Management de la sécurité - IT

Transcription

LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE
Management de la sécurité
PAGE 7
Bimestriel - novembre/décembre 2007 - 16€
Microsoft Office
SharePoint Serveur 2007 :
les raisons-clés d’un succès
PAGE 31
n°70
Sécurité de la téléphonie
sur IP
PAGE 46
Les multiples facettes du contrôle
d’accès au réseau d’entreprise PAGE 37
Comment lutter efficacement contre
les intrusions informatiques ?
PAGE 20
ZOOM OUTSOURCING
L’AVIS DES DIRECTIONS INFORMATIQUES
Ministère des Finances
Direction Générale des Impôts
Nadine Chauvière
Sous-Directrice des SI de la DGI
« Les solutions d’Application Intelligence
CAST nous aident à obtenir une meilleure visibilité de notre parc applicatif au travers de
tableaux de bord composés d’indicateurs
techniques objectifs afin de faciliter le dialogue
avec les équipes et avec nos maîtrises d’ouvrage. »
Groupe SFR Cegetel
Eric Eteve
Directeur Informatique
Centre Ingénierie Mobilité
« La solution CAST de gestion de la soustraitance est un élément clé dans le système
de pilotage mis en place par SFR-Cegetel
sur ses TMA. Nous avons constaté une
attention plus particulière apportée par les
SSII à la qualité des livrables et à la fiabilité
des chiffrages depuis qu’ils savent que nous
pouvons facilement les auditer »
Framatome - Groupe AREVA
Michel Fondeviole
DSI de Framatome-ANP
« CAST fournit des critères objectifs d’appréciation dans le dialogue parfois difficile avec
le sous-traitant ainsi que des indicateurs
nécessaires au suivi de l’évolution des applications et constitue au sein de Framatome
un outil de progrès partagé. »
EN SAVOIR PLUS
Demandez le Livre Blanc rédigé par le
Gartner Group et CAST sur ce thème :
« Information Series on Application
Management » :
www.castsoftware.com/outsourcing
Découvrez l’expérience de plusieurs
sociétés utilisatrices de solutions
d’Application Intelligence :
www.castsoftware.com/customers
www.castsoftware.com
La maîtrise des applications
et des prestataires dans
une opération d’outsourcing
De la valeur ajoutée de l’Application
Intelligence pour piloter efficacement
un parc applicatif sous-traité
Dans l’externalisation des applications métier,
c’est surtout la volonté d’accroître l’efficacité
opérationnelle de l’informatique qui est motrice :
pouvoir fournir plus rapidement un service à
valeur ajoutée aux utilisateurs et aux clients dans
un contexte en perpétuelle évolution.
de coûts.
C’est là que le bât blesse : l’externalisation des
applications métier occasionne un risque de
perte rapide de savoir-faire technologique et
par conséquent critique. Vigilance et suivi sont
de mise pour garder le contrôle de la qualité
de service et éviter les dépendances par nature
dangereuses.
L’externalisation réussie d’applications métier
est donc le fruit d’une vision anticipatrice partagée avec le prestataire. Sont ainsi apparues
des solutions dites d’Application Intelligence,
basées sur une technologie avancée d’analyse
de code source.
Publi-Reportage
La valeur ajoutée de ce type de solutions d’Application Intelligence est visible à chaque étape
d’une opération d’outsourcing, comme décrit
ci-après.
trat
con
de
Fin
Appe
ls d
'off
res
Cycle de vie
d'une opération
d'Outsourcing
Co
ntr
ôle
des
coûts
i de
Suiv
connaissance
s
sfert de
Tran
Comme dans n’importe quelle opération d’outsourcing, le contrat liant le fournisseur est capital, en particulier les SLAs. Néanmoins, les
applications métier étant par nature soumises à
de fréquents changements en cours de contrat,
les seuls SLAs se révèlent vite insuffisants pour
garantir la qualité de service et éviter les dérives
En fournissant des indicateurs techniques aux
donneurs d’ordre, ces solutions permettent de
piloter un parc applicatif sous-traité en temps
réel, tant en terme de qualité, que de maintenabilité et de coût. Résultat : le donneur d’ordre
conserve la maîtrise intellectuelle de ses applications métier et le contrôle de la relation avec
son sous-traitant.
technique
Recette
L
es entreprises, devenues plus mûres
vis-à-vis de l’outsourcing, sont désormais capables d’opérer des externalisations plus stratégiques. On l’a récemment
observé dans l’automobile avec Renault ou dans
la grande distribution avec Carrefour.
jet
pro
Audit de l’existant et préparation des appels
d’offres
• Déterminer les caractéristiques techniques
du portefeuille applicatif existant avant de le
sous-traiter
• Disposer d’informations de référence pour
évaluer les propositions des sous-traitants
• Obtenir une image à l’instant t des applications pour permettre un suivi dans le temps
Transfert vers le prestataire
• Réduire la phase d’acquisition de la
connaissance pour entreprendre plus vite
des tâches productives
• Diminuer le coût lié à la production d’une
documentation exploitable et maintenable
par le prestataire
Contrôle de la qualité et des coûts en cours de
projet
• Suivre l’évolution de la maintenabilité et de
la qualité pour éviter toute dérive
• Etre capable de valider la quantité et la qualité
du travail facturé
• Etre en mesure de challenger le sous-traitant lors des négociations d’avenants
• Industrialiser les recettes techniques
Renouvellement de contrat, transfert ou ré-internalisation
• Déterminer et qualifier les écarts entre la
prestation prévue et les livrables recettés
• Disposer des informations techniques
caractéristiques du portefeuille applicatif en
fin de prestation
Le leader mondial de ce type de solutions est
d’ailleurs un éditeur français, CAST. Reconnu
par les analystes informatiques comme précurseur du marché, CAST compte plus 500
comptes utilisateurs de sa plate-forme d’Application Intelligence dans le monde.
Edito
édito
Une fin d’année en fanfare
Après la consolidation applicative via le socle
ERP, la même tendance sur les solutions décisionnelles a amené à s’interroger sur la gestion
de la performance. En parallèle, l’économie
oblige les entreprises à une meilleure gestion
par la maîtrise de leurs dépenses et le suivi de
leurs résultats financiers en temps réel. Résultat : le marché des logiciels EPM (Enterprise Performance Management) a connu une
concentration sans précédent. Et qui a racheté ces spécialistes de la
consolidation et de la planification financières ? Les leaders du marché
logiciel : Oracle avec Hyperion, SAP via le rachat de Business Objects
(ayant racheté Cartesis), et IBM en reprenant Cognos. Et bien entendu,
Microsoft lance sa solution PerformancePoint Server 2007 en décembre.
Si 2007 a été l’année de la Business Intelligence, les dernières semaines annoncent une année 2008 sous le signe de la virtualisation. Citrix
a racheté XenSource, Microsoft annonce sa solution Hyper-V pour
Windows Server 2008 en février 2008, tandis que VMWare multiplie les
annonces. En outre, Sun et IBM espèrent bien jouer un rôle sur ce segment prometteur. Car la virtualisation favorise la consolidation des
machines et l’utilisation optimale des ressources, étape fondamentale
de la maîtrise des coûts informatiques, et plus encore alliée aux serveurs blades, autre évolution majeure.
Les serveurs virtuels indépendants inspirent également d’autres éditeurs qui y voient un excellent moyen de proposer un environnement
optimisé et performant pour les applications d’entreprise. En effet, la
virtualisation permet de déployer des architectures à haute disponibilité (répartition de charge, mirroring…) à moindres frais. Parmi ces éditeurs, on trouve BEA ou encore Oracle.
La clé passera par l’administration
La multiplication des machines virtuelles sur des serveurs physiques
pose aussi la question du management de ces unités virtuelles et physiques, avec des possibilités de copier en quelques secondes un environnement vers un autre, qu’ils soient virtuels ou physiques… Bref, la
prochaine bataille se déroulera aussi sur les solutions d’administration,
autre vedette de l’année à venir.
Une cuvée 2008 décidément très animée !
José Diz
Rédacteur en Chef
IT-expert n°70 - novembre/décembre 2007
Rédacteur en chef
José Diz
Email : [email protected]
Directeur de publication
Aurélie Magniez
Abonnements/Publicité
Conception Graphique
C. Grande
Le virtuel se concrétise
4
Editeur
Press & Communication France
Une filiale du groupe CAST
3, rue Marcel Allégot
92190 Meudon - FRANCE
Tél. : 01 46 90 21 21
Fax. : 01 46 90 21 20
http ://www.it-expertise.com
Imprimeur
Moutot Imprimeurs
Parution
IT-expert - (ISSN 1270-4881) est un journal édité 6 fois par an, par P & C France,
sarl de presse au capital de 60 976,61 €.
Avertissement
Tous droits réservés. Toute reproduction
intégrale ou partielle des pages publiées
dans la présente publication sans l’autorisation écrite de l’éditeur est interdite,
sauf dans les cas prévus par les articles 40 et 41 de la loi du 11 mars 1957.
© 1996 P&C France. Toutes les marques
citées sont des marques déposées.
Les vues et opinions présentées dans
cette publication sont exprimées par les
auteurs à titre personnel et sont sous leur
entière et unique responsabilité. Toute
opinion, conseil, autre renseignement ou
contenu exprimés n’engagent pas la responsabilité de Press & Communication.
Abonnements
01 46 90 21 21
Prix pour 6 numéros (1 an)
France ; U.E. : 89 € TTC
Dom TOM, Autres Pays : 128 € TTC
Un bulletin d’abonnement se trouve
en pages 35/36 de ce numéro.
Vous pouvez vous abonner sur
http://www.it-expertise.com/
Abonnements/Default.aspx
ou nous écrire à
[email protected]
Sommaire
7
Dossier
Management de la sécurité
La sécurisation d’un système d’information ne peut se contenter de firewalls et logiciels, aussi
performants soient-ils. Les normes ISO 27000 définissent les étapes de mise en place d’un
système de management de la sécurité de l’information (SMSI), et recommandent les meilleures pratiques.
20
Technique
Comment lutter efficacement contre les intrusions informatiques ?
Après une explication des concepts d’IDS (Intrusion Detection System) et d’IPS (Intrusion
Prevention System), l’auteur s’appuie sur son expérience en entreprise pour apporter des
conseils afin de rendre des outils efficaces dans le cadre d’une politique globale de sécurité.
28
Actualités Internationales
Les informations marquantes d’éditeurs, de marchés, d’organisme
de standardisation, de débats en cours et de tendances.
31
Quoi de Neuf Docteur ?
Microsoft Office SharePoint Serveur 2007 : les raisons-clés d’un succès
Consultant et formateur, l’auteur explique concrètement comment cette solution permet
d’automatiser simplement les processus de l’entreprise, mais replace également l’utilisateur
au centre du système d’information. Une approche métier proche des tendances actuelles
en management d’entreprise.
37
Comment ça Marche ?
Les multiples facettes du contrôle d’accès au réseau d’entreprise
Agent persistants ou non persistants, scanner de vulnérabilités, mise en quarantaine…
autant d’éléments expliqués en détail dans cet article qui démontre schémas à l’appui
l’intérêt du NAC (Network Access Control) et le rôle du chacun de ces éléments.
43
Livres
Microsoft Office SharePoint Server (MOSS) et Office 2007 par Pierre-Erol Giraudy et
Sécurité Informatique – Principes et méthode par Laurent Bloch et Christophe Wolfhugel
44
Fenêtre sur cour
Interview d’Alain Bouillé, RSSI au sein du Groupe Caisse des Dépôts
« Il me semble qu’il est important qu’une personne soit dédiée à la sécurité au sein d’une
entreprise afin de fédérer, diffuser et coordonner les actions de sécurité. »
Alain Bouillé parle de son métier de responsable de la sécurité des systèmes d’information (RSSI), et des appels d’offres sur ce marché. Il évoque également les travaux du
groupe de travail qu’il pilote au CIGREF afin de constituer un tableau de bord sécurité,
avec la définition de divers indicateurs-clés.
46
Rubrique à brac
Sécurité de la téléphonie sur IP
Après avoir listé et expliqué les diverses menaces liées à la téléphonie sur IP, l’auteur explique comment il est possible d’y remédier. Un article indispensable pour comprendre les
apports et les risques d’une évolution incontournable.
5
Dossier & Interviews
Management
de la sécurité
A l’heure où la dématérialisation des contenus
s’accélère, la protection de l’information est plus
que jamais déterminante pour la compétitivité et
l’image de marque des entreprises.
Garantir la confidentialité et l’intégrité des données, mais aussi la disponibilité des systèmes
qui les manipulent et le respect des législations
et réglementations, constitue un véritable enjeu
stratégique.
Ce dossier propose un balayage des stratégies
actuelles de réponse à cet enjeu.
7
L’ISO 27001,
ou comment construire
un vrai système de management
de la sécurité ?
Évolution de la menace :
des Systèmes d’Information
sous pression !
La place de plus en plus prépondérante des Systèmes d’Information dans tous les processus métiers a sensiblement augmenté la
dépendance des entreprises vis-à-vis de leur SI. Cette évolution
est corrélée à une plus large ouverture de l’entreprise au monde
extérieur, qui implique directement une plus large ouverture des
systèmes d’information (nomadisme des collaborateurs, interconnexion avec des partenaires, accès des clients…). Les nouvelles stratégies de sourcing (externalisation, infogérance,
off-shore) viennent encore renforcer les risques de perte de maîtrise de la sécurité. Enfin, de multiples lois et réglementation augmentent les exigences en matière de traçabilité, de protection
des données personnelles, et de continuité d’activité pour certains secteurs comme la banque et l’assurance ou la santé. Et les
autorités de régulation ou de contrôle, comme la CNIL par exemple, se font de plus en plus présentes.
Cette augmentation de « l’exposition » aux risques liés à la sécurité des SI se produit malheureusement dans un contexte où la
menace informatique s’accroît véritablement. Cette menace se
professionnalise, avec une recherche ciblée de gains financiers
ou d’avantage concurrentiel. L’usage généralisé de l’informatique
augmente aussi la tentation pour les attaques d’origines interne.
Globalement, toutes les enquêtes montrent une croissance de la
sinistralité déclarée.
Pour faire face à ces évolutions, les entreprises ont toutes augmenté sensiblement leurs budgets consacrés à la sécurité des SI,
et ont pris des mesures conservatoires souvent centrées sur la
mise en place de dispositifs techniques (firewall, anti-virus, centre
de backup…). Mais ces mesures ont des limites, et ne peuvent
répondre à tous les problèmes. Elles sont souvent mal comprises
par les Directions Générales qui voient surtout les contraintes qu’elles amènent sans identifier clairement les risques business auxquelles elles répondent. Pour sortir de ce dilemme, les
Responsables de la Sécurité des SI (RSSI) doivent envisager de
nouvelles réponses, plus globales, et plus compréhensibles par les
responsables métiers et les Directions Générales.
Avec l’arrivée des normes de la famille ISO 27000, et surtout de
sa « clé de voûte », l’ISO 27001, les RSSI disposent maintenant
d’un outil pertinent pour concevoir une telle réponse. Examinons
en détail les concepts et les apports de cette norme.
8
ISO 27001 : les clefs du management
de la sécurité
La norme ISO 27001 décrit ce que doit être un système de management de la sécurité de l’information (SMSI) pertinent. Un SMSI
recouvre l’ensemble des ressources mises en place pour organiser et gérer la sécurité au quotidien. Il englobe les différents documents formalisant les règles de sécurité, ainsi que l’organisation
associée (RSSI, correspondants sécurité, exploitants, instances
de décision…). Le SMSI constitue donc un dispositif global de
gouvernance de la sécurité de l’information. Il est important de
noter qu’il est toujours défini pour un périmètre bien déterminé :
toute l’entreprise, un métier ou un processus particulier, une
application, un centre de production…
Comme les systèmes de management de la qualité (ISO 9000) et
de l’environnement (ISO 14000), un SMSI ISO 27001 repose sur
le cycle de progrès PDCA : Plan, Do, Check, Act, également
appelé Roue de Deming. Ce cycle vise une amélioration continue
reposant sur une logique simple : dire ce que l’on fait, faire ce que
l’on a dit, puis contrôler et corriger ce qui ne va pas.
PLAN
ACT
DO
CHECK
Le SMSI va également s’appuyer sur d’autres principes issus
des normes ISO 9000 et notamment une approche par processus : la norme préconise en effet que toutes les activités liées au
SMSI soient conçues et formalisées sous la forme de processus.
Les porteurs et acteurs des différentes actions contribuant à la
sécurité doivent donc être identifiés tout comme l’enchaînement
L’ISO 27000 - Une nouvelle famille de normes
Issue des réflexions de groupes de travail internationaux dédiés au domaine de la sécurité de l’information, la famille des
normes ISO 27000 est progressivement publiée depuis 2005. Nous pouvons distinguer trois types de normes dans cette
grande famille.
Des normes certifiantes
Elles décrivent les exigences devant être respectées si l’on souhaite viser la certification et ainsi obtenir une reconnaissance
externe. L’ISO 27001, norme de définition et de mise en place du Système de Management de la Sécurité de l’Information
(SMSI), publiée en 2005, est le pilier du système. Elle s’inspire largement des travaux de l’organisme de normalisation British Standard et de sa norme BS 7799-2 qui était déjà « certifiante » et largement diffusée au Royaume-Uni et en Asie. L’ISO
27006, qui définit les exigences s’appliquant aux organismes accrédités pour prononcer eux-mêmes la certification, entre
aussi dans cette catégorie.
Des normes de recommandations
Ces normes proposent des bonnes pratiques à suivre pour définir le système de management et sélectionner les mesures de sécurité. La plus connue est la norme ISO 27002 (ancienne ISO 17799) qui décrit les mesures de sécurité en 39
objectifs et 133 mesures. Les normes ISO 27003 (guide de mise en œuvre), ISO 27004 (mesure de l’efficacité) et ISO 27005
(analyse de risques) actuellement en phase de conception apporteront des conseils sur la mise en œuvre du SMSI.
Des normes sectorielles et techniques
L’ISO prépare aussi des « SMSI sectoriels » en sélectionnant et en adaptant les contrôles devant être mis en œuvre pour
certains types d’organismes. Un des secteurs les plus avancés est celui des télécommunications avec le projet de norme
ISO 27011. La santé n’est pas en reste avec le projet de norme ISO 27799. La liste des normes ISO 27000 est loin d’être
stabilisée, et les réflexions se poursuivent sur des thèmes comme la sécurité des réseaux ou la continuité d’activité par
exemple.
Exigences
Recommandations
génériques
2005
2006
Mise en place du SMSI
ISO 27001
Accréditation des
organismes de certification
ISO 27006
2007
2008+
Code de bonnes pratiques
ISO 27002
Terminologie
ISO 27000
Implémentation du SMSI
ISO 27003
Guide díaudits
ISO 27007
Indicateurs et tableaux de bord
ISO 27004
Recommandations
sectorielles
et techniques
Gestion des risques
ISO 27005
Normes métiers
ISO 27xxx
9
des actions à mener pour chaque processus de sécurité. Tout le
cycle de vie du SMSI (PDCA) doit lui-même être vu comme un
processus englobant l’ensemble du dispositif. La norme ISO
27001 décrit grâce à ce processus les différentes étapes de la
mise en place et du fonctionnement de la gouvernance de la
sécurité de l’information.
Les politiques actuelles intègrent aussi très souvent des règles
concernant la formalisation des procédures de sécurité, la réalisation de contrôles ou l’enregistrement des journaux. Mais elles
ne décrivent pas précisément les processus et moyens qui vont
permettre de réaliser effectivement ces actions. La norme ISO
27001 propose en revanche d’intégrer ces éléments comme des
fondements incontournables de la démarche sécurité :
1) Des processus de sécurité bien identifiés et formalisés
(analyse de risques, gestion des incidents, sensibilisation,
contrôles…).
2) Le contrôle systématique des éléments mis en œuvre via le
SMSI.
3) La gestion efficiente de la documentation (création et mises
à jour).
4) La gestion stricte des enregistrements pour permettre le
contrôle des mesures de sécurité mises en place (par
exemple : traces de tous les accès à un local sécurisé).
Notons que cet élément s’avère de plus en plus incontournable du fait des nouvelles réglementations légales (Sarbanes-Oxley Act, LSF) ou sectorielles (Bâle II ou MiFID dans
le milieu bancaire, Solvency II…).
Mais la véritable spécificité de la norme ISO 27001 par rapport
aux autres systèmes de management, c’est qu’elle centre toute
la démarche sur l’analyse et la maîtrise des risques que fait peser
la sécurité de l’information sur les activités « métiers » de l’entreprise.
La majorité des politiques de sécurité formalisées dans le passé
énonce déjà le principe d’une démarche sécurité alignée avec les
risques encourus par l’entreprise. Pourtant, rares sont encore les
cas où le RSSI dispose d’une vraie « cartographie des risques »
globale et d’un plan d’actions justifié par ces risques. Souvent,
les mesures de sécurité sont décidées et mises en œuvre directement par les équipes de la DSI ou sont choisies en fonction de
« l’état de l’art » sans forcément sélectionner de manière objective les mesures réellement les plus pertinentes. Les analyses de
risques, quand elles existent, sont limitées tant en périmètre (un
projet, une infrastructure sensible), qu’en terme de pertinence
(faible implication des métiers).
L’ISO 27001 rend nécessaire la conduite d’une analyse de risques dès la phase PLAN. La méthodologie d’analyse n’est pas
imposée mais doit être définie au préalable et répondre à certaines contraintes : identification des processus et actifs critiques,
identification des propriétaires, analyse des impacts, identification des menaces et des vulnérabilités, puis description et pondération des risques. Une telle démarche doit nécessairement
impliquer les responsables métiers, seuls habilités à se prononcer sur les risques qui sont acceptables. Elle transforme donc les
modes de gouvernances classiques, le RSSI se tournant d’avantage vers les métiers et les utilisateurs que vers les informaticiens. Le RSSI devient un vrai « pivot » du dialogue entre les
métiers et la DSI.
Une norme qui insiste juste là où le bât blesse aujourd’hui !
La norme ISO 27001 met en avant des thèmes aujourd’hui peu implémentés dans les entreprises : la systématisation de
l’analyse des risques et le contrôle d’application de la politique de sécurité.
Niveau de maturité des entreprises
PLAN
Analyse métier des risques SI
25%
Politique de sécurité des SI
DO
85%
Plan díactions annuel
72%
Procédures formalisées
63%
Plan de sensibilisation
CHECK
Plan de contrôle annuel
Tableaux de bord
ACT
Revue régulière avec la DG
Source Solucom : enquête auprès de 50 grandes entreprises et administrations.
10
51%
31%
50%
57%
Pourquoi adopter l’ISO 27001 ?
L’ISO 27001 propose des principes pertinents qui amènent un
plus réel aux démarches d’amélioration de la sécurité. Elle
apporte en effet :
• Une meilleure maîtrise des risques qui pèsent réellement
sur les activités de l’entreprise.
• La garantie de mieux dimensionner le budget sécurité et
surtout de l’affecter aux mesures les plus pertinentes.
• Une association plus systématique des acteurs métiers et
du management aux décisions, et donc une meilleure
acceptation des contraintes amenées par les mesures de
sécurité.
• Un pilotage plus efficace des actions de traitement des risques.
• La facilitation d’autres démarches liées à la sécurité de l’information, comme par exemple la mise en conformité à
Bâle II, à Sarbanes-Oxley ou aux lois informatique et libertés.
• La garantie de mieux répondre aux attentes des « auditeurs » qui vont maintenant utiliser cette norme comme
référence.
L’utilisation de l’ISO 27001 va par ailleurs renforcer la confiance
du management dans la démarche entreprise par le RSSI et sa
crédibilité. Elle offrira au RSSI un support plus efficace pour obtenir les moyens dont il a besoin pour mener ses actions.
Plusieurs approches face aux normes :
jusqu’où aller ?
La norme ISO 27001 peut, comme tout guide, être utilisée
comme un recueil de bonnes idées dans lequel on peut piocher.
Mais elle ne donnera sa pleine efficacité que si les principes fondateurs qu’elle propose sont effectivement mis en œuvre. La
question qui se pose alors, est de savoir jusqu’où aller dans la
mise en œuvre de ces principes, avec deux grandes options possibles :
1. Construire un ou plusieurs SMSI avec une véritable démarche
de progrès PDCA, mais sans chercher la certification à court
terme.
2. Chercher à obtenir rapidement une certification officielle et
tirer ainsi parti au maximum de ce que la norme peut apporter.
Dans ce cas, comme nous le verrons plus loin, mieux vaut se
fixer un périmètre raisonnable au départ.
En tout état de cause, le projet d’adoption de l’ISO 27001 devra
trouver sa place au cœur de la gouvernance SI de l’entreprise. Il
peut être porté par le RSSI, avec l’aide des équipes Qualité et des
Risk Managers, mais doit être sponsorisé par la Direction. Il associera systématiquement les métiers liés au périmètre concerné et
bien entendu les acteurs de la DSI, qui sont concernés au premier
chef.
11
ISO 27001 : la mise en œuvre
La norme ISO 27001 arrive alors que les entreprises et les administrations ont déjà pour la plupart mis en place des premiers
éléments de gouvernance de la sécurité et ont engagé de nombreux chantiers d’amélioration. La décision d’appliquer les principes de l’ISO 27001 remet-elle en cause tout l’existant ?
Comment entamer ce projet ISO 27001 ?
Par où commencer ?
Si l’on prend l’ISO 27001 au pied de la lettre, la première étape à
mener est l’analyse de risques. Pour conduire cette action, le
choix du « niveau de granularité » est lourd de conséquences.
Identifier tous les risques en analysant chaque micro processus
de l’entreprise est une tâche de longue haleine. Se placer à un
niveau très macroscopique permet d’aller beaucoup plus vite,
mais donne des résultats beaucoup moins précis. Pour traiter
ce dilemme et lancer la « boucle PDCA » dans un délai raisonnable, nous préconisons de mener en parallèle l’identification
macroscopique des besoins de sécurité, réalisée sur la base d’interviews des principaux responsables métiers et de la Direction
Générale, et une analyse des écarts entre les pratiques existantes et les principes et règles de la norme (i.e. les chapitres 4 à 8 de
l’ISO 27001 et les 133 mesures de sécurité de l’ISO 27002), réalisée sur la base d’interviews du RSSI et des responsables SI
(exploitants, architectes, chefs de projets…), d’une revue documentaire et de visites de sites.
• Des chantiers « ISO 27002 » comme par exemple le Plan
de Continuité d’Activité, la gestion des identités et des
accès (IAM), la gestion contractuelle des tiers…
Le processus de gestion des risques, défini par l’ISO 27005, est
l’un des processus clés à mettre en place dans le cadre de ce
plan de maîtrise des risques. Ce processus permet de préciser et
de mettre à jour progressivement la « cartographie des risques »
globale. Il permet aussi d’ajuster les contours et les priorités des
chantiers de mise en conformité et de réorienter le SMSI dans la
bonne direction si nécessaire. Le processus de gestion des risques prévoira dans la plupart des cas une alimentation régulière
de la cartographie des risques sur la base des analyses de risques réalisées pour chaque projet SI et sur un travail progressif
d’analyse détaillée des risques pour chaque processus métier.
Analyse d'écart de la norme
Stratégie du SMSI
Politique de sécurité
Plan de maîtrise des risques
Chantiers de mise
en conformité
ISO 27001/ISO 27002
DO
Ce travail initial permet d’identifier les grandes familles de risques et les périmètres du SI sur lesquels les enjeux sont les plus
forts. Il permet aussi de détecter les éléments manquants pour
disposer d’un SMSI opérationnel et efficient. Le travail ainsi mené
permet de définir et de faire valider la « stratégie du SMSI » par la
Direction Générale. La stratégie du SMSI consiste à :
1) Fixer le périmètre du SMSI.
2) Formaliser une politique de sécurité de l’information et une
organisation adéquate.
3) Définir un plan de maîtrise des risques argumenté identifiant
les chantiers prioritaires.
Le plan de maîtrise des risques comporte plusieurs volets :
• Des chantiers de conformité ISO 27001 pour décliner les
exigences de la norme. Une approche par processus de
sécurité sera évidemment très pertinente (gestion des incidents, contrôle…).
12
Analyse de risques macro
Ajustement
Processus de
gestion des
ISO 27005
CHECK
ACT
L’analyse de risques,
point focal de la démarche
L’analyse de risques constitue le point de départ d’une démarche
ISO 27001. Pour autant, il s’agit d’un exercice complexe et sensible nécessitant un vrai appui de la direction ainsi qu’une méthodologie et un plan de communication bien élaborés. Les
difficultés à anticiper incluent :
• La définition des critères d’acceptation des risques (à partir de quel niveau l’entreprise ne peut accepter un risque).
• La définition d’une grille d’impacts, nécessaire pour avoir
des résultats homogènes. Cette grille doit être indiscutable :
il est toujours difficile de faire admettre à un responsable que
le processus dont il a la charge n’est pas le plus critique…
• Les enjeux liés aux périmètres croisés lorsqu’un risque ne
concerne pas qu’une seule équipe ou un seul processus
métier.
• La norme ne donne par ailleurs aucun guide, ni pour le
choix du niveau de granularité à adopter, ni pour la définition et la valorisation des types d’impacts. Seuls le bon
sens et l’expertise peuvent permettre de faire des choix
pertinents dans ce domaine.
L’ISO 27005 : Gestion des risques
La norme ISO 27005 (en version projet actuellement) est un guide de mise en œuvre du processus
de gestion des risques liés à la sécurité de l’information. Elle propose une méthodologie d’appréciation et de traitement des risques et complète
ainsi les principes de la norme ISO 27001 qui établit
le SMSI en s’appuyant sur l’analyse des risques.
La norme ISO 27005 s’inscrit dans la logique vertueuse du cycle PDCA initiée par la norme ISO
27001 tant par son objectif d’amélioration de la
sécurité que par le cycle de vie de la gestion des
risques qu’elle propose de mettre en place. Audelà des apports méthodologiques qu’elle représente pour la gestion des risques, elle est enrichie
d’annexes qui forment un outillage conséquent
pour leur appréciation et leur analyse. Pour autant,
l’ISO 27005 ne constitue pas aujourd’hui une base
de scénarios de risques suffisamment exhaustive
pour être utilisée. L’aide d’une véritable méthodologie d’analyse de risques (comme EBIOS ou
MEHARI) et une expertise avancée restent nécessaires en complément.
Existant
Les 12 travaux du RSSI,
ou comment construire son SMSI…
Le travail de planification initial et de construction du SMSI ne va
pas forcément remettre en cause tout l’existant. Il est possible
dans la plupart des cas de s’appuyer sur les éléments pertinents
déjà existants, notamment les politiques, les chartes, les directives, mais aussi les procédures opérationnelles. Le schéma suivant décrit les éléments apportés par l’existant et les nouveaux
éléments qui seront vraisemblablement à créer.
Le corps de la norme ISO 27001 est consacré à la création et au
maintien du SMSI. Si certains sujets sont mis fortement en avant
comme la formation et la sensibilisation, l’organisation, la gestion
des ressources, la gestion des incidents ou les plans d’audits,
toutes les mesures de sécurité évoquées dans l’ISO 27002 ne
sont pas traitées en détail. Vu globalement, la mise en œuvre
Certification
Alignement sur les principes
PLAN
Définition du périmètre
Politique générale
Directives & Chartes
Processus du SMSI
Analyses de risques
Déclaration d'applicabilité (SoA)
Procédure
Approche contrôle / PDCA
Systématisation
Gestion des actifs
Systématisation
DO
Gestion documentaire
CHECK
&
ACT
Plans de contrôles
Audits de conformité
Mesures de l'efficacité
Gestion de preuves
13
Les 12 travaux du RSSI
1/ Cartographie des risques et plan de maîtrise des risques
2/ Politique et gouvernance de la sécurité
PLAN
ACT
Système de management de la
sécurité de líinformation (SMSI)
DO
3/ Sensibilisation et formation
4/ Insertion de la sécurité dans les projets
5/ Gestion des tiers
6/ Mise en conformité (SOX, CNIL…)
7/ Gestion opérationnelle de la sécurité
8/ Plan de continuité d’activité
9/ Gestion des identités et des accès
10/ Architectures de sécurité
d’un plan d’action d’amélioration de la sécurité s’apparente tout
de même aux « 12 travaux d’Hercule ». Ce qu’il est donc très
important de noter, c’est que l’analyse des risques doit permettre de définir les bonnes priorités dans la sélection et dans la
conduite de ces chantiers.
L’ISO 27001 n’impose pas de structure documentaire. Le document de politique de sécurité de l’information pourra ainsi très
bien regrouper les principes de la politique du SMSI, son périmètre, l’organisation du SMSI et les directives/procédures sur lesquelles la sécurité sera bâtie. Il pourra aussi être pertinent de
consigner ces informations dans le manuel du SMSI, document
maître du SMSI décrivant toute l’organisation mise en œuvre.
Dans la plupart des cas, les procédures de sécurité devront être
complétées par une description des processus de sécurité. Ces
processus précisent les règles applicables par une vision « organisationnelle » des rôles et responsabilités. L’essentiel, c’est que
tous les éléments qui composent le SMSI sont clairement identifiés. Si certains documents ne s’appliquent que partiellement au
SMSI, cela doit être indiqué explicitement. C’est notamment le
rôle de la Déclaration d’Applicabilité (SoA) qui, même si elle n’est
pas impérative en dehors d’une certification officielle, constitue
un document très pertinent pour bâtir le SMSI.
La norme ISO 27003 devrait ensuite donner quelques guides
pour aider à l’implémentation des mesures de sécurité. Annoncée pour la fin 2008, cette norme sera un guide d’aide à l’implémentation du SMSI. Les premières versions de travail montrent
une volonté forte de donner des conseils précis basés sur les
meilleures pratiques rencontrées pour mettre en œuvre un SMSI.
Le document sera structuré en fonction de chaque étape du processus PLAN, DO, CHECK, ACT mais détaillera également la
notion même de processus et abordera également les phases
14
ISO 27001
CHECK
11/ Plan de contrôle et d’audit
12/ Tableaux de bord
amont (facteurs clés de succès, engagement du management…).
La rédaction de cette norme est un travail important et complexe
mais si le résultat est à la hauteur des espérances, elle pourrait
devenir incontournable pour tous les RSSI.
Mesurer l’efficacité du SMSI :
les tableaux de bord de sécurité
Pour garantir l’efficacité du SMSI, il faut se doter de moyens de
mesure représentatifs et cohérents. A travers la publication de
tableaux de bord de sécurité, les porteurs du SMSI vont pouvoir
à la fois mesurer cette efficacité, et communiquer vers les acteurs
impliqués. Un bon indicateur est un compromis entre pertinence,
complexité et pérennité. Pour construire des tableaux de bord, il
faut à la fois :
• Reprendre et consolider les éléments qui existent déjà
(souvent de nombreux indicateurs techniques issus des
équipes d’exploitation).
• Mais aussi construire des éléments de haut niveau représentatifs du SMSI dans son ensemble.
On retrouvera donc dans les indicateurs des éléments de mesure
de chaque phase et notamment :
• De l’analyse de risques (PLAN) et du plan de traitement
des risques (DO).
• De suivi des chantiers ISO 27001 et ISO 27002 (DO).
• Des contrôles et audits (CHECK).
• De suivi des actions correctrices et des recommandations
des audits (ACT).
acteurs tels que le RSSI, ou encore des contrôles périodiques ou
audits réalisés par des tiers indépendants, comme par exemple
les équipes internes d’inspection.
Chaque mesure mise en œuvre doit en théorie faire l’objet d’un
contrôle régulier. De manière plus pragmatique, c’est l’analyse
des risques qui doit permettre de définir les points de contrôles
prioritaires ainsi que l’effort à consacrer pour chaque type de
contrôle.
L’ISO 27004
et les indicateurs de sécurité
Actuellement au stade final de normalisation, la
norme ISO 27004 décrit les mécanismes de
conception et de mesure des indicateurs de suivi du
SMSI. Cette norme, très complète, contient beaucoup d‘informations sur ce qu’est une mesure,
comment les collecter et calculer les différents indicateurs issus de ces données.
Suivant ensuite les différentes phases de la vie du
SMSI (Plan, Do, Check, Act), la norme précise les
actions qui devraient être conduites à chaque étape
pour ce qui concerne les indicateurs. En annexe, la
norme propose des fiches de description des indicateurs et également de nombreux exemples d’indicateurs avec les modes de calcul associés.
Trois pièges à éviter :
• Des indicateurs trop nombreux (au-delà d’une
vingtaine).
• Des indicateurs sans identification d’objectifs
à atteindre, donc difficiles à interpréter.
• Une industrialisation trop rapide : il vaut mieux
valider que les indicateurs produits sont les
bons avant d’industrialiser complètement.
COBIT, ITIL et ISO 27000
La plupart des DSI ont engagé des démarches de mise en application des référentiels de gouvernance des SI, les plus souvent
cités étant COBIT, ITIL et CMMI. Se pose donc la question de la
cohérence et de l’articulation de ces démarches avec l’ISO
27000.
Sans entrer en concurrence, ces différentes normes peuvent se
compléter et permettre des économies d’échelle. Par exemple la
mise en place de démarches CMMI et ITIL facilite la mise
en œuvre des mesures de l’ISO 27002. Le COBIT, avec son
approche de gestion des risques, est également une aide pour
viser l’ISO 27001. Il envisage des types de risques plus larges que
l’ISO 27000 (risques affectant l’efficacité, la fiabilité ou l’efficience
du SI, en plus des critères plus orientés vers la sécurité telle que
la confidentialité, l’intégrité, la disponibilité ou la conformité) mais
les démarches restent fondamentalement proches.
En règle générale, on peut considérer que les normes ISO 27000
constituent un approfondissement sur les thèmes de la sécurité
de l’information et de la gestion des risques, qui sont évoqués de
manière plus succincte dans les autres référentiels.
Il faut d’ailleurs noter que la norme ISO 20000, issue d’ITIL,
« pointe » maintenant directement sur la norme ISO 27001 pour
ce qui concerne le processus de gestion de la sécurité du SI.
ISO 27000 et contrôle interne
La mise en œuvre des normes ISO 27000 implique un renforcement du contrôle interne. Ce renforcement est d’ailleurs mis en
avant par toutes les démarches de gestion des risques qui considèrent que seul un processus contrôlé régulièrement peut être
considéré comme maîtrisé. La plupart des nouvelles réglementations ont pour conséquence un renforcement du contrôle interne.
L’une des tâches essentielles de la phase CHECK consiste donc
à élaborer et à mettre en œuvre un plan de contrôle qui définit
l’ensemble des contrôles réalisés pour évaluer le niveau de maîtrise des processus de sécurité et l’efficacité du SMSI. Il combine
des contrôles de premier niveau, réalisés par les acteurs opérationnels, des contrôles de second niveau, réalisés par des
Objectifs
COBIT
ISO20000-1
ISO27001
CMMI
ISO27002
SI
ISO9001
Métiers
ITIL
Moyens
15
La certification ISO 27001
La certification du SMSI par un organisme externe apporte une
reconnaissance publique et internationale. Cette certification
nécessite cependant des efforts importants qui doivent donc être
justifiés par un réel besoin métier. La certification garantit de
manière indépendante que le SMSI est conforme aux exigences
spécifiées, qu’il est capable de réaliser de manière fiable les
objectifs déclarés et qu’il est mis en œuvre de manière efficace.
Ses apports sont notamment :
1. Vis-à-vis des clients, des fournisseurs et des partenaires, la
réponse à des demandes explicites des clients lors d’émission d’appels d’offres requérant la certification, la maîtrise
des coûts avec la réduction du nombre d’audits mandatés
par des tiers ou encore le renforcement de l’image de marque de la société.
2. Pour l’entreprise, la capacité de mobiliser ses équipes derrière un projet commun et visible, dans un objectif de planning déterminé, et d’accélérer ainsi la démarche
d’amélioration de la sécurité.
Mais viser la certification reste une cible ambitieuse nécessitant
un bon niveau de maturité. C’est un projet à part entière nécessitant un haut niveau de sponsoring. C’est aussi un engagement
dans la durée, aussi bien dans la fourniture de moyens que dans
l’amélioration continue. À la vue des efforts nécessaires, la certification doit répondre à une demande explicite des métiers et de
la direction de la société.
La certification dans le monde
Aujourd’hui, le niveau d’adoption de la certification ISO 27001 est
très hétérogène d’un pays à l’autre. Certains sont très en avance, en
particulier le Japon. D’autres (États-Unis, Inde…) sont en train de
rattraper leur retard suite à la publication de l’ISO 27001 comme
norme internationale. Fin août 2007, 2 323 certifications ISO 27001
ont été prononcées dans le monde. En France, quelques sociétés
ont obtenu la certification. Agissant principalement sur le domaine
des technologies de l’information, ces sociétés ont certifié des processus particuliers proches de leur cœur de métier.
systèmes de management tels que l’ISO 9001 et l’ISO 14001
(système de management environnemental). Les normes génériques d’audit sont complétées par des textes spécifiques au
SMSI, en particulier la norme ISO 27006. L’organisation souhaitant se faire certifier va tout d’abord contracter avec un organisme de certification.
Ce contrat d’une durée de 3 ans va encadrer l’ensemble du cycle
de la certification. L’organisme de certification va mandater des
auditeurs certifiés pour réaliser les contrôles. Plusieurs types
d’audits sont formellement identifiés : l’audit initial couvrant la
totalité du périmètre, des audits de surveillance sur un périmètre
plus restreint et l’audit de renouvellement.
La durée de l’audit est déterminée par la norme ISO 27006 et
varie suivant le nombre et la taille des sites, le nombre de personnes dans le périmètre et la complexité du SI. À titre d’exemple, il
faut compter un peu moins de 30 jours d’audit pour une société
de 10 000 employés.
Suite à cette phase de contractualisation, l’audit certifiant est initié. Une première phase de vérification documentaire est réalisée
avant d’enchaîner sur les visites de sites. Lors de cette opération,
les auditeurs réalisent un ensemble de contrôles, techniques et
organisationnels, pour vérifier que le SMSI « tourne », que les
principes sélectionnés ont bien été mis en œuvre et que le système est pérenne.
La majorité des contrôles organisationnels nécessite la fourniture
de preuves concrètes (comptes rendus de réunion, documents
approuvés, listes de personnes ayant suivi les formations…). Les
contrôles plus techniques sont vérifiés par la réalisation d’opérations sur les systèmes (affichage des habilitations, vérification
des correctifs…). De plus, certains contrôles par des interviews
spontanées d’employés sont possibles.
Suite à l’audit, les auditeurs font parvenir leurs recommandations
à l’organisme de certification qui approuve les résultats et peut
délivrer le certificat officiel. En cas de désaccord avec les résultats, il est possible de poser des recours.
Les difficultés de la certification
La certification, une démarche encadrée et
normalisée
Pour obtenir la certification, il est nécessaire de faire auditer son
SMSI par un organisme de certification externe. La certification
du SMSI ISO 27001 suit le même processus que celle des autres
16
Au-delà des points clés inhérents à la mise en place du SMSI (périmètre, analyse de risques et mesure de l’efficacité), les difficultés rencontrées couramment lors des audits certifiant sont les suivantes :
• La gestion des enregistrements et des preuves demande
des efforts importants de formalisation et de communication. C’est sur cette base que les contrôles seront réalisés.
• La connaissance, sur le périmètre concerné, des principes
et des règles de sécurité. Les auditeurs ne manqueront
pas d’interroger aussi bien des responsables métiers que
des employés, voire des prestataires, sur leur connaissance des pratiques de sécurité.
Même si un problème sur ce point n’entraînait qu’une
remarque de la part des auditeurs, il est difficile de garantir
un sans-faute sur ce volet.
• La certification d’un SMSI n’ayant pas encore fait ses preuves. Même si cette pratique n’est pas recommandée, la
norme autorise la certification d’un SMSI n’ayant pas encore
réalisé un cycle de la boucle PDCA. La certification sera alors
plus facile à obtenir mais les audits de renouvellement ne
manqueront pas de vérifier que les actions de type CHECK et
ACT sont réalisées. Le relâchement « naturel » suite à l’obtention de la certification pourrait alors être fatal.
CONCLUSION :
Adopter les principes
dès aujourd’hui,
certifier sur opportunité !
La norme ISO/IEC 27001, première brique d’une grande famille de
normes internationales consacrées à la sécurité des systèmes
d’information, constitue une avancée majeure dans le mouvement de professionnalisation progressive des démarches de
sécurité.
Elle formalise des principes essentiels qui vont permettre un alignement progressif de la sécurité de l’information avec les meilleures pratiques de management : pilotage par les risques,
formalisation des processus, contrôle, amélioration continue…
Appelée à s’imposer, l’ISO 27000 est aussi pour les RSSI et les
DSI un outil de communication efficace permettant d’asseoir la
crédibilité et la cohérence des démarches d’amélioration de la
sécurité, et de conforter et valoriser ces démarches vis-à-vis du
top management. Avec la certification officielle, cette crédibilité
deviendra même dans certains secteurs d’activité une reconnaissance externe incontournable.
Il ne faut pourtant pas tout attendre de l’ISO 27000 : en aucun cas
les normes n’aident à choisir le bon niveau de granularité et de
détail pour conduire les analyses de risques. Elles n’aident pas
non plus à sélectionner les mesures de sécurité adaptées au
contexte et ne garantissent pas que les processus que vous allez
définir seront les plus efficaces pour maîtriser vos risques. Comme
dans le domaine de la qualité, les normes fixent des objectifs,
proposent une méthodologie, mais seuls le bon sens et l’expertise
assurent la pertinence des choix d’implémentation.
Le chemin à parcourir pour s’aligner complètement avec la norme
et atteindre la certification ISO 27001 s’avérera souvent long, coûteux et ambitieux. La certification officielle doit donc être réservée
pour le moment aux organisations qui peuvent y trouver un apport
direct pour leur cœur de métier.
Mais que cela n’empêche pas chaque entreprise d’appliquer dès
maintenant les bons principes des normes, et d’accélérer ainsi
leur démarche d’amélioration de la sécurité ! C’est en focalisant
dans un premier temps l’attention sur le traitement des risques
majeurs que l’on pourra pleinement tirer partie des enseignements des normes tout en se donnant un périmètre de travail
raisonnable. Une fois ces risques majeurs maîtrisés, les cycles
successifs de la boucle PDCA permettront d’élargir progressivement le périmètre des risques traités pour couvrir à terme l’ensemble du système d’information.
En résumé, appliquons dès aujourd’hui les bons principes de
l’ISO 27000, mais visons la certification uniquement lorsque le jeu
en vaut la chandelle !
Laurent BELLEFIN
Directeur des opérations sécurité
du groupe Solucom.
A propos de Solucom
Solucom : Cabinet de conseil en gouvernance des SI et technologies, le groupe Solucom rassemble plus de 500 consultants. Dans le domaine de la sécurité, Solucom
accompagne les grandes entreprises dans la mise en place de leur politique de maîtrise des risques SI et dans le design de leurs architectures de sécurité. Le pôle
sécurité du Groupe Solucom est fort de plus de 120 consultants intervenant sur les
aspects suivants :
• cartographie des risques et conduite d’audits,
• formalisation des politiques et des organisations de management de la sécurité,
• élaboration de plans de continuité d’activité,
• conception des processus et des solutions de gestion des identités et des habilitations.
17
Pour compléter votre bibliothèque
de référence technique,
commandez vite les anciens numéros*
d’IT-expert à tarif préférentiel !
IT-expert n°58
Novembre/Décembre 2005
DOSSIER : L’intégration de contenu,
un problème bien réel
• Les JavaServer Faces face à Struts
• Sybase Adaptive Server Enterprise 15
• Informatique et téléphonie :
à quand la convergence ?
IT-expert n°60
IT-expert n°61
IT-expert n°62
IT-expert n°63
Mars/Avril 2006
Mai/Juin 2006
Juillet/Août 2006
Septembre/Octobre 2006
DOSSIER : La qualité des applications
développées en technologies objet
• L’industrialisation des développements au
DOSSIER : Optimiser innovations et
transformations en gérant le portefeuille
de projets et d’applications
• Subversion : le grand départ ?
• L’accessibilité numérique
• Wi-Fi
DOSSIER : Panorama sur les techniques Agiles
• PHP5, une alternative à .NET et J2EE ?
• Eclipse : le Big Bang Callisto
• Test Driven Development
• Qui arrêtera Google ?
DOSSIER : La géolocalisation
• Géolocalisation, les techniques alternatives
IT-expert n°65
IT-expert n°66
IT-expert n°67
IT-expert n°68
Janvier/Février 2007
Mars/Avril 2007
Mai/juin 2007
Juillet/Août 2007
DOSSIER : Web 2.0 entreprise, quelles
réalités ?
• ITIL et ISO20000
• Logiciel libre
• Les wikis : définitions fonctionnelles et techniques
• Une approche structurée de la certification du
DOSSIER : Sécurité : Les applications,
le talon d’Achille des entreprises
DOSSIER : SOA, l’état de l’art
DOSSIER : Le décisionnel
• SOA : Architectures & outils
• Imprimez moins, maîtrisez vos coûts !
• Qualité interne de ses logiciels :
mythes et réalités
• L’univers étrange des unités d’œuvre
• Du décisionnel à la gestion de la performance
• La visualisation de l’information à des fins
d’aide à la décision
• Les grandes étapes d’une chaîne d’ETL
• ITIL : entre meilleures pratiques et référentiel
holistique
* Dans la limite des stocks disponibles
secours des échecs projets
• Environnements de Développement Intégrés
• Urbanisme des Systèmes d’Information versus
Architecture d’Entreprise
• Contrôle d’accès au réseau
réseau : l’audit automatique du réseau et la validation des changements des configurations
• RIA (Rich Internet Application) :
définitions et panorama des solutions
• Gestion des droits numériques en entreprise
avec RMS
• Un observatoire pour mesurer l’urba
• Les DRM : une introduction
au GPS
• Le positionnement par GPS
• Géolocalisation, tout n’est pas permis…
• Recyclage des e-déchets
Offre Spéciale
Je souhaite acheter les numéros suivants
Tarifs TTC (TVA : 5,5 %)
1 exemplaire : 8€
5 exemplaires : 35€
IT-expert n°59
Janvier/Février 2006
DOSSIER : Vers un standard pour le pilotage
des coûts informatiques
• Contrôle des développements externalisés
Année 2005
N° 58
& solutions de gouvernance
• K9a : une nouvelle grille de lecture pour la conduite
agile de projets de systèmes d’information
• La guerre des processeurs aura-t-elle lieu ?
Année 2006
N° 59
N° 60
N° 61
N° 62
N° 63
N° 64
10 exemplaires : 60€
Autre quantité :
Année 2007
N°65
N°66
N°67
N°68
N°69
Pour commander les anciens numéros d’IT-expert, il vous suffit
de nous renvoyer ce document à l’adresse suivante :
IT-Expert
3, rue Marcel Allégot - 92190 Meudon - France
Tel : +33 (0)1 46 90 21 21 - Fax : +33 (0)1 46 90 21 20
Adresse d’expédition & de facturation
IT-expert n°64
Novembre/Décembre 2006
Mme DOSSIER : Capital Immateriel
• Windows Vista : le nouveau système
Nom
d’exploitation de Microsoft
• Les curseurs sous SQL Server
• Wimax
Prénom
Mlle M.
Société
Fonction
Adresse
CP
Ville
E-mail
Tél
Fax
IT-expert n°69
Chèque joint à l’ordre de Press & Communication France
Règlement à réception de facture
Septembre/Octobre 2007
DOSSIER : Que peut-on offshorer dans
une DSI ?
• La qualité intrinsèque des applications dans
les contrats de service
• Le « backsourcing » : lorsque l’externalisation
n’est pas utilisée avec précaution…
• Assurer le succès des projets avec la Tierce
Recette Applicative
• Etat de l’art de la convergence : lien entre
informatique et téléphonie
Date :
Signature obligatoire :
www.it-expertise.com
Technique
Comment lutter
efficacement contre
les intrusions
informatiques ?
Selon le Gartner, d’ici 2010, les revenus des vendeurs de solutions de détection et/ou de prévention d’intrusion vont
augmenter d’environ 30 %. Effet de mode ou réel intérêt des entreprises pour ces solutions ?
Les responsables informatiques doivent prendre conscience des problématiques associés à ces technologies, afin
de ne pas investir sur une infrastructure sous exploitée (ou mal exploitée) du fait des difficultés inhérentes à ces
solutions (nombre de fausses alertes trop importantes, complexité de mise en œuvre et de configuration, exigence
de suivi régulier des alertes…). Après un bref rappel sur les concepts liés à ces technologies. Nous tenterons de
comprendre quels sont les enjeux et les problématiques liés à l’intégration de ce type de solution au sein d’un système d’information.
20
Concepts
Distinction IDS/IPS
Afin d’assurer la sécurité des données, de nombreux mécanismes
de sécurité logique sont disponibles et implémentés au sein de ces
systèmes d’information. Parmi la pléthore de systèmes qui permettent de filtrer et/ou de contrôler les flux (les divers mécanismes d’authentification, de filtrage au travers des pare-feu, etc.), des systèmes
complémentaires ont été construits afin de pouvoir détecter les
intrusions. Une intrusion est comme une action non autorisée (attaque ou action malicieuse) effectuée par des personnes internes ou
externes aux systèmes d’information surveillés. Ces systèmes ont
évidemment évolué naturellement pour retrouver cette capacité de
blocage ou de contrôle des flux au travers des mécanismes de prévention d’intrusion.
De manière générale, l’architecture d’un système de détection/prévention d’intrusion repose sur les composants suivants :
• La sonde de détection/prévention d’intrusion : elle est en
charge de la capture, de l’analyse du trafic, de la remontée des
alertes. Plusieurs sondes peuvent être mises en place sur un
environnement à surveiller afin de le contrôler plus efficacement.
• Le serveur de centralisation des événements : il assure la
consolidation des alertes remontées par les différentes sondes placées sur l’environnement surveillé. Un tel serveur est
pertinent dans le cas où plusieurs sondes sont mises en
œuvre. Ce serveur est lié à une base de données : celle-ci a
pour objectif de stocker l’ensemble des données traitées par
les sondes.
• Une console de reporting : elle est en charge de la remontée
des alertes auprès de l’administrateur de la solution et doit
permettre de les afficher de manière pertinente et rapide au
sein d’une interface graphique dédiée. Ces consoles sont
généralement intégrées en natif au serveur de centralisation.
Le schéma suivant représente l’architecture globale d’un système de détection/prévention d’intrusion au sein d’un réseau à
surveiller. Ce schéma synthétique montre des sondes disposées
sur l’ensemble des quatre segments réseau du système :
• Le réseau utilisateur,
• La DMZ de serveurs,
• Le réseau d’administration,
• La DMZ Internet.
Le composant majeur de cette architecture correspond bien sûr
à la sonde de détection/prévention d’intrusion. En effet, son rôle
est de détecter, voire prévenir, automatiquement les intrusions qui
peuvent survenir au sein d’un système d’information. Les autres
composants jouent plutôt des rôles « support » pour le stockage
et l’affichage. Les mécanismes de détection d’intrusion reposent
principalement sur deux méthodes d’analyse du trafic :
Serveurs
Réseau utilisateurs
Réseau d'administration
Sondes
Serveur de consolidation
Console de reporting
Web
21
• Analyse par signatures (Ce qui est interdit est connu) : les sondes possèdent une base de données d’attaques, définies formellement sous la forme de signatures. Elles comparent
ensuite le flux capturé à l’ensemble de sa base de signature
pour détecter une attaque connue.
• Analyse comportementale (Ce qui est interdit est inconnu) : les
analyseurs disposent d’un modèle de comportement normal
ou autorisé du système surveillé. Ces analyseurs comparent le
flux capturé à l’ensemble de sa base de modèles pour détecter un flux inconnu, donc une attaque possible.
En complément à la détection d’intrusion, les nouveaux systèmes englobent des mécanismes qui permettent de répondre
automatiquement à une attaque identifiée en essayant de la bloquer : cette fonctionnalité complémentaire correspond à la différence entre système de détection d’intrusion et système de
prévention d’intrusion. Ces tentatives de blocage peuvent être
effectuées de différentes manières :
• L’IPS bloque l’attaque, par exemple en fermant la connexion
ou en filtrant tout accès à certains équipements,
• L’IPS change l’environnement surveillé au travers notamment
de modification de configuration réseau,
• L’IPS modifie le contenu de l’attaque en remplaçant les
paquets malicieux par des paquets sains.
Malgré les algorithmes implémentés ainsi que la puissance de
ces systèmes, les problèmes rencontrés en détection d’intrusion
depuis leur mise en œuvre sur le marché correspondent principalement aux trois points suivants :
• Le volume excessif d’alertes générées par les sondes qui, souvent,
correspondent en effet à des fausses alertes : l’émission d’alertes
en l’absence d’attaque représente près de 90 % des alertes,
• L’absence de surveillance régulière des alertes remontées par
les sondes : étant donné le constat précédent, les organisations ne mettent pas ou ne peuvent pas mettre en place de
structure suffisante pour analyser les événements remontés
par ces systèmes,
• L’augmentation des débits des réseaux comparée à la vitesse
de traitement des équipements : l’objectif est d’analyser une
quantité de trafic de plus en plus important et de la comparer
à des bases de signatures de plus en plus détaillées.
Des sondes affectées à la surveillance du
réseau ou du système
Indépendamment de la méthode d’analyse du trafic, il existe par
ailleurs deux types de sondes selon la nature des informations
surveillées. Ces deux catégories ne surveillent pas directement
les mêmes informations, mais la complémentarité de ces deux
composants reste un élément majeur dans le cadre de la mise en
place d’un système global de détection d’intrusion.
Du réseau jusqu’à l’application
Les sondes réseaux sont chargées de capturer et d’analyser le
trafic circulant sur un réseau déterminé et de détecter le trafic
malveillant au sein de celui-ci. Le périmètre de détection des
22
sondes réseaux permet actuellement de couvrir les flux applicatifs, transport et réseaux. En effet, les sondes réseau mettent à
disposition des signatures qui permettent de rechercher des flux
de ce type :
• L’analyse des flux applicatifs permet de détecter des attaques
au niveau des protocoles de niveau applicatifs, tels que HTTP,
DNS voire même concernant des requêtes vers des bases de
données. A titre d’exemple, les règles listées ci-dessous sont
des signatures utilisées par le logiciel de détection d’intrusion
Snort (www.snort.org) et correspondent à :
- une signature relative à une attaque Oracle (exploitation
d’une vulnérabilité dans la base de données Oracle XML) :
alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 2100
(msg :"ORACLE XDB FTP UNLOCK overflow attempt";
flow :to_server; content :"UNLOCK"; depth :6;
pcre :"/ÛNLOCK\s+\S+\s+\S{100}/sm";
reference :bugtraq,8375; reference :cve,2003-0727;
classtype :attempted-admin; sid :3526; rev :3;)
- une signature relative à une attaque SMTP (tentative de
découverte de l’alias root sur un serveur sendmail)
alert tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25
(msg :"SMTP expn root"; flow :to_server,established;
content :"expn"; nocase; content :"root"; nocase;
pcre :"/êxpn\s+root/smi"; reference :arachnids,31;
reference :cve,1999-0531; reference :nessus,10249;
classtype :attempted-recon; sid :660; rev :10;)
• L’analyse des flux réseaux permet de détecter des attaques
principalement au niveau des protocoles IP, ICMP ou IGMP. La
règle suivante correspond à une signature relative à une tentative de ping généré par l’outil de scan nmap :
alert icmp $EXTERNAL_NET any -> $HOME_NET any
(msg :"ICMP PING NMAP"; dsize :0; itype :8; reference :arachnids,162; classtype :attempted-recon;
sid :469; rev :3;)
Des sondes dédiées au système
Les sondes système sont chargées de capturer un ensemble d’informations remontées par le système d’exploitation d’un équipement ainsi que par les applications installées sur cet équipement.
De manière générale, les éléments analysés par ce type de sondes correspondent à :
• des logs systèmes (i.e. afin d’identifier des tentatives d’accès
répétées),
• des processus en cours d’exécution afin de détecter, par exemple, la présence possible de virus ou programmes malveillants,
• des accès à certains fichiers et ressources critiques (bases de
registre, notamment),
• des flux réseaux circulant de et vers l’équipement, et notamment au travers d’une surveillance des flux concernant des
ports critiques tels que les ports NETBIOS, Microsoft-DS ou
les ports applicatifs.
En complément à ces fonctionnalités de détection, les fonctionnalités de prévention reposent principalement sur des mesures
de sécurité déjà existantes telles que le pare-feu personnel. L’intérêt d’un HI(D/P)S par rapport à ce type de mesures réside dans
l’automatisation de la réponse à une intrusion donnée : la règle de
filtrage mise en œuvre au niveau du HI(D/P)S sera implémentée
automatiquement alors que, dans le cas du firewall personnel,
l’intervention d’un utilisateur sera nécessaire.
Etant donné ces deux types de sondes, il est possible d’envisager sur un réseau particulier l’implémentation de ces deux types
de sondes : un NID/PS pour surveiller le trafic réseau et un
HID/PS pour surveiller l’activité des systèmes.
Vers l’analyse comportementale et
la corrélation d’alertes
Les évolutions actuelles des I(D/P)S ont pour objectif principal
d’améliorer les systèmes actuels en réduisant leurs inconvénients
d’utilisation majeurs, dont notamment la quantité de fausses alertes ainsi que la qualité des alertes remontées.
L’IDS/IPS joue-t-il en NBA ?
Parmi ces nouvelles évolutions, nous pouvons notamment citer les
systèmes NBA (Network Behavior Analysis) qui ont pour fonction
principale l’analyse du trafic réseau afin d’identifier du trafic inhabituel. A ce niveau, la différence entre NBA et I(D/P)S reste infime et on
peut même être amené à considérer ces nouveaux équipements
comme des I(D/P)S basés sur de l’analyse comportementale. A y
regarder de plus près, les composants de ces systèmes correspondent effectivement aux mêmes composants des I(D/P)S, c’està-dire une sonde, une console de gestion et un serveur de
centralisation. La différence principale avec leurs aînés repose sur la
source d’émission des informations : en effet, les sondes NBA peuvent, soit agir comme une sonde I(D/P)S, soit récupérer les informations des équipements réseau présents au sein de l’environnement
à surveiller, comme par exemple des routeurs.
Par ailleurs, la fonctionnalité complémentaire des NBA correspond à leurs capacités de consolidation automatique d’information liée aux équipements surveillés. Les principaux NBA sont
en effet capables de récupérer et de mettre à jour automatiquement les informations suivantes, notamment au travers des techniques de passive fingerprinting :
• Liste d’hôtes présents et communiquant sur le réseau à surveiller,
• Informations concernant ces hôtes, dont notamment leur système d’exploitation leur adresse IP ou les services TCP/UDP
ouverts.
Etant donné qu’ils fonctionnent en détectant des déviations de
trafics normaux, ces équipements ne sont pas optimisés pour
détecter des attaques ciblées sur des ports normalement utilisés
à bon escient ou sur des attaques ciblées à un nombre réduit de
machines.
Le principal avantage de ces systèmes repose sur sa capacité à
connaître l’environnement qu’il doit surveiller. Les inconvénients
de ces systèmes sont tout de même multiples et ont parfois une
origine équivalente à celle des I(D/P)S :
• La nécessité de protéger ces équipements afin de ne pas servir de cible privilégiée pour les attaquants potentiels,
• La nécessité d’affiner la sensibilité de détection en fonction de
l’environnement à surveiller et de la mettre à jour selon les
modifications lui étant apportée,
• La nécessité d’avoir un processus régulier de contrôle des
événements remontés par ces équipements et de réaction
aux alertes.
La corrélation d’alertes limite le bruit
Considérée comme une des clés de l’évolution des systèmes de
détection d’intrusion, la corrélation d’alertes résoud le problème
d’excès d’alertes ou tout du moins améliore leur contenu. Elle est
définie comme une interprétation conceptuelle d’alertes multiples,
tel qu’une nouvelle signification est assignée à ces alertes. Ainsi, elle
doit permettre à un administrateur de sécurité d’établir des relations entre les alertes afin de réduire le flot d’informations.
Actuellement, des logiciels SIEM (Security Information & Events
Management) de consolidation d’événements provenant de différentes sources (firewalls, routeurs, antivirus, ID/PS) intègrent
ce mécanisme de corrélation d’alertes. Après avoir normalisé
l’ensemble des informations remontées de ces sources, cet outil
se base sur un référentiel interne (i.e. base de vulnérabilités, cartographie du réseau) pour tenter de corréler ces alertes de
manière à n’afficher que les attaques réelles.
Afin d’obtenir des résultats intéressants et probants, le référentiel
interne utilisé par ces outils doit être pertinent par rapport à l’environnement à surveiller : il doit évidemment correspondre exactement à l’état courant du système et toute information
complémentaire n’en est que superflue.
A titre d’exemple, si le SIEM se base sur une corrélation à base
d’informations cartographiques, ces informations relatives aux
équipements surveillés doivent être à jour, notamment en termes
de version de systèmes d’exploitation et d’applications. Cette
forte exigence explique pourquoi les SIEM se trouvent face à la
même nécessité de procéder à une démarche de tuning similaire
à celle des I(D/P)S.
Déployer un système de gestion
des intrusions dans le SI
Afin d’éviter les écueils liés aux problèmes inhérents à la détection d’intrusion, l’intégration de ce type de composants au sein
d’un système d’information existant nécessite la prise en compte
de plusieurs facteurs de type techniques, organisationnels ou
procéduraux :
• Une maîtrise parfaite de l’environnement et des flux qui transitent au sein de ce système d’information afin de permettre
un paramétrage particulier (ou tuning) des sondes,
• Une organisation qui permette la supervision des alertes
remontées et, de manière sous-jacente, la réaction à des alertes réelles,
23
• Une politique de sécurité définie et appliquée qui permet
d’avoir un niveau de maturité suffisant du processus lié à la
sécurité du système d’information.
Vers une maîtrise parfaite des flux et
de l’environnement IT
La connaissance détaillée du système d’information de l’organisation est un élément primordial à toute implémentation de système de détection/prévention d’intrusion. Etant donné que la
problématique principale de ces systèmes réside dans le nombre
trop important d’alertes émises, il est important de savoir réduire
ce nombre d’alertes.
Afin d’atteindre cet objectif, les systèmes de détection/prévention
d’intrusion doivent s’adapter à l’environnement dans lequel ils
sont implémentés : en effet, les sondes de détection doivent être
configurées de manière à remonter des alertes uniquement pertinentes pour l’environnement surveillé.
La pertinence de cette configuration, qui consiste à sélectionner
au travers d’une démarche de tuning les bases de signatures
adéquates, repose donc sur une connaissance détaillée de l’environnement à surveiller et des flux qui y transitent. A titre d’exemple, la configuration d’une sonde située dans une DMZ frontal à
Internet hébergeant des serveurs Web Windows ne doit pas être
identique à celle d’une sonde située dans une zone back-end
d’un datacenter hébergeant les serveurs qui supportent des
bases de données Oracle critiques à une activité métier d’une
organisation. En effet, pour ces deux exemples, les signatures à
activer seront :
• Pour notre DMZ, des signatures relatives à des attaques Web
sur des équipements Windows,
• Pour notre zone back-end, des signatures relatives à des attaques Oracle.
Le schéma ci-dessous représente cet exemple.
Cette étape de tuning se base bien sûr, au préalable, sur une
connaissance détaillée de l’environnement à surveiller, qui repose
sur la cartographie réseau de l’organisation ainsi que sur l’inventaire des équipements présents dans cet environnement ainsi
que sur les flux qui transitent au sein de l’organisation, formalisés
au travers d’une cartographie des flux (applicatifs, d’administration, etc.).
Les deux éléments mentionnés précédemment ne sont pas
associés uniquement à un processus d’implémentation de systèmes de détection/prévention d’intrusion. En effet, ces éléments
font normalement partie intégrante des processus déjà mis en
place au sein d’une DSI, notamment au travers du processus de
gestion des configurations et de l’urbanisation des systèmes.
Sonde configurée avec des signatures
spécifiques Bases de Données
Sonde configurée avec des signatures
spécifiques Serveurss Web
DMZ
Back End
DMZ
Serveurs
Réseau
d'administration
Réseau utilisateurs
DMZ Serveurs Web
Web
24
Une politique de sécurité déclinée
au niveau du réseau
Une politique de sécurité définit l’ensemble des exigences qui
doivent être mises en œuvre afin d’assurer la sécurité de l’information de l’organisation, notamment en termes de confidentialité, de disponibilité, d’intégrité et de traçabilité. Cette politique se
base notamment sur les exigences réglementaires, légales et sur
la stratégie de l’entreprise.
En pratique, l’application d’une politique de sécurité s’effectue en
déclinant celle-ci en différents domaines concernés : à partir des
exigences générales définies dans la politique de sécurité, des
exigences spécifiques à chaque environnement technique et/ou
organisationnel seront identifiées. Dans ce cadre, une politique
d’accès réseau peut être définie afin de décliner ces exigences en
termes d’accès au réseau, de filtrage d’accès, de règles de routage et aussi de détection d’intrusion.
Au sein de cette politique déclinée, les orientations concernant la
détection d’intrusion peuvent permettre d’identifier les mesures
techniques à mettre en œuvre afin de couvrir les risques identifiés
précédemment. Des exemples d’exigences associées à ce
domaine spécifique pourraient être les suivantes :
• L’ensemble des flux circulant de et vers les DMZ critiques de
l’organisation doivent être contrôlés afin de détecter, et si possible, prévenir les attaques,
• L’ensemble des flux sur le réseau des utilisateurs de l’organisation doit être surveillé afin d’identifier les possibles attaques
internes,
De fait, la formalisation de ces exigences peut et doit permettre
aux opérationnels de mettre en place des systèmes de détection
et de prévention qui ont des objectifs définis et clairs. L’absence
de formalisation de politique de sécurité déclinée dans le
domaine des réseaux peut entraîner la mise en place de systèmes de détection/prévention sans réels objectifs.
Une organisation adaptée à la supervision
et à la réaction
La mise en place d’un système de détection/prévention d’intrusion est inutile si l’organisation en charge de ce système ne permet pas une supervision régulière ainsi qu’une réaction rapide à
toute intrusion identifiée.
L’utilisation de ce type de systèmes repose tout d’abord sur l’implémentation de ces systèmes au sein d’un environnement à surveiller (en mode projet) et ensuite, sur l’exploitation de ces
systèmes et la surveillance des alertes remontées.
La première étape correspondant au projet de mise en œuvre
nécessite une quantité de ressources à un instant donné, mais ne
nécessite pas de réutiliser ces ressources de manière régulière :
une fois installée, le système est en exploitation.
La deuxième étape nécessite, de la même manière que pour le
processus d’exploitation d’un système d’information, la présence
et l’utilisation régulière de ressources. Cette exigence est liée à la
gestion des incidents : en cas d’incident, des ressources techniques (outil de gestion d’incident et/ou monitoring) et organisa-
Stratégies Métiers
Métiers
Exigences Légales
Exigences Métiers
Menaces et Vulnérabilité
Exigences de Sécurité
Niveau
Stratégique
Exigences Mot de Passe
Exigences Accès Réseau
Exigences Ecran de Veille
Implications
Implications
Implications
Niveau
Opérationnel
Implémenter les mesures
de sécurité
25
tent inexploités ou sous-exploités pour les raisons évoquées précédemment. C’est pourquoi, l’implémentation de tels outils au
sein d’un système d’information nécessite les facteurs clés de
succès suivants :
• Une exigence forte, notamment au travers d’une politique de
sécurité déclinée définissant clairement les orientations en
termes de détection d’intrusion,
• Un paramétrage spécifique des sondes selon l’environnement
à surveiller, ce qui correspond à mettre en place une démarche
projet lors de la mise en place de ces systèmes,
• L’existence de processus rôdés concernant la connaissance
de l’environnement à surveiller (au travers d’une cartographie
réseau et d’un inventaire logiciel et matériel) qui permet, en cas
de modification du système d’information, de mettre à jour
les paramètres des sondes,
• Une organisation formellement définie et mettant en œuvre
des processus formalisés de contrôle des événements
remontés par les sondes ainsi que de réaction aux intrusions.
tionnelles (équipe d’exploitation, service desk) sont mises en
œuvre pour gérer et résoudre l’incident. De la même manière,
l’utilisation régulière de ressources techniques (sondes, serveur
de corrélation d’alertes) et humaines (équipe sécurité, RSSI) pour
la détection d’intrusion est nécessaire : en cas d’intrusion, ces
ressources doivent être utilisées pour détecter cette intrusion et
pour répondre de manière efficace à cette intrusion.
Le processus est similaire pour le domaine de la sécurité physique : imaginons un instant que des systèmes de détection d’intrusion physique sophistiqués soient mis en œuvre au sein des
locaux d’une entreprise afin de repérer toute intrusion. Que
diraient ses dirigeants si les alertes remontées par ces systèmes
n’étaient pas contrôlées par les gardes de sécurité ? Que
diraient-ils en plus si ces systèmes prenaient l’initiative de fermer
et de verrouiller l’ensemble des portes de ces locaux ? En bref,
l’absence de ressources pour la gestion des I(D/P)S peut entraîner une utilisation inefficace et/ou inutile de ces systèmes.
Une politique de sécurité globale
adaptée à l’environnement
informatique
Souvent mis en œuvre à la demande des opérationnels, les systèmes de détection/prévention d’intrusion apportent rarement
les bénéfices escomptés, ceci étant dû à une organisation inadaptée ou à une exploitation inadéquate de ces outils. Pour cette
raison et compte tenu des difficultés inhérentes à ces systèmes,
la mise en place de tels systèmes ne doit pas être effectuée uniquement pour rajouter un équipement de sécurité au sein de son
système d’information. En effet, il apparaît trop clairement,
notamment au travers de nos expériences, que de tels systèmes soient implémentés pour des raisons « de mode », mais res-
26
Bien que les technologies et produits de détection/prévention
d’intrusion actuellement proposée sur le marché soient de plus
en plus pointues techniquement et proposent de plus en plus de
fonctionnalités, l’utilité et l’efficacité de ces outils n’apparaîtront
qu’en prenant en compte clairement ces différents facteurs clés
de succès.
Thomas ROETYNCK
Senior Consultant, effectue des
missions liées à la sécurité des
systèmes d’information dans le
cadre de l’activité « Security
& Privacy Services » au sein du
Cabinet Deloitte.
A propos de Deloitte
Avec 135 000 collaborateurs et associés, Deloitte est un cabinet d’envergure mondiale, présent dans près de 150 pays, sur les métiers de l’audit, du conseil, de l’expertise comptable et de la finance.
En France, Deloitte Conseil regroupe 350 collaborateurs au sein d’un réseau mondial
constitué de 25 000 consultants. Ils interviennent dans des domaines recouvrant
les Systèmes d’Information, l’Externalisation, l’Efficacité Commerciale, la Fonction
Finance, le Management des Risques, les Ressources Humaines, la Stratégie et les
Opérations.
Deloitte accompagne les organisations publiques et privées dans leurs projets de
transformation et leur recherche de la performance.
A partir de la compréhension des enjeux stratégiques et des métiers de ses clients,
Deloitte les aide à concevoir et à mettre en œuvre les organisations, les processus et
les systèmes d’information au service de leur stratégie.
Et retrouvez de nouveaux services :
• un moteur de recherche pour trouver les informations techniques qui vous intéressent
• une nouvelle offre d’abonnement qui vous permet d’accéder aux anciens numéros
d’IT-expert en format pdf
• les livres blancs techniques d’éditeurs de logiciels, de SSII, de nos partenaires…
dans une rubrique « téléchargements » ouverte à tous !
Et toujours des informations sur nos partenaires,
sur les sommaires des numéros d’IT-expert
http://www.it-expertise.com :
un complément d’informations
à la version papier que vous recevez tous
les 2 mois !
Actualités internationales
Actualités
internationales
Oracle VM : appliance virtuelle griffée Oracle
A l’occasion de l’Oracle OpenWorld à San Francisco, le leader des bases de données
a annoncé Oracle VM, une solution de virtualisation destinée aux applications maison,
mais aussi à celles d’autres éditeurs. Un moyen de proposer une appliance (serveur
+ logiciel dédiés) virtuelle affichant des performances accrues et simplifiant la haute
disponibilité (entre deux machines virtuelles par exemple).
Oracle VM repose sur l’hyperviseur Xen (société proposant sa solution en Open
Source, rachetée par Citrix) et peut s’exécuter sous Oracle Enterprise Linux 4 et 5,
RedHat Enterprise Linux versions 3,4, et 5 ; Windows Server 2003 et Wwindows XP.
Autre avantage, ce type de solution libère l’utilisateur des contraintes liées aux serveurs
physiques, et permet une installation limitée d’autres logiciels que ceux réellement
nécessaires. Enfin, cela contribue à la consolidation, car les machines virtuelles peuvent cohabiter sur un même serveur et n’utilisent que les ressources nécessaires.
Oracle VM est disponible gratuitement en téléchargement (www.oracle.com/virtualization), et l’administration s’effectue depuis un navigateur sur des serveurs x86
(32 ou 64 bits). Le prix du support : à partir de 499 dollars par an et par instance
jusqu’à 2 processeurs, et 799 dollars pour une machine virtuelle avec un nombre
de processeurs illimité.
Le feuilleton Oracle BEA est-il terminé ?
Le 15 octobre, Oracle faisait sensation en proposant de racheter BEA pour 6,66 milliards de
dollars. Toutefois, les dirigeants de BEA ont
rejeté l’offre pas assez intéressante le 23 octobre, et estimé sa valorisation à 21 dollars l'action, soit 8,2 milliards de dollars. Et la situation
n’a pas évolué à la date butoir fixée par Oracle
le 28 octobre à 15 heures (heure de New York).
Pendant ce temps, le principal actionnaire de
BEA Carl Icahn menaçait le conseil d'administration de l’éditeur de poursuites judiciaires, s’il
empêchait les actionnaires de décider du sort de l’entreprise. Les dirigeants de BEA
ont rétorqué que la vente était toujours d’actualité, mais pas moins de 21 dollars l’action, soit un montant total de 8,2 milliards de dollars et une prime de 80 % sur le titre
en bourse ! Oracle a décliné cette offre jugée excessive.
Le 16 novembre, BEA a publié un chiffre d'affaires pour le troisième trimestre de
384,4 millions de dollars, en hausse de 11 %, tandis que les analystes attendaient
375,4 millions. Le bénéfice net de 56 millions de dollars, soit une croissance de 59 %
! Si la vente de licences a reculé de 1 % (134,8 millions de dollars), les services ont progressé à 249,6 millions de dollars. Un argument supplémentaire pour la position de
BEA qui s’estime sous-évaluée…
28
VMWare n’est pas effrayé
par la virtualisation Microsoft
Au cours du TechEd 2007 à Barcelone,
Richard Garsthagen, responsable produit EMEA chez VMWare a confié à
www.vnunet.com : « Bien au-delà de la
couche de virtualisation, notre entreprise
se concentre sur la résolution des problèmes avec des applications conçues
au-dessus de la couche de virtualisation. ». Puis, il a cité les solutions VMotion
et Site Recovery Manager comme
exemples phares de cette stratégie.
Selon lui, les clients préfèrent l’idée d’un
logiciel de virtualisation indépendant du
système d’exploitation, et se posent des
questions quant au support d’autres
environnements que les siens par Microsoft. (source : vnunet.com).
IBM apporte la virtualisation
à AIX
Décidément, novembre 2007 est le
mois du virtuel ! IBM annonce à son tour
des solutions de virtualisation. En effet,
si sous environnement x86, VMWare
propose la migration en temps réel des
machines virtuelles d’un serveur physique à un autre, elle reste limitée aux
architectures AMD et Intel. Bref, rien
pour les utilisateurs d’AIX, HP-UX, ou
Solaris sous Sparc.
Afin de dominer un monde Unix, qui
fond chaque année, IBM enrichit son
environnement AIX. En juin 2005, Big
Blue avait racheté Meiosys, le spécialiste français de la haute disponibilité et
de la virtualisation (en juin 2005), dont il
a développé la technologie Live Partition Migration. Elle est désormais intégrée aux applications Live Partition
Mobility et Lie Application Mobility.
Une pluie d’annonces sur Microsoft TechEd 2008
Hyper-V la virtualisation
à prix cassé de Microsoft
Lors du TechEd 2007 du 5 au 15 novembre à Barcelone, Microsoft a annoncé de
nombreuses nouveautés concernant sa
vision « Dynamic IT ». Outre la virtualisation Hyper-V, l’éditeur a présenté les versions de Windows Server 2008
disponibles dès février :
• WS 2008 Standard (64 bits) + 5
licences client, une machine virtuelle et une machine physique :
971 dollars
• WS 2008 Web : 469 dollars
• WS 2008 Enterprise + 25 licences
client, 5 machines virtuelles et une
machine physique : 3 971 dollars
• WS 2008 Datacenter (machines
virtuelles illimitées) : 2 971 dollars
par CPU
• WS 2008 Itanium : 2 999 dollars par CPU
L' hyperviseur HyperServer-V (inclus dans les versions Standard, Entreprise et Datacenter) coûtera 28 dollars en version autonome, y compris pour les machines sans
Windows, et quel que soit le nombre de processeurs. En effet, hypersiseur rime avec
vente de licences, car chaque instance virtuelle actionne un système d’exploitation.
Et Microsoft parie que le client optera plutôt pour Windows.
L’administration à l’honneur
Trois nouveaux produits débarquent dans Microsoft System Center, la gamme d’administration informatique de l’éditeur : Configuration Manager 2007, Data Protection
Manager 2007, et Virtual Machine Manager 2007. Objectif : automatiser divers scénarios, comme le déploiement de serveurs et de logiciels, la gestion de la conformité et des
configurations, la sauvegarde et la restauration, ou la gestion de la virtualisation.
Côté administration des postes clients, le Microsoft Desktop Optimization Pack
(MDOP - plus de 3 millions de licences vendues) sera complétée de Microsoft Application Virtualization 4.5 (issu du rachat de SoftGrid). L’an prochain DaRT (Diagnostics and Recovery Toolset) tournera sous Vista et Windows Server 2008. Enfin,
Asset Inventory Service 1.0 automatisera l’inventaire des logiciels sous MDOP.
Microsoft n’oublie pas les développeurs…
Le nouveau Visual Studio 2008 devient compatible avec Office 2007 (client riche
de la stratégie Microsoft), et avec Silverlight, concurrent de Flash. Côté ouverture,
le langage Linq (Language Integrated Query) intégré manipule les données d’environnements hétérogènes via des requêtes universelles. Bonne nouvelle : la
licence de Visual Studio 2008 et de son SDK évolue, et Microsoft élargit les partenariats au-delà de ses plates-formes. Enfin, la bibliothèque d’applications .NET
Framework 3.5 ouvre son code source aux développeurs, mais uniquement en
consultation.
L’éditeur de Redmond confirme l’arrivée de Popfly, son outil de création d’applications composites sans écriture de code (www.popfly.om), et de Sync framework
(synchronisation de données) déjà en bêta.
Autre confirmation du TechEd de juin à Orlando, Microsoft SQL Server 2008, sera
compatible avec Vista et Windows Server 2008. Par ailleurs, il s’enrichit de Resource
Governor, Backup Compression et Transparent Data Encryption, et d’améliorations
pour la veille économique DesignAlerts, le Block Computation ou l’Enhanced Report
Designer, de nouvelles visualisations et une intégration à Microsoft Office 2007. De
nouveaux types de données apparaissent comme FileStream pour l’information non
structurée, les données spatiales pour la géolocalisation.
Avec une sortie maintenue fin du premier
semestre 2008, l’hyperviseur Viridian, de
Microsoft rebaptisé Hyper-V et fonctionnera avec les processeurs x64 d’AMD et
Intel. Proche du fonctionnement de Xen,
et contrairement à VMWare, Hyper-V s’allège de la gestion des pilotes confiée à
chaque machine virtuelle. Clairement
positionné en frontal d’EXV de VMWare,
Hyper-V sera proposé aussi en produit
autonome au prix canon de 28 dollars, et
pourra exécuter des instances sous Windows Server 2003 et 2008, les Linux de
Red Hat et de Novell/Suse, et Solaris.
L’éditeur assure sa solution d’administration System Center intégrera des fonctions évoluées pour gérer des
environnements virtuels et gérer les
copies physique-virtuel et réciproquement. Toutefois, elle sera disponible après
le premier semestre.
Sun aussi virtualise sous
Solaris
Confirmant les préannonces de fin octobre, Jonathan Schwartz, PDG de Sun
Microsystems a profité de l'Oracle Open
World à San Francisco pour dévoiler totalement deux produits de virtualisation.
xVM Server est un hyperviseur destiné au
serveur de virtualisation de Sun fondé sur
Xen (open source et racheté par Citrix).
Disponible au printemps 2008, il utilisera
Solaris comme système hôte et acceptera les instances virtuelles les OS x86
(Windows et Linux) et Solaris. Ces systèmes bénéficieront des ressources du
gestionnaire de fichiers 128 bits ZFS
(Zetta File System), de l'outil d'optimisation DTrace (Dynamic Tracing) et de l’isolation de ressources défaillantes sans
interruption de FMA (Fault Management
architecture). Dans l’esprit Open Source,
Sun a aussi inauguré le site openxvm.org
pour faciliter le téléchargement et le dialogue avec les techniciens du monde entier.
Si Jonathan Schwartz a mentionné un
investissement de deux milliards de dollars dans la virtualisation, il a aussi rappelé que Sun était « le premier éditeur
commercial Open Source ». Eh oui !
29
Tomtom absorbe Tele Atlas contre Garmin
Le néerlandais Tomtom remporte la lutte contre l’américain
Garmin dans le monde des
GPS. Les deux spécialistes se
sont disputés pendant deux
semaines pour racheter l’éditeur de cartes numériques Tele
Atlas.
Tomtom avait lancé l’attaque
en juillet 2007, via une OPA amicale de 1,8 milliard d’euros, soit
21,25 euros par action. Puis, Garmin contre-attaquait avec une
offre de 2,3 milliards d’euros à 24,50 euros par action. TomTom
s’est donc vu dans l’obligation de surenchérir, en proposant
2,9 milliards d’euros (30 euros l’action) le 7 novembre. Tele Atlas
affichant publiquement sa préférence pour TomTom, acceptera
sans doute la transaction, mais à 1,1 milliard d’euros de plus que
l’offre initiale. Une acquisition majeure avec une logique industrielle incontestable qui a permis au titre Tomtom de grimper
jusqu’à + 8 % à la bourse d’Amsterdam.
Le Wall Street Journal en ligne gratuit
Contrairement à ce qu’affirment certains analystes mal avisés, le
modèle gratuit revient en force, au détriment des sites payants.
En septembre 2007, le New York Times a abandonné l’abonnement payant en ligne pour passer au site Web d’information gratuit. Aujourd’hui, le non moins prestigieux Wall Street Journal, du
groupe News Corp, envisage de prendre le même virage.
Son propriétaire, l’homme d’affaires Rupert Murdoch a indiqué :
« Nous étudions la possibilité de passer sur le modèle gratuit, car
au lieu de n’avoir qu’un million d’abonnés en ligne nous allons
toucher beaucoup plus de lecteurs. L’objectif étant de faire du
site une référence, consultable gratuitement partout dans le
monde. »
Si les abonnements ont dégagé plus de 50 millions de revenus
en 2006, il semblerait que la publicité soit plus rentable. De plus,
en passant au modèle gratuit, les sites Web améliorent leur visibilité auprès des internautes, mais aussi auprès des moteurs
de recherche et autres flux RSS. Or, en la matière, la réputation
d’une marque reconnue est un atout différenciant. De plus, le
titre sera bien plus influent sur la Toile. Un modèle vertueux,
puisque plus de trafic amène aussi plus de publicité.
30
IBM s’offre Cognos
Le 12 novembre, IBM annonçait son désir d’acquérir
Cognos, spécialiste canadien de la Business Intelligence créé en 1969, pour 58 dollars par action, soit
près de 4,9 milliards de dollars en cash. Société cotée
en bourse, Cognos devrait réaliser 1,1 milliard de dollars de chiffre d’affaires en 2008, hors Applix qu’elle
vient d’acquérir (voir dernier numéro d’IT-expert).
Bien qu’IBM s’en défende, cette acquisition est forcément motivée en partie par la concentration actuelle
du marché des solutions de consolidation et de planification budgétaires (pou EPM, ou gestion de la performance), dont Cognos souvent est considéré comme
l’un des leaders. En effet, les poids lourds du secteur
ont déjà joué cette pièce : Oracle en rachetant Hyperion, et SAP en reprenant Busines Objects (qui avait
racheté Cartesis).
Un rachat qui confirme la tendance à investir plus lourdement d’IBM dans le logiciel, plutôt que sur son activité historique de constructeur. Logique, puisque le
matériel devenant de plus en plus standard dégage
moins de marge. D’ailleurs, au 3e trimestre 2007, le
service et les logiciels ont généré les trois quarts du
chiffre d’affaires du groupe, avec des croissances entre
7 et 16 %, tandis que le matériel a reculé de 10 %, pour
un chiffre d’affaires en hausse de 7 % à 24,1 milliards
de dollars.
Le BlackBerry
n’aime pas les imitateurs
La société canadienne RIM
(Research in motion), créatrice du
Blackberry inspire forcément la
concurrence, dans un secteur où
les modèles de revenus récurrents
se multiplient. Le coréen LG Electronics (Lucy Goldstar) a créé des terminaux baptisés avec des noms du
genre « Black Label », «Strawberry » et « Black
Cherry ». Il est vrai que les consommateurs pourraient
s’y tromper, même si les modèles sont différents. Le
Canadien a donc attaqué le coréen en justice, comme
il l’avait déjà fait contre Samsung. Ce conflit avait d’ailleurs été réglé par entente à l’amiable.
RIM réclame à LG des dommages et intérêts ainsi que
la destruction de tous les terminaux incriminés. Peutêtre un brin excessif ?
Quoi de neuf Docteur ?
Microsoft
Office
SharePoint
Serveur 2007 :
les raisons-clés
d’un succès
Microsoft SharePoint Serveur 2007 est la nouvelle étape de l’évolution de la plate-forme de
gestion de contenu et de travail collaboratif de
l’éditeur américain. En tant que fondation d’Office System 2007, cette nouvelle plate-forme
fournit un ensemble d’applications, de fonctionnalités et de services ayant pour principal
objectif d’améliorer, de façon significative, la
productivité des collaborateurs et des équipes
dans leur travail au quotidien, et ceci grâce à
des échanges et partages d’informations plus
performants et des processus visant à renforcer la prise de décision et le pilotage.
Une année s’est presque écoulée depuis la sortie de cette nouvelle version de produit. Depuis
de nombreuses entreprises ont fait le choix de
l’utiliser pour concevoir et développer leurs
nouveaux portails d’entreprise. Analysons les
principaux axes qui ont motivé leurs décisions
et décrire les avantages induits par leur mise
en œuvre.
31
travail complet pour la gestion des documents, des réunions ou
des processus métiers classiques comme la gestion des congés
payés ou du remboursement des notes de frais.
Naturellement, cet ensemble de composants reste limité au travail collaboratif. Pour tirer pleinement parti de toutes les nouvelles fonctionnalités apportées par la plate-forme, il est
indispensable de passer à la version complète en installant les
composants de MOSS 2007, ayant quant à eux un coût de
licence, contrairement à la couche WSS 3.0. Ceux-ci vont permettre de compléter largement les éléments de WSS 3.0 et
d’élargir le champ des possibles en matière de portail Web.
Consolider l’accès de tous les
collaborateurs aux données
de l’entreprise
Les axes principaux de la plate-forme Microsoft Office SharePoint Serveur 2007
Renforcer le travail collaboratif
des équipes
Microsoft Office SharePoint Serveur 2007 est avant tout une
plate-forme centralisée de travail collaboratif et de partage d’informations. Cette plate-forme est composée de deux principaux
produits ; Windows SharePoint Services, version 3.0 (WSS 3.0) et
Microsoft Office SharePoint Serveur 2007 (MOSS 2007).
La première partie, WSS 3.0, est constituée d’un ensemble de
composants et de services fonctionnant sous Windows Serveur
2003. Une fois cette couche de composants installée, WSS 3.0
offre la possibilité de travailler, de façon collaborative, au sein de
sites web sécurisés.
WSS 3.0 est étroitement intégré aux applications bureautiques
clients, à la messagerie électronique et aux navigateurs Web
familiers aux utilisateurs. Au travers de cet environnement homogène, les utilisateurs peuvent très facilement interagir avec le
contenu, les processus ainsi que les données métiers.
L’adoption de WSS 3.0 est beaucoup plus importante que sa
version antérieure puisqu’elle apporte, de façon native, tous les
éléments permettant de construire des sites d’équipes complets,
sécurisés. Elle intègre également les outils d’indexation et de
recherche de Microsoft, indispensables pour un accès rapide à
l’information contenu dans chacun des sites. De plus, WSS 3.0
s’appuie sur le moteur de flux de travaux, Microsoft Workflow
Foundation, pour permettre le développement de véritables processus d’entreprise. Il est donc assez aisé, sans surcoût de développement complémentaire, d’assembler un ensemble de
briques élémentaires afin de fournir aux utilisateurs un socle de
32
Au-delà des fonctionnalités dites collaboratives, une réelle
volonté de centralisation de l’information est de plus en plus palpable au sein des Directions des Systèmes d’Information. Ainsi,
il apparaît clairement aujourd’hui qu’une même information peut
être stockée à divers endroits du système d’information, dans
des systèmes de fichiers, des dossiers publics Exchange, ou
tout simplement dans les éléments personnels d’un collaborateur
sur son poste de travail. Deux problématiques émanent donc de
cet état de fait : d’une part, l’information est disséminée à de
nombreux endroits, rendant la sauvegarde de celle-ci complexe,
d’autre part, une même information peut être dupliquée un certain nombre de fois au sein du système d’Information.
La meilleure solution consiste à centraliser l’ensemble des informations de l’entreprise au sein du portail MOSS 2007, permettant
de gérer efficacement à la fois la sécurité d’accès aux données,
mais également la sauvegarde régulière de ces données.
Afin de faciliter la recherche de documents, la plate-forme MOSS
2007 s’appuie sur les composants d’indexation et de recherche
de Microsoft afin de fournir aux utilisateurs un moteur de recherche le plus rapide et efficient possible. De plus, il est très simple
de mettre en œuvre une indexation de sources de données externes (systèmes de fichiers, autres sites Web…) permettant ainsi de
migrer, au fur à mesure de la vie de l’espace Web, les données
vers la base MOSS.
Refaire de l’utilisateur l’acteur principal
du SI
Au-delà du simple travail collaboratif, force est de constater que,
depuis plusieurs années, les Directions Informatiques souhaitent
fournir à l’ensemble des collaborateurs les outils les plus proches de leurs besoins métiers. Une réelle volonté d’impliquer les
collaborateurs de l’entreprise au sein du Système d’Information
est visible, afin qu’ils adhèrent, de façon naturelle, aux nouveaux
projets mis en œuvre et qu’il soit acteur principal de l’utilisation
des outils au quotidien.
les utilisateurs, permettant ainsi d’éviter le phénomène de latence
dû à une surcharge de travail de l’équipe informatique. Mais surtout, on constate une réelle implication des collaborateurs à tous
les niveaux de l’entreprise. Ainsi, ils deviennent à leur niveau les
acteurs de Système d’Information, et participent de fait à sa
constante évolution.
Naturellement, pour que tout ceci se mette en place, un accompagnement des collaborateurs est indispensable afin de les aider
durant la phase d’acquisition de ce nouvel outil. Une fois encore,
la forte intégration de la plate-forme MOSS 2007 avec les outils
bureautiques d’Office permet une réelle prise en main rapide et
simple pour les utilisateurs.
Mettre en œuvre de véritables
processus métier au sein du SI
C’est pour cela que la plate-forme MOSS 2007 propose une
fonctionnalité complète de gestion de contenu Web, ayant pour
principal objectif de déporter la gestion des informations de l’entreprise au niveau des collaborateurs. En effet, il y a quelques
années, pour diffuser une simple mise à jour d’information sur le
site Intranet de l’entreprise, il était indispensable de s’adresser
aux informaticiens, seuls à même de réaliser cette évolution du
site. Aujourd’hui, il est tout à fait envisageable qu’une responsable de Ressources Humaines par exemple puisse, au travers
d’un portail Web, saisir les informations décrivant un nouveau
poste dans l’entreprise. Naturellement, ces informations seront
soumises à validation de son Directeur avant d’être publiées pour
l’ensemble des collaborateurs.
Cette nouvelle façon de travailler à plusieurs avantages. Tout
d’abord, une augmentation de la réactivité en terme de diffusion
d’information : les données métiers sont directement gérées par
Comme nous l’avons déjà cité lors de la section consacrée au
travail collaboratif, la présence de Windows Workflow Foundation
apporte une véritable dimension métier à la plate-forme MOSS
2007. Tout d’abord, il est possible de tirer directement parti des
flux de travail directement intégrés et prêts à l’emploi afin de mettre en place des activités de gestion courantes comme l’approbation ou la révision de documents, la collecte de signatures
digitales par exemple.
En associant ces flux de travail avec une solution de formulaires
électroniques pour recueillir les informations métiers importantes
auprès des clients ou des fournisseurs par exemple, il est facile
de construire des solutions métiers personnalisées avec un minimum de code à développer. De plus, des règles intégrées de
validations de données vont permettre d’assurer la parfaite cohérence des données prélevées avant leur traitement automatisé.
Elles pourront donc être immédiatement intégrées au sein du
Système d’Information, en évitant de fait le travail de ressaisi
ainsi que les éventuelles erreurs qui y sont associées.
Exemple de processus de gestion des demandes de congés
33
Disposer d’outils de pilotage
performants et efficaces
Afin de fournir aux responsables de l’entreprise des outils intégrés leur permettant de prendre efficacement des décisions stratégiques, la plate-forme MOSS 2007 propose des fonctionnalités
de Business Intelligence permettant de consolider des informations et des données de l’entreprise au sein d’un site web centralisé et sécurisé.
Plusieurs types de composants sont fournis en standard, comme
par exemple :
• les indicateurs de performance clé fournissant une vision en
temps réelle de l’état des éléments surveillés (niveau des ventes pour un responsable commercial, niveau de performance
des serveurs d’entreprise pour la DSI…),
• les tableaux de bords paramétrables fournissant une vision
consolidée des données stratégiques de l’entreprise, pouvant
provenir de sources de données diverses (bases de données,
des ERP comme SAP par exemple, des informations fournies
par les équipes au sein du portail…).
En se basant sur les services Excel, nouvellement présents dans
la plate-forme MOSS 2007, l’ensemble des collaborateurs autorisés peuvent facilement accéder aux données contenues dans
des fichiers Excel, et ceci au travers du navigateur Web. Cette
nouvelle fonctionnalité permet ainsi de conserver l’ensemble des
fichiers Excel construit depuis des années par les managers et de
partager efficacement une version centralisée tout en protégeant
les informations s’y trouvant.
En effet, le nombre de projets ne cesse d’augmenter depuis ces
douze derniers mois, montrant ainsi une réelle adoption du produit par les Directions Informatiques. Une récente étude réalisée
par Microsoft montre que les vecteurs ayant motivé cette adhésion à la plate-forme MOSS 2007 sont, par ordre d’importance :
• les fonctionnalités de portails d’entreprise visant à uniformiser
l’accès aux données de l’entreprise,
• les fonctionnalités de travail collaboratif au sein des équipes,
• la gestion documentaire et les processus métiers,
• la gestion de contenus web fournissant une réelle autonomie
aux utilisateurs.
De plus, ce système entièrement construit sur la technologie
.NET 2.0 de Microsoft, est de fait ouvert à toute évolution et personnalisation de l’environnement. Il n’y a donc pas de limites à
l’expansion des portails d’entreprises pour qu’ils s’adaptent toujours mieux aux processus de l’entreprise ainsi qu’aux besoins
exprimés par les collaborateurs. Il paraît donc évident que cette
plate-forme, déjà très complète aujourd’hui, va s’enrichir de nouveaux éléments au fil des mois, soit au travers de développements spécifiques, soit par l’ajout de composants tiers, pour
fournir toujours plus de fonctionnalités aux utilisateurs et accroître leur productivité au quotidien.
Répondre aux impératifs de mise en
conformité des données de l’entreprise
La plate-forme MOSS 2007 offre aux Directions Informatiques la
possibilité de spécifier des paramètres de sécurité, des stratégies
de stockage des données, ainsi que des stratégies d’audit et des
actions devant être automatiquement déclenchées lors de l’expiration des enregistrements de l’entreprise.
Ce nouveau point répond ici pleinement à la volonté des Directions Informatiques de pouvoir assurer le contrôle des données
tout en respectant scrupuleusement les réglementations de mise
en conformité. Ceci permet donc de s’assurer que les informations sensibles sont contrôlées et gérées efficacement.
De plus, ce contrôle, bâti sur un ensemble de règles précises,
réduit mécaniquement les risques potentiels de litiges pour l’entreprise.
Conclusion
Les fonctionnalités proposées par la plate-forme Microsoft Office
SharePoint Serveur 2007 permettent de bâtir de réelles solutions
de portails d’entreprises qui répondent aux problématiques
actuelles des celles-ci.
34
Régis MASSÉ
Consultant
Créée en 1985 et filiale du groupe Cegos depuis 1999, ib - groupe Cegos est
aujourd’hui un acteur majeur du marché de la formation informatique. A travers son
offre de solutions de formation sur les champs des métiers de l’informatique, du
développement d’applications, des infrastructures et de la Business Intelligence, la
société forme chaque année plus de 15 000 personnes.
Depuis plusieurs années, ib a également développé une expertise sur le champ du
Conseil.
ib Conseil, son entité dédiée à cette activité, réalise ainsi des missions d’accompagnement des entreprises dans la conduite de leurs projets informatiques : analyse
des problématiques, audit technique, assistance à maîtrise d’ouvrage…
Implantée à La Défense, Lyon, Toulouse, Nantes, Rennes et Strasbourg, ib - groupe
Cegos emploie 110 collaborateurs.
Pour en savoir plus, visitez le site www.ib-formation.fr.
IT-expert, soudain tout est clair…
IT-expert, la référence technique
des professionnels de l’informatique
Bimestriel de conseil et d’expertise technique,
IT-expert vous offre l’information essentielle pour
vous former et décider.
Pour tous renseignements : IT-expert - 3, rue Marcel Allégot - 92190 MEUDON - FRANCE
Tél. : +33 (0)1 46 90 21 21 - e-mail : [email protected]
Abonnez-vous à IT-expert
Je m’abonne 1 an au bimestriel IT-expert. Je recevrai 6 numéros pour 89 € TTC
Je m’abonne 1 an à IT-expert version papier + accès au pdf en ligne* pour 120 € TTC
Mme Mlle M.
Nom
Prénom
Société
Bon d’abonnement à faxer au
+33 (0)1 46 90 21 20
Fonction
Adresse
ou renvoyer au Service Abonnements
3, rue Marcel Allégot
92190 Meudon
France
CP
Ville
E-mail
Tél
Fax
Chèque joint à l’ordre de Press & Communication France
Règlement à réception de facture
Date :
Signature obligatoire :
* Vous recevez dès sa parution un exemplaire d’IT-expert par la poste à l’adresse de votre choix et vous aurez accès à l’ensemble des anciens numéros d’IT-expert en version PDF sur le site web
d’IT-expert : http://www.it-expertise.com
Abonnez-vous sur www.it-expertise.com/Abonnement
Comment ça marche ?
Les multiples
facettes du
contrôle d’accès
au réseau
d’entreprise
La capacité d’une organisation à administrer les
différents terminaux et postes de travail (fixe, portable, PDA, smartphone, terminaux linux, Mac…) qui
accèdent à son réseau joue désormais un rôle critique dans la sécurité et la disponibilité de son infrastructure informatique. La nouvelle cybercriminalité
qui cible maintenant des entreprises précises, vise
spécifiquement les postes de travail en tant que
points d’entrée possibles vers les ressources internes. Pour se prémunir de ces menaces ciblées, les
entreprises doivent pouvoir garantir que chaque
terminal est en permanence conforme aux politiques de sécurité édictées.
Sans cette garantie, les organisations sont exposées à une large gamme de menaces, comme la
prolifération de programmes malveillants dans l’entreprise, l’interruption de processus critiques au
bon fonctionnement des affaires, l’augmentation
des coûts de reprises, l’exposition d’informations
confidentielles, des atteintes à l’image de marque
de l’entreprise et même des amendes dues au nonrespect des réglementations en vigueur.
Un système de contrôle d’accès au réseau (Network Access Control – NAC) permet aux organisations de s’assurer de l’identité de la machine ou de
l’utilisateur, de la bonne configuration et de l’état
des terminaux avant qu’ils ne soient autorisés à
accéder aux ressources du réseau de l’entreprise,
qu’il s’agisse de collaborateurs sur site, à distance,
d’invités, ou de sous-traitants. Ce système va identifier et évaluer la conformité, ouvrir les accès
réseaux appropriés et proposer éventuellement
des moyens de correction pour s’assurer du respect des standards et des politiques de sécurité de
l’entreprise.
37
Un système de contrôle d’accès réseau (NAC) reste
indépendant du système d’exploitation réseau, doit
s’intégrer dans n’importe quelle infrastructure
réseau, et être transparent pour l’utilisateur.
En permettant aux entreprises de contrôler la
conformité et l’application des politiques de sécurité, le NAC doit participer à :
• La réduction de la propagation de maliciels
tels que virus, vers, logiciels espions, chevaux
de Troie, et autres formes de risques de sécurité,
• L’abaissement des profils de risques par un
contrôle accru des terminaux accédant au
réseau de l’entreprise, administrés ou non,
• Une meilleure disponibilité du réseau et la
réduction des interruptions de service pour les
utilisateurs,
• La fourniture d’informations de conformité
vérifiables en quasi-temps réel,
• La garantie que les investissements réalisés
en matière de sécurité, tels que l’antivirus et le
pare-feu, sont déployés et configurés correctement,
• La réduction des coûts de support utilisateur
par remise à jour automatique,
• La protection des données confidentielles de
l’entreprise.
Maintenir un environnement sécurisé
et administré
Les administrateurs font en sorte que les postes de travail nouvellement déployés soient configurés conformément aux politiques
de l’entreprise, c’est-à-dire après validation de la liste des applications installées, installation de toutes les mises à jour de sécurité applicables, antivirus et définitions à jour…
Pourtant, dès le passage en production de ces machines, ceuxci en perdent le contrôle. Les utilisateurs installent de nouveaux
logiciels, bloquent les installations de correctifs, stoppent les
pare-feu, ou font d’autres changements qui génèrent des risques de sécurité pour leur poste de travail, pouvant potentiellement impacter l’infrastructure informatique dans son ensemble.
Les utilisateurs distants et/ou mobiles sont généralement plus
exposés lorsqu’ils utilisent leurs portables depuis des cybercafés,
des chambres d’hôtel, ou tout autre endroit non sécurisé.
Les solutions de contrôle d’accès au réseau permettent d’empêcher ces événements d’affecter l’infrastructure informatique de
38
l’entreprise. Avant qu’une machine ne puisse accéder au réseau
de production et à ses ressources, elle devra être en totale
conformité avec les politiques établies par l’entreprise, comme
posséder le dernier niveau de correctifs de sécurité, un anti-virus
avec définitions à jour…
On peut noter cependant qu’en dépit de leur faculté à empêcher
la connexion de terminaux non-conformes ou inconnus au
réseau de l’entreprise, ces solutions de contrôle d’accès au
réseau ne sont pas encore déployées de manière systématique
dans les entreprises. Les raisons sont variées, particulièrement
parce que certaines solutions peinent à offrir une remise à jour
efficace, font croître le nombre d’agents à installer sur les postes,
introduisent trop de complexité et trop de perturbations dans
l’infrastructure, manquent de flexibilité quant aux besoins des
organisations, tels que la gestion des invités ou travailleurs temporaires ou encore ne s’intègrent pas correctement à la gestion
de la sécurité globale des postes de travail.
Une architecture à trois niveaux
Un système de contrôle des accès réseau doit comprendre les
composants suivants :
• Des technologies d’évaluation de l’état des terminaux tentant
de se connecter au réseau (vérification de la conformité)
• Des systèmes de mise en quarantaine (enforcers) qui agissent comme le gardien qui autorise ou non l’accès au réseau
• Un gestionnaire de politiques, qui créé, édite et maintient les
règles d’accès au réseau via une console centralisée.
Gestionnaire de politiques
Technologies d’évaluation des postes
Enforcers Réseaux
Figure 1 : Architecture d’un système de contrôle d’accès au réseau
Les technologies de mise en quarantaine (« enforcement ») reçoivent les politiques de configuration de la console d’administration, vers laquelle, en retour, convergent les événements à
signaler. L’« enforcer » bloque l’accès de cette machine au réseau
si la technologie d’évaluation détermine que tel poste de travail
n’est pas conforme à la politique de sécurité.
Basé sur les politiques définies par l’administrateur (et en fonction
du type d’ « enforcement » déployé), l’« enforcer » doit permettre la
remise en conformité automatique des postes rejetés. Ceci doit
s’accomplir à travers des tâches de correction comme l’appel à un
outil de télédistribution pour l’installation de mises à jour.
Les composants du système de NAC valident et appliquent les politiques de conformité pour tous types de terminaux sur tous types de
réseaux. Ce processus de validation et d’application commence
avant la connexion au réseau et se poursuit tout au long de la session, à partir des politiques servant de base à toutes les évaluations
et actions. Ce processus de NAC est illustré dans la figure 3.
Conformité
Politique Endpoint Security
Statut
Antivirus actif
1. Identification et évaluation des terminaux
Les machines sont identifiées lorsqu’elles se connectent au
réseau, avant qu’elles n’accèdent aux ressources. A travers
l’intégration aux infrastructures en place et l’utilisation
d’agents intelligents, les administrateurs sont assurés
qu’au moment de la connexion, les nouveaux terminaux
sont évalués en regard des politiques définies.
Signatures Antivirus à jour
Firewall Personnel Actif
Service Pack à jour
Patchs à jour
Vérifications personnalisables
Syntaxe IF…THEN…ELSE
2. Fourniture des accès au réseau
L’accès complet au réseau n’est ouvert que lorsque les
postes de travail ont été évalués et que l’on a pu valider le
respect des politiques. Les systèmes non-conformes sont
envoyés en quarantaine avec un accès limité au réseau de
d’entreprise et les systèmes inconnus sont soit rejetés soit
acceptés dans des zones « invité ».
Remise à jour
- Mettre une entrée dans la registry
- Exécuter un Script ou un programme
- Télécharger et exécuter un exécutable
3. Mise à niveau des terminaux non-conformes
La correction automatique des terminaux non-conformes
permet aux administrateurs d’assurer une mise en conformité rapide ainsi que l’ouverture des accès réseaux associés. Ils doivent également pouvoir automatiser
complètement le processus de correction, et le rendre totalement transparent pour l’utilisateur final.
- Dialoguer avec l’utilisateur
- Etc…
Figure 2 : Tests de conformité
Etape 1
Le PC se connecte
physiquement au réseau
DISCOVER
NAC
RE
ENFORCE
MONITOR
Etape 4
Surveillance du poste en continu
pour vérifier la conformité
Etape 2
vérification de la conformité du
poste à la politique de sécurité
M E D I AT E
Patch
Quarantaine
Virtual Desktop
Etape 3
Décision prise en fonction
du résultat des vérifications
Figure 3 : Processus de contrôle d’accès au réseau
39
4. Gestion proactive de la conformité
L’adhésion aux politiques doit être totale et continue. Un
système de NAC doit permettre de surveiller activement, sur
une période définie par l’administrateur, le niveau de conformité de tous les terminaux. Si l’état d’un terminal change, ses
accès réseaux doivent être adaptés en conséquence.
Technologies d’évaluation du terminal
Un système de NAC complet et flexible doit protéger le réseau
des programmes malveillants provenant des postes inconnus
(ou non-autorisés) en vérifiant qu’ils sont configurés correctement lors de la connexion. Les contrôles effectués sont typiquement : la présence d’un antivirus, d’un anti-spyware et
l’installation des derniers correctifs. Cependant la plupart des
organisations souhaitent rapidement aller plus loin. Quel qu’en
soit le but, le processus commence toujours par l’évaluation du
terminal. Compte tenu de la diversité des terminaux qui se
connectent au réseau (postes fournis par l’entreprise ou non,
ordinateurs personnels de collaborateurs en télétravail, intérimaires, partenaires qui peuvent avoir besoin de leur propre portable…), un système de NAC doit offrir plusieurs technologies
d’évaluation, telles que les agents persistants, les agents nonpersistants, un scanner de vulnérabilité à distance.
Les agents persistants habilités pour veiller
sur les registres
Un agent peut être installé par les administrateurs sur les postes
de l’entreprise pour en déterminer le niveau de conformité.
L’agent doit pouvoir effectuer des vérifications simples comme la
présence de l’antivirus, la date des dernières signatures, l’installation de correctifs, ainsi que l’état de caractéristiques plus complexes comme la présence d’entrées dans la base de registres,
les processus actifs, des attributs de fichiers…
Agents persistants:
pour les postes administrés
Agents temporaires:
pour les postes non administrés
Scanner de vulnérabilités
à distance:
pour les postes non
administrables
Figure 4 : Technologies des agents
40
Les agents persistants permettent d’obtenir les informations de
conformités les plus fiables et les plus détaillées tout en offrant les
meilleures options de correction, gage d’un déploiement réussi.
Ils sont surtout la garantie d’une totale transparence pour l’utilisateur final.
Il est à noter que cette solution, tout en étant la plus simple à mettre en œuvre, est la moins fiable. Le scan de vulnérabilité est une
méthode post-connexion, non continue et peut être bloqué par le
pare-feu personnel des machines connectées.
Compte tenu de la façon dont fonctionnent les systèmes d’exploitation, l’examen et la correction efficace des différents logiciels installés nécessitent de la part du client NAC la possibilité
d’accéder à la liste des processus, ainsi qu’à la base de registres,
quitte à même devoir modifier certaines entrées.
Le meilleur moyen d’y parvenir est par le biais d’un agent avec
privilèges systèmes, qui a été installé sur le poste de travail lors
du déploiement initial.
Enforcers : systèmes de mise en quarantaine
Les solutions strictement « sans-agent » ne peuvent donner à
l’administrateur les permissions suffisantes pour examiner de
manière satisfaisante la totale conformité du poste de travail. De
la même manière, ces agents ne disposeront pas des droits
nécessaires pour apporter les modifications requises à une
remise en conformité.
Ces « enforcers » installés au niveau réseau, passerelle, ou DHCP
sont généralement disponibles sous forme d’appliances, mais
parfois purement logiciels (DHCP plug-in).
Par exemple, lorsqu’un invité tente de se connecter au réseau,
une solution d’enforcement réseau reconnaîtra qu’il s’agit d’un
poste inconnu et le redirigera vers un serveur web sur lequel il
pourra télécharger l’agent non-persistant. Cet agent va exécuter
les tests de conformité appropriés, basés sur les politiques que
l’administrateur a définie pour les invités. S’ils sont concluants, le
poste se verra ouvrir l’accès à une partie du réseau de production. A la fin de la session réseau, l’agent s’autodétruira.
Host-based
Un des plus grands défis de la gestion des accès réseaux est la
prise en compte des invités. Une solution de contrôle d’accès au
réseau efficace doit avoir la possibilité et la souplesse de pouvoir
vérifier si un terminal inconnu n’est pas une menace pour l’entreprise et déterminer le niveau d’accès adéquat. Bien que la meilleure solution reste de déployer un agent sur le poste de travail,
ceci est généralement impossible lorsque la machine n’appartient pas à l’organisation. Il est donc nécessaire, dans ce cas, de
pouvoir disposer d’un agent non-persistant, de type Java ou
ActiveX, qui sera téléchargé à la demande sur un poste pour en
évaluer le niveau de conformité. Ces agents seront supprimés
automatiquement à la fin de la session.
A noter également l’existence d’enforcement basé sur le poste
lui-même et dénommée « self-enforcement ». L’avantage de
cette méthode qui utilise le pare-feu local pour autoriser ou non
l’accès, est qu’il n’est pas nécessaire dans ce cas de déployer
d’enforcers au niveau réseau. Cette méthode ne fonctionne
cependant que pour des postes gérés par l’entreprise ; elle ne
peut adresser le cas des postes invités, à prendre en compte via
une autre technique.
Network-based
Les agents non persistants prennent en charge
les invités
Chaque environnement réseau est unique, et de ce fait un seul
système d’enforcement ne peut efficacement contrôler tous les
points d’accès au réseau. Une solution NAC doit être suffisamment souple pour permettre la mise en place conjointe de plusieurs types d’enforcement différents, sans pour autant
surcharger l’administration.
Self-Enforcement
- Quarantaine locale autonome
- Utilisation du firewall personnel
Enforcer Gateway
- VPN, WAN
Enforcer DHCP
- Quelque soit l'iinfrastructure
Enforcer-802.1x
- Quarantaine par VLAN
Figure 5 : Options de mise en quarantaine
Les enforcers réseaux sont des composants nécessaires au
contrôle des postes connus ou non, se connectant au réseau.
Le scanner de vulnérabilités à distance : peut mieux
faire !
Le Gateway Enforcer refoule les indésirables
Une autre méthode de validation de conformité nécessaire lorsque les entreprises ne peuvent déployer un agent persistant peut
être l’utilisation d’un scanner de vulnérabilités à distance. Lorsque la machine se connectera au réseau, le scanner effectuera un
test de vulnérabilité de la machine et autorisera/rejettera l’accès
de la machine en fonction du résultat.
Les enforcers de type Gateway sont des passerelles installées en
segmentation du réseau. Ces passerelles autorisent uniquement
le trafic venant des terminaux précédemment vérifiés. Si le poste
de travail est conforme, il pourra communiquer avec toute
machine située derrière la passerelle. Si le poste de travail n’est
pas conforme, il ne pourra communiquer qu’avec les serveurs
41
nécessaires à la remise à jour du poste. Ces passerelles sont
généralement utilisées en coupure derrières les points d’accès
distants (VPN, SSL VPN, Borne WiFi…)
LAN Enforcer - 802.1x réclame des papiers authentifiés
Le protocole IEEE 802.1x est un protocole d’authentification des
terminaux avec le point d’accès réseau (switch). Lors de la
connexion du terminal au réseau, le switch demande une authentification au terminal et la relaie à un serveur Radius pour vérification de l’identité de la machine ou de l’utilisateur. Le serveur
Radius affecte alors la machine à un VLAN (Virtual LAN), en fonction du profil de la machine et le transmet au switch.
Un système NAC va généralement introduire la notion de contrôle
de conformité de la machine dans la chaîne de vérification. Le
Lan Enforcer est alors un proxy Radius chargé de confirmer la
réponse du serveur Radius ou de la modifier en fonction du résultat du contrôle de conformité.
En conséquence, une machine conforme pourra être connectée
au VLAN de production, une machine non conforme pourra être
connectée au VLAN de quarantaine et une machine inconnue
pourra l’être à un VLAN « invite » ou rejetée.
Le DHCP Enforcer met les indésirables en quarantaine
Un système NAC basé sur une méthode d’enforcement de type
DHCP va intervenir sur l’affectation de l’adresse IP offerte par le
serveur DHCP. Si la machine est conforme, elle reçoit une
adresse IP de production. Dans le cas contraire, elle recevra une
adresse IP de quarantaine. Un enforcer DHCP peut se présenter
sous différentes formes : un plug-in présent sur le serveur DHCP
lui-même ou une passerelle située devant le serveur DHCP.
Une console unique pour gérer
toutes ces politiques
Un des éléments clé de la gestion des politiques est de pouvoir
créer, déployer, maintenir ces politiques depuis une console unique, vers laquelle, en retour, tous les événements convergeront.
Le tout, à la fois pour les technologies d’évaluation au niveau
des postes de travail et des « enforcers » au niveau réseau. Une
architecture de gestion à la taille de l’entreprise doit être applicable à un environnement large et complexe mais doit pouvoir offrir
une granularité importante dans le contrôle des tâches d’administration, en simplifiant la gestion de la sécurité des postes de
travail et réduisant le coût total de possession.
La mise en place d’une solution de contrôle d’accès au réseau :
• Permet l’application des politiques de conformité et les
corrections nécessaires,
• Fourni un reporting complet et temps réel de l’état des postes de travail connectés et des éléments de non-conformité
éventuels,
42
• Evite la multiplication du nombre d’agents sur les postes de
travail,
• Prend en compte la totalité des besoins réseau, invités et
collaborateurs temporaires inclus,
• S’intègre de manière simple avec l’infrastructure globale
de gestion de la sécurité des postes dans l’entreprise,
• Elimine les perturbations tant au niveau de l’infrastructure
informatique qu’au niveau des processus business.
Assurer une conformité de bout en bout
Dans le paysage actuel de menaces toujours plus sophistiquées,
les responsables informatiques doivent protéger leur organisation, non seulement des attaques les plus classiques, mais également de toutes les tentatives qui visent à utiliser les postes de
travail comme autant de points d’entrée vers leurs ressources
opérationnelles.
Pour assurer l’intégrité de l’infrastructure informatique globale, les
entreprises ne peuvent plus laisser libre accès au réseau. Devant
la croissance rapide du nombre et des types de terminaux accédant au réseau, les organisations doivent être en mesure d’en
vérifier l’état avant toute connexion, ainsi que durant toute la session de communication vers les ressources informationnelles de
l’entreprise.
De la mise en place d’un système de contrôle d’accès au réseau
doit résulter une baisse significative des incidents de sécurité, un
meilleur niveau de conformité aux politiques de sécurité de l’entreprise et l’assurance que les mécanismes de protection des
terminaux sont opérationnels.
Hervé Doreau
Endpoint Security SE Specialist – Symantec Southern Europe
Laurent Heslault
Chief Technology Officer, Security – Symantec Southern
Europe
Cédric Pottier
Senior PreSales Specialist – Symantec France
A propos de Symantec
Symantec est le leader mondial des logiciels d’infrastructure qui permettent aux
particuliers et aux entreprises d’évoluer en toute confiance dans un monde connecté.
Symantec aide ses clients à protéger leur infrastructure, leurs informations et leurs
transactions en proposant des logiciels et des services qui gèrent la sécurité, la disponibilité, la conformité et la performance. Basée à Cupertino (Californie), la société
Symantec est présente dans plus de 42 pays. Des informations supplémentaires
sont disponibles à l’adresse http://www.symantec.fr/
Livres
Microsoft Office SharePoint Server (MOSS) et Office 2007
Avec SharePoint 2003, Microsoft pénétrait les univers de la gestion
documentaire et du workflow. MOSS 2007 apporte ses solutions
aux portails et à la collaboration. Ce dernier thème, un des fers de
lance de la stratégie Microsoft, s’articule autour d’Office 2007, que
l’éditeur positionne comme client riche de référence. Il est donc fort
judicieux d’associer ces deux produits.
Après un rappel historique indispensable, l’auteur passe en revue les
technologies associées à MOSS : le framework .net 2.0, ASP.net, les
Web parts 2.0, IIS… Puis, Pierre-Erol aborde les services de MOSS
comme l’administration, le workflow, les RSS-blogs-wiki… avant
d’attaquer la gestion de contenu en lien avec la messagerie, Office
2007, ou XML. L’exposé se termine avec la gestion des utilisateurs
et de la sécurité. Bref, un ouvrage de référence à conserver, et à
garder sous le coude.
Microsoft Office SharePoint Server (MOSS) et Office 2007
par Pierre-Erol Giraudy
Éditions Hermès-Lavoisier
370 pages – prix public : 85 euros
Sécurité Informatique – Principes et méthode
Laurent Bloch, spécialiste de la sécurité (dont le site Web fait référence), est responsable de la sécurité informatique à l’Inserm. Quant
à Christophe Wolfhugel, il exerce aujourd’hui chez Orange Business
Services sur les réseaux IP, Internet, et les services associés. Les
coauteurs ont mis à contribution leurs camarades, non moins illustres : Hervé Schauer, Nat Makarévitch et Christian Queinnec.
« Sécurité Informatique – Principes et méthode » expose simplement
les multiples risques, et condamne, sans langue de bois, les fausses
solutions (pourtant répandues). En illustrant les explications d’exemples techniques détaillés, les auteurs donnent à ce livre une dimension très pédagogique. Loin d’une simple énumération des
pratiques, l’exposé propose une réelle démarche de sécurisation.
Un recueil professionnel écrit par des experts : indispensable !
Sécurité Informatique – Principes et méthode
par Laurent Bloch et Christophe Wolfhugel
Éditions Eyrolles
262 pages – prix public : 35 euros.
43
Fenêtre sur cour
Interview d’Alain Bouillé,
RSSI au sein du Groupe
Caisse des Dépôts
La Caisse des Dépôts est une institution financière publique au service de l’intérêt général et du développement économique : protection et transformation
de l’épargne réglementée des Français pour financer principalement le logement social, banquier du service public de la Justice et de la Sécurité sociale,
gestionnaire de régimes de retraite, investisseur aux côtés des collectivités territoriales dans des projets locaux de développement. Grand investisseur institutionnel de long terme, la Caisse des Dépôts est également actionnaire de
filiales qui exercent des activités concurrentielles et d’intérêt général :
•
L’assurance de personnes : CNP Assurances,
•
L’immobilier : groupe SNI, Icade,
• Le développement des PME : CDC Entreprises, CDC Capital Investissement,
• Les services : Transdev, Egis, Compagnie des Alpes et VVF Vacances.
La Caisse des Dépôts emploie 5 000 salariés et ses filiales 50 000 personnes.
Dans le cadre de sa contribution aux travaux du CIGREF, Monsieur Bouillé, RSSI du groupe Caisse des Dépôts
a piloté un groupe de travail sur la constitution d’un tableau de bord sécurité. Il a accepté de nous décrire celuici et de nous parler de son métier de responsable de la sécurité des systèmes d’information (RSSI).
Vous avez constitué, dans le cadre de vos travaux au sein du
CIGREF, un tableau de bord sécurité.
Quels en sont les objectifs ?
Alain Bouillé : Tout d’abord, produire un premier tableau de bord
est relativement simple, la difficulté est de réaliser le suivant et de
suivre l’évolution. Les principaux obstacles à la constitution d’un
tableau de bord sont de choisir les bons indicateurs, les bonnes
fréquences de parution ainsi que l’auditoire.
L’idée était de mettre en commun les points de vue et réflexions
de plusieurs RSSI sur ce qu’ils avaient pu expérimenter
jusqu’alors. Ce guide est une compilation des meilleures pratiques qui va s’enrichir au fur et à mesure du temps et des retours
d’expériences de chacun.
L’objectif du document que nous avons produit est de constituer
une boîte à outils avec des indicateurs qui permettront ensuite à
chaque RSSI de se constituer son propre tableau de bord.
Dans les prochaines versions nous exclurons certains indicateurs
car peut-être trop difficiles à produire tandis que d’autres seront
ajoutés…
Par la suite nous développerons sans doute le conseil autour de
la construction du tableau de bord pour préciser comment faire
les bons choix en terme de mesure et être capable d’analyser
l’évolution des indicateurs.
44
A qui sont destinés les tableaux de bord ?
Alain Bouillé : L’auditoire est assez varié. Il peut être utilisé à destination de la direction générale, de la DSI, des directions métiers,
voire des fonctions plus opérationnelles. C’est une boîte à outils
qui va permettre de construire un, deux ou trois tableaux de bord
différents.
Vous disiez que les indicateurs étaient un élément
important, lesquels avez-vous retenu ?
Alain Bouillé : Nous avons retenu deux types d’indicateurs, les « stratégiques » pour un reporting vers la DSI et la direction générale et les
« opérationnels » pour le pilotage de la sécurité au quotidien.
Les indicateurs ont été retenus en fonction de deux critères : leur
pertinence et leur mesurabilité.
A titre d’exemples, nous avons l’analyse de risque, l’image de
l’entreprise, la continuité, le taux de prestataires externes…
comme indicateurs stratégiques et le nombre de vols et pertes de
PC, les attaques en environnement de messagerie, la bonne installation des patches, la protection de l’information… comme
indicateurs opérationnels.
Au-delà de votre rôle de coordinateur de ces travaux sur le
tableau de bord, vous êtes avant tout RSSI au sein de la
Caisse des Dépôts, pourriez-vous nous parler de votre
métier ?
Alain Bouillé : Le RSSI est au carrefour de plusieurs thématiques
avec des problématiques bien évidemment SI mais aussi juridiques, de ressources humaines, de sensibilisation des utilisateurs,
de risques physiques et environnementaux voire pour certains
d’intelligence économique…
Le RSSI peut être rattaché à la direction générale, à la DSI… En
fonction des cas, le modèle organisationnel à créer est différent.
Par exemple, si le RSSI n’appartient pas à la DSI il est nécessaire
d’établir des liens étroits avec cette direction ou bien s’il est au
sein de la DSI il devra « sortir » et se mettre en relation avec les
directions opérationnelles. Le poste de RSSI nécessite un bon
sens de la communication et des relations humaines.
Comment analysez-vous le marché de la sécurité, trouvezvous les outils nécessaires ?
Alain Bouillé : Il est difficile de s’y retrouver avec tous ces acteurs
qui fusionnent, se rachètent, disparaissent… Au sein de la Caisse
des Dépôts j’effectue des demandes fonctionnelles à la DSI qui
ensuite lance les appels d’offres vers les fournisseurs en solutions
techniques. Dans l’ensemble nous trouvons des outils qui répondent à nos besoins. Par contre je rencontre plus de problèmes au
niveau du consulting. Il devient difficile de trouver des experts en
mesure d’élaborer des stratégies à plus ou moins long terme.
Des petites structures pertinentes se font racheter et de ce fait les
réponses à appel d’offres sont de moins en moins nombreuses
sur certains sujets pointus tels que la dématérialisation et les problématiques de signature électronique, la gestion des identités, la
supervision de sécurité…
Quels conseils en terme de sécurité pourriez-vous donner à
nos lecteurs ?
Axes stratégiques
Conformité
•Audit - Taux de contrôle
•Audit - Taux de conformité
•Audit - Taux de correction
Efficacité de la politique
Protection de l’information
•Fréquence et réussite du PCA
•Taux de personnes sensibilisées
•Taux de prestataires externes sur
postes sensibles
•…
•Analyse de risque
•Classification de líinformation
•Archivage
•Analyse de risque dans les nouveaux projets
•Gestion des accès
•…
•Nombre de sites web parodiés
•Nombre de noms de domaines usurpés
•Plaintes internes et externes
Image de líentreprise
Source : CIGREF
Axes opérationnels
Vols
•Nombre de vols et pertes PC fixes
•Nombre de vols et pertes terminaux mobiles
Protection de l’information
Efficacité de la politique
•Evolution du nombre d’identifiants génériques
•Perte de mots de passe
•Traçabilité
•Disponibilité des applications critiques
•Sites physiques audités
•Mise à jour des antivirus
•Révision périodique des habilitations
•…
•Attaques en environnement messagerie
•Attaques en environnement intranet
•Attaques en environnement internet
Attaques et sinistralités
Source : CIGREF
Alain Bouillé : Il me semble qu’il est important qu’une personne
soit dédiée à la sécurité au sein d’une entreprise afin de fédérer,
diffuser et coordonner les actions de sécurité.
Quels sont les enjeux de demain pour vous ?
Alain Bouillé : L’ouverture des SI nous conduit à grands pas vers
des problématiques liées à des dématérialisations à outrance
avec à la clé des mises en œuvre de solutions de sécurité qui permettent de réaliser ces dématérialisations dans un monde de risques maîtrisés
Nous devons reconnaître nos utilisateurs, les authentifier… et
aussi sécuriser de bout en bout les transactions qui vont se
démultiplier dans les années à venir. Aujourd’hui nous faisons
beaucoup de sur-mesure en fonction des métiers. Compte tenu
d’une ouverture des SI de plus en plus importante, nous allons
avoir besoin de solutions génériques pour permettre aux métiers
de rester concurrentiels mais satisfaisantes en terme de gestion
des risques.
Pour consulter le tableau de bord édité par le CIGREF :
http://cigref.typepad.fr/cigref_publications/2007/
Alain BOUILLÉ
45
Rubrique à brac
Sécurité de la
téléphonie sur IP
Après un démarrage frileux, la téléphonie sur IP (ou ToIP) s’impose progressivement en entreprise. Le marché se montre extrêmement dynamique,
notamment chez les moyennes et grandes entreprises. Plus de 50 % sont en
cours d’étude ou ont déjà entamé la migration de leur téléphonie classique.
La principale motivation reste l’optimisation des coûts à travers la mutualisation des accès télécoms et, dans une moindre mesure, la fourniture aux utilisateurs de nouveaux services issus de la convergence voix données.
Comme toute nouvelle technologie, la ToIP apporte son lot d’opportunités,
mais elle fait aussi planer de nouveaux risques. De part son fonctionnement
très différent de la téléphonie classique, apparaissent en effet de nouveaux
problèmes de sécurité qu’il est nécessaire de bien prendre en compte en
préalable à tout déploiement.
46
Comment fonctionne la ToIP ?
Une architecture ToIP d’entreprise fait intervenir trois principaux
types de composants : les terminaux téléphoniques, les serveurs
d’appels et enfin la ou les passerelles de communication vers
l’extérieur.
les sites et hébergés de façon centralisée dans un datacenter.
Le troisième type de composant est la passerelle de communication, qui assure l’interface entre le monde ToIP et la téléphonie
classique, interne ou externe. A l’instar des serveurs d’appels, les
passerelles sont mutualisables et centralisables. Les points d’accès au réseau téléphonique public peuvent donc être supprimés
1
Une seule infrastructure réseau
(IP) pour les flux voix et données
2
L'intelligence du PABX est reprise
par le serveur d'appels ; la passerelle fait
l'interface avec la téléphonie traditionnelle
App
rne
el I
xte
lE
ppe
A
Réseau
Téléphonique
Commuté
nte
rne
5
Terminaux, serveurs d’appels et passerelles
sont administrables à distance,
comme tout composant IP
Réseau IP
Passerelle
3
Trafic voix
Signalisation
Le serveur d’appels gère la signalisation,
le flux voix circule directement
entre les terminaux
Serveur d'appels
4
Les serveurs ToIP peuvent se situer hors des
sites utilisateurs ; le point d’accès au RTC public
peut être supprimé sur certains sites
La ToIP introduit une rupture technologique profonde par rapport à la téléphonie traditionnelle
Une rupture technologique profonde
Le type de terminal le plus utilisé aujourd’hui reste le téléphone
dédié, qui se raccorde directement au réseau IP. Il intègre généralement un micro-switch et un deuxième port Ethernet pour permettre la connexion du PC via le téléphone, ceci afin d’éviter le câblage
de prises supplémentaires. A noter également que le téléphone
peut être alimenté électriquement à travers le câblage réseau
(norme PoE, Power over Ethernet). Il existe aussi des téléphones
purement logiciels, les softphones, fonctionnant sur tout poste de
travail équipé d’une sortie son et d’un microphone. Leur déploiement en entreprise reste aujourd’hui très marginal : outre l’utilisation
qui n’est pas toujours pratique - il n’est pas facile de répondre rapidement quand l’écran de veille de l’ordinateur est protégé par un
mot de passe - ils sont aussi plus difficiles à sécuriser.
Second type de composant intervenant dans une architecture ToIP,
le serveur d’appels, ou IPBX gère la signalisation associée à la
communication (décroché, raccroché), et de fournir les services
évolués (renvoi, transfert, audioconférence, routage d’appel…).
Contrairement à la téléphonie classique, où le PABX agit comme
un nœud de commutation pour le flux voix, l’IPBX ne traite que la
partie signalisation, la voix numérisée transitant directement entre
terminaux téléphoniques. A noter qu’en ToIP, il n’est pas nécessaire
de déployer des IPBX sur tous les sites. Comme les autres serveurs
d’applications informatiques, ceux-ci peuvent être mutualisés entre
sur tout ou partie des sites utilisateurs. A noter que certains opérateurs proposent depuis peu des offres d’interconnexion avec la
téléphonie externe en IP natif, par exemple Business Talk IP
d’Orange. Dans une telle configuration, c’est l’opérateur qui gère
l’interface avec le réseau téléphonique public, à travers des équipements de type firewall et proxy H.323.
Des risques à tous les niveaux
Quels sont donc les nouveaux risques qui pèsent sur les architectures ToIP ? Aux vulnérabilités de la téléphonie classique déjà
exploitées par les phreakers – comme par exemple les appels
automatiques sur des numéros surtaxés – viennent s’ajouter les
nombreuses menaces du monde IP. Elles portent à la fois sur les
terminaux téléphoniques, le réseau de transport et les serveurs
dédiés à la ToIP. En tête des dangers, on retrouve les attaques en
déni de service qui impactent la disponibilité, l’écoute illicite des
communications, l’usurpation d’identité et, dans une moindre
mesure, le spam vocal ou « SPIT » (Spam over IP Telephony).
47
résiduel de déni de service résultant d’une attaque logique et
notamment virale sur le réseau IP. Quelles en seraient les conséquences pour le service de téléphonie ? Dans le cas le moins
défavorable, une difficulté à établir les appels et une dégradation
de la qualité voix par manque de bande passante, pouvant aller
jusqu’à une indisponibilité complète du service. D’un autre côté,
les vulnérabilités spécifiques aux protocoles de signalisation utilisés en ToIP peuvent aussi être exploitées dans le cadre d’attaques ciblées sur le service de téléphonie. Par exemple, le
protocole SIP (Session Initiation Protocol) ne prévoit pas d’authentification entre le terminal téléphonique et le serveur d’appel.
Un attaquant peut donc exploiter cette faille pour générer de
façon aléatoire des messages « INVITE » qui feront sonner tous
les téléphones en continu, ou bien envoyer des messages « CANCEL » afin de raccrocher toutes les communications en cours.
Déni de service
SPIT (spam vocal)
Vol d'information
(annuaire)
Écoute illicite
Usurpation d'identité,
appel illicite
0
10
20
30
Entreprise qui ont implémenté la ToIP
Entreprise qui n'ont pas encore lancé d'étude de ToIP
40
50
Les principaux risques associés à la ToIP perçus par les entreprises
(source : enquête Solucom, 2006)
L’écoute illicite à la portée de tous
La disponibilité au cœur des
préoccupations
En téléphonie classique, l’écoute d’une communication nécessite l’accès physique au PABX, au local de brassage ou au téléphone de la victime afin de pouvoir installer un dispositif espion.
Les utilisateurs ont donc conscience que, même si le trafic voix
circule en clair, il est peu probable que les communications soient
écoutées à leur insu. Ce qui change radicalement en ToIP, c’est la
facilité avec laquelle le flux voix peut être intercepté à distance
depuis le PC d’un utilisateur indélicat, d’autant plus que de nombreux outils disponibles sur l’Internet facilitent le travail. Le principe est le suivant : dans un premier temps, l’attaquant met en
Dans tous les projets de migration vers la ToIP, la disponibilité est
au cœur des préoccupations. Au cours des dernières décennies,
les utilisateurs se sont en effet habitués à l’excellente qualité de
service de la téléphonie fixe traditionnelle, aussi bien en entreprise qu’à domicile. Bien qu’il soit tout à fait possible aujourd’hui
de construire des architectures IP résilientes, garantissant la
continuité de fonctionnement en cas de panne (doublement des
points d’accès, redondance des serveurs…), subsiste le risque
1
Les utilisateurs A et B sont
en communication téléphonique sur
un LAN cloisonné par VLAN
2
Découverte des caractéristiques
de l’infrastructure et insertion
dans le VLAN voix
6
A
B
L’attaquant peut également :
- interrompre la conversation
- insérer et modifier le flux voix
Wireshark
RTPInsertSound,
RTPMixsound, SiVus…
3
Mise en place d’une attaque
de type ARP spoofing / man-in-the-middle
D’autres outils spécifiques
à la ToIP
Ettercap
Cain & Abel
5
4
L’attaquant enregistre les paquets
de transport de la voix (RTP)
L’attaquant convertit les paquets
de données en fichier son
PROTOS H.323 Fuzzer PROTOS SIPOreka - PSIPDump SIPomatic - SIPv6 Analyzer
SIP-Scan - SIPcrack - SIPSCAN SiVuS - SMAP - VLANping VLANPing VoIPAudit IAXFlooder INVITE Flooder - kphone-ddos RTP Flooder…
Wireshark
Wireshark
Lorsque le flux voix n’est pas chiffré, il est relativement facile d’écouter les conversations
48
place une attaque « man-in-the middle » en envoyant des broadcasts ARP notifiant de fausses associations entre les adresses
MAC et IP de ses victimes. Ceci a pour effet de rediriger tout le
trafic IP ultérieur vers son PC, en particulier les paquets voix. A
l’aide d’un analyseur réseau tel que Wireshark, l’attaquant peut
alors réassembler le flux voix, en vue d’une écoute illicite ou d’un
enregistrement. La principale contrainte pour l’attaquant est que
celui-ci doit être connecté sur le même sous réseau IP que les
participants légitimes à la communication.
Du « phishing » au « vishing »
Après la messagerie électronique, la voix sur IP est elle aussi
mise à contribution par les pirates dans le cadre de tentatives de
récupération d’informations diverses, notamment bancaires,
auprès de victimes trop crédules. Le « vishing » (voice over IP phishing) est l’une des conséquences du développement de la téléphonie sur Internet et de la baisse des coûts qui en résulte. Mais
ce risque d’usurpation d’identité concerne aussi la téléphonie
d’entreprise. Dans ce contexte, la fonction de présentation du
nom de l’appelant peut faciliter la récupération d’informations
confidentielles, comme par exemple un mot de passe. En effet, la
victime sera par nature moins méfiante vis-à-vis de son interlocuteur si elle voit s’afficher « support informatique » sur l’écran de
son téléphone. D’autant plus qu’en ToIP, il est relativement facile
pour un attaquant d’envoyer de faux paquets de signalisation,
afin de faire afficher un nom erroné.
La téléphonie menacée par le spam
Le spam téléphonique, ou SPIT (Spam over IP Telephony), reste
aujourd’hui marginal, mais risque de se développer rapidement et
de devenir un problème majeur pour les entreprises. Du point de
vue de l’utilisateur, les principales conséquences sont d’une part
la perte de temps et d’autre part la saturation des boîtes vocales,
pouvant rendre le service complètement indisponible. Sachant
qu’aujourd’hui, il n’existe pas encore de solution efficace pour filtrer ces messages indésirables, qui peuvent être jusqu’à dix fois
plus volumineux que les spams traditionnels.
Le cloisonnement du réseau : un pré requis
indispensable
Dans le cadre du déploiement d’une infrastructure de téléphonie
sur IP, l’une des principales mesures de sécurité à mettre en place
est le cloisonnement du réseau voix par rapport au réseau données. Il est généralement réalisé en définissant sur chaque site un
VLAN dédié aux équipements de téléphonie sur IP. Du point de
vue de la sécurité, ce cloisonnement local devrait idéalement
être prolongé sur le réseau étendu jusqu’au datacenter, à travers
un VPN MPLS par exemple. Mais force est de constater que peu
d’entreprises se sont aujourd’hui lancées dans cette voie, pour
des raisons principalement économiques. Avec une infrastructure WAN totalement mutualisée, l’accès au VLAN téléphonie
doit donc être contrôlé au niveau de chaque site, au minimum par
un équipement de filtrage IP – routeur avec ACL ou pare-feu – et
si possible par un dispositif de type IPS (Intrusion Prevention
System). Les règles de filtrage sont assez simples, puisqu’elles
consistent à n’autoriser que les flux avec les VLAN ToIP des
autres sites et les serveurs en datacenter. En général, on définit
des règles de filtrage sur les adresses IP seules, car les protocoles de transport de la voix type RTP (Real-time Transport Protocol) utilisent l’allocation dynamique des ports lors de
l’établissement de la communication, ce qui n’est pas sans poser
problème à la traversée d’un pare-feu. Il faut dans ce cas soit
autoriser tous les numéros de port au-dessus de 1024, soit mettre en place des mécanismes pour ouvrir dynamiquement des
ports sur le pare-feu. A noter également qu’il est nécessaire de
prévoir un plan d’adressage IP spécifique pour la ToIP, afin d’éviter la multiplication du nombre de règles de filtrage sur les équipements de sécurité. Enfin, au niveau du point de raccordement
WAN, il est recommandé de mettre en place une classe de service temps réel pour les flux voix, afin de garantir la qualité audio
et de limiter le risque d’indisponibilité résultant d’une saturation
sur la partie « données ».
Sécuriser les serveurs et les terminaux
Comme pour n’importe quelle autre application informatique, il
est par ailleurs nécessaire de « durcir » la configuration sécurité
Câblage
Energie
Alimentation secourue des éléments actifs
Télé-alimentation des téléphones
Mise en conformité du câblage existant
Ajout éventuel de nouveaux points
Sécurité
LAN
Cloisonnement réseau (VLAN)
Durcissement des serveurs et terminaux ToIP
Authentification des terminaux
Chiffrement optionnel
Architecture redondante
Adressage IP et DHCP
WAN
Augmentation des débits
Amélioration de la disponibilité
Mise en œuvre de classes de service
Afin d’assurer la disponibilité et la confidentialité du service de téléphonie sur IP, des adaptations sont nécessaires dans plusieurs domaines
49
des composants ToIP. Au niveau des serveurs tout d’abord, cela
passe notamment par l’arrêt de tous les services réseau inutiles,
la désactivation des comptes inutilisés ou sans mot de passe, le
changement des mots de passe par défaut, la mise en place de
droits d’accès limités sur les fichiers sensibles, l’activation des
fonctions de journalisation, la synchronisation horaire, ainsi
qu’éventuellement, la mise en place d’un antivirus. Sur les serveurs de messagerie vocale, il est également possible de définir
des quotas par boîte vocale afin d’éviter la saturation. Sur les
passerelles de communication, il faut veiller à la désactivation
des fonctions de routage et s’assurer qu’il n’y a pas de terminaison possible de tunnel IP/PPP et de conversion du canal RNIS en
paquets IP. Par rapport aux terminaux téléphoniques, le point
important concerne le contrôle de la signature du firmware lors
des opérations de mise à jour à distance. Cette possibilité doit
absolument être activée afin d’éviter le déploiement involontaire
ou malveillant de firmwares non conformes. Enfin, ce qui
concerne l’administration, il faut privilégier l’utilisation de protocoles sécurisés comme HTTP-S ou SSH.
Chiffrer les flux ?
Actuellement, rares sont les entreprises qui ont opté pour le chiffrement des flux inter-sites – réalisé par des boîtiers réseau au
niveau du point d’interconnexion WAN – et encore plus rares
sont celles qui ont activé le chiffrement de bout en bout entre terminaux téléphoniques. En effet, le chiffrement ne peut aujourd’hui
être envisagé que dans le cadre de communications internes et
non pas pour les appels externes. D’autre part, les implémentations permettant le chiffrement de bout en bout reposent souvent
sur l’utilisation de protocoles et d’outils propriétaires ce qui limite
l’interopérabilité, bien que des passerelles de conversion soient
envisageables. Enfin, le cloisonnement réseau de l’environnement ToIP constitue déjà un premier rempart contre les tentatives
d’écoute illicite en interne. Ce qui fait qu’aujourd’hui, le chiffrement doit plutôt être considéré comme un service de sécurité
optionnel, activable entre certaines populations internes d’utilisateurs « sensibles ».
50
Prendre en compte les enjeux métiers
La migration vers la téléphonie sur IP est en marche et
aujourd’hui, mieux vaut pour un responsable sécurité anticiper le
mouvement, en définissant les règles de sécurité à prendre en
compte dans les futurs projets. Au final, la décision de mise
en œuvre des différentes mesures doit se faire au regard d’une
analyse de risques prenant en compte les enjeux métiers et identifiant les risques résiduels, pré requis nécessaire à tout déploiement ToIP.
Michel BERNARD
consultant senior
A propos de Solucom
Solucom : Cabinet de conseil en gouvernance des SI et technologies, le groupe Solucom rassemble plus de 500 consultants. Dans le domaine de la sécurité, Solucom
accompagne les grandes entreprises dans la mise en place de leur politique de maîtrise des risques SI et dans le design de leurs architectures de sécurité. Le pôle
sécurité du Groupe Solucom est fort de plus de 120 consultants intervenant sur les
aspects suivants :
• cartographie des risques et conduite d’audits,
• formalisation des politiques et des organisations de management de la sécurité,
• élaboration de plans de continuité d’activité,
• conception des processus et des solutions de gestion des identités et des habilitations.
Maîtriser une attaque de
zombies. Facile.
Bloquer un logiciel
malveillant. Très facile.
1.
Courez (ou partez le plus
vite possible).
Les zombies traînent plus
des pieds qu’ils ne marchent.
Quasiment n’importe qui peut
les distancer. Même si vous
vous contentez de hâter le
pas, ça devrait suffire. Ils seront
essoufflés au bout de trois
mètres. Bien sûr, ce n’est pas
une solution à long terme, mais
ça rendra au moins leur première
attaque plus facile à gérer.
2.
Dressez des barricades, mettez vos
appels en attente.
Rabattez contre les portes les photocopieuses, les
caissons tiroirs, les bureaux et les fauteuils. Postez
une sentinelle, allumez des torches et retournez
à votre véritable occupation : faire marcher une
entreprise.
3. Priez pour que le jour se lève.
Les zombies profitent généralement de la nuit
pour attaquer. Ils n’aiment pas la lumière du jour.
Croyez-nous, vous n’avez pas intérêt à ce qu’ils
vous trouvent au bureau après la tombée de la
nuit. Si vous n’avez pas le choix, gardez au moins
une torche à portée de main (ou à défaut
une lampe de bureau).
4.
Trouvez une arme, n’importe
quelle arme.
Personne n’aime recevoir des coups.
Les zombies non plus. En leur lançant
une lampe, une agrafeuse ou même
une cafetière, vous devriez pouvoir les
tenir à distance de manière efficace.
Bon, ça ne va pas les tuer (ils sont
déjà morts), mais ça les sonnera
suffisamment peut-être, le temps pour
vous de vous mettre en sécurité.
5. Tendez-leur un piège.
Les zombies mangent les
cerveaux. C’est répugnant, mais
c’est comme ça. Dites-leur que
le distributeur au huitième
vient juste d’être rechargé
en bons cerveaux tout frais,
et donnez-leur de la monnaie.
Le temps qu’ils se rendent
compte que le distributeur est
hors service, vous serez loin.
1. Installez Microsoft Forefront.
Les solutions Microsoft Forefront™ facilitent la protection
de vos systèmes informatiques en sécurisant les postes
de travail client, les applications serveur et la périphérie
du réseau, pour les accès locaux comme distants. Ils vous
aident à prévenir plus facilement que jamais toutes les
menaces de sécurité. Pour découvrir des cas concrets, des
démonstrations et des versions d’essai gratuites, rendez-vous
sur www.microsoft.com/france/forefront

Management de la sécurité - IT

Transcription

Documents pareils

Imprimer en PDF

fiche technique

Fiches Techniques

Télécharger la fiche au format pdf

fusion travertine

Arthur Béné Décolletage

Activités de test externalisées : 5 conseils pour - IT

Test impact: Méthode Charpy ou Izod

Exporter en PDF

Caractéristiques Techniques Nikon D5

Télécharger - v1.markedia.info