Le Mainframe est un système à lui-seul au cœur des systèmes d’informations d’un grand nombre d’opérateurs dans plusieurs secteurs de l’économie souvent critiques:

• Banque, Finance: gestion des comptes, système d’autorisation de cartes de crédit
• Assurance : gestion des contrats et bases de données clients.
• Industrie lourde : Coordination et orchestration des flux d’ordonnancement des lignes de fabrication
• Grande Distribution : gestion des comptes, des stocks et des commandes.

Le Mainframe est considéré aujourd’hui comme une technologie désuète. Son maintien en conditions opérationnelles et de sécurité optimale sont souvent arbitrés par les équipes techniques en fonction des difficultés qu’ils rencontrent pour sa migration.

Présent dans le paysage depuis les années 90, mis-à-jour et maintenus régulièrement par IBM (dernière version de Z/OS connue datant de 2014 étant la 2.1), les sujets sensibles liés au Mainframe, à son évolution et à sa sécurité dans les systèmes d’information, conduisent souvent à des débats passionnés.

L’évaluation de la Sécurité du Mainframe, cas d’usage de la partie z/OS

Compte tenu de la nature critique de la fonction qu’ils remplissent, exposer des mainframes sur le LAN peut engendrer un certain nombre de risques d’incidents de sécurité.

L’évaluation de la sécurité d’un Mainframe est donc souvent pilotée par les risques identifiés à différents niveaux :

• Gouvernance: Les écarts entre les procédures en place pour la gestion de la sécurité z/OS et les niveaux de service (SLA) qui leurs sont associées et celles dictées par les bonnes pratiques.
• Ressources : Les écarts observés en termes de compétences des ressources en charge de la gestion de la sécurité du z/OS et l’expertise requise par l’auditeur.
• Processus : Identifier d’une part, le niveau de standardisation et d’automatisation des processus de sécurité mis en place, tout en évaluant si ces procédures sont suffisantes pour appliquer la politique de sécurité de l’entreprise et Évaluer d’autre part, l’efficacité du processus de gestion des événements de sécurité pour une détection rapide des incidents critiques.
• Technologie: Absence d’outils de sécurité appropriés et surtout validés pour arbitrer les grands enjeux comme l’obsolescence, les comptes privilèges, le contrôle d’accès et rôles associés etc.

©IBM

Comment maintenir la sécurité du Mainframe ?

La sécurité du Mainframe est maintenue en évaluant de manière régulière la sécurité des composants/processus suivants :

• Contrôle physique des accès au Mainframe et ses composants.
• Techniques de chiffrement.
• Audit des comptes privilèges
• Audit des composants logiciels sensibles du Mainframe : RACF, ACF2, Top Secret.
• Tests d’intrusions et politique de gestion des correctifs de sécurité (patch management)
• Evaluation continue des écarts entre les politiques de contrôles mises en place au regard des préconisations dictées par les référentiels et les standards en vigueur.

Une mission d’audit du Mainframe est assez complexe et exige donc plusieurs pré requis aussi bien techniques qu’organisationnels, en l’occurrence :

• La revue de la politique de sécurité
• Les analyses des Configurations CICS (Customer Information Control System)
• Les revues des procédures de journalisation et de surveillance
• Le suivi des processus et règles de paramétrage du système d’exploitation
• La revue de la politique de séparation des rôles et des habilitations (RBAC) des collaborateurs ayant accès au Mainframe

Les tests d’intrusion sur Mainframe

Le test d’intrusion est l’un des critères d’audit le plus utilisé par les entreprises pour maintenir voire optimiser la sécurité du Mainframe. Il permet d’identifier rapidement les vulnérabilités du système. Des tests d’intrusion proactifs sont également effectués périodiquement pour évaluer l’efficacité des règles de sécurité et de paramétrage mises en place pour les ressources critiques du Mainframe.

Trois types de tests d’intrusions peuvent être menés dans cette perspective : Tests d’intrusion en « boîte noire », en « boîte grise » et en « boite blanche ». Dans les trois cas, ces tests permettent d’atteindre les objectifs suivants sur un Mainframe :

• Identifier les services en écoute sur le Mainframe.
• Identifier les identifiants des applications via l’interface VTAM (Virtual Telecommunications Access Method)
• Accéder à la console interactive TSO (Time Sharing Option) du Mainframe, l’interpréteur qui permet d’exécuter des commandes sur z/OS.
• Découvrir les vulnérabilités techniques de la cible
• Evaluer leur complexité d’exploitation et impacts associés,
• Tenter de compromettre la cible
• Restituer les résultats des tests au commanditaire et lui proposer un plan de remédiation

La démarche Formind pour mener un test d’intrusion sur Mainframe se déroule de manière conventionnelle selon le standard PTES (Penetration Testing Execution Standard) et fait appel à un certain nombre de référentiels :

Pour conclure, les entreprises qui exploitent un Mainframe pensent de plus en plus à des solutions Cloud pour transférer une partie des traitements critiques du Mainframe.

Aujourd’hui quelques solutions comme le système IBM Z15 montrent qu’ils réussissent à traiter jusqu’à 1000 milliards de transactions Web par jour, gérer des bases de données de très grands volumes et accueillir des centaines de milliers de conteneurs soit environ 3 fois plus de conteneurs Linux par cœur dans une LPAR par rapport à une plateforme x86. Ce type de stratégie reste bien entendu à arbitrer par les entreprises car le défi n’est pas seulement technique mais également financier, organisationnel et juridique.

Rédacteur : Karim Slimani, Directeur de Projet chez Formind

Références :

http://web.nvd.nist.gov/

http://soldieroffortran.org/

Quelques sources documentaires : La sécurité des systèmes mainframes, S. Diacquenod, Volvo IT, 2014