NoToS Sécurité des Systèmes d`Information

NoToS Sécurité des Systèmes
d’Information
Résumé :
• NoToS vient d’être créé
par Dominique GAYTE,
spécialiste des Systèmes
d’Information et
notamment expert en
iSeries (AS/400).
• NoToS a pour vocation
d’assister les services
Informatique des PME/
PMI dans toutes les
démarches liées à la
Sécurité.
Dans ce document :
Formations
2
Analyse des
risques
3
Audit
3
iSeries et Sécurité 3
Matériels et
logiciels
4
NoToS et la Sécurité Informatique des PME/PMI
Avec l’apparition des réseaux
et l’ouverture à Internet, la
Sécurité des Systèmes
d’Information est menacée. Il
ne s’écoule pas un mois sans
que la presse ne relate un
événement majeur (virus ou
vers, piratage de données
confidentielles, espionnage
industriel…) qui a bouleversé
telle ou telle entreprise.
Jusqu’à présent, la Sécurité des
PME/PMI s’appuyait essentiellement sur les applications et
sur les caractéristiques du
système départemental. Depuis
le développement des réseaux
d’entreprise et l’arrivée
d’Internet, cette sécurité doit
être revue en prenant en
compte tous les aspects du
Système d’Information.
Car la Sécurité ne consiste pas
seulement à mettre en place un
pare-feu et un antivirus. Selon
les experts, un nombre
important de malveillance
provient de l’intérieur de
l’entreprise. Il est donc
essentiel de protéger
efficacement chacun des
serveurs et de se doter de
plans permettant de continuer
ou de reprendre rapidement
l’activité en cas de sinistre.
NoToS propose tous les
services vous permettant de
perfectionner la Sécurité de
votre Informatique :
• La formation, pour vous
sensibiliser aux risques et
pour apprendre à les
prévenir
Votre Système d’Information
est il totalement verrouillé ?
• Les audits, pour avoir une
idée claire sur votre
situation à un instant donné
• La définition d’un Plan
Sécurité complet, afin de
définir une stratégie claire
• Et enfin, la fourniture et
l’installation de matériels et
Dominique GAYTE
Dominique GAYTE, fondateur
de NoToS, intervient sur
l’Informatique des PME/PMI
depuis près de 20 ans.
Fort de ces diverses
compétences, il s’est orienté
vers la Sécurité des Systèmes
d’Information.
Il est expert en IBM AS/400 et
en ses successeurs iSeries et i5
(il a publié plusieurs livres aux
éditions Eyrolles sur le sujet) et
il est spécialiste des nouvelles
technologies.
Il est titulaire d’un Doctorat en
sciences et d’un DESS en
Informatique.
Il est certifié par IBM sur
plusieurs technologies.
de logiciels adaptés à vos
besoins (antivirus, pare-feu
logiciel, matériel ou à base
de Linux, détection
d’intrusion…).
Page 2
Sécurité des Systèmes d’Information
Formations
Les formations sont
proposées essentiellement en
intra entreprise afin de coller
au mieux à votre environnement.. Voici quelques cours:
Sensibilisation à la
Sécurité des réseaux
Informatiques
Des formations sur
mesure, dans vos
locaux
Notre grande
expérience de
la formation
associée à de
solides
compétences
techniques
vous assurent
de la
satisfaction de
vos
collaborateurs
Durée : 1 jour
Public : décideurs
(Responsable et Directeur
Informatique, dirigeant de
PME/PMI)
Objectifs : donner aux
participants une bonne
connaissance sur les risques
encourus par les Systèmes
d’Information et sur les
principes à mettre en place
pour les éviter.
Plan :
Introduction
Définitions
L’actualité
Objectifs des pirates
Les moyens à leurs
disposition
Attaques de systèmes
Spoofing
DOS et DDOS
Modification de sites
Web
Mots de passe
Codes malins
Virus
Vers
Chevaux de Troie
Sans fil
Atteinte à la vie privée
Phishing
Spyware
Cookies
Insecte Web
Keylogger
Adware
Les moyens à notre
disposition
Firewall
Antivirus
Mises à jour
Et surtout …
Politique Sécurité
Audit
Analyse des risques
Plans, chartes
Conclusions
Type : théorique et
éventuellement
démonstrations
Sécurité des réseaux
Informatiques
Durée : 3 jours (option rappel
sur TCP/IP : 1 jour)
Public : informaticiens
Objectifs : donner aux
participants une bonne
connaissance des mécanismes
utilisés lors des diverses
agressions (hackers, virus,
vers…) et des protections à
mettre en place (firewall,
politique générale,
architecture réseau,
protection des serveurs…).
Plan :
Introduction
Définitions
L’actualité
Objectifs des pirates
Comment font ils ?
Quelques moyens à leurs
disposition
Scanner de port
Scanner de
vulnérabilité
Attaques de systèmes
Spoofing
Root kit
DOS et DDOS
Modification de sites
Web
Mots de passe
Codes malins
Virus
Vers
Chevaux de Troie
Sans fil
Atteinte à la vie privée
Phishing
Spyware
Cookies
Insecte Web
Keylogger
Adware
Les moyens à notre
disposition
Firewall
VPN
Antivirus
Mises à jour
Et surtout …
Vérification, tests
Conclusions
Type : théorique et
travaux pratiques (50%
du temps)
AS/400 (iSeries ,i5)
Tous les domaines peuvent
être traités, dans la filière
exploitation ou
programmation :
Pupitrage
Administration
Développement
Réseau
Sécurité
Webisation d’applications
(WebFacing)
Et bien d’autres
formations encore
adaptées à vos besoins...
Page 3
Analyse des risques
Afin de mettre en place une
politique globale de Sécurité,
nous procédons à une Analyse
des risques.
La méthode MEHARI, conçue
par le CLUSIF, ou EBIOS,
recommandée par la DCSSI,
permettent d’évaluer les
risques et d’en définir les
conséquences. Un Plan
Stratégique est établi afin de
définir la stratégie générale de
Sécurité et de garantir la
cohérence des actions
définies.
Un Plan Opérationnel
assurera la mise en place de
cette stratégie au niveau des
différentes entités identifiées.
Cette étude demande une
forte implication des
dirigeants de l’entreprise. Elle
prend en compte la totalité de
la problématique sécuritaire et
conduit à faire des choix
stratégiques qui guideront les
préventions mises en place
pour les années à venir.
Des chartes, telles que la
Charte de Management de la
Sécurité, et que la Charte de
l’utilisateur, seront établies
afin de définir le comportement de chacun.
Le risque
3 causes :
• Accident
• Erreur
• malveillance
3 conséquences :
• Disponibilité
• Intégrité
• Confidentialité
L’analyse des risques permet
de mesurer les potentialités et
les impacts de chaque risque
afin de définir clairement la
politique Sécurité de
l’entreprise.
« Le risque : danger,
inconvénient plus ou
moins probable
auquel on est
exposé » Larousse
Audit
Etes vous surs de la Sécurité
mise en place pour votre
Système d’Information :
réseau, serveurs, postes de
travail, interconnexion avec
Internet… ?
Un audit permet d’avoir une
situation claire de votre
existant. Il peut prendre en
compte tous les aspects de la
Sécurité :
Sauvegardes/restaurations
Solutions de secours à
chaud ou à froid
Niveau de protection des
serveurs
Architecture réseau
Firewall
Interconnexion avec
Internet
VPN
Les postes client
Documentation des tâches
essentielles
Gestion des mots de passe
Analyse des plans Sécurité
existants
Analyse des sinistres
récents
« Les hommes
Cet audit peut être soit
exhaustif, pour avoir une
vision complète du niveau de
Sécurité de votre Système
d’Information, soit rapide afin
de définir les éventuelles
lacunes à corriger rapidement.
ne voient la
nécessité que
dans la crise »
Jean MONNET
iSeries et Sécurité
L’AS/400 est réputé comme
un serveur extrêmement
robuste sur le plan de la
Sécurité et cette
reconnaissance n’est pas
usurpée.
Toutefois, la Sécurité est
souvent gérée par les
applications, héritage des
architectures centralisées des
années 80 et 90. Avec
l’ouverture de l’AS/400 aux
réseaux, cette organisation ne
suffit plus à protéger
efficacement les données.
Ainsi, dans certains cas, la
base de données est
directement accessible via de
nombreux moyens : ODBC,
Client Access Express,
Operation Navigator, FTP…
Si la protection est
uniquement gérées par les
applications, il est probable
que certains utilisateurs mal
intentionnés puisse accéder
directement aux fichiers (celui
de la paye, par exemple).
De même, on trouve encore
aujourd’hui des serveurs dont
le niveau de Sécurité est resté
à 20 qui est en fait un niveau
de forte insécurité.
L’AS/400 dispose de tous les
mécanismes qui lui permettent
de protéger efficacement vos
applications et vos données,
mais encore faut il le
configurer convenablement en
fonction de votre organisation
et de vos attentes en matière
de Sécurité.
NoToS est le partenaire idéal
pour vous assister dans cette
tâche.
IBM AS/400, iSeries
et maintenant i5 :
plusieurs noms pour
un système départemental assurant
une des meilleures
sécurité du marché
NoToS : Sécurité des Systèmes d'Information
NoToS
NoToS c’est aussi toutes les prestations autour de l’AS/400 (iSeries) :
•
Audit et conseil
•
Formation
•
Développement
•
Installation de PTF’s, changement de version d’OS/400...
32, chemin Notre Dame
34160 BEAULIEU
•
Administration
Téléphone : 04 67 86 09 08
Portable : 06 30 17 02 55
Messagerie : [email protected]
•
Fourniture de logiciels et matériels
•
Et
la Webisation d’applications à partir de
WebFacing et de HATS
www.notos.fr
Matériels et logiciels
• Firewall logiciel ou
La Sécurité des réseaux
informatiques s’appuie
généralement sur la mise en
œuvre de matériels et de
logiciels .
appliance (« boites
noires »)
• Détection d’intrusions
Deux types de solutions ont
étés retenus par NoToS :
•
•
Linux et logiciels libres
partenariats avec des
éditeurs et des
constructeurs afin de
proposer des produits
commerciaux. Il s’agit,
notamment de Symantec
et d’IBM
Distribution de logiciels
du monde libre lorsque
ces solutions ont un sens
dans votre contexte.
Linux, par exemple, peut
s’avérer un excellent
pare-feu si vos équipes y
sont préparées.
• Pare-feu à partir du noyau
de Linux
• Proxy
• Outils d’administration
IBM
• Tivoli : gestion des
identités
Symantec
• Antivirus (Norton)
Et aussi les produits...
• Trend Micro
• CheckPoint
• ...