NoToS Sécurité des Systèmes d`Information
Transcription
NoToS Sécurité des Systèmes d`Information
NoToS Sécurité des Systèmes d’Information Résumé : • NoToS vient d’être créé par Dominique GAYTE, spécialiste des Systèmes d’Information et notamment expert en iSeries (AS/400). • NoToS a pour vocation d’assister les services Informatique des PME/ PMI dans toutes les démarches liées à la Sécurité. Dans ce document : Formations 2 Analyse des risques 3 Audit 3 iSeries et Sécurité 3 Matériels et logiciels 4 NoToS et la Sécurité Informatique des PME/PMI Avec l’apparition des réseaux et l’ouverture à Internet, la Sécurité des Systèmes d’Information est menacée. Il ne s’écoule pas un mois sans que la presse ne relate un événement majeur (virus ou vers, piratage de données confidentielles, espionnage industriel…) qui a bouleversé telle ou telle entreprise. Jusqu’à présent, la Sécurité des PME/PMI s’appuyait essentiellement sur les applications et sur les caractéristiques du système départemental. Depuis le développement des réseaux d’entreprise et l’arrivée d’Internet, cette sécurité doit être revue en prenant en compte tous les aspects du Système d’Information. Car la Sécurité ne consiste pas seulement à mettre en place un pare-feu et un antivirus. Selon les experts, un nombre important de malveillance provient de l’intérieur de l’entreprise. Il est donc essentiel de protéger efficacement chacun des serveurs et de se doter de plans permettant de continuer ou de reprendre rapidement l’activité en cas de sinistre. NoToS propose tous les services vous permettant de perfectionner la Sécurité de votre Informatique : • La formation, pour vous sensibiliser aux risques et pour apprendre à les prévenir Votre Système d’Information est il totalement verrouillé ? • Les audits, pour avoir une idée claire sur votre situation à un instant donné • La définition d’un Plan Sécurité complet, afin de définir une stratégie claire • Et enfin, la fourniture et l’installation de matériels et Dominique GAYTE Dominique GAYTE, fondateur de NoToS, intervient sur l’Informatique des PME/PMI depuis près de 20 ans. Fort de ces diverses compétences, il s’est orienté vers la Sécurité des Systèmes d’Information. Il est expert en IBM AS/400 et en ses successeurs iSeries et i5 (il a publié plusieurs livres aux éditions Eyrolles sur le sujet) et il est spécialiste des nouvelles technologies. Il est titulaire d’un Doctorat en sciences et d’un DESS en Informatique. Il est certifié par IBM sur plusieurs technologies. de logiciels adaptés à vos besoins (antivirus, pare-feu logiciel, matériel ou à base de Linux, détection d’intrusion…). Page 2 Sécurité des Systèmes d’Information Formations Les formations sont proposées essentiellement en intra entreprise afin de coller au mieux à votre environnement.. Voici quelques cours: Sensibilisation à la Sécurité des réseaux Informatiques Des formations sur mesure, dans vos locaux Notre grande expérience de la formation associée à de solides compétences techniques vous assurent de la satisfaction de vos collaborateurs Durée : 1 jour Public : décideurs (Responsable et Directeur Informatique, dirigeant de PME/PMI) Objectifs : donner aux participants une bonne connaissance sur les risques encourus par les Systèmes d’Information et sur les principes à mettre en place pour les éviter. Plan : Introduction Définitions L’actualité Objectifs des pirates Les moyens à leurs disposition Attaques de systèmes Spoofing DOS et DDOS Modification de sites Web Mots de passe Codes malins Virus Vers Chevaux de Troie Sans fil Atteinte à la vie privée Phishing Spyware Cookies Insecte Web Keylogger Adware Les moyens à notre disposition Firewall Antivirus Mises à jour Et surtout … Politique Sécurité Audit Analyse des risques Plans, chartes Conclusions Type : théorique et éventuellement démonstrations Sécurité des réseaux Informatiques Durée : 3 jours (option rappel sur TCP/IP : 1 jour) Public : informaticiens Objectifs : donner aux participants une bonne connaissance des mécanismes utilisés lors des diverses agressions (hackers, virus, vers…) et des protections à mettre en place (firewall, politique générale, architecture réseau, protection des serveurs…). Plan : Introduction Définitions L’actualité Objectifs des pirates Comment font ils ? Quelques moyens à leurs disposition Scanner de port Scanner de vulnérabilité Attaques de systèmes Spoofing Root kit DOS et DDOS Modification de sites Web Mots de passe Codes malins Virus Vers Chevaux de Troie Sans fil Atteinte à la vie privée Phishing Spyware Cookies Insecte Web Keylogger Adware Les moyens à notre disposition Firewall VPN Antivirus Mises à jour Et surtout … Vérification, tests Conclusions Type : théorique et travaux pratiques (50% du temps) AS/400 (iSeries ,i5) Tous les domaines peuvent être traités, dans la filière exploitation ou programmation : Pupitrage Administration Développement Réseau Sécurité Webisation d’applications (WebFacing) Et bien d’autres formations encore adaptées à vos besoins... Page 3 Analyse des risques Afin de mettre en place une politique globale de Sécurité, nous procédons à une Analyse des risques. La méthode MEHARI, conçue par le CLUSIF, ou EBIOS, recommandée par la DCSSI, permettent d’évaluer les risques et d’en définir les conséquences. Un Plan Stratégique est établi afin de définir la stratégie générale de Sécurité et de garantir la cohérence des actions définies. Un Plan Opérationnel assurera la mise en place de cette stratégie au niveau des différentes entités identifiées. Cette étude demande une forte implication des dirigeants de l’entreprise. Elle prend en compte la totalité de la problématique sécuritaire et conduit à faire des choix stratégiques qui guideront les préventions mises en place pour les années à venir. Des chartes, telles que la Charte de Management de la Sécurité, et que la Charte de l’utilisateur, seront établies afin de définir le comportement de chacun. Le risque 3 causes : • Accident • Erreur • malveillance 3 conséquences : • Disponibilité • Intégrité • Confidentialité L’analyse des risques permet de mesurer les potentialités et les impacts de chaque risque afin de définir clairement la politique Sécurité de l’entreprise. « Le risque : danger, inconvénient plus ou moins probable auquel on est exposé » Larousse Audit Etes vous surs de la Sécurité mise en place pour votre Système d’Information : réseau, serveurs, postes de travail, interconnexion avec Internet… ? Un audit permet d’avoir une situation claire de votre existant. Il peut prendre en compte tous les aspects de la Sécurité : Sauvegardes/restaurations Solutions de secours à chaud ou à froid Niveau de protection des serveurs Architecture réseau Firewall Interconnexion avec Internet VPN Les postes client Documentation des tâches essentielles Gestion des mots de passe Analyse des plans Sécurité existants Analyse des sinistres récents « Les hommes Cet audit peut être soit exhaustif, pour avoir une vision complète du niveau de Sécurité de votre Système d’Information, soit rapide afin de définir les éventuelles lacunes à corriger rapidement. ne voient la nécessité que dans la crise » Jean MONNET iSeries et Sécurité L’AS/400 est réputé comme un serveur extrêmement robuste sur le plan de la Sécurité et cette reconnaissance n’est pas usurpée. Toutefois, la Sécurité est souvent gérée par les applications, héritage des architectures centralisées des années 80 et 90. Avec l’ouverture de l’AS/400 aux réseaux, cette organisation ne suffit plus à protéger efficacement les données. Ainsi, dans certains cas, la base de données est directement accessible via de nombreux moyens : ODBC, Client Access Express, Operation Navigator, FTP… Si la protection est uniquement gérées par les applications, il est probable que certains utilisateurs mal intentionnés puisse accéder directement aux fichiers (celui de la paye, par exemple). De même, on trouve encore aujourd’hui des serveurs dont le niveau de Sécurité est resté à 20 qui est en fait un niveau de forte insécurité. L’AS/400 dispose de tous les mécanismes qui lui permettent de protéger efficacement vos applications et vos données, mais encore faut il le configurer convenablement en fonction de votre organisation et de vos attentes en matière de Sécurité. NoToS est le partenaire idéal pour vous assister dans cette tâche. IBM AS/400, iSeries et maintenant i5 : plusieurs noms pour un système départemental assurant une des meilleures sécurité du marché NoToS : Sécurité des Systèmes d'Information NoToS NoToS c’est aussi toutes les prestations autour de l’AS/400 (iSeries) : • Audit et conseil • Formation • Développement • Installation de PTF’s, changement de version d’OS/400... 32, chemin Notre Dame 34160 BEAULIEU • Administration Téléphone : 04 67 86 09 08 Portable : 06 30 17 02 55 Messagerie : [email protected] • Fourniture de logiciels et matériels • Et la Webisation d’applications à partir de WebFacing et de HATS www.notos.fr Matériels et logiciels • Firewall logiciel ou La Sécurité des réseaux informatiques s’appuie généralement sur la mise en œuvre de matériels et de logiciels . appliance (« boites noires ») • Détection d’intrusions Deux types de solutions ont étés retenus par NoToS : • • Linux et logiciels libres partenariats avec des éditeurs et des constructeurs afin de proposer des produits commerciaux. Il s’agit, notamment de Symantec et d’IBM Distribution de logiciels du monde libre lorsque ces solutions ont un sens dans votre contexte. Linux, par exemple, peut s’avérer un excellent pare-feu si vos équipes y sont préparées. • Pare-feu à partir du noyau de Linux • Proxy • Outils d’administration IBM • Tivoli : gestion des identités Symantec • Antivirus (Norton) Et aussi les produits... • Trend Micro • CheckPoint • ...