INTRANET - SECURITE

INTRANET - SECURITE
1. Intranet et Extranet
1
2. La Sécurité
INTRANET
• Un intranet est un ensemble de
services internet (par exemple un
se e web)
serveur
eb) internes
inte nes à un
n réseau
ésea
local, c'est-à-dire accessibles
uniquement à partir des postes
d'un réseau local,, inaccessible de
l'extérieur… en général…
INTRANET
• Il consiste à utiliser les standards clientserveur de l'internet ((en utilisant les
protocoles TCP/IP), comme par exemple
ll'utilisation
utilisation de navigateurs internet
• et des serveurs web pour réaliser un
système d'information
d'i f
i iinterne à une
g
ou à une entreprise
organisation
STRUCTURE
S
UC U
INTRANET
• des clients (navigateur internet
généralement)
•d
d'un
un ou plusieurs serveurs
d'application (middleware):
• un serveur web permettant
d'interpréter
p
des scripts,
p , et les
traduire en requêtes SQL afin
d'interroger
d
interroger une base de données ;
• d'un serveur de bases de données
Un intranet dans une
entreprise permet de
• mettre facilement à la disposition des employés
des documents divers et variés
• avoir un accès centralisé et cohérent à la
mémoire de l'entreprise, on parle ainsi de
capitalisation de connaissances.
• définir des droits d'accès pour les utilisateurs de
ll'intranet
intranet afin de leur permettre un accès
personnalisé à certains documents.
p
des documents de tous
• Mettre à disposition
types (textes, images, vidéos, sons, ...).
Un intranet dans une entreprise permet de
réaliser une fonction de GROUPEWARE
• Mise à disposition d'informations sur l'entreprise (panneau
d affichage)
d'affichage)
• Mise à disposition de documents techniques
• Moteur de recherche de documentations
• Un échange de données entre collaborateurs
• Annuaire du personnel
• Gestion de projet, aide à la décision, agenda, ingénierie
assistée par ordinateur
• Messagerie
M
i électronique
él t i
• Forum de discussion, liste de diffusion, chat en direct
• Visioconférence
• Portail vers internet
AVANTAGES
G S INTRANET
• favorise la communication au sein de
l' t
l'entreprise
i ett limite
li it les
l erreurs dues
d
à
la mauvaise circulation d'une
i f
information.
i
L'i
L'information
f
i
disponible
di
ibl
sur l'intranet doit être mise à jour en
é it t les
évitant
l conflits
flit de
d version.
i
• permet de constituer un système
d'information à faible coût
p
q
quel
• Permet de connecter n'importe
type de machine au réseau local, donc à
l'intranet
EXTRANET
• Un réseau extranet est un réseau du
type INTERNET (donc essentiellement
basé sur le protocole IP) dont la liste de
sécurité est externalisée c'est-à-dire
gérée par un organisme ou une entité
externe aux utilisateurs.
• Par opposition,
opposition pour un réseau intranet,
intranet
la liste de sécurité est gérée en interne
SECURITE INFORMATIQUE
• Les risques
q
• Les symptômes
• Les surcoûts
SECURITE INFORMATIQUE
Identifier les biens à protéger
- Les biens matériels et des logiciels
g
: Les serveurs et les
postes de travail (fixes et nomades), les équipements
d’interconnexions (routeurs, commutateurs, modems),
- Les
L
d
données
é
sensibles
ibl
d l’entreprise
de
l’ t
i
(
(procédés
édé de
d
fabrication, codes sources, données commerciales et
administratives )
administratives,…)
- Les services et applications : Applications métiers internes
et externes communiquant avec le monde extérieur
(fournisseurs, site de commerce électronique), applications
de gestion..
SECURITE INFORMATIQUE
Quels sont les risques externes?
- Attaques non ciblées. Toutes les entreprises sont
concernées par la propagation des virus (ou vers) ou
les attaques distribuées (déni de service) dont l’objectif
est la prise de contrôle d
d’une
une machine pour ll’utiliser
utiliser à
une attaque d’un site tiers.
- Attaques ciblées.
ciblées La probabilité de risque physique
(vol ou destruction de matériel) et de risque logique
(attaques distantes et ciblées pour veille,
veille vol ou
destruction) augmente avec la visibilité et les facteurs
aggravants.
aggravants
SECURITE INFORMATIQUE
Quels sont les risques internes?
• La sécurité doit impérativement impliquer
tous les collaborateurs
SECURITE INFORMATIQUE
La mise en oeuvre
• Utilisation des services mutualisés à distance
par des MSSP (« Managed Security Service
Providers ») pour les tests de vulnérabilités,
la découverte de vos flux applicatifs,
pp
, la
gestion
des
moyens
de
protection
(équipements filtrants et antivirus) et la
gestion
i des
d identifications/authentifications.
id ifi i
/ h ifi i
SECURITE INFORMATIQUE
La mise en oeuvre
Plusieurs possibilités :
• Mise en oeuvre par des ressources internes
avec acquisition des outils,
• Sous-traitance à un prestataire de service
informatique qui pourra utiliser ses propres
outils. Il faudra prévoir de le faire revenir
régulièrement
é liè
t car les
l menaces évoluent
é l
t sans
cesse.
• Identification et Profil : Une organisation
des profils utilisateurs et des moyens
d’identification de chacun d’entre eux est le
minimum obligatoire pour éviter l’accès libre à
vos informations
• Droits d’accès : À chaque profil doivent être
associés des droits d’accès liés aux
prérogatives
é
i
d
du
salarié.
l ié
C
Certaines
i
informations doivent pouvoir être accessibles
en lecture seule,
seule d
d’autres
autres en mise à jour ou
suppression selon les responsabilités de
chacun.
chacun
• Mots de Passe : Les mots de passe sont
préférentiellement codés sur 8 caractères
p
alphanumériques changés régulièrement.
• Administration : Pour contrôler l’accès à
votre réseau d’entreprise, de gérer aussi
soigneusement les départs de personnels
que les
l
entrées
té
(l
(les
codes
d
d’
d’accès
è d’un
d’
salarié qui quitte l’entreprise doivent être
immédiatement bloqués
Bloquer les attaques
automatisées : les firewalls
Le rôle des pare-feu est de protéger le réseau
de ll’entreprise
entreprise des intrusions extérieures. Ils
filtrent la couche IP (Internet Protocol) qui sert
à transporter les données circulant sur
l’Internet, inspectent et/ou examinent chaque
paquet IP afin de détecter les flux illicites, et
l
les
bl
bloquent
t avantt qu’ils
’il n’atteignent
’ tt i
t le
l
réseau de l’entreprise (pare-feu périmétriques
et pare-feu
pare feu applicatifs) ou du poste de travail
(pare-feu personnel). Ils peuvent prendre une
forme logicielle ou une forme de boîtiers
appelés « appliances ».
Limiter la prolifération virale : les
anti-virus
La prolifération des virus (des vers,
des spams et autres chevaux de
Troie) impose l’adoption de logiciels
anti-virus pour éviter une
contamination rapide des systèmes
ANTI-VIRUS
• Un anti-virus disposé sur le serveur de
messagerie.
i
L point
Le
i t névralgique
é
l i
d la
de
l
communication d’entreprise
• Un
U
anti-virus
ti i
é i
équipe
t
tous
l
les
postes
t
personnels.
ANTI-VIRUS
• Un anti
anti-virus
virus disposé sur la passerelle
d’accès Internet. Le principe est de
réaliser
un
filtrage
applicatif
sur
l’ensemble des flux en clair (c’est-à-dire
communications
non
chiffrées)
qui
t
transitent
it t par la
l passerelle
ll Internet.
I t
t En
E
particulier cet anti-virus analysera les flux
Web à la recherche de logiciels
malveillants.
Ceci
peut
s’avérer
intéressant dans le cas d
d’utilisation
utilisation de
service de courrier Web.