INTRANET - SECURITE
Transcription
INTRANET - SECURITE
INTRANET - SECURITE 1. Intranet et Extranet 1 2. La Sécurité INTRANET • Un intranet est un ensemble de services internet (par exemple un se e web) serveur eb) internes inte nes à un n réseau ésea local, c'est-à-dire accessibles uniquement à partir des postes d'un réseau local,, inaccessible de l'extérieur… en général… INTRANET • Il consiste à utiliser les standards clientserveur de l'internet ((en utilisant les protocoles TCP/IP), comme par exemple ll'utilisation utilisation de navigateurs internet • et des serveurs web pour réaliser un système d'information d'i f i iinterne à une g ou à une entreprise organisation STRUCTURE S UC U INTRANET • des clients (navigateur internet généralement) •d d'un un ou plusieurs serveurs d'application (middleware): • un serveur web permettant d'interpréter p des scripts, p , et les traduire en requêtes SQL afin d'interroger d interroger une base de données ; • d'un serveur de bases de données Un intranet dans une entreprise permet de • mettre facilement à la disposition des employés des documents divers et variés • avoir un accès centralisé et cohérent à la mémoire de l'entreprise, on parle ainsi de capitalisation de connaissances. • définir des droits d'accès pour les utilisateurs de ll'intranet intranet afin de leur permettre un accès personnalisé à certains documents. p des documents de tous • Mettre à disposition types (textes, images, vidéos, sons, ...). Un intranet dans une entreprise permet de réaliser une fonction de GROUPEWARE • Mise à disposition d'informations sur l'entreprise (panneau d affichage) d'affichage) • Mise à disposition de documents techniques • Moteur de recherche de documentations • Un échange de données entre collaborateurs • Annuaire du personnel • Gestion de projet, aide à la décision, agenda, ingénierie assistée par ordinateur • Messagerie M i électronique él t i • Forum de discussion, liste de diffusion, chat en direct • Visioconférence • Portail vers internet AVANTAGES G S INTRANET • favorise la communication au sein de l' t l'entreprise i ett limite li it les l erreurs dues d à la mauvaise circulation d'une i f information. i L'i L'information f i disponible di ibl sur l'intranet doit être mise à jour en é it t les évitant l conflits flit de d version. i • permet de constituer un système d'information à faible coût p q quel • Permet de connecter n'importe type de machine au réseau local, donc à l'intranet EXTRANET • Un réseau extranet est un réseau du type INTERNET (donc essentiellement basé sur le protocole IP) dont la liste de sécurité est externalisée c'est-à-dire gérée par un organisme ou une entité externe aux utilisateurs. • Par opposition, opposition pour un réseau intranet, intranet la liste de sécurité est gérée en interne SECURITE INFORMATIQUE • Les risques q • Les symptômes • Les surcoûts SECURITE INFORMATIQUE Identifier les biens à protéger - Les biens matériels et des logiciels g : Les serveurs et les postes de travail (fixes et nomades), les équipements d’interconnexions (routeurs, commutateurs, modems), - Les L d données é sensibles ibl d l’entreprise de l’ t i ( (procédés édé de d fabrication, codes sources, données commerciales et administratives ) administratives,…) - Les services et applications : Applications métiers internes et externes communiquant avec le monde extérieur (fournisseurs, site de commerce électronique), applications de gestion.. SECURITE INFORMATIQUE Quels sont les risques externes? - Attaques non ciblées. Toutes les entreprises sont concernées par la propagation des virus (ou vers) ou les attaques distribuées (déni de service) dont l’objectif est la prise de contrôle d d’une une machine pour ll’utiliser utiliser à une attaque d’un site tiers. - Attaques ciblées. ciblées La probabilité de risque physique (vol ou destruction de matériel) et de risque logique (attaques distantes et ciblées pour veille, veille vol ou destruction) augmente avec la visibilité et les facteurs aggravants. aggravants SECURITE INFORMATIQUE Quels sont les risques internes? • La sécurité doit impérativement impliquer tous les collaborateurs SECURITE INFORMATIQUE La mise en oeuvre • Utilisation des services mutualisés à distance par des MSSP (« Managed Security Service Providers ») pour les tests de vulnérabilités, la découverte de vos flux applicatifs, pp , la gestion des moyens de protection (équipements filtrants et antivirus) et la gestion i des d identifications/authentifications. id ifi i / h ifi i SECURITE INFORMATIQUE La mise en oeuvre Plusieurs possibilités : • Mise en oeuvre par des ressources internes avec acquisition des outils, • Sous-traitance à un prestataire de service informatique qui pourra utiliser ses propres outils. Il faudra prévoir de le faire revenir régulièrement é liè t car les l menaces évoluent é l t sans cesse. • Identification et Profil : Une organisation des profils utilisateurs et des moyens d’identification de chacun d’entre eux est le minimum obligatoire pour éviter l’accès libre à vos informations • Droits d’accès : À chaque profil doivent être associés des droits d’accès liés aux prérogatives é i d du salarié. l ié C Certaines i informations doivent pouvoir être accessibles en lecture seule, seule d d’autres autres en mise à jour ou suppression selon les responsabilités de chacun. chacun • Mots de Passe : Les mots de passe sont préférentiellement codés sur 8 caractères p alphanumériques changés régulièrement. • Administration : Pour contrôler l’accès à votre réseau d’entreprise, de gérer aussi soigneusement les départs de personnels que les l entrées té (l (les codes d d’ d’accès è d’un d’ salarié qui quitte l’entreprise doivent être immédiatement bloqués Bloquer les attaques automatisées : les firewalls Le rôle des pare-feu est de protéger le réseau de ll’entreprise entreprise des intrusions extérieures. Ils filtrent la couche IP (Internet Protocol) qui sert à transporter les données circulant sur l’Internet, inspectent et/ou examinent chaque paquet IP afin de détecter les flux illicites, et l les bl bloquent t avantt qu’ils ’il n’atteignent ’ tt i t le l réseau de l’entreprise (pare-feu périmétriques et pare-feu pare feu applicatifs) ou du poste de travail (pare-feu personnel). Ils peuvent prendre une forme logicielle ou une forme de boîtiers appelés « appliances ». Limiter la prolifération virale : les anti-virus La prolifération des virus (des vers, des spams et autres chevaux de Troie) impose l’adoption de logiciels anti-virus pour éviter une contamination rapide des systèmes ANTI-VIRUS • Un anti-virus disposé sur le serveur de messagerie. i L point Le i t névralgique é l i d la de l communication d’entreprise • Un U anti-virus ti i é i équipe t tous l les postes t personnels. ANTI-VIRUS • Un anti anti-virus virus disposé sur la passerelle d’accès Internet. Le principe est de réaliser un filtrage applicatif sur l’ensemble des flux en clair (c’est-à-dire communications non chiffrées) qui t transitent it t par la l passerelle ll Internet. I t t En E particulier cet anti-virus analysera les flux Web à la recherche de logiciels malveillants. Ceci peut s’avérer intéressant dans le cas d d’utilisation utilisation de service de courrier Web.