IBM Managed Security Services for Network Firewalls

Transcription

1 Description des services IBM Managed Security Services for Network Firewalls 1. Nature des services Les services IBM Managed Security Services for Network Firewalls (appelés «Services MSS for Network Firewalls») fournissent au Client des mécanismes de connexion et de contrôle d accès complets. L offre MSS for Network Firewalls se compose des niveaux de service suivants : MSS for Network Firewalls Standard MSS for Network Firewalls Select MSS for Network Firewalls Premium Chacun de ces niveaux de service est décrit en détail ci-dessous. Les détails de votre commande (les services et les niveaux de service dont vous avez besoin, la durée de validité du contrat et les montants, par exemple) seront spécifiés dans la Commande. Les définitions des termes spécifiques aux services sont définis dans le Glossaire disponible sur le site IBM prendra en charge les fonctionnalités produit applicables suivantes : a. Service pare-feu Un pare-feu est un groupe de programmes liés résidant sur un serveur passerelle, qui est conçu pour autoriser ou empêcher certains Systèmes hôtes ou réseaux de communiquer entre eux, en fonction d un ensemble de règles de sécurité prédéfinies. De nombreux pare-feu intègrent un jeu complet de fonctions de gestion de réseau (fonctions de routage et réécriture d adresse et de port, par exemple). b. Service VPN Ce service permet aux réseaux privés virtuels pris en charge et reposant sur un pare-feu de se connecter au pare-feu infogéré. IBM configurera le pare-feu infogéré pour qu il prenne en charge les tunnels VPN client ou de site à site. c. Fonctions à haute disponibilité (en option) Afin de se prémunir contre les pannes de matériel et de disposer d un environnement à haute disponibilité, il est possible de configurer et de déployer deux pare-feu infogérés, l un étant pleinement opérationnel tandis que l autre, inactif, est destiné à servir de pare-feu de secours en cas de défaillance du pare-feu principal. Certains pare-feu peuvent également être déployés en cluster ; dans ce cas, les deux pare-feu fonctionnent simultanément et se partagent la charge réseau. IBM fournira les services de support suivants, s il y a lieu, en complément des fonctionnalités produit répertoriées ci-dessus : a. lancement, évaluation et implémentation du projet Lors du déploiement et du démarrage des Services MSS for Network Firewalls, IBM travaillera en collaboration avec le Client afin de définir les procédures de sécurité adéquates, d apporter une assistance dans l installation et la configuration du ou des pare-feu, et de vérifier le bon fonctionnement du système avant de transférer la gestion du ou des pare-feu sur le SOC. b. gestion de la politique de sécurité Les pare-feu ne sont en mesure de protéger efficacement les Systèmes hôtes que s ils sont configurés correctement pour leur environnement réseau. IBM fournit des services de gestion de la politique de sécurité afin d aider le Client à configurer les pare-feu au moyen d une politique de sécurité adéquate et à garder trace de toutes les modifications effectuées. c. gestion du système IBM assurera la maintenance du pare-feu en lui appliquant des mises à jour fournisseur et en surveillant l état de santé et la disponibilité du système. d. surveillance des événements de sécurité INTC /2007 Page 1 / 18

2 Les pare-feu sont capables de générer un volume d alertes important en réponse aux conditions de sécurité qu ils sont configurés pour détecter. Mais le risque réel pour la sécurité associé à une condition d alerte spécifique ayant été détectée par un pare-feu n est pas toujours clair, et il n est pas pratique de bloquer par défaut toutes les données qui peuvent s avérer préjudiciables. Les services de surveillance et d analyse assurés 24 heures sur 24, 7 jours sur 7 par les analystes de sécurité IBM contribuent à combler cette lacune en matière de sécurité en maintenant la vigilance sur les alertes qui peuvent s avérer sérieuses, en validant ces alertes comme des Incidents de Sécurité probables et en faisant remonter ces Incidents de sécurité probables jusqu au Client. e. gestion des vulnérabilités Les vulnérabilités constituent les points faibles des Systèmes hôte au sein de l environnement du Client. IBM fournira des services de gestion des vulnérabilités pour permettre d identifier ces vulnérabilités et d y remédier. f. XFTAS IBM fournira au Client des services de veille sécuritaire basés sur les recherches menées par l équipe de Recherche & Développement IBM X-Force, sur le bilan des activités mondiales en termes de menaces, tel qu il a été établi par IBM Global Threat Operations Center, et sur les recherches complémentaires réalisées par des organismes publics ou privés. g. Virtual-SOC Le Virtual-SOC est un portail Web qui permet au Client d accéder à une somme d informations sur la gestion du pare-feu, les alertes, les fichiers journaux, les rapports, les demandes de modification de procédure, et à d autres types de tickets de service. Le tableau suivant présente les fonctionnalités produit inhérentes aux Services MSS pour les pare-feu, par niveau de service. Tableau 1 Fonctionnalités produit Fonctionnalité Niveau Standard Niveau Select Niveau Premium Largeur de bande prise en charge 100 Mo maxi. De 100 Mo à 1 Go et plus De 100 Mo à 1 Go et plus Nombre d utilisateurs pris en charge Service pare-feu Service VPN Fonctions à haute disponibilité Gestion des accès hors bande («OOB») 500 maxi. 500 et plus 500 et plus Règles de sécurité pare-feu personnalisée Prend en charge les connexions VPN client, SSL et de site à site Prennent en charge les configurations redondantes de type actif/actif ou actif/passif. En option En standard En standard Surveillance des événements de sécurité Disponible sous forme de module optionnel Disponible sous forme de module optionnel Intégré au service Sécurité Web Non disponible Disponible sous forme de module optionnel pour les plates-formes prises en charges uniquement Disponible sous forme de module optionnel pour les plates-formes prises en charge uniquement Antivirus Non disponible Disponible sous forme de module optionnel pour les plates-formes prises en charge uniquement Disponible sous forme de module optionnel pour les plates-formes prises en charge uniquement Le tableau suivant présente les services de support fournis en complément des fonctionnalités produits répertoriées ci-dessus, par niveau de service. INTC /2007 Page 2 / 18

3 Tableau 2 - Services Fonctionnalité Niveau Standard Niveau Select Niveau Premium Lancement, évaluation et implémentation du projet Intégré Gestion de la politique de sécurité Jusqu à 2 demandes de modification de procédure par mois Jusqu à 4 demandes de modification de procédure par mois Nombre illimité de demandes de modification de procédure par mois Gestion du système Surveillance des événements de sécurité Surveillance, 24 heures sur 24, 7 jours sur 7, de l état de santé et de la disponibilité du système, et maintenance du pare-feu et du Contenu de sécurité Non Non Oui Gestion des vulnérabilités Scan trimestriel d une adresse IP Scan trimestriel de 2 adresses IP Scan trimestriel de 3 adresses IP XFTAS Virtual-SOC 1 abonnement complémentaire pour une personne au service de veille sécuritaire XFTAS Offre un accès en temps réel pour les communications MSS for Network Firewalls Standard MSS for Network Firewalls Standard est un service pare-feu conçu pour prévenir ou bloquer tout trafic malveillant ou indésirable. Ce service identifie et bloque l accès au réseau de certaines données et applications via une méthode d inspection dynamique de paquets (également appelée «filtrage dynamique de paquets»). MSS for Network Firewalls Standard est conçu pour prendre en charge jusqu à 500 utilisateurs. 2. Responsabilités d IBM 2.1 Déploiement et initialisation Collecte de données Lors de la phase de déploiement et d initialisation, IBM travaillera en collaboration avec le Client pour déployer un nouveau pare-feu ou commencer à gérer le pare-feu existant Lancement du projet IBM enverra au client un courriel d accueil et organisera une conférence téléphonique initiale afin de : présenter les points de contact Client au spécialiste du déploiement IBM ; définir les attentes vis-à-vis du projet ; commencer à évaluer les besoins et l environnement du Client. IBM fournira un document intitulé «Spécifications d accès au réseau», qui décrit la façon dont IBM se connectera à distance au réseau du Client, ainsi que les spécifications techniques requises pour permettre ce type d accès. En règle générale, IBM se connectera via Internet, à l aide de méthodes d accès standard ; toutefois, une connexion VPN de site à site pourra, le cas échéant, être utilisée Évaluation Collecte de données IBM remettra un formulaire au Client pour permettre à ce dernier de consigner des informations détaillées sur la procédure de configuration initiale du pare-feu et des services qui lui sont associés. La plupart des questions sont d ordre technique et doivent permettre d identifier la configuration de réseau du Client, les Systèmes hôtes connectés au réseau, ainsi que les procédures de sécurité souhaitées. Une partie des données requises est censée refléter l organisation du Client et inclut la liste des personnes à contacter en matière de sécurité, ainsi que les processus d escalade adéquats. Évaluation de l environnement INTC /2007 Page 3 / 18

4 Sur la base des informations fournies, IBM travaillera en collaboration avec le Client afin d analyser l environnement existant et d établir une politique de configuration et de sécurité pour le pare-feu. En cas de migration d un pare-feu existant vers un nouveau pare-feu, IBM se basera sur la politique de configuration et de sécurité existante. Lors de cette évaluation, IBM peut être appelé à formuler des recommandations sur la manière d ajuster les règles de sécurité du pare-feu et la configuration du réseau afin d optimiser la sécurité. IBM recommande de déployer tous les pare-feu en ligne, sur le périmètre du réseau. Si le Client décide de déployer le pare-feu en mode passif, le niveau de protection s en trouvera nettement diminué. Et si le Client décide de passer ultérieurement à un déploiement en ligne, le processus de transition devra faire l objet d une notification préalable compte tenu de l effort supplémentaire qu il implique. IBM travaillera en collaboration avec le Client afin d identifier le mode de configuration optimal du parefeu en fonction de la configuration du réseau et des règles de sécurité du pare-feu adoptées, ainsi que des menaces les plus actives à l échelle mondiale (telles qu elles sont définies par IBM Global Threat Operations Center). IBM peut être appelé à ajuster la stratégie de façon à réduire le nombre d alertes erronées, le cas échéant. Évaluation du pare-feu existant Si IBM reprend la gestion d un pare-feu existant, IBM devra évaluer ce pare-feu afin de s assurer qu il répond à certaines spécifications. IBM pourra exiger la mise à niveau du logiciel pare-feu ou du Contenu de sécurité existant pour pouvoir assurer le service. IBM pourra en outre imposer comme autres conditions l ajout ou la suppression d un certain nombre d applications et de comptes utilisateurs Implémentation Configuration chez IBM Pour les pare-feu achetés auprès d IBM, au moment du déploiement, la plupart des tâches de configuration et de développement de la politique de sécurité seront exécutées dans les locaux d IBM. Pour les pare-feu existants déjà opérationnels, le Client aura la possibilité d expédier le pare-feu à IBM pour qu il soit configuré dans les locaux d IBM. Installation Bien que les procédures d installation et de câblage physiques relèvent de la responsabilité du Client, IBM fournira une assistance permanente, par téléphone et messagerie électronique, et aidera le Client à se procurer les documents fournisseur décrivant la procédure d installation du pare-feu. Ce type d assistance devra être planifié à l avance pour permettre à IBM de garantir la disponibilité d un spécialiste du déploiement. À la demande du Client, l installation physique pourra être assurée par IBM Professional Security Services («PSS»), moyennant une redevance addtionnelle. Si le Client décide de déployer VPN client de Proventia MX, IBM prendra en charge le déploiement du logiciel VPN client via un modèle d habilitation, comme expliqué dans la section «Service VPN» et la sous-section «VPN client» ci-dessous. Configuration à distance Lorsque IBM reprend la gestion d un pare-feu existant, IBM exécute en général la procédure de configuration à distance. La présence du Client peut toutefois s avérer indispensable pour charger physiquement les supports. Tous les pare-feu infogérés nécessitent certaines opérations de configuration à distance, telles que l enregistrement du pare-feu au sein de l infrastructure IBM Managed Security Services Transfert sur le SOC Une fois le pare-feu configuré, physiquement installé, implémenté et connecté à l infrastructure IBM Managed Security Services, IBM offrira au Client la possibilité d assister à une démonstration des fonctionnalités du Virtual-SOC et de l exécution des tâches les plus courantes. L étape finale du déploiement des services consiste à transférer sur le SOC la gestion et le support du pare-feu et de la relation Client. Ce moment entame officiellement la phase de gestion et de support permanent des services. En règle générale, IBM présente le Client par téléphone au personnel du SOC. INTC /2007 Page 4 / 18

5 2.2 Gestion et support permanent Une fois l environnement en place et pendant toute période ultérieure de reconduction du contrat, IBM fournira les Services MSS for Network Firewalls Standard sur la base de prestations de type 24 heures sur 24, 7 jours sur Gestion de la politique de sécurité Modifications Une modification simple de la configuration ou des règles de sécurité du pare-feu fera l objet d une demande d ajout ou de modification pour une règle unique et pour cinq objets IP ou réseau maximum par demande. Toute demande de modification impliquant l ajout d au moins six objets IP ou réseau, ou la manipulation d au moins deux règles, sera comptabilisée comme deux demandes ou plus. Si la demande porte sur des modifications qui n entrent pas dans le cadre de la politique de sécurité du pare-feu fondée sur un ensemble de règles, chaque demande soumise sera considérée comme une demande de modification unique, dans les limites du raisonnable. Toutes les modifications à apporter à la configuration/politique de sécurité du pare-feu seront effectuées par IBM. Les Clients ayant souscrit l offre MSS for Network Firewalls Standard pourront soumettre une demande de modification de procédure au moyen de Virtual-SOC, à raison de deux modifications au maximum par mois calendaire de leur configuration/politique de sécurité. Des modifications de politiques de sécurité supplémentaires peuvent être réalisées moyennant une redevance additionnelle. À la fin du mois calendaire en cours, toute demande de modification non utilisée sera considérée comme caduque et ne pourra être reportée sur le mois suivant. Maintenance régulière de la politique de sécurité IBM travaillera en collaboration avec le Client afin d établir des stratégies de protection, telles que le blocage automatique de certains comportements dans le cas où les pare-feu sont déployés en ligne. IBM procédera à un audit trimestriel des paramètres de sécurité du Client afin d en vérifier l exactitude. Une fois par trimestre (à la demande du Client), IBM passera en revue tous les pare-feu infogérés avec le Client et préconisera un certain nombre de modifications à apporter à la politique de protection réseau. Authentification et gestion des comptes utilisateur Certaines fonctions de pare-feu prennent en charge l authentification des comptes utilisateur afin d autoriser les procédures d accès via des serveurs proxy propres à certaines applications ou l utilisation de protocoles spécifiques. IBM permet l implémentation de ce type de fonctionnalité ; toutefois, la gestion des comptes utilisateur relève de la responsabilité du Client. Le Client peut être appelé à intégrer au pare-feu un serveur d authentification tiers. Ce type de serveur, administré par le client, peut offrir des fonctions de gestion utilisateur additionnelles. Les questions IBM concernant l authentification des protocoles et des serveurs proxy propres à certaines applications s étendent également aux solutions VPN client et SSL («Secure Sockets Layer»). Notifications et alertes Certains pare-feu permettent de générer et d envoyer des courriels de notification et/ou des alarmes SNMP depuis le système lorsque des événements spécifiques liés au pare-feu se produisent. En se conformant à la procédure de demande de modification standard, le Client pourra demander à IBM de configurer le pare-feu pour qu il envoie des courriels de notification à une adresse spécifiée ou qu il génère des alarmes SNMP. Ce type de configuration est soumis à l approbation d IBM qui s engage à fournir une réponse dans un délai raisonnable. La demande pourra toutefois être rejetée, notamment si cette configuration risque d avoir un effet préjudiciable sur l aptitude de la plate-forme à protéger l environnement réseau.les modifications apportées aux paramètres de notification et d alerte de la plate-forme feront l objet d une demande de modification de procédure Gestion du dispositif De façon générale, IBM sera l unique fournisseur pour la partie logicielle de la gestion du dispositif parefeu. Via des droits d accès de niveau root/superutilisateur/administrateur au système, ainsi qu un module de gestion des accès hors bande et un pare-feu installés sur le système, IBM surveillera en permanence l état du dispositif, appliquera les correctifs et les mises à jour du système d exploitation («OS»), résoudra les incidents qui affectent le système et veillera, avec le Client, à ce que le dispositif soit toujours disponible. IBM supervisera la disponibilité du pare-feu, enverra un message de notification au INTC /2007 Page 5 / 18

6 Client lorsque certains seuils d utilisation auront été atteints et surveillera le système 24 heures sur 24, 7 jours sur 7. Des mises à jour régulières et automatiques seront fournies pour les logiciels et les microprogrammes. IBM PSS peut fournir une assistance sur site moyennant un une redevance additionnelle. Gestion des connexions Tous les journaux, événements et données de gestion liés à la sécurité transitent par Internet entre le SOC et le pare-feu infogéré. Ces données sont cryptées, dans la mesure du possible, au moyen d algorithmes de chiffrement renforcé. Les demandes de connexion par d autres modes (réseau privé de données et/ou réseau privé virtuel, par exemple) seront étudiées au cas par cas. La prise en charge des besoins de connexion qui sortent du cadre des processus intrabande standard pourra donner lieu à l application d une redevance mensuelle supplémentaire. Stockage des fichiers journaux X-Force Protection System («XPS») sert d entrepôt de données pour les données d événements émanant de différentes ressources de sécurité, applications et plates-formes. Après avoir été visualisés sur le Virtual-SOC, les fichiers journaux sont transférés sur un support de sauvegarde physique, tel qu une bande ou un DVD. Les supports de sauvegarde sont archivés sur un site sécurisé présentant un environnement contrôlé. Les données archivées seront disponibles pendant un laps de temps défini par l utilisateur, dans la limite de sept ans à compter de la date de création du journal. À la demande du Client, IBM soumettra une demande de recherche et d extraction de support. Des frais de consultation seront appliqués sur une base horaire pour l ensemble du temps passé à restaurer et à présenter les données au format requis par le Client. Surveillance de l état opérationnel et de la disponibilité de MSS for Network Firewalls L état opérationnel et les performances de MSS for Network Firewalls Standard sont surveillés au moyen de SNMP ou, dans la mesure du possible, par un pare-feu dédié résidant sur le Système hôte. Les dispositifs sont interrogés régulièrement par le SOC afin de tenir les spécialistes de la sécurité IBM informés des problèmes potentiels à mesure qu ils évoluent. Les principaux indicateurs de performances analysés par le pare-feu de surveillance sont : la capacité de disque dur (s il y a lieu) ; le taux d utilisation processeur ; le taux d utilisation mémoire ; la disponibilité des processus. Outre l état de santé proprement dit, IBM contrôlera le temps de bon fonctionnement et la disponibilité du système. En cas de perte de contact avec un système géré, des procédures de vérification additionnelles relatives aux temps seront lancées pour s assurer qu un motif valable d interruption de service a été identifié. En cas de confirmation d une interruption de service ou de problèmes liés à l état opérationnel du dispositif, un ticket d incident sera créé et un message de notification sera adressé à un analyste de la sécurité IBM pour lui permettre de lancer une procédure de recherche et d investigation. L état de tous les tickets de santé du dispositif est disponible par le biais du Virtual-SOC. Notification relative aux interruptions de service Si le pare-feu n est pas accessible à l aide des processus de connexion intrabande standard, le Client en sera informé par téléphone selon un processus d escalade prédéfinie. À la suite de ce processus téléphonique, IBM commencera à effectuer des recherches sur les problèmes liés à la configuration ou aux fonctionnalités du dispositif géré. Mises à jour du système d exploitation et des applications IBM sera amené périodiquement à installer des correctifs et des mises à jour de logiciels afin d optimiser les performances du dispositif, d activer de nouvelles fonctionnalités et de résoudre les problèmes applicatifs potentiels. L application de ces correctifs et mises à jour pourra nécessiter l immobilisation de la plate-forme ou l assistance du Client. IBM annoncera, si nécessaire, une fenêtre de maintenance avant l application de ces mises à jours, et tiendra le Client clairement informé de l impact des opérations de maintenance planifiée, en tenant compte de ses impératifs. INTC /2007 Page 6 / 18

7 Mises à jour du Contenu de sécurité Afin de veiller à ce que les menaces les plus courantes soient correctement identifiées, IBM mettra périodiquement à jour les plates-formes de sécurité à l aide du Contenu de sécurité le plus récent. Ce Contenu de sécurité, disponible sous forme de nouveaux contrôles ou de nouvelles signatures pour le système de prévention d intrusion, de modules anti-spam et anti-virus, et de nouvelles listes d URL pour le module de filtrage Web, contribue à optimiser les fonctions de sécurité du pare-feu. Le Contenu de sécurité pourra être téléchargé et installé à tout moment sur la plate-forme de sécurité, à la discrétion d IBM. Ce type d opération est transparent pour l utilisateur. Résolution des incidents qui affectent le dispositif Si le pare-feu ne fonctionne pas comme prévu ou est identifié comme la source potentielle d un incident réseau, IBM examinera la configuration et les fonctionnalités du dispositif afin de détecter les problèmes éventuels. La procédure de dépannage peut consister en une analyse hors connexion effectuée par IBM ou en une session de résolution d incidents en ligne entre IBM et le Client. IBM s efforcera de résoudre tous les problèmes techniques aussi convenablement que possible. Si le pare-feu est hors de cause, IBM mettra fin à la procédure de résolution d incidents. Gestion des accès hors bande (en option) La gestion des accès hors bande («OOB») est une fonction optionnelle destinée à aider le SOC à diagnostiquer les incidents potentiels qui affectent le système. Pour pouvoir implémenter cette fonction, le Client devra acquérir un équipement OOB pris en charge par IBM et prévoir une ligne analogique dédiée pour la connexion. Si le Client dispose déjà d une solution OOB, celle-ci sera utilisée par IBM pour accéder aux dispositifs infogérés, sous réserve que : cette solution ne permette pas à IBM d accéder à des dispositifs non gérés ; l utilisation de cette solution ne nécessite pas l installation d un logiciel spécialisé ; le Client fournisse des instructions détaillées sur la manière d accéder aux dispositifs infogérés par IBM ; le Client assume l entière responsabilité de la gestion de la solution OOB Service de gestion des vulnérabilités Le service de gestion des vulnérabilités est un service électronique à distance qui scanne de façon automatique et régulière les systèmes du Client situés sur le périmètre Internet afin de détecter des vulnérabilités connues. Chaque opération de balayage fait l objet de plusieurs rapports exhaustifs, conçus pour permettre d identifier les points faibles éventuels, d évaluer le degré relatif d exposition au risque du réseau et de fournir des recommandations sur la façon de gérer les vulnérabilités identifiées. IBM demandera au Client de confirmer qu il est propriétaire de la plage d adresses IP à scanner avant que le balayage ne commence. Pour chaque pare-feu acheté, le Client recevra chaque trimestre les résultats de la procédure de balayage et d évaluation des vulnérabilités associées à une adresse IP spécifique. Le service de gestion des vulnérabilités recouvre les fonctionnalités suivantes : a. Gestion des vulnérabilités externes - IBM délivre cette fonctionnalité pour chacun des pare-feu dont il assume la gestion à part entière. Cela implique le balayage trimestriel, pendant toute la durée de validité du contrat, de l une des adresses IP, accessibles via Internet, des Systèmes hôtes. b. Découverte des vulnérabilités Les scanners IBM sont conçus pour détecter un large spectre de vulnérabilités sur une grande variété de Systèmes hôtes. c. Prioritisation - IBM classe par catégorie chacun des systèmes (ressources) scannés et permet au Client d affecter des degrés de priorité stratégique et des propriétaires système à chaque ressource. Cela permet à IBM d avertir les propriétaires des ressources concernées lorsque des vulnérabilités sont identifiées, et de promouvoir la création de rapports personnalisés concernant l impact global du programme sur la situation en matière de sécurité. d. Résolution les vulnérabilités identifiées peuvent être soumises aux propriétaires des ressources concernées afin d être analysées et résolues. Chaque propriétaire de ressource a la possibilité d accéder au Virtual-SOC pour s informer sur telle ou telle vulnérabilité et assurer le suivi de son processus de résolution au sein de l entreprise. INTC /2007 Page 7 / 18

8 2.2.4 XFTAS e. Protection dynamique les fonctions de gestion des vulnérabilités peuvent être intégrées à l un des services IBM MSS (IBM Managed Security Services) existants du Client afin de demander la mise à jour dynamique des procédures de prévention d intrusion serveur et réseau par le biais de mesures de blocage adéquates. f. Vérification une fois que le propriétaire d une ressource a indiqué avoir remédié efficacement aux vulnérabilités du système ou de l application dont il a la charge, l affectation demeure valide jusqu à ce que le scanner vérifie que les vecteurs d attaque connus ont bien été éliminés. g. Création de rapports personnalisés - IBM fournit des rapports sur les performances des services et la situation en matière de sécurité, soit sous forme de présentations indépendantes, soit en associant ces informations aux données émanant d autres services IBM MSS. Le service XFTAS permet de gérer la sécurité de façon proactive via une évaluation complète de l état global des menaces en ligne, ainsi que des analyses détaillées. Ce service offre une combinaison d informations sur les menaces, collectées auprès des IBM Virtual Security Operations Centers («SOC»), ainsi que des données fiables en matière de veille sécuritaire émanant de l équipe de Recherche & Développement de la X-Force. L association de ces deux types d information permet d identifier la nature et le degré de gravité des menaces Internet externes. Pour chaque pare-feu acheté, le Client se verra proposer un abonnement pour une personne au service XFTAS, pendant toute la durée de validité du contrat Virtual-SOC Le Virtual-SOC est un portail Web conçu pour fournir des informations stratégiques sur les services et les solutions de protection à la demande. Le Virtual-SOC est structuré de façon à offrir une vue unifiée de la situation globale du Client au regard de la sécurité. Il est capable d intégrer, au sein d une même interface, des données émanant de plusieurs secteurs géographiques ou se rapportant à diverses technologies, offrant ainsi un jeu complet de fonctions d analyse, d alerte, de résolution d incidents et de production de rapports. Le Virtual-SOC offre un accès en temps réel pour les communications concernant, par exemple, la création de tickets, la gestion d événements, la résolution d incidents, la présentation des données, la production de rapports et l analyse de tendances. Production de rapports Via le portail Web IBM dédié à la sécurité, le Client pourra accéder à tout moment à un jeu complet d informations sur les services afin de consulter la liste des tickets de service et des Incidents de sécurité. Une fois par mois, IBM fournira un rapport de synthèse indiquant : a. le nombre d Accords sur le niveau de service (SLA) invoqués et honorés ; b. le nombre et le type de demandes de service ; c. la liste et le récapitulatif des tickets de service ; d. le nombre d Incidents de sécurité détectés, ainsi que leur statut et leur degré de priorité ; e. la liste et le récapitulatif des Incidents de sécurité Service VPN Ce service permet aux réseaux privés virtuels pris en charge et hébergés sur un serveur de se connecter au pare-feu, et contribue à sécuriser les transmissions de données sur des réseaux non sécurisés, via des tunnels VPN de site à site. La configuration par défaut de ce service active cette fonctionnalité sur le pare-feu infogéré et prend en charge la configuration initiale de deux sites distants maximum. À l issue de la procédure de configuration initiale, toute configuration ultérieure d une solution VPN de site à site sera considérée comme une modification de procédure. IBM prendra en charge des méthodes d authentification statique pour les deux configurations VPN de site à site. L authentification statique permet en outre d utiliser l implémentation existante du serveur d authentification Radius du Client. Les méthodes d authentification par certificat ne sont actuellement pas prises en charge dans le cadre de la configuration du service VPN. Solutions VPN de site à site Une solution VPN de site à site se définit comme un réseau privé virtuel placé entre le pare-feu infogéré et un autre système de cryptage pris en charge. Ce type de solution contribue à sécuriser l ensemble des INTC /2007 Page 8 / 18

9 connexions réseau en créant un tunnel entre la plate-forme pare-feu et un autre point d extrémité VPN compatible. Il est possible de déployer des solutions VPN de site à site entre : deux pare-feu gérés par IBM et compatibles VPN, ou un point d extrémité géré par IBM et un point d extrémité non géré par IBM. La configuration initiale de ce type de solution sera assortie de l application d une redevance exceptionnelle. Au cas où des incidents liés au tunnel VPN se produiraient après la configuration, IBM s engage à collaborer avec le Client afin d identifier, de diagnostiquer et de résoudre les problèmes de performances et ceux dans lesquels IBM est impliqué Fonctions à haute disponibilité (en option) Les fonctions à haute disponibilité («HA») contribuent à renforcer la fiabilité des services MSS for Network Firewalls - Standard en prenant en charge l implémentation de dispositifs pare-feu redondants au sein de votre environnement géré. L ajout de fonctions à haute disponibilité à l offre MSS for Network Firewalls - Standard peut impliquer un certain nombre de modifications au niveau de la plate-forme parefeu, du processus de gestion de licences, des besoins d adressage IP ou du prix des services gérés. L offre MSS for Network Firewalls - Standard ne prend pas en charge les solutions HA tierces non intégrées. Les fonctions HA sont disponibles sous la forme d un module optionnel, moyennant une redevance additionnelle. Implémentation de configurations redondantes de type actif/passif Les configurations redondantes de type actif/passif contribuent à renforcer la fiabilité de la plate-forme pare-feu. Dans ce type de configuration, un second pare-feu est configuré comme un système de secours automatique, prêt à entrer en service à tout moment sur le réseau au cas où le pare-feu principal subirait une panne de matériel ou de logiciel sérieuse. Dans ce type de scénario, le processus de reprise par transfert est automatique et quasi-instantané. L implémentation de configurations redondantes de type actif/passif est recommandée dans les environnements stratégiques présentant un volume de trafic faible à modéré. Implémentations de configurations redondantes de type actif/actif L implémentation de clusters de type actif/actif contribue à améliorer la fiabilité et les performances des pare-feu gérés en utilisant deux pare-feu pour gérer le trafic réseau simultanément. Dans ce type de configuration, chaque pare-feu gère une partie des paquets réseau, qui est calculée par un algorithme d équilibrage de charge. En cas de défaillance de l un des pare-feu, l autre est conçu pour prendre automatiquement en charge l intégralité du trafic jusqu à ce que le pare-feu défectueux soit de nouveau opérationnel. L implémentation de configurations redondantes de type actif/actif est recommandée dans les environnements stratégiques présentant un gros volume de trafic ou d importantes variations dans le taux d utilisation du réseau Surveillance des événements de sécurité (en option) IBM étendra les fonctions d analyse automatisée de l infrastructure XPS via la surveillance en temps réel, 24 heures sur 24, 7 jours sur 7, des événements de sécurité. En cas de détection d une action malveillante, IBM passera en revue les alertes pertinentes et générera, si nécessaire, un ticket d Incident de sécurité sur le Virtual-SOC. Une fois analysés et validés, les Incidents de sécurité seront signalés au Client par messagerie électronique, messagerie textuelle ou téléphone, selon le degré de gravité de l événement, conformément à la procédure décrite dans la section de la présente Description des services intitulée «Recours». Le Client se verra fournir une description de l Incident de sécurité et de son impact potentiel, ainsi qu une liste de recommandations concernant les mesures à prendre. Un courriel contenant tous les détails de l Incident de sécurité sera envoyé au point de contact désigné du Client. Les attaques identifiées qui sont couvertes par la stratégie de pare-feu seront rapportées de façon exhaustive via le Virtual-SOC. Dans la mesure où des actions malveillantes peuvent être perpétrées à tout moment, 24 heures sur 24, 7 jours sur 7, et où le blocage du trafic constitue un processus récurrent, le blocage du trafic entrant non sollicité ne fera l objet d aucun processus d escalade. En cas de confirmation de l existence d une brèche dans le système de sécurité, il est possible de faire appel aux services d intervention d urgence IBM, moyennant un surcoût. Ces services peuvent englober l évaluation des dommages, le développement de plans de mesures correctives et/ou l examen des Systèmes hôtes atteints par un spécialiste des délits informatiques. La surveillance des événements de INTC /2007 Page 9 / 18

10 sécurité est un service proposé en option, moyennant un surcoût, avec les niveaux de service MSS for Network Firewall Standard et Select. 3. Responsabilités du Client Tandis qu IBM travaillera avec le Client au déploiement et à l implémentation du pare-feu et qu il gérera ce service, le Client sera tenu de collaborer en toute bonne foi et d assister IBM dans certaines circonstances, à la demande de ce dernier. 3.1 Déploiement et initialisation Le Client est responsable de toutes les procédures d installation physique et de câblage, et peut être appelé à charger physiquement les supports. IBM fournira une assistance en temps réel, par téléphone et messagerie électronique, pendant les heures normales de bureau. Lors de la phase de déploiement, le Client travaillera avec IBM au déploiement d un nouveau pare-feu ou à la mise en place de l infrastructure de gestion d un pare-feu existant, selon le cas. Le Client participera à une conférence initiale planifiée afin de présenter les membres de l équipe, de définir les attentes vis-à-vis du projet et de lancer le processus d évaluation. Le Client sera tenu de remplir un formulaire afin de fournir des informations détaillées sur la configuration réseau (y compris les applications et services destinés aux Systèmes hôtes résidant sur le réseau protégé) et devra collaborer avec IBM en toute bonne foi pour permettre à IBM d évaluer son réseau et son environnement de façon précise. Le Client devra fournir une liste de points de contact et définir un processus d escalade au sein de l entreprise pour le cas où IBM aurait besoin de le contacter. S il reprend la gestion d un pare-feu existant, IBM pourra exiger la mise à niveau du logiciel pare-feu ou du Contenu de sécurité existant pour pouvoir assurer le service. IBM pourra en outre imposer comme autres conditions l ajout ou la suppression d un certain nombre d applications et de comptes utilisateurs. Le Client assumera l entière responsabilité de ces mises à niveau, ajouts ou suppressions. Le Client devra s assurer que tout pare-feu existant répond aux spécifications d IBM et se conformer aux recommandations relatives à son réseau et à ses besoins d accès réseau, si des modifications sont nécessaires pour garantir des stratégies de protection efficaces. Alors qu IBM fournira conseils et assistance, le Client sera responsable de l installation physique et du câblage de tous les pare-feu, à moins que ce service ne soit assuré dans le cadre d un projet d expertise conseil IBM PSS. S il décide de déployer une solution VPN client, le Client est responsable de l installation effective et de certaines des procédures de test du logiciel VPN client, avec le support d IBM. Il appartient en outre au Client de se procurer tout logiciel VPN client directement auprès d un fournisseur, bien qu IBM fournisse des recommandations quant au choix du fournisseur et oriente le Client vers le Contact fournisseur approprié. 3.2 Gestion et support permanent Le Client est responsable de la gestion des contrats de maintenance matériel et logiciel en cours de validité. Il appartient en outre au Client d apporter les modifications convenues à l environnement réseau, sur la base des recommandations d IBM. Le Client est tenu de maintenir à tout moment une connexion Internet active et pleinement opérationnelle. Le Client convient de collaborer avec IBM sur une base annuelle afin de passer en revue la configuration matérielle courante des systèmes gérés et d identifier les mises à jour requises. Ces mises à jour seront fondées sur l évolution des fonctionnalités du système d exploitation et des besoins applicatifs. Pour ce qui est des connexions VPN aux sites qui ne sont pas gérés par IBM, le Client devra fournir un formulaire dûment rempli, intitulé «Configuration des connexions VPN de site à site». Le réseau privé virtuel sera configuré conformément aux informations fournies. La résolution des incidents affectant les connexions à des sites distants se limite exclusivement aux sites gérés par IBM. S il souhaite activer les fonctions à haute disponibilité («HA») associées à l offre MSS for Network Firewalls Standard, le Client s engage à acquérir un second pare-feu et à assumer les frais qu implique la gestion régulière de ce pare-feu. Pour pouvoir implémenter une solution de gestion hors bande (OOB), le Client devra acquérir un équipement OOB pris en charge par IBM et prévoir une ligne analogique dédiée pour la connexion. Le INTC /2007 Page 10 / 18

11 Client s engage à assumer les coûts d achat et d abonnement associés à l équipement et à la ligne téléphonique, ainsi que les frais qu implique la gestion régulière de ces dispositifs. MSS for Network Firewalls Select MSS for Network Firewalls Select est conçu pour prendre en charge plus de 500 utilisateurs. Ce niveau de service englobe les mêmes fonctionnalités que l offre MSS for Network Firewalls Standard, plus un certain nombre de fonctions étendues ou additionnelles qui sont décrites ci-dessous. En conséquence, IBM assumera les responsabilités décrites dans la section «MSS for Network Firewalls Standard» et la sous-section «Responsabilités d IBM» ci-dessus, ainsi que les responsabilités décrites dans la section «MSS for Network Firewalls Select» et la sous-section «Responsabilités d IBM» ci-dessous. Pour votre part, vous vous engagez à assumer toutes les tâches décrites dans la section «MSS for Network Firewalls Standard» et la sous-section «Responsabilités du Client» ci-dessus, ainsi que les responsabilités décrites dans la section «MSS for Network Firewalls Select» et la sous-section «Responsabilités du Client» ci-dessous. 4. Responsabilités d IBM 4.1 Gestion et support permanent IBM fournira les services de support suivants, en complément de l offre MSS for Network Firewalls Select, pendant toute la durée de validité du contrat, une fois l environnement en place et pendant toute période ultérieure de reconduction du contrat Gestion de la stratégie Modifications Le Client pourra traiter jusqu à quatre modifications de configuration/stratégie par mois calendaire, en soumettant une demande de modification de procédure par le biais du Virtual-SOC. Il est possible d appliquer des changements de stratégie supplémentaires moyennant un surcoût. À la fin du mois calendaire en cours, toute demande de modification non utilisée sera considérée comme caduque et ne pourra être reportée sur le mois suivant. De plus, le Client peut spécifier l intervalle de temps pendant lequel IBM doit implémenter une modification de stratégie ou de configuration spécifique. Le Client peut spécifier une heure de début et éventuellement une heure de fin, sous réserve que la fenêtre de maintenance soit de 30 minutes minimum. Si le Client ne spécifie pas d heure de fin pour la fenêtre de maintenance, IBM lancera l implémentation de la modification requise dans un délai de 30 minutes à compter de l heure de début. Si le Client spécifie une heure de début et une heure de fin, IBM lancera l implémentation de la modification dans la fenêtre de maintenance indiquée Service de gestion des vulnérabilités Pour chaque pare-feu acheté, le Client bénéficiera du scannage trimestriel à distance de deux adresses IP, à savoir les adresses IP, accessibles via Internet, du pare-feu et d un autre Système hôte Service VPN MSS for Network Firewalls Select permet au Client de configurer un nombre illimité de connexions VPN client, SSL ou de site à site. Le nombre total de tunnels pris en charge, ainsi que la possibilité d implémenter des tunnels SSL, sont soumis aux restrictions technologiques des plates-formes pare feu déployées. IBM ne prend en charge que les mécanismes d authentification statique dans le cadre des connexions VPN client. Solutions VPN client Les solutions VPN client permettent de sécuriser les connexions au sein d un réseau protégé, depuis une station de travail spécifique dotée du logiciel VPN client et des autorisations d accès adéquates. Ce type de solution permet aux télétravailleurs d accéder aux ressources réseau internes de l entreprise, sans risque d écoute clandestine ou de compromission de données. IBM prend en charge les implémentations VPN client via un modèle de permission. IBM travaillera en collaboration avec le Client afin de configurer et de tester les cinq premiers utilisateurs du tunnel VPN client. Une fois que le tunnel VPN aura été établi pour ces cinq premiers utilisateurs, le Client sera responsable des procédures de gestion utilisateur pour les autres utilisateurs nécessitant une connexion INTC /2007 Page 11 / 18

12 VPN client. IBM fournira au Client une démonstration des fonctions de gestion utilisateur de la plateforme pare-feu déployée (s il y a lieu), et l aidera à implémenter les niveaux d accès et les logiciels requis pour mener à bien la configuration. Les solutions VPN client requièrent généralement l installation d une application VPN client sur les stations de travail appelées à se connecter au tunnel sécurisé. Le pare-feu déployé est conçu pour identifier les applications VPN client qui doivent être prises en charge par MSS for Network Firewalls - Select. Certaines applications VPN client sont disponibles gratuitement auprès de leurs fournisseurs respectifs, tandis que d autres font l objet d une licence par utilisateur. Les coûts d acquisition, d installation, ainsi que les frais annexes associés à tout logiciel VPN client nécessaire sont à la charge exclusive du Client. Solutions VPN SSL Les solutions VPN SSL permettent de sécuriser les connexions aux ressources de l entreprise depuis n importe quel ordinateur personnel («PC») compatible Web, sans devoir faire appel à une application VPN client dédiée. Cela permet aux télétravailleurs d accéder aux ressources de l entreprise depuis un PC connecté à Internet. Contrairement aux solutions VPN Ipsec («Internet Protocol Security») traditionnelles, les solutions VPN SSL ne requièrent pas l installation d un logiciel client spécialisé sur les ordinateurs des utilisateurs. IBM prend en charge les implémentations VPN SSL via un modèle de permission. IBM travaillera en collaboration avec le Client afin de configurer et de tester les cinq premiers utilisateurs du tunnel VPN SSL. Une fois que le tunnel VPN aura été établi pour ces cinq premiers utilisateurs, le Client sera responsable des procédures de gestion utilisateur pour les autres utilisateurs nécessitant une connexion VPN SSL. IBM fournira au Client une démonstration des fonctions de gestion utilisateur de la plate-forme pare-feu déployée (s il y a lieu), et l aidera à implémenter les niveaux d accès et les logiciels requis pour mener à bien la configuration. 4.2 Sécurisation de contenu externe (en option) Filtrage Web Les fonctions de sécurisation de contenu associées à l offre MSS for Network Firewalls sont conçues pour répondre aux besoins des entreprises qui souhaitent tirer parti des avantages de l accès à Internet, tout en s inquiétant de la perte de productivité que cela peut occasionner chez leurs employés et des risques potentiels que présente l accessibilité de contenus Web discutables. Disponibilité La prise en charge des solutions de sécurisation de contenu peut prendre deux formes distinctes, en fonction des potentialités de la plate-forme pare-feu déployée et des préférences du Client. Externe (non gérée) la plupart des plates-formes pare-feu ne disposent pas de fonction intégrée de sécurisation du contenu Web. Pour ce type de plate-forme, IBM prendra en charge l intégration, dans le processus d implémentation du pare-feu, d un serveur compatible dédié à la sécurité du contenu Web et géré par le Client. Le Client assumera l entière responsabilité de toutes les opérations de configuration, de support, de maintenance et de dépannage de la solution de sécurisation de contenu qui aura été implémentée. Externe (gérée) IBM prendra en charge l intégration et la gestion à part entière de services de filtrage de contenu sur les plates-formes pare-feu compatibles, moyennant l application d une redevance mensuelle supplémentaire. Pour que la sécurisation de contenu soit effective, la plate-forme pare-feu et le serveur dédié à la sécurité du contenu externe, s il y a lieu, doivent être placés à l endroit où le trafic Web utilisateur transite par le ou les systèmes avant d atteindre sa destination prévue. Cela permet au pare-feu de comparer l URL demandée à la base de données de contenu et de valider la destination requise si elle est autorisée. La configuration du module/serveur dédié à la sécurité du contenu peut varier en fonction de la plateforme pare-feu et de la solution de sécurisation de contenu déployées. La liste suivante répertorie les fonctions communes à l ensemble des solutions de sécurisation de contenu prises à charge : Liste de catégories sélection de catégories de contenu à proscrire. Liste blanches de destinataires liste des sites à autoriser même s ils figurent dans une catégorie de contenu proscrite. INTC /2007 Page 12 / 18

13 Liste noire de destinataires liste des sites à proscrire même s ils figurent dans une catégorie de contenu autorisée. Liste blanche d expéditeurs liste des adresses IP à exclure du processus de filtrage de contenu. Lors de la procédure de configuration et de déploiement initiale, IBM travaillera en collaboration avec le Client afin de développer une stratégie personnalisée en fonction des besoins de l entreprise. Modifications de la configuration et de la stratégie existantes Une fois que la solution de sécurisation de contenu a été déployée, le Client peut solliciter à tout moment la modification de la configuration et/ou de la stratégie existante en matière de sécurité de contenu (y compris la sélection de catégories de contenu) en soumettant une demande de modification de procédure via le Virtual-SOC, conformément à la procédure normale de demande de modification. Mises à jour du Contenu de sécurité Afin de veiller à ce que les menaces les plus courantes soient correctement identifiées, IBM mettra périodiquement à jour les plates-formes de sécurité à l aide du Contenu de sécurité le plus récent. Ce Contenu de sécurité, disponible sous forme de nouveaux contrôles ou de nouvelles signatures pour le module anti-virus, et de nouvelles listes d URL pour le module de filtrage Web, contribue à optimiser les fonctions de sécurité du pare-feu. Le Contenu de sécurité pourra être téléchargé et installé à tout moment sur la plate-forme de sécurité, à la discrétion d IBM. Ce type d opération est transparent pour l utilisateur Antivirus MSS for Network Firewalls - Select offre deux types de support anti-virus afin de minimiser le risque de transmission de programmes malveillants au sein du flux de données réseau : Externe (non géré) La plupart des plates-formes pare-feu ne disposent pas de fonction anti-virus intégrée. Pour ce type de plate-forme, IBM prendra en charge l intégration, dans le processus d implémentation du pare-feu, d un serveur Anti-virus compatible et géré par le Client. Le Client assumera l entière responsabilité de toutes les opérations de configuration, de support, de maintenance et de dépannage de la solution de sécurisation de contenu qui aura été implémentée. Externe (géré) IBM prendra en charge l intégration et la gestion à part entière des plates-formes anti-virus sélectionnées, moyennant l application d une redevance mensuelle supplémentaire. L activation des fonctions anti-virus peut nécessiter l acquisition de licences additionnelles pour la plateforme pare-feu, ce qui relève de la responsabilité exclusive du Client. La configuration du serveur dédié à la sécurité de contenu peut varier en fonction des plates-formes parefeu et antivirus déployées. Lors de la procédure de configuration et de déploiement initiale, IBM travaillera en collaboration avec le Client afin de développer une stratégie personnalisée en fonction des besoins de l entreprise. 5. Responsabilités du Client 5.1 Gestion de la stratégie Toute modification assortie d une fenêtre de maintenance spécifique doit être signalée avant la date de début spécifiée pour la fenêtre de maintenance et être soumise suffisamment à l avance pour permettre à IBM d implémenter la modification dans la fenêtre spécifiée tout en se conformant aux garanties de niveau de services afférentes à l implémentation des modifications de procédure. 5.2 Gestion des systèmes 5.3 Service VPN Lors de l établissement de connexions VPN de site à site, le Client assistera IBM dans le processus de définition des paramètres VPN stratégiques, tels que : les caractéristiques des points d extrémité, les modes de cryptage, les caractéristiques du secret partagé, les domaines/groupes de cryptage, les impératifs liés à la stratégie en vigueur. INTC /2007 Page 13 / 18

14 5.4 Sécurisation de contenu externe L activation des fonctions anti-virus et des outils de sécurisation de contenu Web peut nécessiter l acquisition de licences additionnelles pour la plate-forme pare-feu, quel que soit le niveau de service, ce qui relève de la responsabilité exclusive du Client. Externe (non géré) la plupart des plates-formes pare-feu ne disposent pas de fonction anti-virus et/ou d outil intégré de sécurisation de contenu Web. Pour ce type de plate-forme, IBM prendra en charge l intégration, dans le processus d implémentation du pare-feu, d un serveur anti-virus et /ou d un serveur compatible dédié à la sécurité de contenu Web et géré par le Client. Dans ce type de scénario, l acquisition de licences additionnelles pour la plate-forme pare-feu, ainsi que toutes les opérations de configuration, de support, de maintenance et de dépannage du produit anti-virus et/ou de la solution de sécurisation de contenu Web qui aura(ont) été implémenté(s) relèveront de la responsabilité exclusive du Client. MSS for Network Firewalls Premium MSS for Network Firewalls Premium est conçu pour prendre en charge plus de 500 utilisateurs. Ce niveau de service englobe les mêmes fonctionnalités que l offre MSS for Network Firewalls Select, plus un certain nombre de fonctions étendues ou additionnelles qui sont décrites ci-dessous. En conséquence, IBM assumera les responsabilités décrites dans la section «MSS for Network Firewalls Select» et la sous-section «Responsabilités d IBM» ci-dessus, ainsi que les responsabilités décrites dans la section «MSS for Network Firewalls Premium» et la sous-section «Responsabilités d IBM» cidessous. Pour votre part, vous vous engagez à assumer toutes les tâches décrites dans la section «MSS for Network Firewalls Select» et la sous-section «Responsabilités du Client» ci-dessus, ainsi que les responsabilités décrites dans la section «MSS for Network Firewalls Premium» et la sous-section «Responsabilités du Client» ci-dessous. 6. Responsabilités d IBM 6.1 Gestion et support permanent IBM fournira les services de support suivants, en complément de l offre MSS for Network Firewalls Premium, pendant toute la durée de validité du contrat, une fois l environnement en place et pendant toute période ultérieure de reconduction du contrat Gestion de la stratégie Modifications Les Clients ayant souscrit l offre MSS for Network Firewalls Premium pourront traiter un nombre illimité de modifications de configuration/stratégie par mois calendaire, en soumettant une demande de modification de procédure par le biais du Virtual-SOC. Modifications d urgence Si la modification de configuration/stratégie est considérée comme une urgence, IBM procédera à une modification d urgence par mois calendaire pour chaque pare-feu géré, pendant toute la durée de validité du contrat. Les demandes de modification d urgence non utilisées ne pourront être reportées sur le mois suivant. Le Client peut soumettre une demande de modification d urgence via le Virtual-SOC, conformément à la procédure normale de demande de modification. Lors de la procédure de soumission électronique de la demande de modification, cette dernière doit être clairement identifiée comme une urgence. À la suite de la procédure de soumission électronique, un contact de sécurité dûment autorisé doit adresser un appel téléphonique de suivi au SOC et faire passer la demande soumise à l état d urgence Service de gestion des vulnérabilités Pour chaque pare-feu acheté, le Client bénéficiera du scannage trimestriel à distance de trois adresses IP, à savoir les adresses IP, accessibles via Internet, du pare-feu et de deux autres Systèmes hôtes Surveillance des événements de sécurité La surveillance des événements de sécurité est intégrée à l offre MSS for Network Firewalls Premium. INTC /2007 Page 14 / 18

15 7. Responsabilités du Client 7.1 Gestion de la stratégie Modifications d urgence Le Client peut soumettre une demande de modification d urgence via le Virtual-SOC, conformément à la procédure normale de demande de modification. Lors de la procédure de soumission électronique de la demande de modification, cette dernière doit être clairement identifiée comme une urgence. À la suite de la procédure de soumission électronique, un contact de sécurité dûment autorisé doit adresser un appel téléphonique de suivi au SOC et faire passer la demande soumise à l état d urgence. 8. Accords sur le niveau de service applicables aux offres Standard, Select et Premium Les Accords sur le niveau de service (SLA) IBM établissent des objectifs en termes de temps de réponse et des contre-mesures destinées à remédier aux Incidents de sécurité liés à MSS for Network Firewalls. Les Accords sur le niveau de service prennent effet une fois que le processus de déploiement est terminé, que le système a été activé et que le support et la gestion du système ont été transférés sur le SOC. Les recours sont applicables sous réserve que le Client remplisse ses obligations, telles qu elles sont définies dans la présente Description des services. 8.1 Garanties de niveau de service Les garanties de niveau de service décrites ci-dessous englobent les mesures de performances applicables aux services fournis dans le cadre de l offre MSS for Network Firewalls. Sauf si cela est expressément stipulé ci-dessous, aucune garantie supplémentaire d aucune sorte ne saurait s appliquer aux services fournis dans le cadre de l offre MSS for Network Firewalls. Les recours applicables en cas de non-respect des garanties de niveau de service sont décrits dans la section «Recours» ci-dessous. a. Accusé de réception des demandes de modification de procédure IBM accusera réception des demandes de modification de procédure émanant du Client dans un délai de deux heures à compter de leur réception par IBM. Cette garantie s applique uniquement aux demandes de modification de procédure soumises par un contact de sécurité dûment autorisé, conformément aux procédures établies. b. Implémentation des modifications de procédure demandées (1) Niveau Standard les demandes de modification de procédure émanant du Client seront implémentées dans un délai de 24 heures à compter de leur réception par IBM, à moins qu elles n aient été mises en attente en raison du manque d informations requises pour pouvoir les implémenter. (2) Niveaux Select et Premium les demandes de modification de procédure émanant du Client seront implémentées dans un délai de 8 heures à compter de leur réception par IBM, à moins qu elles n aient été mises en attente en raison du manque d informations requises pour pouvoir les implémenter. Cette garantie s applique uniquement aux demandes de modification de procédure soumises par un contact de sécurité dûment autorisé, conformément aux procédures établies. c. Implémentation des modifications d urgence demandées (disponible uniquement dans le cadre de l offre MSS for Network Firewalls - Premium) IBM implémentera les demandes de modification d urgence émanant du Client dans un délai de 2 heures à compter de la déclaration d urgence (par téléphone) du Client qui fait suite à la demande de modification soumise par le biais du Virtual- SOC. Cette garantie s applique uniquement aux demandes de modification de procédure soumises par un contact de sécurité dûment autorisé, conformément aux procédures établies. De plus, cette garantie repose sur l heure d implémentation effective et non sur l heure à laquelle le Client a été informé du fait que la demande a été traitée. Après implémentation d une demande de modification, IBM en informera le Client dans les plus brefs délais par téléphone, messagerie électronique, télécopie, radiomessagerie ou via le Virtual- SOC, et s efforcera de se mettre en relation avec le contact client désigné jusqu à ce qu il ait réussi à joindre un interlocuteur ou qu il soit parvenu à la fin de la liste des personnes à contacter dans le cadre du processus d escalade. INTC /2007 Page 15 / 18

16 d. Identification des Incidents de sécurité dans le cadre du service de surveillance des événements de sécurité associés au pare-feu (disponible uniquement dans le cadre de l offre Premium) - IBM identifiera tous les Incidents de sécurité présentant le niveau de priorité 1, 2 ou 3 à partir des données d événement associées au pare-feu qui auront été reçues par le SOC. IBM déterminera si un événement donné doit être considéré comme un Incident de sécurité en fonction des besoins métier, de la configuration réseau ou de la configuration de pare-feu du Client. Les activités opérationnelles liées aux Incidents de sécurité et aux réponses qui leur sont apportées sont consignées et horodatées au sein du système de gestion des tickets d incident IBM, lequel doit être utilisé en tant qu unique source d informations autorisée pour les besoins de la présente garantie. e. Réponse aux Incidents de sécurité (applicable uniquement à la surveillance des événements de sécurité associés au pare-feu) IBM répondra à tous les Incidents de sécurité identifiés dans un délai de 15 minutes. Le contact désigné du Client en matière d Incidents de sécurité sera informé par téléphone des Incidents de sécurité de niveau 1 et par messagerie électronique des Incidents de sécurité de niveau 2 et 3. Lors du processus d escalade d un Incident de sécurité de niveau 1, IBM s efforcera de se mettre en relation avec le contact client désigné jusqu à ce qu il ait réussi à joindre un interlocuteur ou qu il soit parvenu à la fin de la liste des personnes à contacter. Les activités opérationnelles liées aux Incidents de sécurité et aux réponses qui leur sont apportées sont consignées et horodatées au sein du système de gestion des tickets d incident IBM, lequel doit être utilisé en tant qu unique source d informations autorisée pour les besoins de la présente garantie. f. Surveillance proactive du système : (1) Niveau Standard le Client sera informé dans un délai de 30 minutes après qu IBM aura détecté que le pare-feu du Client est inaccessible au moyen des processus de connexion intrabande standard. (2) Niveaux Select et Premium le Client sera informé dans un délai de 15 minutes après qu IBM aura détecté que le pare-feu du Client est inaccessible au moyen des processus de connexion intrabande standard. Tableau 3 Récapitulatif des garanties de niveau de service Garantie de niveau de service Accusé de réception des demandes de modification de procédure Standard Select Premium Oui Oui Oui Implémentation des modifications de procédure demandées Oui, dans un délai de 24 heures après réception Oui, dans un délai de 8 heures après réception Oui, dans un délai de 8 heures après réception Implémentation des modifications d urgence demandées Identification des Incidents de sécurité Réponse aux Incidents de sécurité Non Non Oui, dans un délai de 2 heures après déclaration Non Non Oui (applicable uniquement à la surveillance des événements de sécurité associés au pare-feu) Non Non Oui (applicable uniquement à la surveillance des événements de sécurité associés au pare-feu) Surveillance proactive du Oui Oui Oui INTC /2007 Page 16 / 18

17 système 8.2 Recours En cas de non respect, au cours d un mois calendaire donné, de n importe laquelle des garanties décrites dans la section intitulée «Garanties de niveau de service», IBM prévoit comme unique recours de créditer le compte du Client. Le Client ne pourra bénéficier que d un seul crédit par jour pour chaque Accord sur le niveau de service, dans la limite de $ (U.S.) par mois calendaire pour l ensemble des Accords sur le niveau de service, conformément aux dispositions de la section ci-dessous intitulée «Responsabilités et limitation de responsabilité». Les recours applicables sont répertoriés ci-dessous : Tableau 4 Récapitulatif des garanties de niveau de service et des recours Garantie de niveau de service Recours applicable dans le cadre de l offre MSS for Network Firewalls Accusé de réception des demandes de modification de procédure Implémentation des modifications de procédure demandées Implémentation des modifications d urgence demandées (applicable uniquement à l offre Premium) Identification des Incidents de sécurité Octroi d un crédit d une journée sur le montant de la redevance mensuelle pour le système concerné Réponse aux Incidents de sécurité Surveillance proactive du système 8.3 Responsabilités et limitation de responsabilité Devoir d information envers le point de contact client Plusieurs Accords sur le niveau de service imposent à IBM d informer le point de contact désigné du Client lorsque des événements spécifiques se produisent. Pour le cas où ce type d événement se produirait, il relève de la responsabilité exclusive du Client de fournir à IBM des informations précises et actualisées concernant le(s) contact(s) désigné(s). Une fois enregistrées, ces informations seront mises à la disposition de contacts dûment autorisés par le biais du Virtual-SOC. IBM sera déchargé de ses obligations dans le cadre des présents Accords sur le niveau de service si les informations qui lui sont fournies sont périmées ou inexactes par suite d un manquement ou d une omission de la part du client Obligation de notification des modifications réseau ou serveur de la part du client Le Client est tenu d informer IBM par avance de toute modification réseau ou serveur susceptible d affecter l environnement pare-feu. Si aucune notification préalable ne peut être fournie, le Client est tenu d informer IBM des modifications survenues dans les sept jours calendaires suivant lesdites modifications. La procédure de notification s effectue par la soumission ou la mise à jour d un ticket de serveur stratégique via le Virtual-SOC. Si le Client omet d informer IBM conformément à la procédure cidessus, tous les recours applicables en termes de garantie de niveau de service seront considérés comme nuls et non avenus Montant maximal des pénalités/indemnités payables au Client Le montant total des crédits («indemnités») pouvant être octroyés en cas de non respect des garanties de niveau de service dans le cadre des offres MSS for Network Firewalls Standard, Select et Premium, tels qu ils sont décrits dans les sections ci-dessus intitulées «Garanties de niveau de service» et «Recours», ne saurait excéder le montant de la redevance mensuelle associée aux services Trafic réseau couvert par les Accords sur le niveau de service Certains Accords sur le niveau de service mettent l accent sur la prévention, l identification et l escalade des Incidents de sécurité. Or, ces Accords sur le niveau de service présupposent que le trafic a correctement atteint le pare-feu et que, par conséquent, ce dernier est en mesure de le gérer conformément à la stratégie en vigueur et de déclencher un événement journalisé. Le trafic qui ne INTC /2007 Page 17 / 18

18 transite pas par un pare-feu de façon logique ou électronique ou qui n entraîne pas le déclenchement d un événement journalisé n est pas couvert par les présents Accords sur le niveau de service Conformité et rapports de conformité vis-à-vis des Accords sur le niveau de service La conformité vis-à-vis des Accords sur le niveau de service et les recours applicables en cas de nonrespect de ces Accords supposent que les environnements réseau, les connexions réseau et Internet et les pare-feu soient pleinement opérationnels, et que les serveurs soient configurés de façon adéquate. Si la non conformité vis-à-vis des Accords sur le niveau de service est due à des problèmes matériels ou logiciels inhérents aux équipements privés d abonné (Agents compris), tous les recours seront considérés comme nuls et non avenus. IBM fournira des rapports de conformité vis-à-vis des Accords sur le niveau de service par le biais du Virtual-SOC Test de la capacité de surveillance et de réactivité Le Client a la possibilité de tester la capacité de surveillance et de réactivité d IBM en lançant périodiquement des opérations de reconnaissance, des attaques système ou réseau et/ou des tentatives de compromission système réelles ou simulées. Ces opérations peuvent être menées directement par le Client ou par un tiers sous contrat, sans qu IBM en ait été préalablement averti. Les Accords sur le niveau de service ne seront pas applicables pendant la durée d exécution de ces opérations, et aucune indemnité ne sera due à titre de recours en cas de non-respect de la ou des garanties qui leur sont associées. 9. Objectifs de niveau de service Les Objectifs de niveau de service («SLO») IBM sont des objectifs non contractuels liés à la fourniture de fonctionnalités spécifiques dans le cadre de l offre MPS for Networks Select. Les Objectifs de niveau de service prennent effet une fois que le processus de déploiement est terminé, que le système a été activé et que le support et la gestion du système ont été transférés sur le SOC. IBM se réserve le droit de modifier ces Objectifs de niveau de service dans un délai de 30 jours à compter de l envoi d un préavis écrit. a. Virtual-SOC IBM fournira un objectif d accessibilité de 99,9 % en dehors des heures spécifiées dans la section «Maintenance planifiée et dépannage d urgence du portail». b. Incident Internet d urgence Dans le cas où il serait appelé à effectuer une déclaration d urgence liée à un incident Internet, IBM s est fixé pour objectif d en informer les points de contact désignés du Client dans les 15 minutes qui suivent cette déclaration. Cette notification comportera un numéro de suivi d incident et un numéro téléphonique d urgence, et indiquera l heure à laquelle IBM entend organiser une conférence téléphonique pour faire le point de la situation. Lors des incidents Internet d urgence ayant fait l objet d une déclaration, IBM organisera une conférence téléphonique en direct pour faire le point de la situation et enverra au Client des courriels récapitulatifs pour permettre à ce dernier de protéger son entreprise. Les séances d information destinées à faire le point de la situation suite à l émergence d un incident Internet d urgence se substitueront à toute obligation de la part d IBM de se conformer aux processus d escalade spécifiques au Client en ce qui concerne les événements directement liés à l Incident Internet d urgence qui aura été déclaré. Lors d un incident Internet d urgence, IBM tiendra le Client informé de tout autre incident présentant un niveau de priorité quelconque par le biais de systèmes automatisés du type messagerie électronique, radiomessagerie et messagerie vocale. Les processus d escalade standard reprendront leur cours normal au terme de l incident Internet d urgence. La fin de l état d urgence est marquée par le passage de la condition d alerte au niveau AlertCon 2 ou par l envoi d un courriel de notification au contact de sécurité dûment autorisé du Client. 10. Autres clauses IBM se réserve le droit de modifier les termes de la présente Description des services, y compris les Accords sur le niveau de service, dans un délai de 30 jours à compter de l envoi d un préavis écrit. INTC /2007 Page 18 / 18