujet ?
Ce paramètre permet de déterminer comment le certificat de sécurité de votre serveur LDAP doit être vérifié quand votre connexion est chiffrée. Selon le système d’exploitation utilisé, le certificat est vérifié grâce à des certificats racines installés à l’échelle de votre réseau.
Que se passe-t-il lorsque le LDAP est activé et qu’un employé crée un compte pour la première fois ? L’employé doit-il utiliser son identifiant de connexion et son mot de passe Active Directory pour créer le compte ?
Une fois que le LDAP est activé, l’utilisateur doit créer un compte ESP ou « Edge Security Pack ». Pour ce faire, il doit utiliser son nom d’utilisateur ainsi que son mot de passe. Si ce dernier utilise un nom d’utilisateur ou un mot de passe différent, le processus de création de compte échouera. L’authentification ESP permet de valider son nom d’utilisateur et son mot de passe lorsqu’il fera une demande de création d’un nouveau compte ESP.
Le compte de l’administrateur est-il validé avec LDAP ?
Non. En réalité, le compte d’utilisateur de l’administrateur continuera à fonctionner comme avant, même s’il utilise LDAP.
Existe-t-il d’autres informations à savoir concernant le fonctionnement et l’utilisation du LDAP pour les employés ?
Il est toujours recommandé de contacter votre ESP si vous rencontrez des problèmes sur l’utilisation de ce service pour vos employés ou pour demander des informations supplémentaires.
TitanHQ, leader international de la protection email et web, annonce son partenariat avec Exer.
TitanHQ est un des leaders dans le secteur de solutions destinées à protéger les emails et la navigation web des entreprises. Dans sa démarche de développement international, l’entreprise a choisi de s’allier à Exer pour assurer leur distribution auprès des revendeurs à valeur ajoutée français.
Un partenariat très prometteur pour les deux acteurs comme le confirme Michel Grunspan, PDG d’Exer : « Collaborer avec TitanHQ est une opportunité de représenter une marque reconnue internationalement sur 3 technologies clef que sont la protection de messagerie, l’archivage email et le filtrage web. Nous sommes impatients de proposer ces solutions de sécurité à nos revendeurs à valeur ajoutée. Notre présence en région et notre expertise seront nos atouts pour assoir la présence de TitanHQ sur le marché Français»
« Nos clients attendent de leurs fournisseurs un accompagnement pour trouver comment protéger leur réseau des nouvelles menaces et répondre à leurs besoins en matière de cybersécurité . » explique Rocco Donnino, vice-président chargé des partenariats de TitanHQ. « Nos solutions avancées dédiées à la protection de messagerie et au filtrage web ont été pensées pour préserver la productivité et garder les informations en sécurité. Nous sommes heureux d’offrir aux revendeurs Exer les meilleures fonctionnalités et une réelle valeur ajoutée. »
Exer distribuera les 3 technologies de TitanHQ pour répondre aux besoins des entreprises :
La protection de messagerie avec SpamTitan. La solution a permis de filtrer 7 milliards de SPAM en janvier 2019 et ne cesse d’évoluer pour couvrir toutes les menaces.
Le filtrage web avec WebTitan qui a permis de bloquer 60 millions de sites malveillants en janvier 2019.
L’archivage email avec ArcTitan. Grâce à cette solution, près de 10 millions d’emails ont été archivés en toute sécurité en janvier 2019.
Venez découvrir les offres Titan lors du Tour de France Exer qui débutera à Lille le 23 mai
A propos de TitanHQ :
TitanHQ est une entreprise fondée en 1999 et primée de multiples fois pour ses solutions de filtrage web, protection de messagerie et d’archivage email. L’entreprise protège près de 7 500 entreprises et collabore chaque jour avec plus de 1 500 MSP (Managed Service Provider). Ils défendent leurs clients de menaces de type malware, ransomware, phishing, viruses, botnets et bien d’autres. La plus grande force de leurs solutions est qu’elles ont été pensées par des MSP pour des MSP. TitanHQ leur permet de gagner du temps en détectant et stoppant les menaces à la source mais aussi en leur procurant les solutions idéales pour leur offre de sécurité.
À propos d’Exer :
Fondé en 1986, Exer est un distributeur français à valeur ajoutée, spécialisé dans la sécurité réseau, la mobilité sécurisée et les services. Travaillant avec plus de 600 VAR et intégrateurs français, Exer se positionne comme un expert, grace à une équipe d’avant-vente, de vente et de soutien hautement qualifiés, certifiés sur les principales technologies du marché. En savoir plus sur securite.groupe-exer.fr.
