Gestion des identités et des accès (IAM) d'un Mainframe

Le mainframe est toujours prisé, qu’en est-il de sa gestion des identités et des accès ?

Bien que le mainframe soit une technologie datée, elle reste omniprésente dans certains secteurs d’activité comme la finance et le e-commerce. Etant un élément central de ces industries, ce type de système doit rendre disponible ses ressources à de nombreux utilisateurs de manière simultanée. C’est pourquoi une bonne gestion des identités et des accès est primordiale.

Qu’est-ce que le mainframe ?

Vous ne le savez peut-être pas, mais vous avez certainement déjà utilisé un mainframe, aussi appelé « ordinateur central », au cours de votre vie. En effet, si vous avez déjà utilisé un guichet automatique (ATM) pour interagir avec votre compte bancaire, alors vous avez utilisé un ordinateur central. Mais finalement, qu’est-ce qui se cache derrière ce terme d’ordinateur central ?

Il s’agit d’un ordinateur de grande puissance de traitement (de la taille d’un grand réfrigérateur) et qui sert d’unité centrale à un réseau de terminaux (comme des distributeurs automatiques de billets ou des ordinateurs). Il représente la colonne vertébrale d’une immense quantité de transactions simples en temps réel, dont la bibliothèque de données est consultable en continu par un très grand nombre d’utilisateurs. Les grandes entreprises (principalement) utilisent cette technologie pour des applications critiques, notamment celles traitant des données en masse (statistiques sur le secteur et les consommateurs, planification des ressources de l’entreprise, traitement des transactions à grande échelle). Ses points forts résident dans sa résilience, sa sécurité et son agilité élevée, mais également dans sa surface d’attaque plus réduite. Il est donc moins sujet aux pertes de données et aux attaques par déni de service comme peuvent l’être les outils de Cloud Computing.

Un peu d’histoire…

L’utilisation du mainframe s’est démocratisée dans les années 50 avec IBM et les « 7 nains » (Burroughs, UNIVAC, NCR, Control Data, Honeywell, General Electric et RCA). Cependant l’émergence de micros ordinateurs, plus abordables et plus adaptés aux demandes de l’époque, provoqua une baisse de la demande dans les années 70 et 90. Le mainframe tend à devenir une technologie exclusivement utilisée pour les services financiers et par les gouvernements. La tendance s’inverse dans les années 2000 avec l’apparition et l’expansion rapide du e-commerce, pour lequel cette technologie répond au besoin de traitement massif de données en temps réel. Aujourd’hui encore, le mainframe (matériel, logiciels et services) reste une activité importante et lucrative pour IBM. Il reste le moteur en back-office des marchés financiers mondiaux et d’une grande partie du commerce international via le système d’exploitation z/OS.

La gestion des identités et des accès (IAM) sur le mainframe

L’IAM est un ensemble de processus qui permet de gérer l’identité numérique. Son but est de répondre aux questions suivantes : qui a le droit de faire quoi ? A quel moment ? Et pour quelles raisons ?

Les éléments de réponse résident dans les trois processus principaux de l’IAM :

• L’identité numérique c’est-à-dire que chaque personne et chaque ressource de l’entreprise possèdent une unique identité stockée dans des référentiels ;
• Le management de l’accès des personnes à une ressource ;
• Le contrôle d’accès avec l’authentification et les autorisations.

Chaque cas d’usage a sa manière de mettre en place la gestion des identités et des accès. Pour accéder aux ressources du mainframe (fichiers, commandes systèmes…) depuis un poste de contrôle, une API particulière (SAF) est systématiquement appelée. SAF permet d’interfacer un outil de sécurité avec le système d’exploitation (z/OS). Aujourd’hui, il existe 3 produits sur le marché :

• ACF2 (Access Control Facility) de Broadcom ;
• TSS (TopSecret Security) de Broadcom ;
• RACF d’IBM.

Sans surprise, le RACF d’IBM est le produit de référence étant donné que IBM est le principal fournisseur du mainframe.

Ces 3 produits assurent l’identification des utilisateurs, le contrôle des accès et dans une certaine mesure, l’enregistrement des actions. L’étape d’identification peut être réalisée via une source LDAP externe. Stéphane Diacquenod a rédigé une description plus précise de cette architecture.

Les applications mainframe ont été développées à une époque où la surface d’attaque potentielle des cybercriminels était beaucoup moins étendue. C’est pourquoi, le mot de passe pour accéder au système mainframe est limité à 8 caractères, et à 3 caractères spéciaux maximum. Cependant, certaines solutions complémentaires existent, comme Micro Focus® Host Access Management and Security Server, et peuvent être implémentées avant TSS, RACF ou ACF2. Cela permet, par exemple, de mettre en place de l’authentification forte pour les accès aux applications et actifs du mainframe.

En bref

L’IAM du mainframe est donc indispensable pour réduire la fraude, la fuite de données et les rançongiciels. Cela permet également d’obtenir une traçabilité des accès aux ressources. Maîtriser la gestion des identités et des accès au mainframe contribue à la mise en conformité avec les réglementations en vigueur dans votre secteur d’activité.

Co-écrit par Jacques Cortyl et Frédérik Enoma.