Management de la sécurité - it-expertise.com · comptes utilisateurs de sa plate-forme d’Appli-cation Intelligence dans le monde. La maîtrise des applications et des prestataires

LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE

n°70

Bim

estr

iel -

no

vem

bre

/déc

emb

re20

07 -

16€

Sécurité de la téléphoniesur IP

PAGE 46

Comment lutter efficacement contreles intrusions informatiques ?

PAGE 20

Les multiples facettes du contrôled’accès au réseau d’entreprise PAGE 37

Microsoft OfficeSharePoint Serveur 2007 :

les raisons-clés d’un succèsPAGE 31

Management de la sécuritéPAGE 7

EN SAVOIR PLUS

Demandez le Livre Blanc rédigé par leGartner Group et CAST sur ce thème :« Information Series on ApplicationManagement » :www.castsoftware.com/outsourcing

Découvrez l’expérience de plusieurssociétés utilisatrices de solutionsd’Application Intelligence :www.castsoftware.com/customers

ZOOM OUTSOURCING

L’AVIS DES DIRECTIONS INFORMATIQUES

Ministère des FinancesDirection Générale des ImpôtsNadine ChauvièreSous-Directrice des SI de la DGI

« Les solutions d’Application IntelligenceCAST nous aident à obtenir une meilleure visi-bilité de notre parc applicatif au travers detableaux de bord composés d’indicateurstechniques objectifs afin de faciliter le dialogueavec les équipes et avec nos maîtrises d’ou-vrage. »

Groupe SFR CegetelEric EteveDirecteur InformatiqueCentre Ingénierie Mobilité

« La solution CAST de gestion de la sous-traitance est un élément clé dans le systèmede pilotage mis en place par SFR-Cegetelsur ses TMA. Nous avons constaté uneattention plus particulière apportée par lesSSII à la qualité des livrables et à la fiabilitédes chiffrages depuis qu’ils savent que nouspouvons facilement les auditer »

Framatome - Groupe AREVAMichel FondevioleDSI de Framatome-ANP

« CAST fournit des critères objectifs d’appré-ciation dans le dialogue parfois difficile avecle sous-traitant ainsi que des indicateursnécessaires au suivi de l’évolution des appli-cations et constitue au sein de Framatomeun outil de progrès partagé. »

Les entreprises, devenues plus mûres

vis-à-vis de l’outsourcing, sont désor-

mais capables d’opérer des externali-

sations plus stratégiques. On l’a récemment

observé dans l’automobile avec Renault ou dans

la grande distribution avec Carrefour.

Dans l’externalisation des applications métier,

c’est surtout la volonté d’accroître l’efficacité

opérationnelle de l’informatique qui est motrice :

pouvoir fournir plus rapidement un service à

valeur ajoutée aux utilisateurs et aux clients dans

un contexte en perpétuelle évolution.

Comme dans n’importe quelle opération d’out-

sourcing, le contrat liant le fournisseur est capi-

tal, en particulier les SLAs. Néanmoins, les

applications métier étant par nature soumises à

de fréquents changements en cours de contrat,

les seuls SLAs se révèlent vite insuffisants pour

garantir la qualité de service et éviter les dérives

de coûts.

C’est là que le bât blesse : l’externalisation des

applications métier occasionne un risque de

perte rapide de savoir-faire technologique et

par conséquent critique. Vigilance et suivi sont

de mise pour garder le contrôle de la qualité

de service et éviter les dépendances par nature

dangereuses.

L’externalisation réussie d’applications métier

est donc le fruit d’une vision anticipatrice parta-

gée avec le prestataire. Sont ainsi apparues

des solutions dites d’Application Intelligence,

basées sur une technologie avancée d’analyse

de code source.

En fournissant des indicateurs techniques aux

donneurs d’ordre, ces solutions permettent de

piloter un parc applicatif sous-traité en temps

réel, tant en terme de qualité, que de maintena-

bilité et de coût. Résultat : le donneur d’ordre

conserve la maîtrise intellectuelle de ses appli-

cations métier et le contrôle de la relation avec

son sous-traitant.

La valeur ajoutée de ce type de solutions d’Ap-

plication Intelligence est visible à chaque étape

d’une opération d’outsourcing, comme décrit

ci-après.

Audit de l’existant et préparation des appels

d’offres

• Déterminer les caractéristiques techniques

du portefeuille applicatif existant avant de le

sous-traiter

• Disposer d’informations de référence pour

évaluer les propositions des sous-traitants

• Obtenir une image à l’instant t des applica-

tions pour permettre un suivi dans le temps

Transfert vers le prestataire

• Réduire la phase d’acquisition de la

connaissance pour entreprendre plus vite

des tâches productives

• Diminuer le coût lié à la production d’une

documentation exploitable et maintenable

par le prestataire

Contrôle de la qualité et des coûts en cours de

projet

• Suivre l’évolution de la maintenabilité et de

la qualité pour éviter toute dérive

• Etre capable de valider la quantité et la qualité

du travail facturé

• Etre en mesure de challenger le sous-trai-

tant lors des négociations d’avenants

• Industrialiser les recettes techniques

Renouvellement de contrat, transfert ou ré-inter-

nalisation

• Déterminer et qualifier les écarts entre la

prestation prévue et les livrables recettés

• Disposer des informations techniques

caractéristiques du portefeuille applicatif en

fin de prestation

Le leader mondial de ce type de solutions est

d’ailleurs un éditeur français, CAST. Reconnu

par les analystes informatiques comme pré-

curseur du marché, CAST compte plus 500

comptes utilisateurs de sa plate-forme d’Appli-

cation Intelligence dans le monde.

La maîtrise des applicationset des prestataires dansune opération d’outsourcing

Cycle de vied'une opération d'Outsourcing

Suivi de proje

t Contrôle des coûts

Transfert de connaissances

Fin de

contrat Appels d'offres

Rece

tte te

chni

que

www.castsoftware.com

Publi-Reportage

De la valeur ajoutée de l’ApplicationIntelligence pour piloter efficacementun parc applicatif sous-traité

Edito

4 IT-expert n°70 - novembre/décembre 2007

Une fin d’année en fanfare

Après la consolidation applicative via le socleERP, la même tendance sur les solutions déci-sionnelles a amené à s’interroger sur la gestionde la performance. En parallèle, l’économieoblige les entreprises à une meilleure gestionpar la maîtrise de leurs dépenses et le suivi de

leurs résultats financiers en temps réel. Résultat : le marché des logi-ciels EPM (Enterprise Performance Management) a connu uneconcentration sans précédent. Et qui a racheté ces spécialistes de laconsolidation et de la planification financières ? Les leaders du marchélogiciel : Oracle avec Hyperion, SAP via le rachat de Business Objects(ayant racheté Cartesis), et IBM en reprenant Cognos. Et bien entendu,Microsoft lance sa solution PerformancePoint Server 2007 en décem-bre.

Le virtuel se concrétise

Si 2007 a été l’année de la Business Intelligence, les dernières semai-nes annoncent une année 2008 sous le signe de la virtualisation. Citrixa racheté XenSource, Microsoft annonce sa solution Hyper-V pourWindows Server 2008 en février 2008, tandis que VMWare multiplie lesannonces. En outre, Sun et IBM espèrent bien jouer un rôle sur ce seg-ment prometteur. Car la virtualisation favorise la consolidation desmachines et l’utilisation optimale des ressources, étape fondamentalede la maîtrise des coûts informatiques, et plus encore alliée aux ser-veurs blades, autre évolution majeure.Les serveurs virtuels indépendants inspirent également d’autres édi-teurs qui y voient un excellent moyen de proposer un environnementoptimisé et performant pour les applications d’entreprise. En effet, lavirtualisation permet de déployer des architectures à haute disponibi-lité (répartition de charge, mirroring…) à moindres frais. Parmi ces édi-teurs, on trouve BEA ou encore Oracle.

La clé passera par l’administration

La multiplication des machines virtuelles sur des serveurs physiquespose aussi la question du management de ces unités virtuelles et phy-siques, avec des possibilités de copier en quelques secondes un envi-ronnement vers un autre, qu’ils soient virtuels ou physiques… Bref, laprochaine bataille se déroulera aussi sur les solutions d’administration,autre vedette de l’année à venir.Une cuvée 2008 décidément très animée !

José DizRédacteur en Chef

édito

EditeurPress & Communication FranceUne filiale du groupe CAST3, rue Marcel Allégot92190 Meudon - FRANCETél. : 01 46 90 21 21Fax. : 01 46 90 21 20http ://www.it-expertise.comEmail : [email protected]

Rédacteur en chefJosé DizEmail : [email protected]

Directeur de publicationAurélie MagniezEmail : [email protected]

Abonnements/PublicitéEmail : [email protected]

Conception GraphiqueC. GrandeEmail : [email protected]

ImprimeurMoutot Imprimeurs

ParutionIT-expert - (ISSN 1270-4881) est un jour-nal édité 6 fois par an, par P & C France,sarl de presse au capital de 60 976,61 €.

AvertissementTous droits réservés. Toute reproductionintégrale ou partielle des pages publiéesdans la présente publication sans l’auto-risation écrite de l’éditeur est interdite,sauf dans les cas prévus par les arti-cles 40 et 41 de la loi du 11 mars 1957.© 1996 P&C France. Toutes les marquescitées sont des marques déposées.Les vues et opinions présentées danscette publication sont exprimées par lesauteurs à titre personnel et sont sous leurentière et unique responsabilité. Touteopinion, conseil, autre renseignement oucontenu exprimés n’engagent pas la res-ponsabilité de Press & Communication.

Abonnements01 46 90 21 21Prix pour 6 numéros (1 an)France ; U.E. : 89 € TTCDom TOM, Autres Pays : 128 € TTC

Un bulletin d’abonnement se trouveen pages 35/36 de ce numéro.

Vous pouvez vous abonner surhttp://www.it-expertise.com/Abonnements/Default.aspxou nous écrire à[email protected]


IT-expert n°70 - novembre/décembre 2007

5IT-expert n°70 - novembre/décembre 2007

SommaireDossierManagement de la sécuritéLa sécurisation d’un système d’information ne peut se contenter de firewalls et logiciels, aussi

performants soient-ils. Les normes ISO 27000 définissent les étapes de mise en place d’un

système de management de la sécurité de l’information (SMSI), et recommandent les meil-

leures pratiques.

TechniqueComment lutter efficacement contre les intrusions informatiques ?Après une explication des concepts d’IDS (Intrusion Detection System) et d’IPS (Intrusion

Prevention System), l’auteur s’appuie sur son expérience en entreprise pour apporter des

conseils afin de rendre des outils efficaces dans le cadre d’une politique globale de sécurité.

Actualités InternationalesLes informations marquantes d’éditeurs, de marchés, d’organismede standardisation, de débats en cours et de tendances.

Quoi de Neuf Docteur ?Microsoft Office SharePoint Serveur 2007 : les raisons-clés d’un succèsConsultant et formateur, l’auteur explique concrètement comment cette solution permet

d’automatiser simplement les processus de l’entreprise, mais replace également l’utilisateur

au centre du système d’information. Une approche métier proche des tendances actuelles

en management d’entreprise.

Comment ça Marche ?Les multiples facettes du contrôle d’accès au réseau d’entrepriseAgent persistants ou non persistants, scanner de vulnérabilités, mise en quarantaine…

autant d’éléments expliqués en détail dans cet article qui démontre schémas à l’appui

l’intérêt du NAC (Network Access Control) et le rôle du chacun de ces éléments.

LivresMicrosoft Office SharePoint Server (MOSS) et Office 2007 par Pierre-Erol Giraudy et

Sécurité Informatique – Principes et méthode par Laurent Bloch et Christophe Wolfhugel

Fenêtre sur courInterview d’Alain Bouillé, RSSI au sein du Groupe Caisse des Dépôts« Il me semble qu’il est important qu’une personne soit dédiée à la sécurité au sein d’une

entreprise afin de fédérer, diffuser et coordonner les actions de sécurité. »

Alain Bouillé parle de son métier de responsable de la sécurité des systèmes d’informa-

tion (RSSI), et des appels d’offres sur ce marché. Il évoque également les travaux du

groupe de travail qu’il pilote au CIGREF afin de constituer un tableau de bord sécurité,

avec la définition de divers indicateurs-clés.

Rubrique à bracSécurité de la téléphonie sur IPAprès avoir listé et expliqué les diverses menaces liées à la téléphonie sur IP, l’auteur expli-

que comment il est possible d’y remédier. Un article indispensable pour comprendre les

apports et les risques d’une évolution incontournable.

7

20

28

31

37

43

44

46

Dossier & Interviews


Managementde la sécurité

A l’heure où la dématérialisation des contenus

s’accélère, la protection de l’information est plus

que jamais déterminante pour la compétitivité et

l’image de marque des entreprises.

Garantir la confidentialité et l’intégrité des don-

nées, mais aussi la disponibilité des systèmes

qui les manipulent et le respect des législations

et réglementations, constitue un véritable enjeu

stratégique.

Ce dossier propose un balayage des stratégies

actuelles de réponse à cet enjeu.


Évolution de la menace :des Systèmes d’Informationsous pression !

La place de plus en plus prépondérante des Systèmes d’Informa-tion dans tous les processus métiers a sensiblement augmenté ladépendance des entreprises vis-à-vis de leur SI. Cette évolutionest corrélée à une plus large ouverture de l’entreprise au mondeextérieur, qui implique directement une plus large ouverture dessystèmes d’information (nomadisme des collaborateurs, inter-connexion avec des partenaires, accès des clients…). Les nou-velles stratégies de sourcing (externalisation, infogérance,off-shore) viennent encore renforcer les risques de perte de maî-trise de la sécurité. Enfin, de multiples lois et réglementation aug-mentent les exigences en matière de traçabilité, de protectiondes données personnelles, et de continuité d’activité pour cer-tains secteurs comme la banque et l’assurance ou la santé. Et lesautorités de régulation ou de contrôle, comme la CNIL par exem-ple, se font de plus en plus présentes.

Cette augmentation de « l’exposition » aux risques liés à la sécu-rité des SI se produit malheureusement dans un contexte où lamenace informatique s’accroît véritablement. Cette menace seprofessionnalise, avec une recherche ciblée de gains financiersou d’avantage concurrentiel. L’usage généralisé de l’informatiqueaugmente aussi la tentation pour les attaques d’origines interne.Globalement, toutes les enquêtes montrent une croissance de lasinistralité déclarée.

Pour faire face à ces évolutions, les entreprises ont toutes aug-menté sensiblement leurs budgets consacrés à la sécurité des SI,et ont pris des mesures conservatoires souvent centrées sur lamise en place de dispositifs techniques (firewall, anti-virus, centrede backup…). Mais ces mesures ont des limites, et ne peuventrépondre à tous les problèmes. Elles sont souvent mal comprisespar les Directions Générales qui voient surtout les contraintes qu’el-les amènent sans identifier clairement les risques business aux-quelles elles répondent. Pour sortir de ce dilemme, lesResponsables de la Sécurité des SI (RSSI) doivent envisager denouvelles réponses, plus globales, et plus compréhensibles par lesresponsables métiers et les Directions Générales.

Avec l’arrivée des normes de la famille ISO 27000, et surtout desa « clé de voûte », l’ISO 27001, les RSSI disposent maintenantd’un outil pertinent pour concevoir une telle réponse. Examinonsen détail les concepts et les apports de cette norme.

ISO 27001 : les clefs du managementde la sécurité

La norme ISO 27001 décrit ce que doit être un système de mana-gement de la sécurité de l’information (SMSI) pertinent. Un SMSIrecouvre l’ensemble des ressources mises en place pour organi-ser et gérer la sécurité au quotidien. Il englobe les différents docu-ments formalisant les règles de sécurité, ainsi que l’organisationassociée (RSSI, correspondants sécurité, exploitants, instancesde décision…). Le SMSI constitue donc un dispositif global degouvernance de la sécurité de l’information. Il est important denoter qu’il est toujours défini pour un périmètre bien déterminé :toute l’entreprise, un métier ou un processus particulier, uneapplication, un centre de production…

Comme les systèmes de management de la qualité (ISO 9000) etde l’environnement (ISO 14000), un SMSI ISO 27001 repose surle cycle de progrès PDCA : Plan, Do, Check, Act, égalementappelé Roue de Deming. Ce cycle vise une amélioration continuereposant sur une logique simple : dire ce que l’on fait, faire ce quel’on a dit, puis contrôler et corriger ce qui ne va pas.

Le SMSI va également s’appuyer sur d’autres principes issusdes normes ISO 9000 et notamment une approche par proces-sus : la norme préconise en effet que toutes les activités liées auSMSI soient conçues et formalisées sous la forme de processus.Les porteurs et acteurs des différentes actions contribuant à lasécurité doivent donc être identifiés tout comme l’enchaînement

L’ISO 27001,ou comment construireun vrai système de managementde la sécurité ?

ACT

PLAN

DO

CHECK


L’ISO 27000 - Une nouvelle famille de normes

Issue des réflexions de groupes de travail internationaux dédiés au domaine de la sécurité de l’information, la famille desnormes ISO 27000 est progressivement publiée depuis 2005. Nous pouvons distinguer trois types de normes dans cettegrande famille.

Des normes certifiantesElles décrivent les exigences devant être respectées si l’on souhaite viser la certification et ainsi obtenir une reconnaissanceexterne. L’ISO 27001, norme de définition et de mise en place du Système de Management de la Sécurité de l’Information(SMSI), publiée en 2005, est le pilier du système. Elle s’inspire largement des travaux de l’organisme de normalisation Bri-tish Standard et de sa norme BS 7799-2 qui était déjà « certifiante » et largement diffusée au Royaume-Uni et en Asie. L’ISO27006, qui définit les exigences s’appliquant aux organismes accrédités pour prononcer eux-mêmes la certification, entreaussi dans cette catégorie.

Des normes de recommandationsCes normes proposent des bonnes pratiques à suivre pour définir le système de management et sélectionner les mesu-res de sécurité. La plus connue est la norme ISO 27002 (ancienne ISO 17799) qui décrit les mesures de sécurité en 39objectifs et 133 mesures. Les normes ISO 27003 (guide de mise en œuvre), ISO 27004 (mesure de l’efficacité) et ISO 27005(analyse de risques) actuellement en phase de conception apporteront des conseils sur la mise en œuvre du SMSI.

Des normes sectorielles et techniquesL’ISO prépare aussi des « SMSI sectoriels » en sélectionnant et en adaptant les contrôles devant être mis en œuvre pourcertains types d’organismes. Un des secteurs les plus avancés est celui des télécommunications avec le projet de normeISO 27011. La santé n’est pas en reste avec le projet de norme ISO 27799. La liste des normes ISO 27000 est loin d’êtrestabilisée, et les réflexions se poursuivent sur des thèmes comme la sécurité des réseaux ou la continuité d’activité parexemple.

Mise en place du SMSIISO 27001

Accréditation des organismes de certification

ISO 27006

Code de bonnes pratiques ISO 27002

TerminologieISO 27000

Implémentation du SMSIISO 27003

Guide díauditsISO 27007

Indicateurs et tableaux de bordISO 27004

Gestion des risquesISO 27005

Normes métiersISO 27xxx

Exigences

Recommandationsgénériques

Recommandationssectorielles et techniques

2005 2006 2007 2008+


des actions à mener pour chaque processus de sécurité. Tout lecycle de vie du SMSI (PDCA) doit lui-même être vu comme unprocessus englobant l’ensemble du dispositif. La norme ISO27001 décrit grâce à ce processus les différentes étapes de lamise en place et du fonctionnement de la gouvernance de lasécurité de l’information.

Les politiques actuelles intègrent aussi très souvent des règlesconcernant la formalisation des procédures de sécurité, la réali-sation de contrôles ou l’enregistrement des journaux. Mais ellesne décrivent pas précisément les processus et moyens qui vontpermettre de réaliser effectivement ces actions. La norme ISO27001 propose en revanche d’intégrer ces éléments comme desfondements incontournables de la démarche sécurité :

1) Des processus de sécurité bien identifiés et formalisés(analyse de risques, gestion des incidents, sensibilisation,contrôles…).

2) Le contrôle systématique des éléments mis en œuvre via leSMSI.

3) La gestion efficiente de la documentation (création et misesà jour).

4) La gestion stricte des enregistrements pour permettre lecontrôle des mesures de sécurité mises en place (parexemple : traces de tous les accès à un local sécurisé).Notons que cet élément s’avère de plus en plus incontour-nable du fait des nouvelles réglementations légales (Sarba-nes-Oxley Act, LSF) ou sectorielles (Bâle II ou MiFID dansle milieu bancaire, Solvency II…).

Mais la véritable spécificité de la norme ISO 27001 par rapportaux autres systèmes de management, c’est qu’elle centre toute

la démarche sur l’analyse et la maîtrise des risques que fait peserla sécurité de l’information sur les activités « métiers » de l’entre-prise.

La majorité des politiques de sécurité formalisées dans le passéénonce déjà le principe d’une démarche sécurité alignée avec lesrisques encourus par l’entreprise. Pourtant, rares sont encore lescas où le RSSI dispose d’une vraie « cartographie des risques »globale et d’un plan d’actions justifié par ces risques. Souvent,les mesures de sécurité sont décidées et mises en œuvre direc-tement par les équipes de la DSI ou sont choisies en fonction de« l’état de l’art » sans forcément sélectionner de manière objec-tive les mesures réellement les plus pertinentes. Les analyses derisques, quand elles existent, sont limitées tant en périmètre (unprojet, une infrastructure sensible), qu’en terme de pertinence(faible implication des métiers).

L’ISO 27001 rend nécessaire la conduite d’une analyse de ris-ques dès la phase PLAN. La méthodologie d’analyse n’est pasimposée mais doit être définie au préalable et répondre à certai-nes contraintes : identification des processus et actifs critiques,identification des propriétaires, analyse des impacts, identifica-tion des menaces et des vulnérabilités, puis description et pon-dération des risques. Une telle démarche doit nécessairementimpliquer les responsables métiers, seuls habilités à se pronon-cer sur les risques qui sont acceptables. Elle transforme donc lesmodes de gouvernances classiques, le RSSI se tournant d’avan-tage vers les métiers et les utilisateurs que vers les informati-ciens. Le RSSI devient un vrai « pivot » du dialogue entre lesmétiers et la DSI.

Une norme qui insiste juste là où le bât blesse aujourd’hui !

La norme ISO 27001 met en avant des thèmes aujourd’hui peu implémentés dans les entreprises : la systématisation del’analyse des risques et le contrôle d’application de la politique de sécurité.

Analyse métier des risques SI

Politique de sécurité des SI

Plan díactions annuel

Procédures formalisées

Plan de sensibilisation

Plan de contrôle annuel

Tableaux de bord

Revue régulière avec la DG

PLAN

DO

CHECK

ACT

25%

85%

72%

63%

51%

31%

50%

57%

Source Solucom : enquête auprès de 50 grandes entreprises et administrations.

Niveau de maturité des entreprises


Pourquoi adopter l’ISO 27001 ?

L’ISO 27001 propose des principes pertinents qui amènent unplus réel aux démarches d’amélioration de la sécurité. Elleapporte en effet :

• Une meilleure maîtrise des risques qui pèsent réellementsur les activités de l’entreprise.

• La garantie de mieux dimensionner le budget sécurité etsurtout de l’affecter aux mesures les plus pertinentes.

• Une association plus systématique des acteurs métiers etdu management aux décisions, et donc une meilleureacceptation des contraintes amenées par les mesures desécurité.

• Un pilotage plus efficace des actions de traitement des ris-ques.

• La facilitation d’autres démarches liées à la sécurité de l’in-formation, comme par exemple la mise en conformité àBâle II, à Sarbanes-Oxley ou aux lois informatique et liber-tés.

• La garantie de mieux répondre aux attentes des « audi-teurs » qui vont maintenant utiliser cette norme commeréférence.

L’utilisation de l’ISO 27001 va par ailleurs renforcer la confiancedu management dans la démarche entreprise par le RSSI et sacrédibilité. Elle offrira au RSSI un support plus efficace pour obte-nir les moyens dont il a besoin pour mener ses actions.

Plusieurs approches face aux normes :jusqu’où aller ?

La norme ISO 27001 peut, comme tout guide, être utiliséecomme un recueil de bonnes idées dans lequel on peut piocher.Mais elle ne donnera sa pleine efficacité que si les principes fon-dateurs qu’elle propose sont effectivement mis en œuvre. Laquestion qui se pose alors, est de savoir jusqu’où aller dans lamise en œuvre de ces principes, avec deux grandes options pos-sibles :1. Construire un ou plusieurs SMSI avec une véritable démarche

de progrès PDCA, mais sans chercher la certification à courtterme.

2. Chercher à obtenir rapidement une certification officielle ettirer ainsi parti au maximum de ce que la norme peut apporter.

Dans ce cas, comme nous le verrons plus loin, mieux vaut sefixer un périmètre raisonnable au départ.

En tout état de cause, le projet d’adoption de l’ISO 27001 devratrouver sa place au cœur de la gouvernance SI de l’entreprise. Ilpeut être porté par le RSSI, avec l’aide des équipes Qualité et desRisk Managers, mais doit être sponsorisé par la Direction. Il asso-ciera systématiquement les métiers liés au périmètre concerné etbien entendu les acteurs de la DSI, qui sont concernés au premierchef.


La norme ISO 27001 arrive alors que les entreprises et les admi-nistrations ont déjà pour la plupart mis en place des premierséléments de gouvernance de la sécurité et ont engagé de nom-breux chantiers d’amélioration. La décision d’appliquer les prin-cipes de l’ISO 27001 remet-elle en cause tout l’existant ?Comment entamer ce projet ISO 27001 ?

Par où commencer ?

Si l’on prend l’ISO 27001 au pied de la lettre, la première étape àmener est l’analyse de risques. Pour conduire cette action, lechoix du « niveau de granularité » est lourd de conséquences.Identifier tous les risques en analysant chaque micro processusde l’entreprise est une tâche de longue haleine. Se placer à unniveau très macroscopique permet d’aller beaucoup plus vite,mais donne des résultats beaucoup moins précis. Pour traiterce dilemme et lancer la « boucle PDCA » dans un délai raisonna-ble, nous préconisons de mener en parallèle l’identificationmacroscopique des besoins de sécurité, réalisée sur la base d’in-terviews des principaux responsables métiers et de la DirectionGénérale, et une analyse des écarts entre les pratiques existan-tes et les principes et règles de la norme (i.e. les chapitres 4 à 8 del’ISO 27001 et les 133 mesures de sécurité de l’ISO 27002), réa-lisée sur la base d’interviews du RSSI et des responsables SI(exploitants, architectes, chefs de projets…), d’une revue docu-mentaire et de visites de sites.

Ce travail initial permet d’identifier les grandes familles de ris-ques et les périmètres du SI sur lesquels les enjeux sont les plusforts. Il permet aussi de détecter les éléments manquants pourdisposer d’un SMSI opérationnel et efficient. Le travail ainsi menépermet de définir et de faire valider la « stratégie du SMSI » par laDirection Générale. La stratégie du SMSI consiste à :1) Fixer le périmètre du SMSI.2) Formaliser une politique de sécurité de l’information et une

organisation adéquate.3) Définir un plan de maîtrise des risques argumenté identifiant

les chantiers prioritaires.

Le plan de maîtrise des risques comporte plusieurs volets :• Des chantiers de conformité ISO 27001 pour décliner les

exigences de la norme. Une approche par processus desécurité sera évidemment très pertinente (gestion des inci-dents, contrôle…).

• Des chantiers « ISO 27002 » comme par exemple le Plande Continuité d’Activité, la gestion des identités et desaccès (IAM), la gestion contractuelle des tiers…

Le processus de gestion des risques, défini par l’ISO 27005, estl’un des processus clés à mettre en place dans le cadre de ceplan de maîtrise des risques. Ce processus permet de préciser etde mettre à jour progressivement la « cartographie des risques »globale. Il permet aussi d’ajuster les contours et les priorités deschantiers de mise en conformité et de réorienter le SMSI dans labonne direction si nécessaire. Le processus de gestion des ris-ques prévoira dans la plupart des cas une alimentation régulièrede la cartographie des risques sur la base des analyses de ris-ques réalisées pour chaque projet SI et sur un travail progressifd’analyse détaillée des risques pour chaque processus métier.

L’analyse de risques,point focal de la démarche

L’analyse de risques constitue le point de départ d’une démarcheISO 27001. Pour autant, il s’agit d’un exercice complexe et sen-sible nécessitant un vrai appui de la direction ainsi qu’une métho-dologie et un plan de communication bien élaborés. Lesdifficultés à anticiper incluent :

• La définition des critères d’acceptation des risques (à par-tir de quel niveau l’entreprise ne peut accepter un risque).

ISO 27001 : la mise en œuvre

Stratégie du SMSIPolitique de sécurité

Plan de maîtrise des risques

Analyse de risques macroAnalyse d'écart de la norme

Chantiers de mise en conformité

ISO 27001/ISO 27002DO

Processus de gestion des ISO 27005Ajustement

CHECKACT


• La définition d’une grille d’impacts, nécessaire pour avoirdes résultats homogènes. Cette grille doit être indiscutable :il est toujours difficile de faire admettre à un responsable quele processus dont il a la charge n’est pas le plus critique…

• Les enjeux liés aux périmètres croisés lorsqu’un risque neconcerne pas qu’une seule équipe ou un seul processusmétier.

• La norme ne donne par ailleurs aucun guide, ni pour lechoix du niveau de granularité à adopter, ni pour la défini-tion et la valorisation des types d’impacts. Seuls le bonsens et l’expertise peuvent permettre de faire des choixpertinents dans ce domaine.

Les 12 travaux du RSSI,ou comment construire son SMSI…

Le travail de planification initial et de construction du SMSI ne vapas forcément remettre en cause tout l’existant. Il est possibledans la plupart des cas de s’appuyer sur les éléments pertinentsdéjà existants, notamment les politiques, les chartes, les directi-ves, mais aussi les procédures opérationnelles. Le schéma sui-vant décrit les éléments apportés par l’existant et les nouveauxéléments qui seront vraisemblablement à créer.

Le corps de la norme ISO 27001 est consacré à la création et aumaintien du SMSI. Si certains sujets sont mis fortement en avantcomme la formation et la sensibilisation, l’organisation, la gestiondes ressources, la gestion des incidents ou les plans d’audits,toutes les mesures de sécurité évoquées dans l’ISO 27002 nesont pas traitées en détail. Vu globalement, la mise en œuvre

L’ISO 27005 : Gestion des risques

La norme ISO 27005 (en version projet actuelle-ment) est un guide de mise en œuvre du processusde gestion des risques liés à la sécurité de l’infor-mation. Elle propose une méthodologie d’appré-ciation et de traitement des risques et complèteainsi les principes de la norme ISO 27001 qui établitle SMSI en s’appuyant sur l’analyse des risques.

La norme ISO 27005 s’inscrit dans la logique ver-tueuse du cycle PDCA initiée par la norme ISO27001 tant par son objectif d’amélioration de lasécurité que par le cycle de vie de la gestion desrisques qu’elle propose de mettre en place. Au-delà des apports méthodologiques qu’elle repré-sente pour la gestion des risques, elle est enrichied’annexes qui forment un outillage conséquentpour leur appréciation et leur analyse. Pour autant,l’ISO 27005 ne constitue pas aujourd’hui une basede scénarios de risques suffisamment exhaustivepour être utilisée. L’aide d’une véritable méthodolo-gie d’analyse de risques (comme EBIOS ouMEHARI) et une expertise avancée restent néces-saires en complément.

Définition du périmètrePLAN

DO

CHECK&

ACT

Politique générale

Directives & Chartes

Processus du SMSI

Analyses de risques

Déclaration d'applicabilité (SoA)

Systématisation

Gestion des actifs

Approche contrôle / PDCAProcédure

Systématisation

Gestion documentaire

Audits de conformité

Mesures de l'efficacité

Plans de contrôles

Gestion de preuves

Existant Alignement sur les principes Certification


d’un plan d’action d’amélioration de la sécurité s’apparente toutde même aux « 12 travaux d’Hercule ». Ce qu’il est donc trèsimportant de noter, c’est que l’analyse des risques doit permet-tre de définir les bonnes priorités dans la sélection et dans laconduite de ces chantiers.

L’ISO 27001 n’impose pas de structure documentaire. Le docu-ment de politique de sécurité de l’information pourra ainsi trèsbien regrouper les principes de la politique du SMSI, son périmè-tre, l’organisation du SMSI et les directives/procédures sur les-quelles la sécurité sera bâtie. Il pourra aussi être pertinent deconsigner ces informations dans le manuel du SMSI, documentmaître du SMSI décrivant toute l’organisation mise en œuvre.Dans la plupart des cas, les procédures de sécurité devront êtrecomplétées par une description des processus de sécurité. Cesprocessus précisent les règles applicables par une vision « orga-nisationnelle » des rôles et responsabilités. L’essentiel, c’est quetous les éléments qui composent le SMSI sont clairement iden-tifiés. Si certains documents ne s’appliquent que partiellement auSMSI, cela doit être indiqué explicitement. C’est notamment lerôle de la Déclaration d’Applicabilité (SoA) qui, même si elle n’estpas impérative en dehors d’une certification officielle, constitueun document très pertinent pour bâtir le SMSI.

La norme ISO 27003 devrait ensuite donner quelques guidespour aider à l’implémentation des mesures de sécurité. Annon-cée pour la fin 2008, cette norme sera un guide d’aide à l’implé-mentation du SMSI. Les premières versions de travail montrentune volonté forte de donner des conseils précis basés sur lesmeilleures pratiques rencontrées pour mettre en œuvre un SMSI.Le document sera structuré en fonction de chaque étape du pro-cessus PLAN, DO, CHECK, ACT mais détaillera également lanotion même de processus et abordera également les phases

amont (facteurs clés de succès, engagement du manage-ment…).

La rédaction de cette norme est un travail important et complexemais si le résultat est à la hauteur des espérances, elle pourraitdevenir incontournable pour tous les RSSI.

Mesurer l’efficacité du SMSI :les tableaux de bord de sécurité

Pour garantir l’efficacité du SMSI, il faut se doter de moyens demesure représentatifs et cohérents. A travers la publication detableaux de bord de sécurité, les porteurs du SMSI vont pouvoirà la fois mesurer cette efficacité, et communiquer vers les acteursimpliqués. Un bon indicateur est un compromis entre pertinence,complexité et pérennité. Pour construire des tableaux de bord, ilfaut à la fois :

• Reprendre et consolider les éléments qui existent déjà(souvent de nombreux indicateurs techniques issus deséquipes d’exploitation).

• Mais aussi construire des éléments de haut niveau repré-sentatifs du SMSI dans son ensemble.

On retrouvera donc dans les indicateurs des éléments de mesurede chaque phase et notamment :

• De l’analyse de risques (PLAN) et du plan de traitementdes risques (DO).

• De suivi des chantiers ISO 27001 et ISO 27002 (DO).• Des contrôles et audits (CHECK).• De suivi des actions correctrices et des recommandations

des audits (ACT).

1/ Cartographie des risques et plan de maîtrise des risques2/ Politique et gouvernance de la sécurité

3/ Sensibilisation et formation4/ Insertion de la sécurité dans les projets5/ Gestion des tiers6/ Mise en conformité (SOX, CNIL…)7/ Gestion opérationnelle de la sécurité8/ Plan de continuité d’activité9/ Gestion des identités et des accès10/ Architectures de sécurité

11/ Plan de contrôle et d’audit12/ Tableaux de bord

ACTPLAN

DO CHECK

Système de management de lasécurité de líinformation (SMSI)

ISO 27001

Les 12 travaux du RSSI


ISO 27000 et contrôle interne

La mise en œuvre des normes ISO 27000 implique un renforce-ment du contrôle interne. Ce renforcement est d’ailleurs mis enavant par toutes les démarches de gestion des risques qui consi-dèrent que seul un processus contrôlé régulièrement peut êtreconsidéré comme maîtrisé. La plupart des nouvelles réglementa-tions ont pour conséquence un renforcement du contrôle interne.

L’une des tâches essentielles de la phase CHECK consiste doncà élaborer et à mettre en œuvre un plan de contrôle qui définitl’ensemble des contrôles réalisés pour évaluer le niveau de maî-trise des processus de sécurité et l’efficacité du SMSI. Il combinedes contrôles de premier niveau, réalisés par les acteurs opéra-tionnels, des contrôles de second niveau, réalisés par des

acteurs tels que le RSSI, ou encore des contrôles périodiques ouaudits réalisés par des tiers indépendants, comme par exempleles équipes internes d’inspection.

Chaque mesure mise en œuvre doit en théorie faire l’objet d’uncontrôle régulier. De manière plus pragmatique, c’est l’analysedes risques qui doit permettre de définir les points de contrôlesprioritaires ainsi que l’effort à consacrer pour chaque type decontrôle.

COBIT, ITIL et ISO 27000

La plupart des DSI ont engagé des démarches de mise en appli-cation des référentiels de gouvernance des SI, les plus souventcités étant COBIT, ITIL et CMMI. Se pose donc la question de lacohérence et de l’articulation de ces démarches avec l’ISO27000.

Sans entrer en concurrence, ces différentes normes peuvent secompléter et permettre des économies d’échelle. Par exemple lamise en place de démarches CMMI et ITIL facilite la miseen œuvre des mesures de l’ISO 27002. Le COBIT, avec sonapproche de gestion des risques, est également une aide pourviser l’ISO 27001. Il envisage des types de risques plus larges quel’ISO 27000 (risques affectant l’efficacité, la fiabilité ou l’efficiencedu SI, en plus des critères plus orientés vers la sécurité telle quela confidentialité, l’intégrité, la disponibilité ou la conformité) maisles démarches restent fondamentalement proches.

En règle générale, on peut considérer que les normes ISO 27000constituent un approfondissement sur les thèmes de la sécuritéde l’information et de la gestion des risques, qui sont évoqués demanière plus succincte dans les autres référentiels.

Il faut d’ailleurs noter que la norme ISO 20000, issue d’ITIL,« pointe » maintenant directement sur la norme ISO 27001 pource qui concerne le processus de gestion de la sécurité du SI.

L’ISO 27004et les indicateurs de sécurité

Actuellement au stade final de normalisation, lanorme ISO 27004 décrit les mécanismes deconception et de mesure des indicateurs de suivi duSMSI. Cette norme, très complète, contient beau-coup d‘informations sur ce qu’est une mesure,comment les collecter et calculer les différents indi-cateurs issus de ces données.Suivant ensuite les différentes phases de la vie duSMSI (Plan, Do, Check, Act), la norme précise lesactions qui devraient être conduites à chaque étapepour ce qui concerne les indicateurs. En annexe, lanorme propose des fiches de description des indi-cateurs et également de nombreux exemples d’in-dicateurs avec les modes de calcul associés.

Trois pièges à éviter :• Des indicateurs trop nombreux (au-delà d’une

vingtaine).• Des indicateurs sans identification d’objectifs

à atteindre, donc difficiles à interpréter.• Une industrialisation trop rapide : il vaut mieux

valider que les indicateurs produits sont lesbons avant d’industrialiser complètement.

COBIT

ISO27001 ISO9001ISO20000-1

ISO27002

ITIL

CMMI

Métiers

Objectifs

Moyens

SI


La certification du SMSI par un organisme externe apporte unereconnaissance publique et internationale. Cette certificationnécessite cependant des efforts importants qui doivent donc êtrejustifiés par un réel besoin métier. La certification garantit demanière indépendante que le SMSI est conforme aux exigencesspécifiées, qu’il est capable de réaliser de manière fiable lesobjectifs déclarés et qu’il est mis en œuvre de manière efficace.Ses apports sont notamment :

1. Vis-à-vis des clients, des fournisseurs et des partenaires, laréponse à des demandes explicites des clients lors d’émis-sion d’appels d’offres requérant la certification, la maîtrisedes coûts avec la réduction du nombre d’audits mandatéspar des tiers ou encore le renforcement de l’image de mar-que de la société.

2. Pour l’entreprise, la capacité de mobiliser ses équipes der-rière un projet commun et visible, dans un objectif de plan-ning déterminé, et d’accélérer ainsi la démarched’amélioration de la sécurité.

Mais viser la certification reste une cible ambitieuse nécessitantun bon niveau de maturité. C’est un projet à part entière néces-sitant un haut niveau de sponsoring. C’est aussi un engagementdans la durée, aussi bien dans la fourniture de moyens que dansl’amélioration continue. À la vue des efforts nécessaires, la certi-fication doit répondre à une demande explicite des métiers et dela direction de la société.

La certification dans le monde

Aujourd’hui, le niveau d’adoption de la certification ISO 27001 esttrès hétérogène d’un pays à l’autre. Certains sont très en avance, enparticulier le Japon. D’autres (États-Unis, Inde…) sont en train derattraper leur retard suite à la publication de l’ISO 27001 commenorme internationale. Fin août 2007, 2 323 certifications ISO 27001ont été prononcées dans le monde. En France, quelques sociétésont obtenu la certification. Agissant principalement sur le domainedes technologies de l’information, ces sociétés ont certifié des pro-cessus particuliers proches de leur cœur de métier.

La certification, une démarche encadrée etnormalisée

Pour obtenir la certification, il est nécessaire de faire auditer sonSMSI par un organisme de certification externe. La certificationdu SMSI ISO 27001 suit le même processus que celle des autres

systèmes de management tels que l’ISO 9001 et l’ISO 14001(système de management environnemental). Les normes géné-riques d’audit sont complétées par des textes spécifiques auSMSI, en particulier la norme ISO 27006. L’organisation souhai-tant se faire certifier va tout d’abord contracter avec un orga-nisme de certification.Ce contrat d’une durée de 3 ans va encadrer l’ensemble du cyclede la certification. L’organisme de certification va mandater desauditeurs certifiés pour réaliser les contrôles. Plusieurs typesd’audits sont formellement identifiés : l’audit initial couvrant latotalité du périmètre, des audits de surveillance sur un périmètreplus restreint et l’audit de renouvellement.La durée de l’audit est déterminée par la norme ISO 27006 etvarie suivant le nombre et la taille des sites, le nombre de person-nes dans le périmètre et la complexité du SI. À titre d’exemple, ilfaut compter un peu moins de 30 jours d’audit pour une sociétéde 10 000 employés.Suite à cette phase de contractualisation, l’audit certifiant est ini-tié. Une première phase de vérification documentaire est réaliséeavant d’enchaîner sur les visites de sites. Lors de cette opération,les auditeurs réalisent un ensemble de contrôles, techniques etorganisationnels, pour vérifier que le SMSI « tourne », que lesprincipes sélectionnés ont bien été mis en œuvre et que le sys-tème est pérenne.

La majorité des contrôles organisationnels nécessite la fourniturede preuves concrètes (comptes rendus de réunion, documentsapprouvés, listes de personnes ayant suivi les formations…). Lescontrôles plus techniques sont vérifiés par la réalisation d’opéra-tions sur les systèmes (affichage des habilitations, vérificationdes correctifs…). De plus, certains contrôles par des interviewsspontanées d’employés sont possibles.Suite à l’audit, les auditeurs font parvenir leurs recommandationsà l’organisme de certification qui approuve les résultats et peutdélivrer le certificat officiel. En cas de désaccord avec les résul-tats, il est possible de poser des recours.

Les difficultés de la certification

Au-delà des points clés inhérents à la mise en place du SMSI (périmè-tre, analyse de risques et mesure de l’efficacité), les difficultés rencon-trées couramment lors des audits certifiant sont les suivantes :

• La gestion des enregistrements et des preuves demandedes efforts importants de formalisation et de communica-tion. C’est sur cette base que les contrôles seront réalisés.

La certification ISO 27001


• La connaissance, sur le périmètre concerné, des principeset des règles de sécurité. Les auditeurs ne manquerontpas d’interroger aussi bien des responsables métiers quedes employés, voire des prestataires, sur leur connais-sance des pratiques de sécurité.Même si un problème sur ce point n’entraînait qu’uneremarque de la part des auditeurs, il est difficile de garantirun sans-faute sur ce volet.

• La certification d’un SMSI n’ayant pas encore fait ses preu-ves. Même si cette pratique n’est pas recommandée, lanorme autorise la certification d’un SMSI n’ayant pas encoreréalisé un cycle de la boucle PDCA. La certification sera alorsplus facile à obtenir mais les audits de renouvellement nemanqueront pas de vérifier que les actions de type CHECK etACT sont réalisées. Le relâchement « naturel » suite à l’obten-tion de la certification pourrait alors être fatal.

La norme ISO/IEC 27001, première brique d’une grande famille denormes internationales consacrées à la sécurité des systèmesd’information, constitue une avancée majeure dans le mouve-ment de professionnalisation progressive des démarches desécurité.Elle formalise des principes essentiels qui vont permettre un ali-gnement progressif de la sécurité de l’information avec les meil-leures pratiques de management : pilotage par les risques,formalisation des processus, contrôle, amélioration continue…

Appelée à s’imposer, l’ISO 27000 est aussi pour les RSSI et lesDSI un outil de communication efficace permettant d’asseoir lacrédibilité et la cohérence des démarches d’amélioration de lasécurité, et de conforter et valoriser ces démarches vis-à-vis dutop management. Avec la certification officielle, cette crédibilitédeviendra même dans certains secteurs d’activité une reconnais-sance externe incontournable.Il ne faut pourtant pas tout attendre de l’ISO 27000 : en aucun casles normes n’aident à choisir le bon niveau de granularité et dedétail pour conduire les analyses de risques. Elles n’aident pasnon plus à sélectionner les mesures de sécurité adaptées aucontexte et ne garantissent pas que les processus que vous allezdéfinir seront les plus efficaces pour maîtriser vos risques. Commedans le domaine de la qualité, les normes fixent des objectifs,proposent une méthodologie, mais seuls le bon sens et l’expertiseassurent la pertinence des choix d’implémentation.Le chemin à parcourir pour s’aligner complètement avec la normeet atteindre la certification ISO 27001 s’avérera souvent long, coû-teux et ambitieux. La certification officielle doit donc être réservéepour le moment aux organisations qui peuvent y trouver un apportdirect pour leur cœur de métier.

Mais que cela n’empêche pas chaque entreprise d’appliquer dèsmaintenant les bons principes des normes, et d’accélérer ainsileur démarche d’amélioration de la sécurité ! C’est en focalisantdans un premier temps l’attention sur le traitement des risques

CONCLUSION :Adopter les principesdès aujourd’hui,certifier sur opportunité !

majeurs que l’on pourra pleinement tirer partie des enseigne-ments des normes tout en se donnant un périmètre de travailraisonnable. Une fois ces risques majeurs maîtrisés, les cyclessuccessifs de la boucle PDCA permettront d’élargir progressive-ment le périmètre des risques traités pour couvrir à terme l’en-semble du système d’information.

En résumé, appliquons dès aujourd’hui les bons principes del’ISO 27000, mais visons la certification uniquement lorsque le jeuen vaut la chandelle !

Laurent BELLEFINDirecteur des opérations sécuritédu groupe Solucom.

A propos de Solucom

Solucom :Cabinet de conseil en gouvernance des SI et technologies, le groupe Solu-

com rassemble plus de 500 consultants. Dans le domaine de la sécurité, Solucom

accompagne les grandes entreprises dans la mise en place de leur politique de maî-

trise des risques SI et dans le design de leurs architectures de sécurité. Le pôle

sécurité du Groupe Solucom est fort de plus de 120 consultants intervenant sur les

aspects suivants :

• cartographie des risques et conduite d’audits,

• formalisation des politiques et des organisations de management de la sécurité,

• élaboration de plans de continuité d’activité,

• conception des processus et des solutions de gestion des identités et des habilitations.

Pour compléter votre bibliothèquede référence technique,commandez vite les anciens numéros*d’IT-expert à tarif préférentiel !

IT-expert n°58Novembre/Décembre 2005

DOSSIER : L’intégration de contenu,un problème bien réel• Les JavaServer Faces face à Struts• Sybase Adaptive Server Enterprise 15• Informatique et téléphonie :

à quand la convergence ?

IT-expert n°62Juillet/Août 2006

DOSSIER : Panorama sur les techniques Agiles• PHP5, une alternative à .NET et J2EE ?• Eclipse : le Big Bang Callisto• Test Driven Development• Qui arrêtera Google ?

IT-expert n°61Mai/Juin 2006

DOSSIER : Optimiser innovations ettransformations en gérant le portefeuillede projets et d’applications• Subversion : le grand départ ?• L’accessibilité numérique• Wi-Fi

IT-expert n°60Mars/Avril 2006

DOSSIER : La qualité des applicationsdéveloppées en technologies objet• L’industrialisation des développements au

secours des échecs projets• Environnements de Développement Intégrés• Urbanisme des Systèmes d’Information versus

Architecture d’Entreprise• Contrôle d’accès au réseau

IT-expert n°63Septembre/Octobre 2006

DOSSIER : La géolocalisation• Géolocalisation, les techniques alternatives

au GPS• Le positionnement par GPS• Géolocalisation, tout n’est pas permis…• Recyclage des e-déchets

IT-expert n°67Mai/juin 2007

DOSSIER : SOA, l’état de l’art• SOA :Architectures & outils• Imprimez moins, maîtrisez vos coûts !• Qualité interne de ses logiciels :

mythes et réalités• L’univers étrange des unités d’œuvre

IT-expert n°66Mars/Avril 2007

DOSSIER : Sécurité : Les applications,le talon d’Achille des entreprises• RIA (Rich Internet Application) :

définitions et panorama des solutions• Gestion des droits numériques en entreprise

avec RMS• Un observatoire pour mesurer l’urba• Les DRM : une introduction

IT-expert n°65Janvier/Février 2007

DOSSIER : Web 2.0 entreprise, quellesréalités ?• ITIL et ISO20000• Logiciel libre• Les wikis : définitions fonctionnelles et techniques• Une approche structurée de la certification du

réseau : l’audit automatique du réseau et la valida-tion des changements des configurations

IT-expert n°68Juillet/Août 2007

DOSSIER : Le décisionnel• Du décisionnel à la gestion de la performance• La visualisation de l’information à des fins

d’aide à la décision• Les grandes étapes d’une chaîne d’ETL• ITIL : entre meilleures pratiques et référentiel

holistique

* D

ans

la li

mite

des

sto

cks

dis

pon

ible

s


www.it-expertise.com

Je souhaite acheter les numéros suivants

Adresse d’expédition & de facturationIT-expert n°64Novembre/Décembre 2006

DOSSIER : Capital Immateriel• Windows Vista : le nouveau système

d’exploitation de Microsoft• Les curseurs sous SQL Server• Wimax

IT-expert n°59Janvier/Février 2006

DOSSIER : Vers un standard pour le pilotagedes coûts informatiques• Contrôle des développements externalisés

& solutions de gouvernance• K9a : une nouvelle grille de lecture pour la conduite

agile de projets de systèmes d’information• La guerre des processeurs aura-t-elle lieu ?

IT-expert n°69Septembre/Octobre 2007

DOSSIER : Que peut-on offshorer dansune DSI ?• La qualité intrinsèque des applications dans

les contrats de service• Le « backsourcing » : lorsque l’externalisation

n’est pas utilisée avec précaution…• Assurer le succès des projets avec la Tierce

Recette Applicative• Etat de l’art de la convergence : lien entre

informatique et téléphonie

Année 2005� N° 58

Année 2006� N° 59� N° 60� N° 61� N° 62� N° 63� N° 64

Pour commander les anciens numéros d’IT-expert, il vous suffitde nous renvoyer ce document à l’adresse suivante :

IT-Expert3, rue Marcel Allégot - 92190 Meudon - France

Tel : +33 (0)1 46 90 21 21 - Fax : +33 (0)1 46 90 21 20

� Mme � Mlle � M.

Nom

Prénom

Société

Fonction

Adresse

CP

Ville

E-mail

Tél

Fax

� Chèque joint à l’ordre de Press & Communication France

� Règlement à réception de facture

Date :Signature obligatoire :

Offre Spéciale

Tarifs TTC (TVA : 5,5 %)� 1 exemplaire : 8€ � 10 exemplaires : 60€

� 5 exemplaires : 35€ � Autre quantité :

Année 2007� N°65� N°66� N°67� N°68� N°69

Technique


Comment lutterefficacement contre

les intrusionsinformatiques ?

Selon le Gartner,d’ici 2010, les revenus des vendeurs de solutions de détection et/ou de prévention d’intrusion vont

augmenter d’environ 30 %. Effet de mode ou réel intérêt des entreprises pour ces solutions ?

Les responsables informatiques doivent prendre conscience des problématiques associés à ces technologies,afin

de ne pas investir sur une infrastructure sous exploitée (ou mal exploitée) du fait des difficultés inhérentes à ces

solutions (nombre de fausses alertes trop importantes,complexité de mise en œuvre et de configuration,exigence

de suivi régulier des alertes…). Après un bref rappel sur les concepts liés à ces technologies. Nous tenterons de

comprendre quels sont les enjeux et les problématiques liés à l’intégration de ce type de solution au sein d’un sys-

tème d’information.


Concepts

Distinction IDS/IPS

Afin d’assurer la sécurité des données, de nombreux mécanismesde sécurité logique sont disponibles et implémentés au sein de cessystèmes d’information. Parmi la pléthore de systèmes qui permet-tent de filtrer et/ou de contrôler les flux (les divers mécanismes d’au-thentification, de filtrage au travers des pare-feu, etc.), des systèmescomplémentaires ont été construits afin de pouvoir détecter lesintrusions. Une intrusion est comme une action non autorisée (atta-que ou action malicieuse) effectuée par des personnes internes ouexternes aux systèmes d’information surveillés. Ces systèmes ontévidemment évolué naturellement pour retrouver cette capacité deblocage ou de contrôle des flux au travers des mécanismes de pré-vention d’intrusion.

De manière générale, l’architecture d’un système de détection/pré-vention d’intrusion repose sur les composants suivants :• La sonde de détection/prévention d’intrusion : elle est en

charge de la capture, de l’analyse du trafic, de la remontée desalertes. Plusieurs sondes peuvent être mises en place sur unenvironnement à surveiller afin de le contrôler plus efficacement.

• Le serveur de centralisation des événements : il assure laconsolidation des alertes remontées par les différentes son-des placées sur l’environnement surveillé. Un tel serveur est

pertinent dans le cas où plusieurs sondes sont mises enœuvre. Ce serveur est lié à une base de données : celle-ci apour objectif de stocker l’ensemble des données traitées parles sondes.

• Une console de reporting : elle est en charge de la remontéedes alertes auprès de l’administrateur de la solution et doitpermettre de les afficher de manière pertinente et rapide ausein d’une interface graphique dédiée. Ces consoles sontgénéralement intégrées en natif au serveur de centralisation.

Le schéma suivant représente l’architecture globale d’un sys-tème de détection/prévention d’intrusion au sein d’un réseau àsurveiller. Ce schéma synthétique montre des sondes disposéessur l’ensemble des quatre segments réseau du système :• Le réseau utilisateur,• La DMZ de serveurs,• Le réseau d’administration,• La DMZ Internet.

Le composant majeur de cette architecture correspond bien sûrà la sonde de détection/prévention d’intrusion. En effet, son rôleest de détecter, voire prévenir, automatiquement les intrusions quipeuvent survenir au sein d’un système d’information. Les autrescomposants jouent plutôt des rôles « support » pour le stockageet l’affichage. Les mécanismes de détection d’intrusion reposentprincipalement sur deux méthodes d’analyse du trafic :

Serveurs

Réseau d'administrationRéseau utilisateurs

Sondes

Serveur de consolidation

Console de reporting

Web


• Analyse par signatures (Ce qui est interdit est connu) : les son-des possèdent une base de données d’attaques, définies for-mellement sous la forme de signatures. Elles comparentensuite le flux capturé à l’ensemble de sa base de signaturepour détecter une attaque connue.

• Analyse comportementale (Ce qui est interdit est inconnu) : lesanalyseurs disposent d’un modèle de comportement normalou autorisé du système surveillé. Ces analyseurs comparent leflux capturé à l’ensemble de sa base de modèles pour détec-ter un flux inconnu, donc une attaque possible.

En complément à la détection d’intrusion, les nouveaux systè-mes englobent des mécanismes qui permettent de répondreautomatiquement à une attaque identifiée en essayant de la blo-quer : cette fonctionnalité complémentaire correspond à la diffé-rence entre système de détection d’intrusion et système deprévention d’intrusion. Ces tentatives de blocage peuvent êtreeffectuées de différentes manières :• L’IPS bloque l’attaque, par exemple en fermant la connexion

ou en filtrant tout accès à certains équipements,• L’IPS change l’environnement surveillé au travers notamment

de modification de configuration réseau,• L’IPS modifie le contenu de l’attaque en remplaçant les

paquets malicieux par des paquets sains.

Malgré les algorithmes implémentés ainsi que la puissance deces systèmes, les problèmes rencontrés en détection d’intrusiondepuis leur mise en œuvre sur le marché correspondent principa-lement aux trois points suivants :• Le volume excessif d’alertes générées par les sondes qui, souvent,

correspondent en effet à des fausses alertes : l’émission d’alertesen l’absence d’attaque représente près de 90 % des alertes,

• L’absence de surveillance régulière des alertes remontées parles sondes : étant donné le constat précédent, les organisa-tions ne mettent pas ou ne peuvent pas mettre en place destructure suffisante pour analyser les événements remontéspar ces systèmes,

• L’augmentation des débits des réseaux comparée à la vitessede traitement des équipements : l’objectif est d’analyser unequantité de trafic de plus en plus important et de la comparerà des bases de signatures de plus en plus détaillées.

Des sondes affectées à la surveillance duréseau ou du système

Indépendamment de la méthode d’analyse du trafic, il existe parailleurs deux types de sondes selon la nature des informationssurveillées. Ces deux catégories ne surveillent pas directementles mêmes informations, mais la complémentarité de ces deuxcomposants reste un élément majeur dans le cadre de la mise enplace d’un système global de détection d’intrusion.

� Du réseau jusqu’à l’applicationLes sondes réseaux sont chargées de capturer et d’analyser letrafic circulant sur un réseau déterminé et de détecter le traficmalveillant au sein de celui-ci. Le périmètre de détection des

sondes réseaux permet actuellement de couvrir les flux applica-tifs, transport et réseaux. En effet, les sondes réseau mettent àdisposition des signatures qui permettent de rechercher des fluxde ce type :• L’analyse des flux applicatifs permet de détecter des attaques

au niveau des protocoles de niveau applicatifs, tels que HTTP,DNS voire même concernant des requêtes vers des bases dedonnées. A titre d’exemple, les règles listées ci-dessous sontdes signatures utilisées par le logiciel de détection d’intrusionSnort (www.snort.org) et correspondent à :- une signature relative à une attaque Oracle (exploitation

d’une vulnérabilité dans la base de données Oracle XML) :

alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 2100

(msg :"ORACLE XDB FTP UNLOCK overflow attempt";

flow :to_server; content :"UNLOCK"; depth :6;

pcre :"/^UNLOCK\s+\S+\s+\S{100}/sm";

reference :bugtraq,8375; reference :cve,2003-0727;

classtype :attempted-admin; sid :3526; rev :3;)

- une signature relative à une attaque SMTP (tentative dedécouverte de l’alias root sur un serveur sendmail)

alert tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25

(msg :"SMTP expn root"; flow :to_server,established;

content :"expn"; nocase; content :"root"; nocase;

pcre :"/^expn\s+root/smi"; reference :arachnids,31;

reference :cve,1999-0531; reference :nessus,10249;

classtype :attempted-recon; sid :660; rev :10;)

• L’analyse des flux réseaux permet de détecter des attaquesprincipalement au niveau des protocoles IP, ICMP ou IGMP. Larègle suivante correspond à une signature relative à une ten-tative de ping généré par l’outil de scan nmap :

alert icmp $EXTERNAL_NET any -> $HOME_NET any

(msg :"ICMP PING NMAP"; dsize :0; itype :8; refe-

rence :arachnids,162; classtype :attempted-recon;

sid :469; rev :3;)

� Des sondes dédiées au systèmeLes sondes système sont chargées de capturer un ensemble d’in-formations remontées par le système d’exploitation d’un équipe-ment ainsi que par les applications installées sur cet équipement.

De manière générale, les éléments analysés par ce type de son-des correspondent à :• des logs systèmes (i.e. afin d’identifier des tentatives d’accès

répétées),• des processus en cours d’exécution afin de détecter, par exem-

ple, la présence possible de virus ou programmes malveillants,• des accès à certains fichiers et ressources critiques (bases de

registre, notamment),• des flux réseaux circulant de et vers l’équipement, et notam-

ment au travers d’une surveillance des flux concernant desports critiques tels que les ports NETBIOS, Microsoft-DS oules ports applicatifs.

de ces systèmes sont tout de même multiples et ont parfois uneorigine équivalente à celle des I(D/P)S :• La nécessité de protéger ces équipements afin de ne pas ser-

vir de cible privilégiée pour les attaquants potentiels,• La nécessité d’affiner la sensibilité de détection en fonction de

l’environnement à surveiller et de la mettre à jour selon lesmodifications lui étant apportée,

• La nécessité d’avoir un processus régulier de contrôle desévénements remontés par ces équipements et de réactionaux alertes.

� La corrélation d’alertes limite le bruitConsidérée comme une des clés de l’évolution des systèmes dedétection d’intrusion, la corrélation d’alertes résoud le problèmed’excès d’alertes ou tout du moins améliore leur contenu. Elle estdéfinie comme une interprétation conceptuelle d’alertes multiples,tel qu’une nouvelle signification est assignée à ces alertes. Ainsi, elledoit permettre à un administrateur de sécurité d’établir des rela-tions entre les alertes afin de réduire le flot d’informations.

Actuellement, des logiciels SIEM (Security Information & EventsManagement) de consolidation d’événements provenant de dif-férentes sources (firewalls, routeurs, antivirus, ID/PS) intègrentce mécanisme de corrélation d’alertes. Après avoir normalisél’ensemble des informations remontées de ces sources, cet outilse base sur un référentiel interne (i.e. base de vulnérabilités, car-tographie du réseau) pour tenter de corréler ces alertes demanière à n’afficher que les attaques réelles.

Afin d’obtenir des résultats intéressants et probants, le référentielinterne utilisé par ces outils doit être pertinent par rapport à l’en-vironnement à surveiller : il doit évidemment correspondre exac-tement à l’état courant du système et toute informationcomplémentaire n’en est que superflue.

A titre d’exemple, si le SIEM se base sur une corrélation à based’informations cartographiques, ces informations relatives auxéquipements surveillés doivent être à jour, notamment en termesde version de systèmes d’exploitation et d’applications. Cetteforte exigence explique pourquoi les SIEM se trouvent face à lamême nécessité de procéder à une démarche de tuning similaireà celle des I(D/P)S.

Déployer un système de gestiondes intrusions dans le SI

Afin d’éviter les écueils liés aux problèmes inhérents à la détec-tion d’intrusion, l’intégration de ce type de composants au seind’un système d’information existant nécessite la prise en comptede plusieurs facteurs de type techniques, organisationnels ouprocéduraux :• Une maîtrise parfaite de l’environnement et des flux qui tran-

sitent au sein de ce système d’information afin de permettreun paramétrage particulier (ou tuning) des sondes,

• Une organisation qui permette la supervision des alertesremontées et, de manière sous-jacente, la réaction à des aler-tes réelles,


En complément à ces fonctionnalités de détection, les fonction-nalités de prévention reposent principalement sur des mesuresde sécurité déjà existantes telles que le pare-feu personnel. L’in-térêt d’un HI(D/P)S par rapport à ce type de mesures réside dansl’automatisation de la réponse à une intrusion donnée : la règle defiltrage mise en œuvre au niveau du HI(D/P)S sera implémentéeautomatiquement alors que, dans le cas du firewall personnel,l’intervention d’un utilisateur sera nécessaire.

Etant donné ces deux types de sondes, il est possible d’envisa-ger sur un réseau particulier l’implémentation de ces deux typesde sondes : un NID/PS pour surveiller le trafic réseau et unHID/PS pour surveiller l’activité des systèmes.

Vers l’analyse comportementale etla corrélation d’alertes

Les évolutions actuelles des I(D/P)S ont pour objectif principald’améliorer les systèmes actuels en réduisant leurs inconvénientsd’utilisation majeurs, dont notamment la quantité de fausses aler-tes ainsi que la qualité des alertes remontées.

� L’IDS/IPS joue-t-il en NBA ?Parmi ces nouvelles évolutions, nous pouvons notamment citer lessystèmes NBA (Network Behavior Analysis) qui ont pour fonctionprincipale l’analyse du trafic réseau afin d’identifier du trafic inhabi-tuel. A ce niveau, la différence entre NBA et I(D/P)S reste infime et onpeut même être amené à considérer ces nouveaux équipementscomme des I(D/P)S basés sur de l’analyse comportementale. A yregarder de plus près, les composants de ces systèmes corres-pondent effectivement aux mêmes composants des I(D/P)S, c’est-à-dire une sonde, une console de gestion et un serveur decentralisation. La différence principale avec leurs aînés repose sur lasource d’émission des informations : en effet, les sondes NBA peu-vent, soit agir comme une sonde I(D/P)S, soit récupérer les informa-tions des équipements réseau présents au sein de l’environnementà surveiller, comme par exemple des routeurs.

Par ailleurs, la fonctionnalité complémentaire des NBA corres-pond à leurs capacités de consolidation automatique d’informa-tion liée aux équipements surveillés. Les principaux NBA sonten effet capables de récupérer et de mettre à jour automatique-ment les informations suivantes, notamment au travers des tech-niques de passive fingerprinting :• Liste d’hôtes présents et communiquant sur le réseau à surveiller,• Informations concernant ces hôtes, dont notamment leur sys-

tème d’exploitation leur adresse IP ou les services TCP/UDPouverts.

Etant donné qu’ils fonctionnent en détectant des déviations detrafics normaux, ces équipements ne sont pas optimisés pourdétecter des attaques ciblées sur des ports normalement utilisésà bon escient ou sur des attaques ciblées à un nombre réduit demachines.

Le principal avantage de ces systèmes repose sur sa capacité àconnaître l’environnement qu’il doit surveiller. Les inconvénients


• Une politique de sécurité définie et appliquée qui permetd’avoir un niveau de maturité suffisant du processus lié à lasécurité du système d’information.

Vers une maîtrise parfaite des flux etde l’environnement IT

La connaissance détaillée du système d’information de l’organi-sation est un élément primordial à toute implémentation de sys-tème de détection/prévention d’intrusion. Etant donné que laproblématique principale de ces systèmes réside dans le nombretrop important d’alertes émises, il est important de savoir réduirece nombre d’alertes.

Afin d’atteindre cet objectif, les systèmes de détection/préventiond’intrusion doivent s’adapter à l’environnement dans lequel ilssont implémentés : en effet, les sondes de détection doivent êtreconfigurées de manière à remonter des alertes uniquement per-tinentes pour l’environnement surveillé.

La pertinence de cette configuration, qui consiste à sélectionnerau travers d’une démarche de tuning les bases de signaturesadéquates, repose donc sur une connaissance détaillée de l’en-vironnement à surveiller et des flux qui y transitent. A titre d’exem-ple, la configuration d’une sonde située dans une DMZ frontal àInternet hébergeant des serveurs Web Windows ne doit pas être

identique à celle d’une sonde située dans une zone back-endd’un datacenter hébergeant les serveurs qui supportent desbases de données Oracle critiques à une activité métier d’uneorganisation. En effet, pour ces deux exemples, les signatures àactiver seront :• Pour notre DMZ, des signatures relatives à des attaques Web

sur des équipements Windows,• Pour notre zone back-end, des signatures relatives à des atta-

ques Oracle.

Le schéma ci-dessous représente cet exemple.

Cette étape de tuning se base bien sûr, au préalable, sur uneconnaissance détaillée de l’environnement à surveiller, qui reposesur la cartographie réseau de l’organisation ainsi que sur l’inven-taire des équipements présents dans cet environnement ainsique sur les flux qui transitent au sein de l’organisation, formalisésau travers d’une cartographie des flux (applicatifs, d’administra-tion, etc.).

Les deux éléments mentionnés précédemment ne sont pasassociés uniquement à un processus d’implémentation de sys-tèmes de détection/prévention d’intrusion. En effet, ces élémentsfont normalement partie intégrante des processus déjà mis enplace au sein d’une DSI, notamment au travers du processus degestion des configurations et de l’urbanisation des systèmes.

DMZServeurs

Réseaud'administration

Réseau utilisateurs

Sonde configurée avec des signatures

spécifiques Bases de Données

Sonde configurée avec des signatures

spécifiques Serveurss Web

Web

DMZBack End

DMZ Serveurs Web


Une politique de sécurité déclinéeau niveau du réseau

Une politique de sécurité définit l’ensemble des exigences quidoivent être mises en œuvre afin d’assurer la sécurité de l’infor-mation de l’organisation, notamment en termes de confidentia-lité, de disponibilité, d’intégrité et de traçabilité. Cette politique sebase notamment sur les exigences réglementaires, légales et surla stratégie de l’entreprise.

En pratique, l’application d’une politique de sécurité s’effectue endéclinant celle-ci en différents domaines concernés : à partir desexigences générales définies dans la politique de sécurité, desexigences spécifiques à chaque environnement technique et/ouorganisationnel seront identifiées. Dans ce cadre, une politiqued’accès réseau peut être définie afin de décliner ces exigences entermes d’accès au réseau, de filtrage d’accès, de règles de rou-tage et aussi de détection d’intrusion.

Au sein de cette politique déclinée, les orientations concernant ladétection d’intrusion peuvent permettre d’identifier les mesurestechniques à mettre en œuvre afin de couvrir les risques identifiésprécédemment. Des exemples d’exigences associées à cedomaine spécifique pourraient être les suivantes :• L’ensemble des flux circulant de et vers les DMZ critiques de

l’organisation doivent être contrôlés afin de détecter, et si pos-sible, prévenir les attaques,

• L’ensemble des flux sur le réseau des utilisateurs de l’organi-sation doit être surveillé afin d’identifier les possibles attaquesinternes,

De fait, la formalisation de ces exigences peut et doit permettreaux opérationnels de mettre en place des systèmes de détectionet de prévention qui ont des objectifs définis et clairs. L’absencede formalisation de politique de sécurité déclinée dans ledomaine des réseaux peut entraîner la mise en place de systè-mes de détection/prévention sans réels objectifs.

Une organisation adaptée à la supervisionet à la réaction

La mise en place d’un système de détection/prévention d’intru-sion est inutile si l’organisation en charge de ce système ne per-met pas une supervision régulière ainsi qu’une réaction rapide àtoute intrusion identifiée.

L’utilisation de ce type de systèmes repose tout d’abord sur l’im-plémentation de ces systèmes au sein d’un environnement à sur-veiller (en mode projet) et ensuite, sur l’exploitation de cessystèmes et la surveillance des alertes remontées.

La première étape correspondant au projet de mise en œuvrenécessite une quantité de ressources à un instant donné, mais nenécessite pas de réutiliser ces ressources de manière régulière :une fois installée, le système est en exploitation.

La deuxième étape nécessite, de la même manière que pour leprocessus d’exploitation d’un système d’information, la présenceet l’utilisation régulière de ressources. Cette exigence est liée à lagestion des incidents : en cas d’incident, des ressources techni-ques (outil de gestion d’incident et/ou monitoring) et organisa-

Stratégies Métiers

Exigences Métiers Menaces et VulnérabilitéExigences Légales

Exigences de Sécurité

Exigences Accès Réseau Exigences Ecran de VeilleExigences Mot de Passe

Implications ImplicationsImplications

Implémenter les mesures

de sécurité

Métiers

Niveau

Stratégique

Niveau

Opérationnel


Thomas ROETYNCKSenior Consultant, effectue desmissions liées à la sécurité dessystèmes d’information dans lecadre de l’activité « Security& Privacy Services » au sein duCabinet Deloitte.

tionnelles (équipe d’exploitation, service desk) sont mises enœuvre pour gérer et résoudre l’incident. De la même manière,l’utilisation régulière de ressources techniques (sondes, serveurde corrélation d’alertes) et humaines (équipe sécurité, RSSI) pourla détection d’intrusion est nécessaire : en cas d’intrusion, cesressources doivent être utilisées pour détecter cette intrusion etpour répondre de manière efficace à cette intrusion.

Le processus est similaire pour le domaine de la sécurité physi-que : imaginons un instant que des systèmes de détection d’in-trusion physique sophistiqués soient mis en œuvre au sein deslocaux d’une entreprise afin de repérer toute intrusion. Quediraient ses dirigeants si les alertes remontées par ces systèmesn’étaient pas contrôlées par les gardes de sécurité ? Quediraient-ils en plus si ces systèmes prenaient l’initiative de fermeret de verrouiller l’ensemble des portes de ces locaux ? En bref,l’absence de ressources pour la gestion des I(D/P)S peut entraî-ner une utilisation inefficace et/ou inutile de ces systèmes.

Une politique de sécurité globaleadaptée à l’environnementinformatique

Souvent mis en œuvre à la demande des opérationnels, les sys-tèmes de détection/prévention d’intrusion apportent rarementles bénéfices escomptés, ceci étant dû à une organisation ina-daptée ou à une exploitation inadéquate de ces outils. Pour cetteraison et compte tenu des difficultés inhérentes à ces systèmes,la mise en place de tels systèmes ne doit pas être effectuée uni-quement pour rajouter un équipement de sécurité au sein de sonsystème d’information. En effet, il apparaît trop clairement,notamment au travers de nos expériences, que de tels systè-mes soient implémentés pour des raisons « de mode », mais res-

tent inexploités ou sous-exploités pour les raisons évoquées pré-cédemment. C’est pourquoi, l’implémentation de tels outils ausein d’un système d’information nécessite les facteurs clés desuccès suivants :• Une exigence forte, notamment au travers d’une politique de

sécurité déclinée définissant clairement les orientations entermes de détection d’intrusion,

• Un paramétrage spécifique des sondes selon l’environnementà surveiller, ce qui correspond à mettre en place une démarcheprojet lors de la mise en place de ces systèmes,

• L’existence de processus rôdés concernant la connaissancede l’environnement à surveiller (au travers d’une cartographieréseau et d’un inventaire logiciel et matériel) qui permet, en casde modification du système d’information, de mettre à jourles paramètres des sondes,

• Une organisation formellement définie et mettant en œuvredes processus formalisés de contrôle des événementsremontés par les sondes ainsi que de réaction aux intrusions.

Bien que les technologies et produits de détection/préventiond’intrusion actuellement proposée sur le marché soient de plusen plus pointues techniquement et proposent de plus en plus defonctionnalités, l’utilité et l’efficacité de ces outils n’apparaîtrontqu’en prenant en compte clairement ces différents facteurs clésde succès.

A propos de Deloitte

Avec 135 000 collaborateurs et associés, Deloitte est un cabinet d’envergure mon-

diale,présent dans près de 150 pays,sur les métiers de l’audit,du conseil, de l’exper-

tise comptable et de la finance.

En France,Deloitte Conseil regroupe 350 collaborateurs au sein d’un réseau mondial

constitué de 25 000 consultants. Ils interviennent dans des domaines recouvrant

les Systèmes d’Information, l’Externalisation, l’Efficacité Commerciale, la Fonction

Finance, le Management des Risques, les Ressources Humaines, la Stratégie et les

Opérations.

Deloitte accompagne les organisations publiques et privées dans leurs projets de

transformation et leur recherche de la performance.

A partir de la compréhension des enjeux stratégiques et des métiers de ses clients,

Deloitte les aide à concevoir et à mettre en œuvre les organisations, les processus et

les systèmes d’information au service de leur stratégie.

Et toujours des informations sur nos partenaires,sur les sommaires des numéros d’IT-expert

http://www.it-expertise.com :un complément d’informationsà la version papier que vous recevez tousles 2 mois !



Et retrouvez de nouveaux services :• un moteur de recherche pour trouver les informations techniques qui vous intéressent• une nouvelle offre d’abonnement qui vous permet d’accéder aux anciens numéros

d’IT-expert en format pdf• les livres blancs techniques d’éditeurs de logiciels, de SSII, de nos partenaires…

dans une rubrique « téléchargements » ouverte à tous !

Actualités internationales


Actualitésinternationales

VMWare n’est pas effrayé par la virtualisation Microsoft

Au cours du TechEd 2007 à Barcelone,Richard Garsthagen, responsable pro-duit EMEA chez VMWare a confié àwww.vnunet.com : « Bien au-delà de lacouche de virtualisation, notre entreprisese concentre sur la résolution des pro-blèmes avec des applications conçuesau-dessus de la couche de virtualisa-tion.». Puis, il a cité les solutions VMotionet Site Recovery Manager commeexemples phares de cette stratégie.Selon lui, les clients préfèrent l’idée d’unlogiciel de virtualisation indépendant dusystème d’exploitation, et se posent desquestions quant au support d’autresenvironnements que les siens par Micro-soft. (source : vnunet.com).

IBM apporte la virtualisationà AIX

Décidément, novembre 2007 est lemois du virtuel ! IBM annonce à son tourdes solutions de virtualisation. En effet,si sous environnement x86, VMWarepropose la migration en temps réel desmachines virtuelles d’un serveur physi-que à un autre, elle reste limitée auxarchitectures AMD et Intel. Bref, rienpour les utilisateurs d’AIX, HP-UX, ouSolaris sous Sparc. Afin de dominer un monde Unix, quifond chaque année, IBM enrichit sonenvironnement AIX. En juin 2005, BigBlue avait racheté Meiosys, le spécia-liste français de la haute disponibilité etde la virtualisation (en juin 2005), dont ila développé la technologie Live Parti-tion Migration. Elle est désormais inté-grée aux applications Live PartitionMobility et Lie Application Mobility.

Oracle VM : appliance virtuelle griffée Oracle

A l’occasion de l’Oracle OpenWorld à San Francisco, le leader des bases de donnéesa annoncé Oracle VM, une solution de virtualisation destinée aux applications maison,mais aussi à celles d’autres éditeurs. Un moyen de proposer une appliance (serveur+ logiciel dédiés) virtuelle affichant des performances accrues et simplifiant la hautedisponibilité (entre deux machines virtuelles par exemple). Oracle VM repose sur l’hyperviseur Xen (société proposant sa solution en OpenSource, rachetée par Citrix) et peut s’exécuter sous Oracle Enterprise Linux 4 et 5,RedHat Enterprise Linux versions 3,4, et 5 ; Windows Server 2003 et Wwindows XP.Autre avantage, ce type de solution libère l’utilisateur des contraintes liées aux serveursphysiques, et permet une installation limitée d’autres logiciels que ceux réellementnécessaires. Enfin, cela contribue à la consolidation, car les machines virtuelles peu-vent cohabiter sur un même serveur et n’utilisent que les ressources nécessaires.Oracle VM est disponible gratuitement en téléchargement (www.oracle.com/virtua-lization), et l’administration s’effectue depuis un navigateur sur des serveurs x86(32 ou 64 bits). Le prix du support : à partir de 499 dollars par an et par instancejusqu’à 2 processeurs, et 799 dollars pour une machine virtuelle avec un nombrede processeurs illimité.

Le feuilleton Oracle BEA est-il terminé ?

Le 15 octobre, Oracle faisait sensation en pro-posant de racheter BEA pour 6,66 milliards dedollars. Toutefois, les dirigeants de BEA ontrejeté l’offre pas assez intéressante le 23 octo-bre, et estimé sa valorisation à 21 dollars l'ac-tion, soit 8,2 milliards de dollars. Et la situationn’a pas évolué à la date butoir fixée par Oraclele 28 octobre à 15 heures (heure de New York).Pendant ce temps, le principal actionnaire deBEA Carl Icahn menaçait le conseil d'adminis-tration de l’éditeur de poursuites judiciaires, s’il

empêchait les actionnaires de décider du sort de l’entreprise. Les dirigeants de BEAont rétorqué que la vente était toujours d’actualité, mais pas moins de 21 dollars l’ac-tion, soit un montant total de 8,2 milliards de dollars et une prime de 80 % sur le titreen bourse ! Oracle a décliné cette offre jugée excessive.Le 16 novembre, BEA a publié un chiffre d'affaires pour le troisième trimestre de384,4 millions de dollars, en hausse de 11 %, tandis que les analystes attendaient375,4 millions. Le bénéfice net de 56 millions de dollars, soit une croissance de 59 %! Si la vente de licences a reculé de 1 % (134,8 millions de dollars), les services ont pro-gressé à 249,6 millions de dollars. Un argument supplémentaire pour la position deBEA qui s’estime sous-évaluée…



Une pluie d’annonces sur Microsoft TechEd 2008

Lors du TechEd 2007 du 5 au 15 novem-bre à Barcelone, Microsoft a annoncé denombreuses nouveautés concernant savision « Dynamic IT ». Outre la virtualisa-tion Hyper-V, l’éditeur a présenté les ver-sions de Windows Server 2008disponibles dès février :

• WS 2008 Standard (64 bits) + 5licences client, une machine vir-tuelle et une machine physique :971 dollars

• WS 2008 Web : 469 dollars• WS 2008 Enterprise + 25 licences

client, 5 machines virtuelles et unemachine physique : 3 971 dollars

• WS 2008 Datacenter (machinesvirtuelles illimitées) : 2 971 dollarspar CPU

• WS 2008 Itanium : 2 999 dollars par CPUL' hyperviseur HyperServer-V (inclus dans les versions Standard, Entreprise et Data-center) coûtera 28 dollars en version autonome, y compris pour les machines sansWindows, et quel que soit le nombre de processeurs. En effet, hypersiseur rime avecvente de licences, car chaque instance virtuelle actionne un système d’exploitation.Et Microsoft parie que le client optera plutôt pour Windows.

L’administration à l’honneurTrois nouveaux produits débarquent dans Microsoft System Center, la gamme d’admi-nistration informatique de l’éditeur : Configuration Manager 2007, Data ProtectionManager 2007, et Virtual Machine Manager 2007. Objectif : automatiser divers scéna-rios, comme le déploiement de serveurs et de logiciels, la gestion de la conformité et desconfigurations, la sauvegarde et la restauration, ou la gestion de la virtualisation.Côté administration des postes clients, le Microsoft Desktop Optimization Pack(MDOP - plus de 3 millions de licences vendues) sera complétée de Microsoft Appli-cation Virtualization 4.5 (issu du rachat de SoftGrid). L’an prochain DaRT (Diagnos-tics and Recovery Toolset) tournera sous Vista et Windows Server 2008. Enfin,Asset Inventory Service 1.0 automatisera l’inventaire des logiciels sous MDOP.

Microsoft n’oublie pas les développeurs…Le nouveau Visual Studio 2008 devient compatible avec Office 2007 (client richede la stratégie Microsoft), et avec Silverlight, concurrent de Flash. Côté ouverture,le langage Linq (Language Integrated Query) intégré manipule les données d’en-vironnements hétérogènes via des requêtes universelles. Bonne nouvelle : lalicence de Visual Studio 2008 et de son SDK évolue, et Microsoft élargit les parte-nariats au-delà de ses plates-formes. Enfin, la bibliothèque d’applications .NETFramework 3.5 ouvre son code source aux développeurs, mais uniquement enconsultation.L’éditeur de Redmond confirme l’arrivée de Popfly, son outil de création d’appli-cations composites sans écriture de code (www.popfly.om), et de Sync framework(synchronisation de données) déjà en bêta. Autre confirmation du TechEd de juin à Orlando, Microsoft SQL Server 2008, seracompatible avec Vista et Windows Server 2008. Par ailleurs, il s’enrichit de ResourceGovernor, Backup Compression et Transparent Data Encryption, et d’améliorationspour la veille économique DesignAlerts, le Block Computation ou l’Enhanced ReportDesigner, de nouvelles visualisations et une intégration à Microsoft Office 2007. Denouveaux types de données apparaissent comme FileStream pour l’information nonstructurée, les données spatiales pour la géolocalisation.

Hyper-V la virtualisationà prix cassé de Microsoft

Avec une sortie maintenue fin du premiersemestre 2008, l’hyperviseur Viridian, deMicrosoft rebaptisé Hyper-V et fonction-nera avec les processeurs x64 d’AMD etIntel. Proche du fonctionnement de Xen,et contrairement à VMWare, Hyper-V s’al-lège de la gestion des pilotes confiée àchaque machine virtuelle. Clairementpositionné en frontal d’EXV de VMWare,Hyper-V sera proposé aussi en produitautonome au prix canon de 28 dollars, etpourra exécuter des instances sous Win-dows Server 2003 et 2008, les Linux deRed Hat et de Novell/Suse, et Solaris. L’éditeur assure sa solution d’administra-tion System Center intégrera des fonc-tions évoluées pour gérer desenvironnements virtuels et gérer lescopies physique-virtuel et réciproque-ment. Toutefois, elle sera disponible aprèsle premier semestre.

Sun aussi virtualise sousSolaris

Confirmant les préannonces de fin octo-bre, Jonathan Schwartz, PDG de SunMicrosystems a profité de l'Oracle OpenWorld à San Francisco pour dévoiler tota-lement deux produits de virtualisation.xVM Server est un hyperviseur destiné auserveur de virtualisation de Sun fondé surXen (open source et racheté par Citrix).Disponible au printemps 2008, il utiliseraSolaris comme système hôte et accep-tera les instances virtuelles les OS x86(Windows et Linux) et Solaris. Ces systè-mes bénéficieront des ressources dugestionnaire de fichiers 128 bits ZFS(Zetta File System), de l'outil d'optimisa-tion DTrace (Dynamic Tracing) et de l’iso-lation de ressources défaillantes sansinterruption de FMA (Fault Managementarchitecture). Dans l’esprit Open Source,Sun a aussi inauguré le site openxvm.orgpour faciliter le téléchargement et le dialo-gue avec les techniciens du monde entier.Si Jonathan Schwartz a mentionné uninvestissement de deux milliards de dol-lars dans la virtualisation, il a aussi rap-pelé que Sun était « le premier éditeurcommercial Open Source ». Eh oui !



Le Wall Street Journal en ligne gratuit

Contrairement à ce qu’affirment certains analystes mal avisés, lemodèle gratuit revient en force, au détriment des sites payants.En septembre 2007, le New York Times a abandonné l’abonne-ment payant en ligne pour passer au site Web d’information gra-tuit. Aujourd’hui, le non moins prestigieux Wall Street Journal, dugroupe News Corp, envisage de prendre le même virage.Son propriétaire, l’homme d’affaires Rupert Murdoch a indiqué :« Nous étudions la possibilité de passer sur le modèle gratuit, carau lieu de n’avoir qu’un million d’abonnés en ligne nous allonstoucher beaucoup plus de lecteurs. L’objectif étant de faire dusite une référence, consultable gratuitement partout dans lemonde. »

Si les abonnements ont dégagé plus de 50 millions de revenusen 2006, il semblerait que la publicité soit plus rentable. De plus,en passant au modèle gratuit, les sites Web améliorent leur visi-bilité auprès des internautes, mais aussi auprès des moteursde recherche et autres flux RSS. Or, en la matière, la réputationd’une marque reconnue est un atout différenciant. De plus, letitre sera bien plus influent sur la Toile. Un modèle vertueux,puisque plus de trafic amène aussi plus de publicité.

Le BlackBerryn’aime pas les imitateurs

La société canadienne RIM(Research in motion), créatrice duBlackberry inspire forcément laconcurrence, dans un secteur oùles modèles de revenus récurrentsse multiplient. Le coréen LG Electronics (Lucy Gold-star) a créé des terminaux baptisés avec des noms dugenre « Black Label », «Strawberry » et « BlackCherry ». Il est vrai que les consommateurs pourraients’y tromper, même si les modèles sont différents. LeCanadien a donc attaqué le coréen en justice, commeil l’avait déjà fait contre Samsung. Ce conflit avait d’ail-leurs été réglé par entente à l’amiable.RIM réclame à LG des dommages et intérêts ainsi quela destruction de tous les terminaux incriminés. Peut-être un brin excessif ?

IBM s’offre Cognos

Le 12 novembre, IBM annonçait son désir d’acquérirCognos, spécialiste canadien de la Business Intelli-gence créé en 1969, pour 58 dollars par action, soitprès de 4,9 milliards de dollars en cash. Société cotéeen bourse, Cognos devrait réaliser 1,1 milliard de dol-lars de chiffre d’affaires en 2008, hors Applix qu’ellevient d’acquérir (voir dernier numéro d’IT-expert).Bien qu’IBM s’en défende, cette acquisition est forcé-ment motivée en partie par la concentration actuelledu marché des solutions de consolidation et de plani-fication budgétaires (pou EPM, ou gestion de la perfor-mance), dont Cognos souvent est considéré commel’un des leaders. En effet, les poids lourds du secteuront déjà joué cette pièce : Oracle en rachetant Hyper-ion, et SAP en reprenant Busines Objects (qui avaitracheté Cartesis).Un rachat qui confirme la tendance à investir plus lour-dement d’IBM dans le logiciel, plutôt que sur son acti-vité historique de constructeur. Logique, puisque lematériel devenant de plus en plus standard dégagemoins de marge. D’ailleurs, au 3e trimestre 2007, leservice et les logiciels ont généré les trois quarts duchiffre d’affaires du groupe, avec des croissances entre7 et 16 %, tandis que le matériel a reculé de 10 %, pourun chiffre d’affaires en hausse de 7 % à 24,1 milliardsde dollars.

Tomtom absorbe Tele Atlas contre Garmin

Le néerlandais Tomtom rem-porte la lutte contre l’américainGarmin dans le monde desGPS. Les deux spécialistes sesont disputés pendant deuxsemaines pour racheter l’édi-teur de cartes numériques TeleAtlas.Tomtom avait lancé l’attaque

en juillet 2007, via une OPA amicale de 1,8 milliard d’euros, soit21,25 euros par action. Puis, Garmin contre-attaquait avec uneoffre de 2,3 milliards d’euros à 24,50 euros par action. TomToms’est donc vu dans l’obligation de surenchérir, en proposant2,9 milliards d’euros (30 euros l’action) le 7 novembre. Tele Atlasaffichant publiquement sa préférence pour TomTom, accepterasans doute la transaction, mais à 1,1 milliard d’euros de plus quel’offre initiale. Une acquisition majeure avec une logique indus-trielle incontestable qui a permis au titre Tomtom de grimperjusqu’à + 8 % à la bourse d’Amsterdam.


Quoi de neuf Docteur ?

MicrosoftOfficeSharePointServeur 2007 :les raisons-clésd’un succès

Microsoft SharePoint Serveur 2007 est la nou-

velle étape de l’évolution de la plate-forme de

gestion de contenu et de travail collaboratif de

l’éditeur américain. En tant que fondation d’Of-

fice System 2007, cette nouvelle plate-forme

fournit un ensemble d’applications, de fonction-

nalités et de services ayant pour principal

objectif d’améliorer, de façon significative, la

productivité des collaborateurs et des équipes

dans leur travail au quotidien, et ceci grâce à

des échanges et partages d’informations plus

performants et des processus visant à renfor-

cer la prise de décision et le pilotage.

Une année s’est presque écoulée depuis la sor-

tie de cette nouvelle version de produit. Depuis

de nombreuses entreprises ont fait le choix de

l’utiliser pour concevoir et développer leurs

nouveaux portails d’entreprise. Analysons les

principaux axes qui ont motivé leurs décisions

et décrire les avantages induits par leur mise

en œuvre.


Renforcer le travail collaboratifdes équipes

Microsoft Office SharePoint Serveur 2007 est avant tout uneplate-forme centralisée de travail collaboratif et de partage d’in-formations. Cette plate-forme est composée de deux principauxproduits ; Windows SharePoint Services, version 3.0 (WSS 3.0) etMicrosoft Office SharePoint Serveur 2007 (MOSS 2007).

La première partie, WSS 3.0, est constituée d’un ensemble decomposants et de services fonctionnant sous Windows Serveur2003. Une fois cette couche de composants installée, WSS 3.0offre la possibilité de travailler, de façon collaborative, au sein desites web sécurisés.

WSS 3.0 est étroitement intégré aux applications bureautiquesclients, à la messagerie électronique et aux navigateurs Webfamiliers aux utilisateurs. Au travers de cet environnement homo-gène, les utilisateurs peuvent très facilement interagir avec lecontenu, les processus ainsi que les données métiers.

L’adoption de WSS 3.0 est beaucoup plus importante que saversion antérieure puisqu’elle apporte, de façon native, tous leséléments permettant de construire des sites d’équipes complets,sécurisés. Elle intègre également les outils d’indexation et derecherche de Microsoft, indispensables pour un accès rapide àl’information contenu dans chacun des sites. De plus, WSS 3.0s’appuie sur le moteur de flux de travaux, Microsoft WorkflowFoundation, pour permettre le développement de véritables pro-cessus d’entreprise. Il est donc assez aisé, sans surcoût de déve-loppement complémentaire, d’assembler un ensemble debriques élémentaires afin de fournir aux utilisateurs un socle de

travail complet pour la gestion des documents, des réunions oudes processus métiers classiques comme la gestion des congéspayés ou du remboursement des notes de frais.

Naturellement, cet ensemble de composants reste limité au tra-vail collaboratif. Pour tirer pleinement parti de toutes les nouvel-les fonctionnalités apportées par la plate-forme, il estindispensable de passer à la version complète en installant lescomposants de MOSS 2007, ayant quant à eux un coût delicence, contrairement à la couche WSS 3.0. Ceux-ci vont per-mettre de compléter largement les éléments de WSS 3.0 etd’élargir le champ des possibles en matière de portail Web.

Consolider l’accès de tous lescollaborateurs aux donnéesde l’entreprise

Au-delà des fonctionnalités dites collaboratives, une réellevolonté de centralisation de l’information est de plus en plus pal-pable au sein des Directions des Systèmes d’Information. Ainsi,il apparaît clairement aujourd’hui qu’une même information peutêtre stockée à divers endroits du système d’information, dansdes systèmes de fichiers, des dossiers publics Exchange, outout simplement dans les éléments personnels d’un collaborateursur son poste de travail. Deux problématiques émanent donc decet état de fait : d’une part, l’information est disséminée à denombreux endroits, rendant la sauvegarde de celle-ci complexe,d’autre part, une même information peut être dupliquée un cer-tain nombre de fois au sein du système d’Information.

La meilleure solution consiste à centraliser l’ensemble des infor-mations de l’entreprise au sein du portail MOSS 2007, permettantde gérer efficacement à la fois la sécurité d’accès aux données,mais également la sauvegarde régulière de ces données.

Afin de faciliter la recherche de documents, la plate-forme MOSS2007 s’appuie sur les composants d’indexation et de recherchede Microsoft afin de fournir aux utilisateurs un moteur de recher-che le plus rapide et efficient possible. De plus, il est très simplede mettre en œuvre une indexation de sources de données exter-nes (systèmes de fichiers, autres sites Web…) permettant ainsi demigrer, au fur à mesure de la vie de l’espace Web, les donnéesvers la base MOSS.

Refaire de l’utilisateur l’acteur principaldu SI

Au-delà du simple travail collaboratif, force est de constater que,depuis plusieurs années, les Directions Informatiques souhaitentfournir à l’ensemble des collaborateurs les outils les plus pro-ches de leurs besoins métiers. Une réelle volonté d’impliquer lescollaborateurs de l’entreprise au sein du Système d’Informationest visible, afin qu’ils adhèrent, de façon naturelle, aux nouveauxprojets mis en œuvre et qu’il soit acteur principal de l’utilisationdes outils au quotidien.

Les axes principaux de la plate-forme Microsoft Office SharePoint Serveur 2007


C’est pour cela que la plate-forme MOSS 2007 propose unefonctionnalité complète de gestion de contenu Web, ayant pourprincipal objectif de déporter la gestion des informations de l’en-treprise au niveau des collaborateurs. En effet, il y a quelquesannées, pour diffuser une simple mise à jour d’information sur lesite Intranet de l’entreprise, il était indispensable de s’adresseraux informaticiens, seuls à même de réaliser cette évolution dusite. Aujourd’hui, il est tout à fait envisageable qu’une responsa-ble de Ressources Humaines par exemple puisse, au traversd’un portail Web, saisir les informations décrivant un nouveauposte dans l’entreprise. Naturellement, ces informations serontsoumises à validation de son Directeur avant d’être publiées pourl’ensemble des collaborateurs.

Cette nouvelle façon de travailler à plusieurs avantages. Toutd’abord, une augmentation de la réactivité en terme de diffusiond’information : les données métiers sont directement gérées par

les utilisateurs, permettant ainsi d’éviter le phénomène de latencedû à une surcharge de travail de l’équipe informatique. Mais sur-tout, on constate une réelle implication des collaborateurs à tousles niveaux de l’entreprise. Ainsi, ils deviennent à leur niveau lesacteurs de Système d’Information, et participent de fait à saconstante évolution.

Naturellement, pour que tout ceci se mette en place, un accom-pagnement des collaborateurs est indispensable afin de les aiderdurant la phase d’acquisition de ce nouvel outil. Une fois encore,la forte intégration de la plate-forme MOSS 2007 avec les outilsbureautiques d’Office permet une réelle prise en main rapide etsimple pour les utilisateurs.

Mettre en œuvre de véritablesprocessus métier au sein du SI

Comme nous l’avons déjà cité lors de la section consacrée autravail collaboratif, la présence de Windows Workflow Foundationapporte une véritable dimension métier à la plate-forme MOSS2007. Tout d’abord, il est possible de tirer directement parti desflux de travail directement intégrés et prêts à l’emploi afin de met-tre en place des activités de gestion courantes comme l’appro-bation ou la révision de documents, la collecte de signaturesdigitales par exemple.

En associant ces flux de travail avec une solution de formulairesélectroniques pour recueillir les informations métiers importantesauprès des clients ou des fournisseurs par exemple, il est facilede construire des solutions métiers personnalisées avec un mini-mum de code à développer. De plus, des règles intégrées devalidations de données vont permettre d’assurer la parfaite cohé-rence des données prélevées avant leur traitement automatisé.Elles pourront donc être immédiatement intégrées au sein duSystème d’Information, en évitant de fait le travail de ressaisiainsi que les éventuelles erreurs qui y sont associées.

Exemple de processus de gestion des demandes de congés

Créée en 1985 et filiale du groupe Cegos depuis 1999, ib - groupe Cegos est

aujourd’hui un acteur majeur du marché de la formation informatique. A travers son

offre de solutions de formation sur les champs des métiers de l’informatique, du

développement d’applications, des infrastructures et de la Business Intelligence, la

société forme chaque année plus de 15 000 personnes.

Depuis plusieurs années, ib a également développé une expertise sur le champ du

Conseil.

ib Conseil, son entité dédiée à cette activité, réalise ainsi des missions d’accompa-

gnement des entreprises dans la conduite de leurs projets informatiques : analyse

des problématiques, audit technique, assistance à maîtrise d’ouvrage…

Implantée à La Défense, Lyon, Toulouse, Nantes, Rennes et Strasbourg, ib - groupe

Cegos emploie 110 collaborateurs.

Pour en savoir plus, visitez le site www.ib-formation.fr.

Régis MASSÉConsultant


Disposer d’outils de pilotageperformants et efficaces

Afin de fournir aux responsables de l’entreprise des outils inté-grés leur permettant de prendre efficacement des décisions stra-tégiques, la plate-forme MOSS 2007 propose des fonctionnalitésde Business Intelligence permettant de consolider des informa-tions et des données de l’entreprise au sein d’un site web centra-lisé et sécurisé.

Plusieurs types de composants sont fournis en standard, commepar exemple :• les indicateurs de performance clé fournissant une vision en

temps réelle de l’état des éléments surveillés (niveau des ven-tes pour un responsable commercial, niveau de performancedes serveurs d’entreprise pour la DSI…),

• les tableaux de bords paramétrables fournissant une visionconsolidée des données stratégiques de l’entreprise, pouvantprovenir de sources de données diverses (bases de données,des ERP comme SAP par exemple, des informations fourniespar les équipes au sein du portail…).

En se basant sur les services Excel, nouvellement présents dansla plate-forme MOSS 2007, l’ensemble des collaborateurs auto-risés peuvent facilement accéder aux données contenues dansdes fichiers Excel, et ceci au travers du navigateur Web. Cettenouvelle fonctionnalité permet ainsi de conserver l’ensemble desfichiers Excel construit depuis des années par les managers et departager efficacement une version centralisée tout en protégeantles informations s’y trouvant.

Répondre aux impératifs de mise enconformité des données de l’entreprise

La plate-forme MOSS 2007 offre aux Directions Informatiques lapossibilité de spécifier des paramètres de sécurité, des stratégiesde stockage des données, ainsi que des stratégies d’audit et desactions devant être automatiquement déclenchées lors de l’expi-ration des enregistrements de l’entreprise.

Ce nouveau point répond ici pleinement à la volonté des Direc-tions Informatiques de pouvoir assurer le contrôle des donnéestout en respectant scrupuleusement les réglementations de miseen conformité. Ceci permet donc de s’assurer que les informa-tions sensibles sont contrôlées et gérées efficacement.

De plus, ce contrôle, bâti sur un ensemble de règles précises,réduit mécaniquement les risques potentiels de litiges pour l’en-treprise.

Conclusion

Les fonctionnalités proposées par la plate-forme Microsoft OfficeSharePoint Serveur 2007 permettent de bâtir de réelles solutionsde portails d’entreprises qui répondent aux problématiquesactuelles des celles-ci.

En effet, le nombre de projets ne cesse d’augmenter depuis cesdouze derniers mois, montrant ainsi une réelle adoption du pro-duit par les Directions Informatiques. Une récente étude réaliséepar Microsoft montre que les vecteurs ayant motivé cette adhé-sion à la plate-forme MOSS 2007 sont, par ordre d’importance :• les fonctionnalités de portails d’entreprise visant à uniformiser

l’accès aux données de l’entreprise,• les fonctionnalités de travail collaboratif au sein des équipes,• la gestion documentaire et les processus métiers,• la gestion de contenus web fournissant une réelle autonomie

aux utilisateurs.

De plus, ce système entièrement construit sur la technologie.NET 2.0 de Microsoft, est de fait ouvert à toute évolution et per-sonnalisation de l’environnement. Il n’y a donc pas de limites àl’expansion des portails d’entreprises pour qu’ils s’adaptent tou-jours mieux aux processus de l’entreprise ainsi qu’aux besoinsexprimés par les collaborateurs. Il paraît donc évident que cetteplate-forme, déjà très complète aujourd’hui, va s’enrichir de nou-veaux éléments au fil des mois, soit au travers de développe-ments spécifiques, soit par l’ajout de composants tiers, pourfournir toujours plus de fonctionnalités aux utilisateurs et accroî-tre leur productivité au quotidien.

IT-expert, la référence techniquedes professionnels de l’informatique

Bimestriel de conseil et d’expertise technique,

IT-expert vous offre l’information essentielle pour

vous former et décider.

IT-expert, soudain tout est clair…


Pour tous renseignements : IT-expert - 3, rue Marcel Allégot - 92190 MEUDON - FRANCE

Tél. : +33 (0)1 46 90 21 21 - e-mail : [email protected]


Bon d’abonnement à faxer au+33 (0)1 46 90 21 20

ou renvoyer au Service Abonnements3, rue Marcel Allégot

92190 MeudonFrance


� Mme � Mlle � M.

Nom

Prénom

Société

Fonction

Adresse

CP

Ville

E-mail

Tél

Fax

�Je m’abonne 1 an au bimestriel IT-expert. Je recevrai 6 numéros pour 89 € TTC

�Je m’abonne 1 an à IT-expert version papier + accès au pdf en ligne* pour 120 € TTC

� Chèque joint à l’ordre de Press & Communication France

� Règlement à réception de facture

Date :Signature obligatoire :

Abonnez-vous à IT-expert

Abonnez-vous sur www.it-expertise.com/Abonnement

* Vous recevez dès sa parution un exemplaire d’IT-expert par la poste à l’adresse de votre choix et vous aurez accès à l’ensemble des anciens numéros d’IT-expert en version PDF sur le site webd’IT-expert : http://www.it-expertise.com

Comment ça marche ?


Les multiplesfacettes ducontrôle d’accèsau réseaud’entreprise

La capacité d’une organisation à administrer lesdifférents terminaux et postes de travail (fixe, porta-ble, PDA, smartphone, terminaux linux, Mac…) quiaccèdent à son réseau joue désormais un rôle cri-tique dans la sécurité et la disponibilité de son infra-structure informatique. La nouvelle cybercriminalitéqui cible maintenant des entreprises précises, visespécifiquement les postes de travail en tant quepoints d’entrée possibles vers les ressources inter-nes. Pour se prémunir de ces menaces ciblées, lesentreprises doivent pouvoir garantir que chaqueterminal est en permanence conforme aux politi-ques de sécurité édictées.

Sans cette garantie, les organisations sont expo-sées à une large gamme de menaces, comme laprolifération de programmes malveillants dans l’en-treprise, l’interruption de processus critiques aubon fonctionnement des affaires, l’augmentationdes coûts de reprises, l’exposition d’informationsconfidentielles, des atteintes à l’image de marquede l’entreprise et même des amendes dues au non-respect des réglementations en vigueur.

Un système de contrôle d’accès au réseau (Net-work Access Control – NAC) permet aux organisa-tions de s’assurer de l’identité de la machine ou del’utilisateur, de la bonne configuration et de l’étatdes terminaux avant qu’ils ne soient autorisés àaccéder aux ressources du réseau de l’entreprise,qu’il s’agisse de collaborateurs sur site, à distance,d’invités, ou de sous-traitants. Ce système va iden-tifier et évaluer la conformité, ouvrir les accèsréseaux appropriés et proposer éventuellementdes moyens de correction pour s’assurer du res-pect des standards et des politiques de sécurité del’entreprise.


l’entreprise. Avant qu’une machine ne puisse accéder au réseaude production et à ses ressources, elle devra être en totaleconformité avec les politiques établies par l’entreprise, commeposséder le dernier niveau de correctifs de sécurité, un anti-virusavec définitions à jour…

On peut noter cependant qu’en dépit de leur faculté à empêcherla connexion de terminaux non-conformes ou inconnus auréseau de l’entreprise, ces solutions de contrôle d’accès auréseau ne sont pas encore déployées de manière systématiquedans les entreprises. Les raisons sont variées, particulièrementparce que certaines solutions peinent à offrir une remise à jourefficace, font croître le nombre d’agents à installer sur les postes,introduisent trop de complexité et trop de perturbations dansl’infrastructure, manquent de flexibilité quant aux besoins desorganisations, tels que la gestion des invités ou travailleurs tem-poraires ou encore ne s’intègrent pas correctement à la gestionde la sécurité globale des postes de travail.

Une architecture à trois niveaux

Un système de contrôle des accès réseau doit comprendre lescomposants suivants :• Des technologies d’évaluation de l’état des terminaux tentant

de se connecter au réseau (vérification de la conformité)• Des systèmes de mise en quarantaine (enforcers) qui agis-

sent comme le gardien qui autorise ou non l’accès au réseau• Un gestionnaire de politiques, qui créé, édite et maintient les

règles d’accès au réseau via une console centralisée.

Les technologies de mise en quarantaine (« enforcement ») reçoi-vent les politiques de configuration de la console d’administra-tion, vers laquelle, en retour, convergent les événements àsignaler. L’« enforcer » bloque l’accès de cette machine au réseausi la technologie d’évaluation détermine que tel poste de travailn’est pas conforme à la politique de sécurité.

Basé sur les politiques définies par l’administrateur (et en fonctiondu type d’ « enforcement » déployé), l’« enforcer » doit permettre laremise en conformité automatique des postes rejetés. Ceci doits’accomplir à travers des tâches de correction comme l’appel à unoutil de télédistribution pour l’installation de mises à jour.

Maintenir un environnement sécuriséet administré

Les administrateurs font en sorte que les postes de travail nouvel-lement déployés soient configurés conformément aux politiquesde l’entreprise, c’est-à-dire après validation de la liste des appli-cations installées, installation de toutes les mises à jour de sécu-rité applicables, antivirus et définitions à jour…

Pourtant, dès le passage en production de ces machines, ceux-ci en perdent le contrôle. Les utilisateurs installent de nouveauxlogiciels, bloquent les installations de correctifs, stoppent lespare-feu, ou font d’autres changements qui génèrent des ris-ques de sécurité pour leur poste de travail, pouvant potentielle-ment impacter l’infrastructure informatique dans son ensemble.Les utilisateurs distants et/ou mobiles sont généralement plusexposés lorsqu’ils utilisent leurs portables depuis des cybercafés,des chambres d’hôtel, ou tout autre endroit non sécurisé.Les solutions de contrôle d’accès au réseau permettent d’empê-cher ces événements d’affecter l’infrastructure informatique de

Gestionnaire de politiques

Technologies d’évaluation des postes

Enforcers Réseaux

Figure 1 : Architecture d’un système de contrôle d’accès au réseau

Un système de contrôle d’accès réseau (NAC) resteindépendant du système d’exploitation réseau, doits’intégrer dans n’importe quelle infrastructureréseau, et être transparent pour l’utilisateur.

En permettant aux entreprises de contrôler laconformité et l’application des politiques de sécu-rité, le NAC doit participer à :

• La réduction de la propagation de malicielstels que virus, vers, logiciels espions, chevauxde Troie, et autres formes de risques de sécu-rité,

• L’abaissement des profils de risques par uncontrôle accru des terminaux accédant auréseau de l’entreprise, administrés ou non,

• Une meilleure disponibilité du réseau et laréduction des interruptions de service pour lesutilisateurs,

• La fourniture d’informations de conformitévérifiables en quasi-temps réel,

• La garantie que les investissements réalisésen matière de sécurité, tels que l’antivirus et lepare-feu, sont déployés et configurés correc-tement,

• La réduction des coûts de support utilisateurpar remise à jour automatique,

• La protection des données confidentielles del’entreprise.


Les composants du système de NAC valident et appliquent les poli-tiques de conformité pour tous types de terminaux sur tous types deréseaux. Ce processus de validation et d’application commenceavant la connexion au réseau et se poursuit tout au long de la ses-sion, à partir des politiques servant de base à toutes les évaluationset actions. Ce processus de NAC est illustré dans la figure 3.

1. Identification et évaluation des terminauxLes machines sont identifiées lorsqu’elles se connectent auréseau, avant qu’elles n’accèdent aux ressources. A traversl’intégration aux infrastructures en place et l’utilisationd’agents intelligents, les administrateurs sont assurésqu’au moment de la connexion, les nouveaux terminauxsont évalués en regard des politiques définies.

2. Fourniture des accès au réseauL’accès complet au réseau n’est ouvert que lorsque lespostes de travail ont été évalués et que l’on a pu valider lerespect des politiques. Les systèmes non-conformes sontenvoyés en quarantaine avec un accès limité au réseau ded’entreprise et les systèmes inconnus sont soit rejetés soitacceptés dans des zones « invité ».

3. Mise à niveau des terminaux non-conformesLa correction automatique des terminaux non-conformespermet aux administrateurs d’assurer une mise en confor-mité rapide ainsi que l’ouverture des accès réseaux asso-ciés. I ls doivent également pouvoir automatisercomplètement le processus de correction, et le rendre tota-lement transparent pour l’utilisateur final.

Antivirus actif

Signatures Antivirus à jour

Firewall Personnel Actif

Service Pack à jour

Patchs à jour

Vérifications personnalisablesSyntaxe IF…THEN…ELSE

Politique Endpoint Security

- Mettre une entrée dans la registry

- Exécuter un Script ou un programme

- Télécharger et exécuter un exécutable

- Dialoguer avec l’utilisateur

- Etc…

Statut

Conformité

Remise à jour

Figure 2 : Tests de conformité

Le PC se connecte physiquement au réseau

Etape 1

Surveillance du poste en continu pour vérifier la conformité

Etape 4

Décision prise en fonction du résultat des vérifications

Etape 3 PatchQuarantaineVirtual Desktop

vérification de la conformité du poste à la politique de sécurité

Etape 2

DISCOVER

EN

FO

RC

EMO

NIT

OR

REMEDIATE

NAC

Figure 3 : Processus de contrôle d’accès au réseau

Agents persistants: pour les postes administrés

Agents temporaires: pour les postes non administrés

Scanner de vulnérabilités à distance: pour les postes non administrables

Figure 4 : Technologies des agents


Les agents persistants habilités pour veillersur les registres

Un agent peut être installé par les administrateurs sur les postesde l’entreprise pour en déterminer le niveau de conformité.L’agent doit pouvoir effectuer des vérifications simples comme laprésence de l’antivirus, la date des dernières signatures, l’instal-lation de correctifs, ainsi que l’état de caractéristiques plus com-plexes comme la présence d’entrées dans la base de registres,les processus actifs, des attributs de fichiers…

4. Gestion proactive de la conformitéL’adhésion aux politiques doit être totale et continue. Unsystème de NAC doit permettre de surveiller activement, surune période définie par l’administrateur, le niveau de confor-mité de tous les terminaux. Si l’état d’un terminal change, sesaccès réseaux doivent être adaptés en conséquence.

Technologies d’évaluation du terminal

Un système de NAC complet et flexible doit protéger le réseaudes programmes malveillants provenant des postes inconnus(ou non-autorisés) en vérifiant qu’ils sont configurés correcte-ment lors de la connexion. Les contrôles effectués sont typique-ment : la présence d’un antivirus, d’un anti-spyware etl’installation des derniers correctifs. Cependant la plupart desorganisations souhaitent rapidement aller plus loin. Quel qu’ensoit le but, le processus commence toujours par l’évaluation duterminal. Compte tenu de la diversité des terminaux qui seconnectent au réseau (postes fournis par l’entreprise ou non,ordinateurs personnels de collaborateurs en télétravail, intérimai-res, partenaires qui peuvent avoir besoin de leur propre porta-ble…), un système de NAC doit offrir plusieurs technologiesd’évaluation, telles que les agents persistants, les agents non-persistants, un scanner de vulnérabilité à distance.

Il est à noter que cette solution, tout en étant la plus simple à met-tre en œuvre, est la moins fiable. Le scan de vulnérabilité est uneméthode post-connexion, non continue et peut être bloqué par lepare-feu personnel des machines connectées.

Enforcers : systèmes de mise en quarantaine

Chaque environnement réseau est unique, et de ce fait un seulsystème d’enforcement ne peut efficacement contrôler tous lespoints d’accès au réseau. Une solution NAC doit être suffisam-ment souple pour permettre la mise en place conjointe de plu-sieurs types d’enforcement différents, sans pour autantsurcharger l’administration.

Ces « enforcers » installés au niveau réseau, passerelle, ou DHCPsont généralement disponibles sous forme d’appliances, maisparfois purement logiciels (DHCP plug-in).

A noter également l’existence d’enforcement basé sur le postelui-même et dénommée « self-enforcement ». L’avantage decette méthode qui utilise le pare-feu local pour autoriser ou nonl’accès, est qu’il n’est pas nécessaire dans ce cas de déployerd’enforcers au niveau réseau. Cette méthode ne fonctionnecependant que pour des postes gérés par l’entreprise ; elle nepeut adresser le cas des postes invités, à prendre en compte viaune autre technique.

Les enforcers réseaux sont des composants nécessaires aucontrôle des postes connus ou non, se connectant au réseau.

Le Gateway Enforcer refoule les indésirables

Les enforcers de type Gateway sont des passerelles installées ensegmentation du réseau. Ces passerelles autorisent uniquementle trafic venant des terminaux précédemment vérifiés. Si le postede travail est conforme, il pourra communiquer avec toutemachine située derrière la passerelle. Si le poste de travail n’estpas conforme, il ne pourra communiquer qu’avec les serveurs


Les agents persistants permettent d’obtenir les informations deconformités les plus fiables et les plus détaillées tout en offrant lesmeilleures options de correction, gage d’un déploiement réussi.Ils sont surtout la garantie d’une totale transparence pour l’utilisa-teur final.

Compte tenu de la façon dont fonctionnent les systèmes d’ex-ploitation, l’examen et la correction efficace des différents logi-ciels installés nécessitent de la part du client NAC la possibilitéd’accéder à la liste des processus, ainsi qu’à la base de registres,quitte à même devoir modifier certaines entrées.Le meilleur moyen d’y parvenir est par le biais d’un agent avecprivilèges systèmes, qui a été installé sur le poste de travail lorsdu déploiement initial.

Les solutions strictement « sans-agent » ne peuvent donner àl’administrateur les permissions suffisantes pour examiner demanière satisfaisante la totale conformité du poste de travail. Dela même manière, ces agents ne disposeront pas des droitsnécessaires pour apporter les modifications requises à uneremise en conformité.

Les agents non persistants prennent en chargeles invités

Un des plus grands défis de la gestion des accès réseaux est laprise en compte des invités. Une solution de contrôle d’accès auréseau efficace doit avoir la possibilité et la souplesse de pouvoirvérifier si un terminal inconnu n’est pas une menace pour l’entre-prise et déterminer le niveau d’accès adéquat. Bien que la meil-leure solution reste de déployer un agent sur le poste de travail,ceci est généralement impossible lorsque la machine n’appar-tient pas à l’organisation. Il est donc nécessaire, dans ce cas, depouvoir disposer d’un agent non-persistant, de type Java ouActiveX, qui sera téléchargé à la demande sur un poste pour enévaluer le niveau de conformité. Ces agents seront supprimésautomatiquement à la fin de la session.

Par exemple, lorsqu’un invité tente de se connecter au réseau,une solution d’enforcement réseau reconnaîtra qu’il s’agit d’unposte inconnu et le redirigera vers un serveur web sur lequel ilpourra télécharger l’agent non-persistant. Cet agent va exécuterles tests de conformité appropriés, basés sur les politiques quel’administrateur a définie pour les invités. S’ils sont concluants, leposte se verra ouvrir l’accès à une partie du réseau de produc-tion. A la fin de la session réseau, l’agent s’autodétruira.

Le scanner de vulnérabilités à distance : peut mieuxfaire !

Une autre méthode de validation de conformité nécessaire lors-que les entreprises ne peuvent déployer un agent persistant peutêtre l’utilisation d’un scanner de vulnérabilités à distance. Lors-que la machine se connectera au réseau, le scanner effectuera untest de vulnérabilité de la machine et autorisera/rejettera l’accèsde la machine en fonction du résultat.

Self-Enforcement - Quarantaine locale autonome - Utilisation du firewall personnel

Enforcer Gateway - VPN, WAN

Enforcer DHCP - Quelque soit l'iinfrastructure

Enforcer-802.1x - Quarantaine par VLAN

Ho

st-b

ased

Net

wo

rk-b

ased

Figure 5 : Options de mise en quarantaine


nécessaires à la remise à jour du poste. Ces passerelles sontgénéralement utilisées en coupure derrières les points d’accèsdistants (VPN, SSL VPN, Borne WiFi…)

LAN Enforcer - 802.1x réclame des papiers authentifiés

Le protocole IEEE 802.1x est un protocole d’authentification desterminaux avec le point d’accès réseau (switch). Lors de laconnexion du terminal au réseau, le switch demande une authen-tification au terminal et la relaie à un serveur Radius pour vérifica-tion de l’identité de la machine ou de l’utilisateur. Le serveurRadius affecte alors la machine à un VLAN (Virtual LAN), en fonc-tion du profil de la machine et le transmet au switch.

Un système NAC va généralement introduire la notion de contrôlede conformité de la machine dans la chaîne de vérification. LeLan Enforcer est alors un proxy Radius chargé de confirmer laréponse du serveur Radius ou de la modifier en fonction du résul-tat du contrôle de conformité.

En conséquence, une machine conforme pourra être connectéeau VLAN de production, une machine non conforme pourra êtreconnectée au VLAN de quarantaine et une machine inconnuepourra l’être à un VLAN « invite » ou rejetée.

Le DHCP Enforcer met les indésirables en quarantaine

Un système NAC basé sur une méthode d’enforcement de typeDHCP va intervenir sur l’affectation de l’adresse IP offerte par leserveur DHCP. Si la machine est conforme, elle reçoit uneadresse IP de production. Dans le cas contraire, elle recevra uneadresse IP de quarantaine. Un enforcer DHCP peut se présentersous différentes formes : un plug-in présent sur le serveur DHCPlui-même ou une passerelle située devant le serveur DHCP.

Une console unique pour gérertoutes ces politiques

Un des éléments clé de la gestion des politiques est de pouvoircréer, déployer, maintenir ces politiques depuis une console uni-que, vers laquelle, en retour, tous les événements convergeront.Le tout, à la fois pour les technologies d’évaluation au niveaudes postes de travail et des « enforcers » au niveau réseau. Unearchitecture de gestion à la taille de l’entreprise doit être applica-ble à un environnement large et complexe mais doit pouvoir offrirune granularité importante dans le contrôle des tâches d’admi-nistration, en simplifiant la gestion de la sécurité des postes detravail et réduisant le coût total de possession.

La mise en place d’une solution de contrôle d’accès au réseau :• Permet l’application des politiques de conformité et les

corrections nécessaires,• Fourni un reporting complet et temps réel de l’état des pos-

tes de travail connectés et des éléments de non-conformitééventuels,

• Evite la multiplication du nombre d’agents sur les postes detravail,

• Prend en compte la totalité des besoins réseau, invités etcollaborateurs temporaires inclus,

• S’intègre de manière simple avec l’infrastructure globalede gestion de la sécurité des postes dans l’entreprise,

• Elimine les perturbations tant au niveau de l’infrastructureinformatique qu’au niveau des processus business.

Assurer une conformité de bout en bout

Dans le paysage actuel de menaces toujours plus sophistiquées,les responsables informatiques doivent protéger leur organisa-tion, non seulement des attaques les plus classiques, mais éga-lement de toutes les tentatives qui visent à utiliser les postes detravail comme autant de points d’entrée vers leurs ressourcesopérationnelles.

Pour assurer l’intégrité de l’infrastructure informatique globale, lesentreprises ne peuvent plus laisser libre accès au réseau. Devantla croissance rapide du nombre et des types de terminaux accé-dant au réseau, les organisations doivent être en mesure d’envérifier l’état avant toute connexion, ainsi que durant toute la ses-sion de communication vers les ressources informationnelles del’entreprise.

De la mise en place d’un système de contrôle d’accès au réseaudoit résulter une baisse significative des incidents de sécurité, unmeilleur niveau de conformité aux politiques de sécurité de l’en-treprise et l’assurance que les mécanismes de protection desterminaux sont opérationnels.

Hervé DoreauEndpoint Security SE Specialist – Symantec Southern Europe

Laurent HeslaultChief Technology Officer, Security – Symantec SouthernEurope

Cédric PottierSenior PreSales Specialist – Symantec France

A propos de Symantec

Symantec est le leader mondial des logiciels d’infrastructure qui permettent aux

particuliers et aux entreprises d’évoluer en toute confiance dans un monde connecté.

Symantec aide ses clients à protéger leur infrastructure, leurs informations et leurs

transactions en proposant des logiciels et des services qui gèrent la sécurité, la dis-

ponibilité, la conformité et la performance. Basée à Cupertino (Californie), la société

Symantec est présente dans plus de 42 pays. Des informations supplémentaires

sont disponibles à l’adresse http://www.symantec.fr/


Livres

Microsoft Office SharePoint Server (MOSS) et Office 2007

Avec SharePoint 2003, Microsoft pénétrait les univers de la gestiondocumentaire et du workflow. MOSS 2007 apporte ses solutionsaux portails et à la collaboration. Ce dernier thème, un des fers delance de la stratégie Microsoft, s’articule autour d’Office 2007, quel’éditeur positionne comme client riche de référence. Il est donc fortjudicieux d’associer ces deux produits.Après un rappel historique indispensable, l’auteur passe en revue lestechnologies associées à MOSS : le framework .net 2.0, ASP.net, lesWeb parts 2.0, IIS… Puis, Pierre-Erol aborde les services de MOSScomme l’administration, le workflow, les RSS-blogs-wiki… avantd’attaquer la gestion de contenu en lien avec la messagerie, Office2007, ou XML. L’exposé se termine avec la gestion des utilisateurset de la sécurité. Bref, un ouvrage de référence à conserver, et àgarder sous le coude.

Microsoft Office SharePoint Server (MOSS) et Office 2007par Pierre-Erol GiraudyÉditions Hermès-Lavoisier370 pages – prix public : 85 euros

Sécurité Informatique – Principes et méthode

Laurent Bloch, spécialiste de la sécurité (dont le site Web fait réfé-rence), est responsable de la sécurité informatique à l’Inserm. Quantà Christophe Wolfhugel, il exerce aujourd’hui chez Orange BusinessServices sur les réseaux IP, Internet, et les services associés. Lescoauteurs ont mis à contribution leurs camarades, non moins illus-tres : Hervé Schauer, Nat Makarévitch et Christian Queinnec.« Sécurité Informatique – Principes et méthode » expose simplementles multiples risques, et condamne, sans langue de bois, les faussessolutions (pourtant répandues). En illustrant les explications d’exem-ples techniques détaillés, les auteurs donnent à ce livre une dimen-sion très pédagogique. Loin d’une simple énumération despratiques, l’exposé propose une réelle démarche de sécurisation.Un recueil professionnel écrit par des experts : indispensable !

Sécurité Informatique – Principes et méthodepar Laurent Bloch et Christophe WolfhugelÉditions Eyrolles262 pages – prix public : 35 euros.

Fenêtre sur cour


Interview d’Alain Bouillé,RSSI au sein du GroupeCaisse des Dépôts

La Caisse des Dépôts est une institution financière publique au service de l’in-

térêt général et du développement économique : protection et transformation

de l’épargne réglementée des Français pour financer principalement le loge-

ment social, banquier du service public de la Justice et de la Sécurité sociale,

gestionnaire de régimes de retraite, investisseur aux côtés des collectivités ter-

ritoriales dans des projets locaux de développement. Grand investisseur insti-

tutionnel de long terme, la Caisse des Dépôts est également actionnaire de

filiales qui exercent des activités concurrentielles et d’intérêt général :

• L’assurance de personnes : CNP Assurances,

• L’immobilier : groupe SNI, Icade,

• Le développement des PME : CDC Entreprises, CDC Capital Investissement,

• Les services : Transdev, Egis, Compagnie des Alpes et VVF Vacances.

La Caisse des Dépôts emploie 5 000 salariés et ses filiales 50 000 personnes.

Dans le cadre de sa contribution aux travaux du CIGREF, Monsieur Bouillé, RSSI du groupe Caisse des Dépôts

a piloté un groupe de travail sur la constitution d’un tableau de bord sécurité. Il a accepté de nous décrire celui-

ci et de nous parler de son métier de responsable de la sécurité des systèmes d’information (RSSI).

� Vous avez constitué, dans le cadre de vos travaux au sein duCIGREF, un tableau de bord sécurité.Quels en sont les objectifs ?

Alain Bouillé : Tout d’abord, produire un premier tableau de bordest relativement simple, la difficulté est de réaliser le suivant et desuivre l’évolution. Les principaux obstacles à la constitution d’untableau de bord sont de choisir les bons indicateurs, les bonnesfréquences de parution ainsi que l’auditoire.L’idée était de mettre en commun les points de vue et réflexionsde plusieurs RSSI sur ce qu’ils avaient pu expérimenterjusqu’alors. Ce guide est une compilation des meilleures prati-ques qui va s’enrichir au fur et à mesure du temps et des retoursd’expériences de chacun.L’objectif du document que nous avons produit est de constituerune boîte à outils avec des indicateurs qui permettront ensuite àchaque RSSI de se constituer son propre tableau de bord.Dans les prochaines versions nous exclurons certains indicateurscar peut-être trop difficiles à produire tandis que d’autres serontajoutés…Par la suite nous développerons sans doute le conseil autour dela construction du tableau de bord pour préciser comment faireles bons choix en terme de mesure et être capable d’analyserl’évolution des indicateurs.

� A qui sont destinés les tableaux de bord ?

Alain Bouillé : L’auditoire est assez varié. Il peut être utilisé à des-tination de la direction générale, de la DSI, des directions métiers,voire des fonctions plus opérationnelles. C’est une boîte à outilsqui va permettre de construire un, deux ou trois tableaux de borddifférents.

� Vous disiez que les indicateurs étaient un élément important, lesquels avez-vous retenu ?

Alain Bouillé :Nous avons retenu deux types d’indicateurs, les «stra-tégiques » pour un reporting vers la DSI et la direction générale et les« opérationnels » pour le pilotage de la sécurité au quotidien.Les indicateurs ont été retenus en fonction de deux critères : leurpertinence et leur mesurabilité.

A titre d’exemples, nous avons l’analyse de risque, l’image del’entreprise, la continuité, le taux de prestataires externes…comme indicateurs stratégiques et le nombre de vols et pertes dePC, les attaques en environnement de messagerie, la bonne ins-tallation des patches, la protection de l’information… commeindicateurs opérationnels.


� Au-delà de votre rôle de coordinateur de ces travaux sur letableau de bord, vous êtes avant tout RSSI au sein de laCaisse des Dépôts, pourriez-vous nous parler de votremétier ?

Alain Bouillé : Le RSSI est au carrefour de plusieurs thématiquesavec des problématiques bien évidemment SI mais aussi juridi-ques, de ressources humaines, de sensibilisation des utilisateurs,de risques physiques et environnementaux voire pour certainsd’intelligence économique…

Le RSSI peut être rattaché à la direction générale, à la DSI… Enfonction des cas, le modèle organisationnel à créer est différent.Par exemple, si le RSSI n’appartient pas à la DSI il est nécessaired’établir des liens étroits avec cette direction ou bien s’il est ausein de la DSI il devra « sortir » et se mettre en relation avec lesdirections opérationnelles. Le poste de RSSI nécessite un bonsens de la communication et des relations humaines.

� Comment analysez-vous le marché de la sécurité, trouvez-vous les outils nécessaires ?

Alain Bouillé : Il est difficile de s’y retrouver avec tous ces acteursqui fusionnent, se rachètent, disparaissent… Au sein de la Caissedes Dépôts j’effectue des demandes fonctionnelles à la DSI quiensuite lance les appels d’offres vers les fournisseurs en solutionstechniques. Dans l’ensemble nous trouvons des outils qui répon-dent à nos besoins. Par contre je rencontre plus de problèmes auniveau du consulting. Il devient difficile de trouver des experts enmesure d’élaborer des stratégies à plus ou moins long terme.Des petites structures pertinentes se font racheter et de ce fait lesréponses à appel d’offres sont de moins en moins nombreusessur certains sujets pointus tels que la dématérialisation et les pro-blématiques de signature électronique, la gestion des identités, lasupervision de sécurité…

� Quels conseils en terme de sécurité pourriez-vous donner ànos lecteurs ?

Alain Bouillé : Il me semble qu’il est important qu’une personnesoit dédiée à la sécurité au sein d’une entreprise afin de fédérer,diffuser et coordonner les actions de sécurité.

� Quels sont les enjeux de demain pour vous ?

Alain Bouillé : L’ouverture des SI nous conduit à grands pas versdes problématiques liées à des dématérialisations à outranceavec à la clé des mises en œuvre de solutions de sécurité qui per-mettent de réaliser ces dématérialisations dans un monde de ris-ques maîtrisésNous devons reconnaître nos utilisateurs, les authentifier… etaussi sécuriser de bout en bout les transactions qui vont sedémultiplier dans les années à venir. Aujourd’hui nous faisonsbeaucoup de sur-mesure en fonction des métiers. Compte tenud’une ouverture des SI de plus en plus importante, nous allonsavoir besoin de solutions génériques pour permettre aux métiersde rester concurrentiels mais satisfaisantes en terme de gestiondes risques.

Pour consulter le tableau de bord édité par le CIGREF :http://cigref.typepad.fr/cigref_publications/2007/

Conformité•Audit - Taux de contrôle•Audit - Taux de conformité•Audit - Taux de correction

Efficacité de la politique

•Fréquence et réussite du PCA•Taux de personnes sensibilisées•Taux de prestataires externes sur postes sensibles•…

•Nombre de sites web parodiés•Nombre de noms de domaines usurpés•Plaintes internes et externes

Image de líentreprise

Protection de l’information

•Analyse de risque•Classification de líinformation•Archivage•Analyse de risque dans les nouveaux projets•Gestion des accès•…

Source : CIGREF

•Nombre de vols et pertes PC fixes•Nombre de vols et pertes terminaux mobiles

•Disponibilité des applications critiques•Sites physiques audités•Mise à jour des antivirus•Révision périodique des habilitations•…

•Attaques en environnement messagerie•Attaques en environnement intranet•Attaques en environnement internet

•Evolution du nombre d’identifiants génériques•Perte de mots de passe•Traçabilité

Vols

Efficacité de la politique

Attaques et sinistralités

Protection de l’information

Source : CIGREF

Alain BOUILLÉ

Axes stratégiques

Axes opérationnels

Rubrique à brac


Après un démarrage frileux, la téléphonie sur IP (ou ToIP) s’impose progres-sivement en entreprise. Le marché se montre extrêmement dynamique,notamment chez les moyennes et grandes entreprises. Plus de 50 % sont encours d’étude ou ont déjà entamé la migration de leur téléphonie classique.La principale motivation reste l’optimisation des coûts à travers la mutualisa-tion des accès télécoms et, dans une moindre mesure, la fourniture aux uti-lisateurs de nouveaux services issus de la convergence voix données.Comme toute nouvelle technologie, la ToIP apporte son lot d’opportunités,mais elle fait aussi planer de nouveaux risques. De part son fonctionnementtrès différent de la téléphonie classique, apparaissent en effet de nouveauxproblèmes de sécurité qu’il est nécessaire de bien prendre en compte enpréalable à tout déploiement.

Sécurité de latéléphonie sur IP

les sites et hébergés de façon centralisée dans un datacenter.Le troisième type de composant est la passerelle de communica-tion, qui assure l’interface entre le monde ToIP et la téléphonieclassique, interne ou externe. A l’instar des serveurs d’appels, lespasserelles sont mutualisables et centralisables. Les points d’ac-cès au réseau téléphonique public peuvent donc être supprimés

sur tout ou partie des sites utilisateurs. A noter que certains opé-rateurs proposent depuis peu des offres d’interconnexion avec latéléphonie externe en IP natif, par exemple Business Talk IPd’Orange. Dans une telle configuration, c’est l’opérateur qui gèrel’interface avec le réseau téléphonique public, à travers des équi-pements de type firewall et proxy H.323.

Des risques à tous les niveaux

Quels sont donc les nouveaux risques qui pèsent sur les architec-tures ToIP ? Aux vulnérabilités de la téléphonie classique déjàexploitées par les phreakers – comme par exemple les appelsautomatiques sur des numéros surtaxés – viennent s’ajouter lesnombreuses menaces du monde IP. Elles portent à la fois sur lesterminaux téléphoniques, le réseau de transport et les serveursdédiés à la ToIP. En tête des dangers, on retrouve les attaques endéni de service qui impactent la disponibilité, l’écoute illicite descommunications, l’usurpation d’identité et, dans une moindremesure, le spam vocal ou « SPIT » (Spam over IP Telephony).


Comment fonctionne la ToIP ?

Une architecture ToIP d’entreprise fait intervenir trois principauxtypes de composants : les terminaux téléphoniques, les serveursd’appels et enfin la ou les passerelles de communication versl’extérieur.

Une rupture technologique profonde

Le type de terminal le plus utilisé aujourd’hui reste le téléphonedédié, qui se raccorde directement au réseau IP. Il intègre généra-lement un micro-switch et un deuxième port Ethernet pour permet-tre la connexion du PC via le téléphone, ceci afin d’éviter le câblagede prises supplémentaires. A noter également que le téléphonepeut être alimenté électriquement à travers le câblage réseau(norme PoE, Power over Ethernet). Il existe aussi des téléphonespurement logiciels, les softphones, fonctionnant sur tout poste detravail équipé d’une sortie son et d’un microphone. Leur déploie-ment en entreprise reste aujourd’hui très marginal : outre l’utilisationqui n’est pas toujours pratique - il n’est pas facile de répondre rapi-dement quand l’écran de veille de l’ordinateur est protégé par unmot de passe - ils sont aussi plus difficiles à sécuriser.

Second type de composant intervenant dans une architecture ToIP,le serveur d’appels, ou IPBX gère la signalisation associée à lacommunication (décroché, raccroché), et de fournir les servicesévolués (renvoi, transfert, audioconférence, routage d’appel…).Contrairement à la téléphonie classique, où le PABX agit commeun nœud de commutation pour le flux voix, l’IPBX ne traite que lapartie signalisation, la voix numérisée transitant directement entreterminaux téléphoniques. A noter qu’en ToIP, il n’est pas nécessairede déployer des IPBX sur tous les sites. Comme les autres serveursd’applications informatiques, ceux-ci peuvent être mutualisés entre

Réseau IP

Appel InterneAppel Externe

Serveur d'appels

Passerelle

RéseauTéléphonique

Commuté

Une seule infrastructure réseau(IP) pour les flux voix et données

L'intelligence du PABX est reprisepar le serveur d'appels ; la passerelle faitl'interface avec la téléphonie traditionnelle

Le serveur d’appels gère la signalisation, le flux voix circule directement

entre les terminaux

Les serveurs ToIP peuvent se situer hors des sites utilisateurs ; le point d’accès au RTC public

peut être supprimé sur certains sites

Terminaux, serveurs d’appels et passerelles sont administrables à distance,

comme tout composant IP

1

2

3

4

5

Trafic voix

Signalisation

La ToIP introduit une rupture technologique profonde par rapport à la téléphonie traditionnelle


La disponibilité au cœur despréoccupations

Dans tous les projets de migration vers la ToIP, la disponibilité estau cœur des préoccupations. Au cours des dernières décennies,les utilisateurs se sont en effet habitués à l’excellente qualité deservice de la téléphonie fixe traditionnelle, aussi bien en entre-prise qu’à domicile. Bien qu’il soit tout à fait possible aujourd’huide construire des architectures IP résilientes, garantissant lacontinuité de fonctionnement en cas de panne (doublement despoints d’accès, redondance des serveurs…), subsiste le risque

Les utilisateurs A et B sont en communication téléphonique sur

un LAN cloisonné par VLAN

Découverte des caractéristiques de l’infrastructure et insertion

dans le VLAN voix

Mise en place d’une attaque de type ARP spoofing / man-in-the-middle

L’attaquant enregistre les paquets de transport de la voix (RTP)

BA

L’attaquant convertit les paquetsde données en fichier son

D’autres outils spécifiquesà la ToIP

PROTOS H.323 Fuzzer - PROTOS SIPOreka - PSIPDump - SIPomatic - SIPv6 Analyzer SIP-Scan - SIPcrack - SIPSCAN - SiVuS - SMAP - VLANping - VLANPing VoIPAudit IAXFlooder - INVITE Flooder - kphone-ddos - RTP Flooder…

1

2

3

45

L’attaquant peut également :- interrompre la conversation

- insérer et modifier le flux voix

6

Wireshark

EttercapCain & Abel

WiresharkWireshark

RTPInsertSound, RTPMixsound, SiVus…

Lorsque le flux voix n’est pas chiffré, il est relativement facile d’écouter les conversations

0 10 20 30 40 50

Déni de service

SPIT (spam vocal)

Vol d'information (annuaire)

Écoute illicite

Usurpation d'identité, appel illicite

Entreprise qui n'ont pas encore lancé d'étude de ToIPEntreprise qui ont implémenté la ToIP

résiduel de déni de service résultant d’une attaque logique etnotamment virale sur le réseau IP. Quelles en seraient les consé-quences pour le service de téléphonie ? Dans le cas le moinsdéfavorable, une difficulté à établir les appels et une dégradationde la qualité voix par manque de bande passante, pouvant allerjusqu’à une indisponibilité complète du service. D’un autre côté,les vulnérabilités spécifiques aux protocoles de signalisation uti-lisés en ToIP peuvent aussi être exploitées dans le cadre d’atta-ques ciblées sur le service de téléphonie. Par exemple, leprotocole SIP (Session Initiation Protocol) ne prévoit pas d’au-thentification entre le terminal téléphonique et le serveur d’appel.Un attaquant peut donc exploiter cette faille pour générer defaçon aléatoire des messages « INVITE » qui feront sonner tousles téléphones en continu, ou bien envoyer des messages « CAN-CEL » afin de raccrocher toutes les communications en cours.

L’écoute illicite à la portée de tous

En téléphonie classique, l’écoute d’une communication néces-site l’accès physique au PABX, au local de brassage ou au télé-phone de la victime afin de pouvoir installer un dispositif espion.Les utilisateurs ont donc conscience que, même si le trafic voixcircule en clair, il est peu probable que les communications soientécoutées à leur insu. Ce qui change radicalement en ToIP, c’est lafacilité avec laquelle le flux voix peut être intercepté à distancedepuis le PC d’un utilisateur indélicat, d’autant plus que de nom-breux outils disponibles sur l’Internet facilitent le travail. Le prin-cipe est le suivant : dans un premier temps, l’attaquant met en

Les principaux risques associés à la ToIP perçus par les entreprises(source : enquête Solucom, 2006)


place une attaque « man-in-the middle » en envoyant des broad-casts ARP notifiant de fausses associations entre les adressesMAC et IP de ses victimes. Ceci a pour effet de rediriger tout letrafic IP ultérieur vers son PC, en particulier les paquets voix. Al’aide d’un analyseur réseau tel que Wireshark, l’attaquant peutalors réassembler le flux voix, en vue d’une écoute illicite ou d’unenregistrement. La principale contrainte pour l’attaquant est quecelui-ci doit être connecté sur le même sous réseau IP que lesparticipants légitimes à la communication.

Du « phishing » au « vishing »

Après la messagerie électronique, la voix sur IP est elle aussimise à contribution par les pirates dans le cadre de tentatives derécupération d’informations diverses, notamment bancaires,auprès de victimes trop crédules. Le « vishing » (voice over IP phi-shing) est l’une des conséquences du développement de la télé-phonie sur Internet et de la baisse des coûts qui en résulte. Maisce risque d’usurpation d’identité concerne aussi la téléphonied’entreprise. Dans ce contexte, la fonction de présentation dunom de l’appelant peut faciliter la récupération d’informationsconfidentielles, comme par exemple un mot de passe. En effet, lavictime sera par nature moins méfiante vis-à-vis de son interlocu-teur si elle voit s’afficher « support informatique » sur l’écran deson téléphone. D’autant plus qu’en ToIP, il est relativement facilepour un attaquant d’envoyer de faux paquets de signalisation,afin de faire afficher un nom erroné.

La téléphonie menacée par le spam

Le spam téléphonique, ou SPIT (Spam over IP Telephony), resteaujourd’hui marginal, mais risque de se développer rapidement etde devenir un problème majeur pour les entreprises. Du point devue de l’utilisateur, les principales conséquences sont d’une partla perte de temps et d’autre part la saturation des boîtes vocales,pouvant rendre le service complètement indisponible. Sachantqu’aujourd’hui, il n’existe pas encore de solution efficace pour fil-trer ces messages indésirables, qui peuvent être jusqu’à dix foisplus volumineux que les spams traditionnels.

WAN

Augmentation des débitsAmélioration de la disponibilité

Mise en œuvre de classes de service

Energie

Alimentation secourue des éléments actifsTélé-alimentation des téléphones

LAN

Architecture redondanteAdressage IP et DHCP

Câblage

Mise en conformité du câblage existantAjout éventuel de nouveaux points Sécurité

Cloisonnement réseau (VLAN)Durcissement des serveurs et terminaux ToIP

Authentification des terminauxChiffrement optionnel

Afin d’assurer la disponibilité et la confidentialité du service de téléphonie sur IP, des adaptations sont nécessaires dans plusieurs domaines

Le cloisonnement du réseau : un pré requisindispensable

Dans le cadre du déploiement d’une infrastructure de téléphoniesur IP, l’une des principales mesures de sécurité à mettre en placeest le cloisonnement du réseau voix par rapport au réseau don-nées. Il est généralement réalisé en définissant sur chaque site unVLAN dédié aux équipements de téléphonie sur IP. Du point devue de la sécurité, ce cloisonnement local devrait idéalementêtre prolongé sur le réseau étendu jusqu’au datacenter, à traversun VPN MPLS par exemple. Mais force est de constater que peud’entreprises se sont aujourd’hui lancées dans cette voie, pourdes raisons principalement économiques. Avec une infrastruc-ture WAN totalement mutualisée, l’accès au VLAN téléphoniedoit donc être contrôlé au niveau de chaque site, au minimum parun équipement de filtrage IP – routeur avec ACL ou pare-feu – etsi possible par un dispositif de type IPS (Intrusion PreventionSystem). Les règles de filtrage sont assez simples, puisqu’ellesconsistent à n’autoriser que les flux avec les VLAN ToIP desautres sites et les serveurs en datacenter. En général, on définitdes règles de filtrage sur les adresses IP seules, car les protoco-les de transport de la voix type RTP (Real-time Transport Proto-col) utilisent l’allocation dynamique des ports lors del’établissement de la communication, ce qui n’est pas sans poserproblème à la traversée d’un pare-feu. Il faut dans ce cas soitautoriser tous les numéros de port au-dessus de 1024, soit met-tre en place des mécanismes pour ouvrir dynamiquement desports sur le pare-feu. A noter également qu’il est nécessaire deprévoir un plan d’adressage IP spécifique pour la ToIP, afin d’évi-ter la multiplication du nombre de règles de filtrage sur les équi-pements de sécurité. Enfin, au niveau du point de raccordementWAN, il est recommandé de mettre en place une classe de ser-vice temps réel pour les flux voix, afin de garantir la qualité audioet de limiter le risque d’indisponibilité résultant d’une saturationsur la partie « données ».

Sécuriser les serveurs et les terminaux

Comme pour n’importe quelle autre application informatique, ilest par ailleurs nécessaire de « durcir » la configuration sécurité


des composants ToIP. Au niveau des serveurs tout d’abord, celapasse notamment par l’arrêt de tous les services réseau inutiles,la désactivation des comptes inutilisés ou sans mot de passe, lechangement des mots de passe par défaut, la mise en place dedroits d’accès limités sur les fichiers sensibles, l’activation desfonctions de journalisation, la synchronisation horaire, ainsiqu’éventuellement, la mise en place d’un antivirus. Sur les ser-veurs de messagerie vocale, il est également possible de définirdes quotas par boîte vocale afin d’éviter la saturation. Sur lespasserelles de communication, il faut veiller à la désactivationdes fonctions de routage et s’assurer qu’il n’y a pas de terminai-son possible de tunnel IP/PPP et de conversion du canal RNIS enpaquets IP. Par rapport aux terminaux téléphoniques, le pointimportant concerne le contrôle de la signature du firmware lorsdes opérations de mise à jour à distance. Cette possibilité doitabsolument être activée afin d’éviter le déploiement involontaireou malveillant de firmwares non conformes. Enfin, ce quiconcerne l’administration, il faut privilégier l’utilisation de protoco-les sécurisés comme HTTP-S ou SSH.

Chiffrer les flux ?

Actuellement, rares sont les entreprises qui ont opté pour le chif-frement des flux inter-sites – réalisé par des boîtiers réseau auniveau du point d’interconnexion WAN – et encore plus raressont celles qui ont activé le chiffrement de bout en bout entre ter-minaux téléphoniques. En effet, le chiffrement ne peut aujourd’huiêtre envisagé que dans le cadre de communications internes etnon pas pour les appels externes. D’autre part, les implémenta-tions permettant le chiffrement de bout en bout reposent souventsur l’utilisation de protocoles et d’outils propriétaires ce qui limitel’interopérabilité, bien que des passerelles de conversion soientenvisageables. Enfin, le cloisonnement réseau de l’environne-ment ToIP constitue déjà un premier rempart contre les tentativesd’écoute illicite en interne. Ce qui fait qu’aujourd’hui, le chiffre-ment doit plutôt être considéré comme un service de sécuritéoptionnel, activable entre certaines populations internes d’utilisa-teurs « sensibles ».

Prendre en compte les enjeux métiers

La migration vers la téléphonie sur IP est en marche etaujourd’hui, mieux vaut pour un responsable sécurité anticiper lemouvement, en définissant les règles de sécurité à prendre encompte dans les futurs projets. Au final, la décision de miseen œuvre des différentes mesures doit se faire au regard d’uneanalyse de risques prenant en compte les enjeux métiers et iden-tifiant les risques résiduels, pré requis nécessaire à tout déploie-ment ToIP.

Michel BERNARDconsultant senior

A propos de Solucom

Solucom :Cabinet de conseil en gouvernance des SI et technologies, le groupe Solu-

com rassemble plus de 500 consultants. Dans le domaine de la sécurité, Solucom

accompagne les grandes entreprises dans la mise en place de leur politique de maî-

trise des risques SI et dans le design de leurs architectures de sécurité. Le pôle

sécurité du Groupe Solucom est fort de plus de 120 consultants intervenant sur les

aspects suivants :

• cartographie des risques et conduite d’audits,

• formalisation des politiques et des organisations de management de la sécurité,

• élaboration de plans de continuité d’activité,

• conception des processus et des solutions de gestion des identités et des habilitations.

1. Installez Microsoft Forefront.Les solutions Microsoft Forefront™ facilitent la protectionde vos systèmes informatiques en sécurisant les postesde travail client, les applications serveur et la périphériedu réseau, pour les accès locaux comme distants. Ils vousaident à prévenir plus facilement que jamais toutes lesmenaces de sécurité. Pour découvrir des cas concrets, desdémonstrations et des versions d’essai gratuites, rendez-voussur www.microsoft.com/france/forefront

5. Tendez-leur un piège. Les zombies mangent les cerveaux. C’est répugnant, mais c’est comme ça. Dites-leur que le distributeur au huitième vient juste d’être rechargé en bons cerveaux tout frais, et donnez-leur de la monnaie. Le temps qu’ils se rendent compte que le distributeur est hors service, vous serez loin.

2. Dressez des barricades, mettez vos appels en attente. Rabattez contre les portes les photocopieuses, les caissons tiroirs, les bureaux et les fauteuils. Postez une sentinelle, allumez des torches et retournez à votre véritable occupation : faire marcher une entreprise.

3. Priez pour que le jour se lève.Les zombies profitent généralement de la nuit pour attaquer. Ils n’aiment pas la lumière du jour. Croyez-nous, vous n’avez pas intérêt à ce qu’ils vous trouvent au bureau après la tombée de la nuit. Si vous n’avez pas le choix, gardez au moins une torche à portée de main (ou à défaut une lampe de bureau).

1. Courez (ou partez le plus vite possible). Les zombies traînent plus des pieds qu’ils ne marchent. Quasiment n’importe qui peut les distancer. Même si vous vous contentez de hâter le pas, ça devrait suffire. Ils seront essoufflés au bout de trois mètres. Bien sûr, ce n’est pasune solution à long terme, mais ça rendra au moins leur premièreattaque plus facile à gérer.

4. Trouvez une arme, n’importequelle arme.Personne n’aime recevoir des coups. Les zombies non plus. En leur lançant une lampe, une agrafeuse ou même une cafetière, vous devriez pouvoir les tenir à distance de manière effi cace. Bon, ça ne va pas les tuer (ils sont déjà morts), mais ça les sonnera suffisamment peut-être, le temps pour vous de vous mettre en sécurité.

Maîtriser une attaque dezombies. Facile.

Bloquer un logiciel malveillant. Très facile.

Documents

Management de la sécurité - it-expertise.com · comptes utilisateurs de sa plate-forme d’Appli-cation Intelligence dans le monde. La maîtrise des applications et des prestataires