SOFTWARE- DEFINED PROTECTION. Schéma de sécurité entreprise

Dimension: px
Commencer à balayer dès la page:

Download "SOFTWARE- DEFINED PROTECTION. Schéma de sécurité entreprise"

Transcription

1 SOFTWARE- DEFINED PROTECTION Schéma de sécurité entreprise

2 Table des matières S Sommaire Niveau de mise en application 4 Niveau de contrôle Niveau d'administration 34 R Résumé 42 CP SDP Check Point Software-Defined Protection CP A À propos de Check Point 53 Annexe : Modèles de réseaux d'entreprise

3 S Sommaire Le monde des affaires repose aujourd'hui sur la libre circulation des informations. Les données des entreprises circulent dans le cloud et les appareils mobiles, et rayonnent à travers des idées et des messages dans les réseaux sociaux. BYOD, mobilité et cloud computing ont révolutionné les environnements informatiques statiques, entraînant la naissance de réseaux et d'infrastructures dynamiques. Mais si notre environnement informatique a changé rapidement, le paysage des menaces a changé encore plus vite. La sophistication et la vitesse de cette évolution sont exponentielles. Des attaques d'un type nouveau sont de plus en plus fréquentes, mêlant menaces connues et inconnues, profitant des failles «zero-day», et utilisant des logiciels malveillants cachés dans des documents, des sites web, des hôtes et des réseaux. Dans ce monde fait d'infrastructures informatiques et de réseaux exigeants, où les périmètres ne sont plus aussi bien définis et où les menaces deviennent chaque jour plus intelligentes, nous devons définir la meilleure façon de protéger les entreprises contre des menaces en constante évolution. Il existe une multitude de produits de protection, qui sont généralement de nature réactive et tactique, mais font abstraction de toute notion d'architecture. Les entreprises d'aujourd'hui ont besoin d'une architecture unique combinant des équipements de sécurité réseau haute performance avec des protections proactives en temps réel. Un nouveau paradigme est nécessaire pour protéger les entreprises de manière proactive. Check Point Software-Defined Protection (SDP) est une nouvelle architecture et méthodologie pragmatiques de sécurité. Elle propose une infrastructure modulaire, agile et surtout, SÉCURISÉE. Une telle architecture doit protéger les entreprises de toute taille en tout lieu : siège, succursales, smartphones ou appareils mobiles, ou lors de l'utilisation du cloud. Les protections doivent automatiquement s'adapter à la nature des menaces, sans obliger les administrateurs de sécurité à garder un œil sur des milliers de notifications et de recommandations. Ces protections doivent s'intégrer harmonieusement dans l'environnement informatique, et l'architecture doit fournir une posture défensive s'appuyant sur des sources d'intelligence collaboratives internes et externes. L'architecture SDP partitionne l'infrastructure de sécurité en trois niveaux interconnectés : Un niveau de mise en application qui repose sur des points d'exécution physiques et virtuels de la sécurité, segmente le réseau, et exécute la logique de protection dans des environnements exigeants. 002

4 SCHÉMA DE SÉCURITÉ ENTREPRISE SOMMAIRE S Un niveau de contrôle qui analyse les différentes sources d'information sur les menaces et génère des protections et des politiques de sécurité exécutées par le niveau de mise en application. Un niveau d'administration qui orchestre l'infrastructure et apporte le plus haut degré d'agilité à l'ensemble de l'architecture. Modularité Visibilité Automatisation Niveau d administration Renseignements sur les menaces Politique de sécurité Contrôle des accès Protection des données Prévention des menaces Niveau de contrôle Protection Protection Point d exécution Point d exécution Point d exécution Point d exécution Niveau de mise en application En combinant le niveau de mise en application haute performance avec le niveau de contrôle logiciel hautement évolutif et dynamique, l'architecture SDP fournit non seulement une résilience fonctionnelle, mais fournit également une prévention proactive des incidents adaptée au paysage des menaces en constante évolution. De par sa nature proactive, l'architecture SDP prend en charge les exigences de la politique traditionnelle de sécurité réseau et de contrôle d'accès, ainsi que la prévention des menaces nécessaire aux entreprises modernes qui adoptent de nouvelles technologies telles que l'informatique mobile et les réseaux définis par logiciel (SDN). 003

5 Niveau de mise 01 en application La première étape de la sécurisation de l'entreprise consiste à déterminer les emplacements des points d'exécution à la fois sur le réseau et les hôtes pour superviser les interactions entre les utilisateurs et les systèmes. Cette segmentation est critique pour la survie d'une entreprise faisant l'objet d'une attaque et est donc le principe de base du niveau de mise en application. La segmentation de l'architecture SDP empêche les menaces de proliférer dans les réseaux, de sorte qu'une attaque visant un composant réseau unique ne puisse atteindre le reste de l'infrastructure de sécurité de l'entreprise. La segmentation est la pierre angulaire de la mise en application de la sécurité. Elle a pour objectif de : La première étape de la sécurisation de l'entreprise consiste à déterminer les emplacements des points d'exécution Simplifier et modulariser la politique de sécurité sur différents segments du réseau Permettre la création de modèles d'architecture de sécurité pour les différents segments Appliquer des politiques de confinement aux hôtes compromis dans un segment Définir les interactions à l'intérieur d'un segment qui ne nécessitent pas de supervision 004

6 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Nécessité de la segmentation La sécurité des réseaux de première génération s'intéressait à la protection du périmètre, «une sorte de coque craquante autour d'un centre mou,» comme le décrivait Bill Cheswick en Le réseau interne était une «zone de confiance», au contraire de l'internet externe. Le rôle d'un pare-feu était d'autoriser les connexions sortantes (de la zone de confiance vers l'extérieur) et de bloquer les connexions entrantes. Les pare-feux de la génération suivante ont étendu ce rôle par l'ajout d'un système de prévention des intrusions (IPS) et de fonctions de prise en charge des utilisateurs et des applications, pour assurer un contrôle plus granulaire du trafic réseau entrant et sortant. Le cloisonnement est critique pour la survie d'une entreprise faisant l'objet d'une attaque La protection du périmètre n'est plus assez efficace aujourd'hui pour protéger les entreprises. Les systèmes d'information d'entreprise sont maintenant disséminés dans plusieurs sites physiques et environnements réseau, et fournissent des services non seulement aux utilisateurs internes mais également à des partenaires commerciaux, des clients et le grand public. Les actifs de l'entreprise reposent sur différents types de ressources informatiques, allant des ordinateurs centraux aux appareils mobiles des employés. Comme le périmètre continue de s'élargir sans frontière discernable, de nombreuses entreprises estiment que le modèle d'un réseau interne sécurisé n'est plus une valeur sûre. Des agresseurs motivés peuvent utiliser des méthodes d'accès physique, d'ingénierie sociale, et d'exploitation des vulnérabilités du matériel et des logiciels, pour percer les mécanismes de défense de l'entreprise. Des contrôles de sécurité internes sont nécessaires pour protéger les interactions au sein du réseau et améliorer la visibilité sur ces interactions. Le compartimentage est critique pour la survie d'une entreprise faisant l'objet d'une attaque. De même qu'un porte-avions utilise des compartiments étanches pour isoler les zones endommagées et rester à flot en cas d'attaque, les grandes entreprises devraient identifier les segments de leur réseau qui ont des caractéristiques de sécurité différentes, et établir des contrôles de sécurité nécessaires pour confiner les menaces et poursuivre leur activité. L'implémentation de points d'exécution entre les utilisateurs et les actifs critiques de l'entreprise apporte non seulement une meilleure visibilité sur les postes de travail compromis par des agresseurs externes, mais permet également de détecter et empêcher les accès non autorisés par des utilisateurs internes, appliquant ainsi la politique de sécurité de l'entreprise. 005

7 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Méthode de segmentation L'implémentation de la segmentation commence par la définition des segments «atomiques» du réseau. Un segment est défini comme étant un ensemble logique d'éléments informatiques et d'éléments réseau protégés par un point d'exécution. Un segment peut être aussi petit qu'une seule application fonctionnant sur un hôte, ou aussi grand que toute l'entreprise. Un segment atomique contient des éléments qui partagent les mêmes besoins en protection. Des points d'exécution sont introduits au périmètre de chaque segment pour appliquer la logique de protection définie. Les segments peuvent être regroupés pour modulariser la protection. Une fois le modèle de segmentation créé, il est intégré dans le schéma du réseau. Enfin, des canaux de confiance sont établis pour protéger les interactions et les flux de données entre les différents segments réseau. Description de la méthodologie de segmentation : Étape 1 Étape 2 Étape 3 Étape 4 Segments atomiques. Identifiez les éléments partageant les mêmes caractéristiques de sécurité.. Définissez des points d'exécution de la sécurité au périmètre des segments et supervisez tous les flux d'information entrants et sortants, pour n'autoriser que les accès contrôlés. Regroupement des segments. Regroupez les segments atomiques pour une protection modulaire. Itération. Poursuivez le regroupement des segments jusqu'à ce que tous les actifs de l'entreprise soient intégrés dans un périmètre de segment contrôlé. Consolidation de la mise en application. Consolidez les composants physiques et virtuels tels que les passerelles de sécurité réseau ou les logiciels sur hôte.. Utilisez la consolidation et la virtualisation pour atteindre une solution optimale. Canaux de confiance. Protégez les interactions et les flux de données entre les segments Étape 1 : Segments atomiques Un segment atomique est constitué d'un ensemble d'éléments informatiques et d'éléments réseau qui : (1) partagent un profil de sécurité commun, (2) ne peuvent être subdivisés en segments plus petits, (3) peuvent être protégés par des contrôles de sécurité supervisant toutes les interactions entre le segment et des entités externes. Exemples d'un segment atomique : un appareil sur lequel le logiciel de sécurité est installé, ou plusieurs ordinateurs sur un réseau partagé protégé par une passerelle de sécurité. Un segment atomique est un ensemble d'hôtes et d'éléments réseau qui partagent un profil de sécurité commun 006

8 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Définir les segments atomiques et identifier les entités qui partagent un profil de sécurité commun constituent la première étape de l'implémentation de l'architecture SDP. Un profil de sécurité est affecté à chaque segment en fonction de la valeur des actifs situés dans le segment et du niveau de confiance accordé aux utilisateurs du segment et aux contrôles de sécurité. Des risques peuvent survenir au point d'interaction entre deux segments ayant des profils de sécurité différents. Leur gravité augmente également proportionnellement à l'écart de profil de sécurité entre les deux segments. Pour pallier à ces risques, de nombreuses entreprises utilisent un système de classification des données, des hôtes, des applications et des réseaux à l'échelle de l'entreprise, prenant en charge cette méthode de segmentation. Selon les objectifs métiers de l'entreprise, une des exigences de sécurité suivantes est choisie comme principe directeur pour la classification : confidentialité, intégrité ou disponibilité (CIA). Un exemple pourrait être : Public - des systèmes et des données auxquels le grand public est autorisé à accéder. Client - des systèmes et des données contenant des informations confidentielles, auxquels typiquement des clients authentifiés et un petit nombre d'utilisateurs internes sont autorisés à accéder. Interne - les employés y ont accès en tout lieu. Confidentiel - des systèmes et des données internes nécessitant des protections étendues. Départemental - réservé à certains utilisateurs en fonction de leur rôle. Des risques peuvent survenir au point d'interaction entre deux segments ayant des profils de sécurité différents Ce type de classification facilite la définition des segments et de leur profil de sécurité. Le niveau et l'étendue de la segmentation nécessaire à chaque entreprise dépend de ses besoins métiers et des exigences de sécurité. Certaines entreprises appliquent des règles strictes de «moindre privilège» et de «séparation des privilèges», tandis que d'autres considèrent que tous les utilisateurs et les systèmes sont équivalents en termes de niveau d'accès et d'importance. CONSEIL Lors de la constitution des segments, vérifiez si les entités ont les mêmes autorisations, si elles prennent en charge les mêmes processus métiers, gèrent des actifs similaires et bénéficient du même niveau de protection. Si c'est le cas, ces entités peuvent être incluses dans un segment atomique unique. Si ce n'est pas entièrement le cas, ces entités devraient alors être segmentées séparément. 007

9 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Quelques exemples de séparation des entités en différents segments : Deux postes de travail sur le même réseau local accédant à des actifs de même classification :. Comme un des utilisateurs a peu d'intérêt d'attaquer l'autre poste de travail puisqu'ils ont tous deux accès aux mêmes actifs, les deux hôtes peuvent faire partie d'un même segment atomique.. D'autre part, les utilisateurs peuvent souhaiter accéder à des actifs pour lesquels ils n'ont pas d'autorisation. Ces utilisateurs et ces actifs devraient être modélisées dans des segments distincts. Un appareil mobile exposé à des menaces (vol, par exemple) qui ne sont pas applicables aux serveurs d'un datacenter :. Ces entités ont des exigences de sécurité différentes et ne devraient pas être placées dans un même segment atomique. Des unités métiers et des sites distincts :. Différentes entités devraient toujours être modélisées dans des segments distincts. Des serveurs accessibles à des utilisateurs situés à l'extérieur de l'entreprise :. Ces entités ont un profil de sécurité distinct des serveurs internes qui ne sont pas exposés à l'extérieur. Étape 2 : Regroupement des segments Une fois les segments atomiques identifiés, ils peuvent être regroupés en segments hiérarchiques (par exemple, les applications peuvent être regroupées dans le périmètre des hôtes, plusieurs hôtes dans un segment réseau, et plusieurs réseaux hiérarchiquement). Bien que chaque sous-segment gère sa propre protection, le regroupement apporte : Une modularité accrue grâce à l'abstraction et au masquage des données Une confiance accrue ou une protection plus complète au périmètre du segment supérieur que dans les sous-segments Un contrôle centralisé et la fourniture de services d'infrastructure de sécurité Le confinement des infections et la récupération Prenons l'exemple du site de la Figure 1-A. Cette entreprise est constituée de plusieurs sites connectés par un réseau MPLS. Chaque site, représenté dans une zone grisée, est composé d'un réseau d'accès hébergeant des segments d'utilisateurs internes (LAN) et de serveurs. Les serveurs internes et les serveurs confidentiels sont hébergés sur des segments séparés, isolés des utilisateurs par une passerelle ou un point d'exécution. Plusieurs segments départementaux fournissent des fonctionnalités de confinement à leurs utilisateurs finaux. Enfin, une zone démilitarisée (DMZ), dans son propre segment, fournit des services au public. Dans cet exemple, plusieurs segments serveurs et un segment utilisateur distinct permettent un contrôle précis de toutes les interactions entre segments. Ce contrôle applique les politiques de sécurité reposant sur la classification et permet le confinement des hôtes compromis. 008

10 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Tous les segments internes bénéficient de services de sécurité provenant d'un système centralisé et de l'infrastructure d'administration réseau dans les segments serveur. Les accès Internet et WAN sont contrôlés par des points d'exécution dédiés. Le point d'exécution Internet contrôle également les accès Internet vers et hors de la DMZ. Regroupement des segments Figure 1-A MPLS INTERNET Classification des segments Public Interne Confidentiel Point d'exécution Point d'exécution Départemental LAN DMZ SERVEURS INTERNES SERVEURS SERVEURS DÉPARTEMENTAUX CONFIDENTIELS DATACENTER Dans un regroupement hiérarchique, les interactions peuvent traverser plusieurs points d'exécution. Par exemple, un serveur situé dans le segment «serveurs internes» qui se connecte à une ressource sur Internet (un service de mise à jour de contenus par exemple) pourrait être supervisé par les points d'exécution successifs suivants : 1. Le logiciel de sécurité installé sur les hôtes du segment «serveurs internes» 2. Le point d'exécution au périmètre du segment «serveurs internes» 3. Le point d'exécution situé au périmètre du datacenter 4. Le point d'exécution exposé à Internet Les interactions au niveau des proxies situés dans le segment de la DMZ pourraient traverser des contrôle supplémentaires, notamment les points d'exécution vers et hors du segment de la DMZ. En répétant le processus de regroupement des segments sur des portions du réseau consécutivement plus grandes, les entreprises peuvent assurer l'inclusion de tous les actifs dans un segment protégé. Les lignes de défense hiérarchiques établies selon le regroupement des segments compartimentent le réseau interne et fournissent une protection supérieure. 009

11 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Étape 3 : Consolidation de la mise en application Du modèle à l'implémentation Une fois le modèle de segmentation créé, les points d'exécution définis doivent être implémentés sous forme de passerelles de sécurité ou de logiciel sur hôte. Des technologies de consolidation et de virtualisation, y compris les passerelles multiconnectées, la virtualisation des passerelles, les réseaux locaux virtuels (VLAN), SDN et la virtualisation réseau, peuvent être utilisées pour optimiser les performances, l'exploitabilité et le coût de possession. Le processus de modélisation de la segmentation (Figure 1-B) illustre un exemple de segmentation d'un réseau comprenant des postes de travail, des serveurs (CRM, R&D et comptabilité), un centre d'exploitation de la sécurité (SOC) et des serveurs frontaux dans un segment DMZ. Des profils de sécurité sont associés aux segments atomiques (voir la légende «Classification des segments» de la Figure 1-A). Des points d'exécution sont placés au périmètre de chaque segment. Les segments sont regroupés en fonction de leur profil de sécurité. Processus de segmentation Figure 1-B Serveurs web UTILISATEURS PC/PORTABLES Serveurs de CRM Serveurs de R&D Serveurs SOC Serveurs comptables Public Interne Interne Confidentiel Départemental Départemental 1. Segments atomiques DMZ UTILISATEURS LAN DATACENTER 2. Groupement des segments 010

12 PASSERELLE DE SÉCURITÉ SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Ce processus de modélisation du bas vers le haut fournit la souplesse et la modularité nécessaires afin de déterminer les points d'exécution requis pour tout type d'application. Les ingénieurs sécurité déterminent où commencer (par exemple, processus, hôte et réseau) et où s'arrêter. Les points d'exécution établissent ensuite les lignes de défense hiérarchiques qui assurent la protection des données et des systèmes hébergés dans les segments correspondants. Consolidation des passerelles Alors que le modèle de la Figure 1-A comprend huit points d'exécution différents au périmètre du segment réseau (à l'exclusion des points d'exécution sous forme de logiciels de sécurité sur hôte dans le segment du réseau local), l'implémentation réelle ne se traduit généralement pas par huit passerelles de sécurité. En fonction des contraintes de sécurité, de performance et de coût, plusieurs points d'exécution peuvent être consolidés en une seule passerelle de sécurité multiconnectée dans chaque site. La Figure 1-C présente une configuration simple comprenant une passerelle de sécurité unifiée utilisée pour contrôler toutes les interactions entre segments. Plusieurs points d'exécution modélisés peuvent être regroupés dans une seule passerelle de sécurité Une passerelle de sécurité unique consolide les points d'exécution de plusieurs segments Figure 1-C INTERNET MPLS SERVEURS INTERNES DÉPARTEMENTAUX SERVEURS SERVEURS CONFIDENTIELS DMZ LAN 011

13 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Virtualisation de la sécurité Alors que la consolidation des passerelles permet de réaliser des économies substantielles, la consolidation des points d'exécution peut présenter quelques inconvénients. En particulier, une politique de sécurité plus complexe peut se traduire par un risque supplémentaire d'erreurs de configuration. Par exemple, une règle mal configurée autorisant les accès entre deux segments internes pourrait permettre, par inadvertance, un accès Internet entrant. Comme alternative à la configuration monolithique illustrée à la Figure 1-C, une passerelle de sécurité virtuelle peut être préférable (Figure 1-D). Dans ce scénario, une seule appliance héberge plusieurs systèmes virtuels. Chaque système est logiquement équivalent à une passerelle de sécurité et peut être géré de manière distincte. La virtualisation de la sécurité simplifie sa gestion et réduit le coût de possession Virtualisation des contrôles de sécurité Figure 1-D V V V V V V INTERNET MPLS V SERVEURS PASSERELLE DE SÉCURITÉ VIRTUALISÉE INTERNES DÉPARTEMENTAUX SERVEURS SERVEURS CONFIDENTIELS DMZ LAN La virtualisation de la sécurité simplifie l'administration. Chaque système virtuel correspond à un point d'exécution de segment de sécurité, et ses contrôles de sécurité peuvent être déployés et administrés de manière distincte. L'utilisation d'une plate-forme matérielle unifiée réduit également le coût total de possession. Virtualisation des serveurs (cloud) Dans un environnement de virtualisation des serveurs (voir l'annexe - Modèle : cloud) des passerelles de sécurité virtuelles peuvent être implémentées à l'aide de machines virtuelles (VM), comme illustré dans la Figure A-D. L'infrastructure dans le cloud fournit la technologie de virtualisation sous-jacente, et garantit que le trafic entre segments passe par les points d'exécution au niveau des VM en créant des VLAN et en les connectant via le point d'exécution. 012

14 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 La supervision du trafic entre les différentes machines virtuelles sur le même hôte physique peut être efficacement traitée par un point d'exécution situé dans une machine virtuelle sur l'hôte. La mise en application peut également être intégrée au niveau de l'hyperviseur lui-même, pour veiller à ce que tous les flux d'information soient supervisés, sans nécessiter la refonte du réseau virtuel pour positionner les machines virtuelles derrière le point d'exécution. Le point d'exécution au niveau de l'hyperviseur utilise l'api fournie par la plate-forme de virtualisation pour recevoir tout le trafic réseau vers et depuis les ordinateurs virtuels hébergés. Les environnements de virtualisation de serveur peuvent également intégrer des passerelles de sécurité virtualisée physiques (comme illustré dans la Figure 1-D) pour décharger le traitement de la sécurité du serveur virtualisé vers un équipement de sécurité personnalisé haute performance. Réseaux locaux virtuels (VLAN) Les VLAN sont un mécanisme clé utilisé pour segmenter les réseaux d'entreprise. Une passerelle de sécurité connectée à un commutateur peut analyser le trafic réseau et le transmettre à plusieurs VLAN. Cette configuration permet à une passerelle de sécurité unique de contrôler le trafic réseau entre des centaines de VLAN. Dans la Figure 1-E, le commutateur est configuré pour transmettre tous les paquets réseau provenant de VLAN02 et VLAN03 à la passerelle de sécurité, pour superviser le trafic entre segments via le point d'exécution virtualisé implémenté dans la passerelle. Utilisation de VLAN pour la segmentation du réseau Figure 1-E INTERNET RÉSEAU 04 VLAN04 VLAN05 VLAN02 VLAN03 RÉSEAU 02 RÉSEAU Le principal inconvénient de la segmentation d'architectures VLAN est la dépendance à des commutateurs pour appliquer la politique de séparation de segment, puisque ces commutateurs peuvent également être attaqués. Une mauvaise configuration peut permettre à des attaques de saut de VLAN de les contourner, et permettent ainsi à un hôte VLAN de passer à un autre. Par conséquent, des séparations virtuelles et réseau devraient être combinées pour fournir divers degrés de séparation de segment. 013

15 LAN DMZ Point d'exécution Point d'exécution 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Réseau défini par logiciel (SDN) Dans les infrastructures réseau traditionnelles, les réseaux et les fonctions de sécurité réseau, telles que routeurs, commutateurs, pare-feux et prévention d'intrusions, sont implémentés sous forme d'appliances physiques. Les flux sont déterminés par la topologie du réseau, et chaque équipement réseau individuel décide localement de la meilleure façon de transmettre des paquets à leur destination. Mais avec l'émergence des environnements de réseau et de serveurs virtualisés dans le cloud, la possibilité de déployer rapidement de nouvelles applications sans modifications complexes du réseau est devenue une exigence standard. SDN est une architecture réseau émergeante dans laquelle le contrôle du réseau est découplé de l'infrastructure du réseau. Niveau de mise en application SDN (réseau défini par logiciel) Figure 1-F Niveau de mise en application Point d'exécution Commutateur SDN Point d'exécution Commutateur SDN Commutateur SDN Commutateur SDN SERVEURS Commutateur SDN INTERNES DÉPARTEMENTAUX SERVEURS SERVEURS CONFIDENTIELS En intégrant le niveau de mise en application SDP dans l'infrastructure SDN, comme illustré ci-dessus dans la Figure 1-F, les commutateurs SDN ne sont que de simples points d'exécution dont le rôle consiste à décharger les flux et les sous-flux aux points d'exécution SDP appropriés. La Figure 1-G ci-dessous illustre l'intégration entre les architectures SDP et SDN. Le niveau d'administration SDP orchestre cette intégration à l'aide d'api SDN (1) et par la coordination des politiques de réseau et de sécurité entre les niveaux de contrôle SDP et SDN (2). Les flux sont alors programmés par le niveau de contrôle SDP/SDN pour transiter par les points d'exécution SDP centralisés physiques ou virtuels (3). Toutes les interactions entre segments sont ainsi constamment supervisées par les commutateurs SDN dont le rôle est de simplement décharger les flux et les sous-flux vers les points d'exécution appropriés. 014

16 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Intégration SDP/SDN Figure 1-G Modularité Visibilité 1 Automatisation Niveau d administration SDP Application métier Application métier Application métier Niveau applicatif SDN 2 2 Contrôleur SDN Contrôle des accès Protection des données Prévention des menaces Niveau de contrôle SDP 3 3 Point d exécution Point d exécution Point d exécution Niveau de mise en application Les commutateurs SDN pourraient être chargés de transmettre les interactions entre le segment du réseau local et les serveurs internes via un point d'exécution sur passerelle, tandis que les interactions avec la DMZ devraient être transmises via un autre point d'exécution implémentant un ensemble étendu de protections. Une fois identifié, le trafic de déni de service distribué pourrait être acheminé différemment du trafic légitime, permettant ainsi aux interactions autorisées de circuler librement. 015

17 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Déchargement du traitement de la sécurité dans le cloud Le traitement de la sécurité au niveau du réseau et des points d'exécution sur hôte peut être confié à des ressources dédiées dans des configurations de clouds privés et publics. Au lieu de prendre des décisions à partir d'informations disponibles localement, les points d'exécution peuvent interroger le cloud. Les points d'exécution dans le cloud deviennent alors une extension du niveau de mise en application SDP. Le déchargement dans le cloud offre les avantages suivants : Lorsque les décisions dépendent d'informations complexes toujours changeantes, telles que les indicateurs de menace, la diffusion de ces informations à tous les points d'exécution pertinents devient rapidement problématique. Le déchargement permet l'agrégation de ces données et leur utilisation dans le cloud. En recueillant et en analysant les journaux d'événements de sécurité de manière centralisée, un système de gestion des incidents de sécurité (SIEM) peut stocker de grandes quantité de données et effectuer une analyse de sécurité rétrospective. Il peut indiquer que des éléments sont potentiellement compromis et générer des références globales pour les interactions autorisées. Les références peuvent fournir des indications d'anomalies comportementales aux points d'exécution. Pour les systèmes de stockage et de retransmission tels que la messagerie, la latence supplémentaire entraînée par le téléchargement des données et des pièces jointes dans le cloud pour analyse n'est pas excessive. En fait, les pièces jointes peuvent être analysées dans des environnements de type bac à sable afin de déterminer si elles sont malveillantes, avant d'être transmises à l'hôte destinataire. Les utilisateurs mobiles se connectant via Internet à un portail dans le cloud peuvent bénéficier de services de sécurité situés géographiquement proche d'eux, pour un traitement de sécurité plus fiable et plus rapide que si leur trafic réseau était acheminé à travers des points d'exécution centralisés. Les contrôles de sécurité dans le cloud déplacent la problématique de sécurité du réseau d'entreprise vers le cloud. Les entreprises doivent obtenir des garanties et des capacités de surveillance suffisantes de la part du prestataire de cloud externe pour assurer la mise en place des contrôles de sécurité nécessaires. Des canaux de confiance devraient également être utilisés pour authentifier et protéger toutes les communications depuis et vers le cloud. Des profils de garantie de la disponibilité du réseau et du cloud devraient également être définis pour contrer d'éventuelles attaques DDoS. Un exemple de sécurisation du cloud est fourni en Annexe A - Modèle mobile. 016

18 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Étape 4 : Canaux de confiance Les points d'exécution au niveau des segments bloquent les interactions non autorisées entre les segments. Cependant, les interactions autorisées doivent également être protégées. Lorsque deux segments réseau possèdent des éléments co-localisés, une passerelle de sécurité peut être physiquement connectée aux deux segments pour filtrer les interactions entre segments. Lorsqu'elles sont physiquement séparées, ces interactions doivent être sécurisées pendant qu'elles transitent dans l'infrastructure réseau. Lorsque des interactions entre les segments sont établies par un segment hiérarchique dans un réseau de confiance, le segment hiérarchique est alors responsable de la sécurisation des données en transit. Toutefois, si la sécurité du réseau est faible, en regard des profils de sécurité des deux segments, des agresseurs pourraient accéder ou modifier les données circulant entre les deux segments. Par conséquent, un canal de confiance doit être établi entre les segments et devrait chiffrer les interactions entre segments. Un tel canal permettrait d'empêcher les accès non autorisés aux données qui y circulent, tout en détectant et en bloquant toute tentative de modification des données. L'exemple suivant illustre deux segments départementaux situés dans différents sites et interagissant dans un canal de confiance. Dans cet exemple, les utilisateurs internes peuvent directement accéder aux serveurs internes. Un canal de confiance devrait être établi entre les segments pour sécuriser les interactions sur des réseaux de faible sécurité Canal de confiance chiffré entre deux segments Figure 1-H CANAL DE CONFIANCE Point d'exécution INTERNET MPLS SERVEURS SERVEURS Point d'exécution DÉPARTEMENTAUX CONFIDENTIELS DATACENTER DMZ LAN SERVEUR INTERNES SERVEURS SERVEURS DÉPARTEMENTAUX CONFIDENTIELS DATACENTER 017

19 LAN INTERNET 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Étude de cas Stuxnet Comment la segmentation peut empêcher les vers informatiques de se propager En juin 2010, un nouveau ver réseau ciblant les systèmes de contrôle industriel SCADA de Siemens utilisés dans le programme nucléaire iranien a été découvert. Selon des sources publiques, le ver a endommagé des machines d'enrichissement d'uranium, entraînant de sérieuses conséquences pour les objectifs du programme. Cette étude de cas analyse les caractéristiques du ver et démontre un lien direct entre son efficacité et une segmentation inefficace. Communément appelé «Stuxnet», le ver était une menace mixte qui : (1) a infecté des postes de travail sous Windows à partir de lecteurs USB, (2) s'est propagée dans le réseau et des supports amovibles, (3) a permis à l'hôte infecté de se connecter à un serveur de commande et de contrôle pour recevoir d'autres commandes et extraire des informations, et (4) a identifié les hôtes exécutant le logiciel de contrôle SCADA et a reprogrammé leurs automates industriels pour endommager les centrifugeuses utilisées pour l'enrichissement d'uranium. Stuxnet Figure 1-I Qom Arak Teheran Natanz P2P WAN Isfahan Bushar Iran INTERNES DATACENTER 4 OPÉRATEUR SERVEURS PCS PLC 2 3 SERVEURS DE COMMANDE ET DE CONTRÔLE 1 Stuxnet a utilisé plusieurs techniques pour se dissimuler et compliquer son éradication. Le ver est resté caché pendant des années et s'est propagé via des vulnérabilités connues et inconnues. Initialement injecté dans un poste de travail interne de confiance, il s'est propagé latéralement en infectant plus de ordinateurs en Iran, et a endommagé près de centrifugeuses de la centrale nucléaire de Natanz. Des mois d'efforts intensifs ont été nécessaires pour rétablir la situation en raison de la réinfection agressive du ver. 018

20 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Les protections de périmètre de segment suivantes auraient pu stopper l'attaque : Contrôle d'accès 1. Une protection au périmètre du segment atomique aurait dû empêcher le logiciel malveillant de pénétrer dans l'hôte via l'interface USB. Des contrôles de périmètre de segment sur les postes et le réseau local auraient pu empêcher l'établissement de connexions directes entre les hôtes infectés. Une fois détectés, les hôtes infectés auraient pu être confinés, pour limiter leurs connexions réseau sortantes vers les services réseau autorisés uniquement. 2. En tant que composants critiques, Les PC opérateur n'auraient pas dû être accessibles sur le réseau. Un pare-feu de périmètre de segment aurait pu empêcher l'accès à ces ordinateurs. Prévention des menaces 3. La prévention d'intrusions dans les segments LAN et au périmètre du WAN auraient pu détecter les hôtes infectés et empêcher les logiciels malveillants de se propager à d'autres segments via des vulnérabilités connues. Une fois le ver détecté et analysé, la prévention d'intrusions aurait pu diffuser dynamiquement des signatures personnalisées pour bloquer entièrement le ver et empêcher l'exploitation de vulnérabilités jusqu'alors inconnues. 4. Les accès sortants du réseau local vers les serveurs de commande et de contrôle sur Internet aurait pu être détectés et bloqués au périmètre du site et de l'organisation. Le fait que le ver Stuxnet ait réussi à infecter de nombreuses cibles démontre la faiblesse des mécanismes de contrôle entre les entités ayant des caractéristiques de sécurité différentes, y compris les PC opérateur ayant accès aux automates de contrôle. Résumé du niveau de mise en application Le niveau de mise en application de l'architecture SDP se compose de points de contrôle qui agissent comme des platesformes d'exécution des protections définies par logiciel. Les points d'exécution peuvent être implémentés sous forme de passerelles de sécurité réseau, de logiciel sur hôte, d'applications sur appareils mobiles ou de machines virtuelles dans le cloud. Le principe de base du niveau de mise en application est la segmentation. La segmentation est critique pour la survie d'une entreprise faisant l'objet d'une attaque, car elle empêche les menaces de proliférer dans le réseau. L'implémentation de la segmentation commence par la définition des segments «atomiques» du réseau. Des points d'exécution sont introduits au niveau du périmètre de chaque segment atomique pour appliquer une logique de protection définie. Les segments atomiques peuvent être regroupés pour modulariser la protection. Enfin, des canaux de confiance sont établis pour protéger les interactions et les flux de données entre les différents segments réseau. Cette méthode de segmentation facilite la consolidation des passerelles et peut être appliquée à de nombreuses configurations d'infrastructure réseau, aussi bien traditionnelles et physiques que modernes et dynamiques utilisant la virtualisation de la sécurité et du réseau, les réseaux locaux virtuels et les infrastructures SDN. Le niveau de mise en application SDP repose sur cette approche de la segmentation pour constituer une défense efficace contre les infections résultant des menaces persistantes avancées (APT) les plus complexes. 019

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé

Plus en détail

GESTION CENTRALISÉE DELL POWERVAULT DL 2000 OPTIMISÉ PAR SYMANTEC

GESTION CENTRALISÉE DELL POWERVAULT DL 2000 OPTIMISÉ PAR SYMANTEC GESTION CENTRALISÉE DELL POWERVAULT DL 2000 OPTIMISÉ PAR SYMANTEC NOTE DE SYNTHESE La solution Dell PowerVault DL2000 optimisée par Symantec Backup Exec est la seule à proposer un système intégré de sauvegarde

Plus en détail

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS KASPERSKY SECURITY FOR BUSINESS IDENTIFIER. CONTRÔLER. PROTÉGER. Guide de migration RENOUVELLEMENTS ET MISES À NIVEAU DES LICENCES : Guide de migration PRÉSENTATION DE LA NOUVELLE GAMME ENDPOINT SECURITY

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guide de démarrage rapide ESET Smart Security apporte à votre ordinateur une excellente protection contre les codes malveillants. Fondé sur la technologie

Plus en détail

Solutions de sécurité

Solutions de sécurité Solutions de sécurité Connectivité Datacenter Applications et Contenus Votre équipe commerciale JUNIPER NETWORKS dédiée tél. +33(0) 1 41 85 15 81 pole.juniper@westconsecurity.fr www.westconsecurity.fr

Plus en détail

Check Point exploite la puissance de la virtualisation pour simplifier la sécurité des clouds privés

Check Point exploite la puissance de la virtualisation pour simplifier la sécurité des clouds privés Fiche produit : Systèmes virtuels Check Point Check Point exploite la puissance de la virtualisation pour simplifier la sécurité des clouds privés Vous cherchez un moyen de réduire la complexité et simplifier

Plus en détail

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Fiche technique: Sécurité de la messagerie Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Présentation protège les données confidentielles et garantit la productivité

Plus en détail

BITDEFENDER GRAVITYZONE

BITDEFENDER GRAVITYZONE BITDEFENDER GRAVITYZONE Notes de publication de la version 5.1.17-441 Bitdefender GravityZone Notes de publication de la version 5.1.17-441 Date de publication 2014.11.21 Copyright 2014 Bitdefender Mentions

Plus en détail

Bilan sur la sécurité des applications

Bilan sur la sécurité des applications Bilan sur la sécurité des applications De récents piratages ciblant les applications et systèmes d'exploitation mobiles ont compromis la sécurité d'une quantité jusque-là inégalée de données d'entreprise.

Plus en détail

Infrastructure RDS 2012

Infrastructure RDS 2012 105 Chapitre 3 Infrastructure RDS 2012 1. Introduction Infrastructure RDS 2012 Une infrastructure RDS 2012 R2 est composée de plusieurs serveurs ayant chacun un rôle bien défini pour répondre aux demandes

Plus en détail

Bitdefender GravityZone

Bitdefender GravityZone Bitdefender GravityZone NOTES DE PUBLICATION DE LA VERSION 5.1.21.462 Bitdefender GravityZone Notes de publication de la version 5.1.21.462 Date de publication 2015.06.29 Copyright 2015 Bitdefender Mentions

Plus en détail

Présentation de la solution. HP Storage Essentials : le logiciel de gestion des performances des systèmes de stockage

Présentation de la solution. HP Storage Essentials : le logiciel de gestion des performances des systèmes de stockage Présentation de la solution HP Storage Essentials : le logiciel de gestion des performances des systèmes de stockage Le suivi et la gestion des performances de l'infrastructure de stockage sont la clé

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

Cisco SecureX Brochure produit

Cisco SecureX Brochure produit Cisco SecureX Brochure produit La sécurité est plus importante que jamais Les approches traditionnelles de la sécurité réseau ciblaient un seul et même objectif : protéger les ressources situées au sein

Plus en détail

Relever les défis actuels du BYOD

Relever les défis actuels du BYOD Brochure Relever les défis actuels du BYOD HP Intelligent Management Center pour les solutions BYOD Qui êtes-vous? Votre périphérique est-il compatible? Assignation aux réseaux d'applications virtuels

Plus en détail

Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés

Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés Présentation Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés BÉNÉFICES Un accès à des informations plus précises qui permet une protection renforcée grâce à l analyse

Plus en détail

Exercices Active Directory (Correction)

Exercices Active Directory (Correction) Exercices Active Directory (Correction) Exercice : Scénarios pour l'implémentation de composants logiques AD DS Lire les scénarios suivants et déterminer les composants logiques AD DS à déployer dans chaque

Plus en détail

RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE D'ATTAQUES PAR DÉNI DE SERVICE DISTRIBUÉ (DDOS) 1ÈRE ÉDITION 1ER TRIMESTRE 2014

RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE D'ATTAQUES PAR DÉNI DE SERVICE DISTRIBUÉ (DDOS) 1ÈRE ÉDITION 1ER TRIMESTRE 2014 RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE D'ATTAQUES PAR DÉNI DE SERVICE DISTRIBUÉ (DDOS) 1ÈRE ÉDITION SYNTHÈSE Ce rapport contient les observations et perspectives issues des limitations mises en

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures de balayage de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Niveau 5... 6 Niveau 4... 6

Plus en détail

État Réalisé En cours Planifié

État Réalisé En cours Planifié 1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture

Plus en détail

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

NOTIONS DE RESEAUX INFORMATIQUES

NOTIONS DE RESEAUX INFORMATIQUES NOTIONS DE RESEAUX INFORMATIQUES GENERALITES Définition d'un réseau Un réseau informatique est un ensemble d'équipements reliés entre eux afin de partager des données, des ressources et d'échanger des

Plus en détail

1 LE L S S ERV R EURS Si 5

1 LE L S S ERV R EURS Si 5 1 LES SERVEURS Si 5 Introduction 2 Un serveur réseau est un ordinateur spécifique partageant ses ressources avec d'autres ordinateurs appelés clients. Il fournit un service en réponse à une demande d un

Plus en détail

Gestion des utilisateurs et Entreprise Etendue

Gestion des utilisateurs et Entreprise Etendue Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission

Plus en détail

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization AGENT LÉGER OU SANS AGENT Guide des fonctionnalités Kaspersky Security for Virtualization Avec la généralisation de la virtualisation, le besoin de solutions de sécurité est une évidence. Bien qu'ils soient

Plus en détail

Optimisation WAN de classe Centre de Données

Optimisation WAN de classe Centre de Données Optimisation WAN de classe Centre de Données Que signifie «classe centre de données»? Un nouveau niveau de performance et d'évolutivité WAN Dans le milieu de l'optimisation WAN, les produits de classe

Plus en détail

PPE 4. Firewall KOS INFO. Groupe 1: Alexis, David et Lawrence 19/02/2014

PPE 4. Firewall KOS INFO. Groupe 1: Alexis, David et Lawrence 19/02/2014 KOS INFO PPE 4 Firewall Groupe 1: Alexis, David et Lawrence 19/02/2014 KOS info à pour mission d'établir des mécanismes de sécurité afin de protéger le réseau de M2L. Ce projet s'appuiera sur le logiciel

Plus en détail

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guide de démarrage rapide ESET Smart Security assure une protection de pointe de votre ordinateur contre les codes malveillants. Basé sur le moteur

Plus en détail

ESET SMART SECURITY 7

ESET SMART SECURITY 7 ESET SMART SECURITY 7 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guide de démarrage rapide Cliquez ici pour télécharger la dernière version de ce document. ESET Smart

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

Kaspersky Security for Mobile

Kaspersky Security for Mobile Kaspersky Security for Mobile 1 Kaspersky Security for Mobile Dix ans de leadership dans le domaine de la sécurité mobile Une technologie en constante évolution, des menaces en constante évolution. Kaspersky

Plus en détail

Cisco Unified Computing Migration and Transition Service (Migration et transition)

Cisco Unified Computing Migration and Transition Service (Migration et transition) Le service Cisco Unified Computing Migration and Transition Service (Migration et transition) vous aide à migrer vos applications de façon fluide vers la plate-forme Cisco Unified Computing System, à les

Plus en détail

Programmabilité du réseau avec l'infrastructure axée sur les applications (ACI) de Cisco

Programmabilité du réseau avec l'infrastructure axée sur les applications (ACI) de Cisco Livre blanc Programmabilité du réseau avec l'infrastructure axée sur les applications (ACI) de Cisco Présentation Ce document examine la prise en charge de la programmabilité sur l'infrastructure axée

Plus en détail

BITDEFENDER GRAVITYZONE

BITDEFENDER GRAVITYZONE BITDEFENDER GRAVITYZONE Notes de publication de la version 5.0.4 Bitdefender GravityZone Notes de publication de la version 5.0.4 Date de publication 2013.06.14 Copyright 2013 Bitdefender Notice Légale

Plus en détail

Service de planification et de conception de réseau sans fil unifié Cisco

Service de planification et de conception de réseau sans fil unifié Cisco Service de planification et de conception de réseau sans fil unifié Cisco Augmentez la précision, la vitesse et l'efficacité du déploiement d'une solution de réseau sans fil unifié Cisco. Adoptez une approche

Plus en détail

F-Secure Software Updater Un outil unique pour protéger votre entreprise

F-Secure Software Updater Un outil unique pour protéger votre entreprise F-Secure Software Updater Un outil unique pour protéger votre entreprise Protège l'irremplaçable f-secure.fr Vue d'ensemble Ce document décrit Software Updater, ses fonctionnalités, son fonctionnement,

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Symantec Discovery. Fiche technique : Inventaire et gestion des ressources

Symantec Discovery. Fiche technique : Inventaire et gestion des ressources Symantec Discovery Surveillez les ressources matérielles/logicielles et contrôlez la conformité des licences d'une infrastructure informatique multi plates-formes PRESENTATION Symantec Discovery vous aide

Plus en détail

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés. portnox Livre blanc réseau Janvier 2008 Access Layers portnox pour un contrôle amélioré des accès access layers Copyright 2008 Access Layers. Tous droits réservés. Table des matières Introduction 2 Contrôle

Plus en détail

Chapitre 1 : Introduction aux bases de données

Chapitre 1 : Introduction aux bases de données Chapitre 1 : Introduction aux bases de données Les Bases de Données occupent aujourd'hui une place de plus en plus importante dans les systèmes informatiques. Les Systèmes de Gestion de Bases de Données

Plus en détail

Appliance Check Point 2200

Appliance Check Point 2200 Fiche produit : Appliance Check Point 2200 2200 Solution pour petites entreprises et succursales Sécurité de haut niveau au format desktop Appliance Check Point 2200 Les passerelles Internet sont aujourd'hui

Plus en détail

Sécurité sur le web : protégez vos données dans le cloud

Sécurité sur le web : protégez vos données dans le cloud Livre blanc Sécurité sur le web : protégez vos données dans le cloud Présentation Les équipes de sécurité ne peuvent pas être partout, et pourtant le contexte actuel exige des entreprises qu elles protègent

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

CA ARCserve D2D. Une récupération après sinistre ultra-rapide vous permet d'éviter une interruption de service. DOSSIER SOLUTION : CA ARCserve D2D r16

CA ARCserve D2D. Une récupération après sinistre ultra-rapide vous permet d'éviter une interruption de service. DOSSIER SOLUTION : CA ARCserve D2D r16 CA ARCserve D2D CA ARCserve D2D est un produit de récupération sur disque conçu pour offrir la combinaison idéale de protection et de récupération rapides, simples et fiables de vos données professionnelles.

Plus en détail

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization)

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization) Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization) Préparé par : Zeus Kerravala Les cinq raisons majeures pour déployer SDN et NFV NetworkWorld,

Plus en détail

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base Windows Server 2008 Chapitre 3 : Le service d annuaire Active Directory: Concepts de base omar.cheikhrouhou@isetsf.rnu.tn omar.cheikhrouhou@ceslab.org Objectives Comprendre les concepts de base d Active

Plus en détail

Présentation du déploiement des serveurs

Présentation du déploiement des serveurs Présentation du déploiement des serveurs OpenText Exceed ondemand Solutions de gestion de l accès aux applications pour l entreprise OpenText Connectivity Solutions Group Février 2011 Sommaire Aucun environnement

Plus en détail

Pare-feu. 2. Zone Démilitarisée (DMZ) 1. Qu'est-ce qu'un pare-feu?

Pare-feu. 2. Zone Démilitarisée (DMZ) 1. Qu'est-ce qu'un pare-feu? Pare-feu Chaque ordinateur connecté à Internet (et d'une manière plus générale à n'importe quel réseau) est susceptible d'être victime d'une intrusion pouvant compromettre l'intégrité du système ou bien

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail

Desktop Firewall ASaP

Desktop Firewall ASaP Desktop Firewall ASaP Service complet de sécurisation par firewall il surveille, contrôle et tient l'historique de l'activité réseau de votre PC La plupart des utilisateurs d'ordinateurs personnels (PC)

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

Cisco Advanced Malware Protection

Cisco Advanced Malware Protection Présentation Cisco Advanced Malware Protection Prévention, détection, riposte et correction : la solution concrète contre les intrusions LES BÉNÉFICES Obtenez des renseignements inédits sur les menaces

Plus en détail

Sécurité des Postes Clients

Sécurité des Postes Clients HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin

Plus en détail

Symantec Network Access Control

Symantec Network Access Control Symantec Network Access Control Conformité totale des terminaux Présentation est une solution de contrôle d'accès complète et globale qui permet de contrôler de manière efficace et sûre l'accès aux réseaux

Plus en détail

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Guide de démarrage rapide

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Guide de démarrage rapide Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Guide de démarrage rapide ESET NOD32 Antivirus apport à votre ordinateur une excellente protection contre les codes malveillants. Fondé

Plus en détail

Principes de base et aspects techniques

Principes de base et aspects techniques HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27001 / ISO27002 Principes de base et aspects techniques

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

LE MEILLEUR CHEMIN VERS WINDOWS 7

LE MEILLEUR CHEMIN VERS WINDOWS 7 LE MEILLEUR CHEMIN VERS WINDOWS 7 Migrez en toute confiance Protection assurée dès le premier jour Sauvegardez ce qui est le plus important Virtualisez vos applications pour une plus grande efficacité

Plus en détail

Faire le grand saut de la virtualisation

Faire le grand saut de la virtualisation LIVRE BLANC : FAIRE LE GRAND SAUT DE LA VIRTUALISATION........................................ Faire le grand saut de la virtualisation Public cible : Directeurs, responsables et administrateurs informatiques

Plus en détail

Virtualisation des postes de travail

Virtualisation des postes de travail Virtualisation des postes de travail Relever les défis de sécurité posés à votre infrastructure de postes de travail virtuels Un livre blanc de Trend Micro Trend Micro est distribué par: I. INTRODUCTION

Plus en détail

La sécurité intelligente intégrée pour protéger vos données critiques

La sécurité intelligente intégrée pour protéger vos données critiques IBM Software Livre blanc sur le leadership éclairé Avril 2013 La sécurité intelligente intégrée pour protéger vos données critiques Exploitez des informations décisionnelles afin de réduire les risques

Plus en détail

SharePoint Server 2013 Déploiement et administration de la plate-forme

SharePoint Server 2013 Déploiement et administration de la plate-forme Présentation des technologies SharePoint 1. Historique des technologies SharePoint 13 1.1 SharePoint Team Services v1 14 1.2 SharePoint Portal Server 2001 14 1.3 Windows SharePoint Services v2 et Office

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

Cours 10701A - Configuration et gestion de Microsoft SharePoint 2010

Cours 10701A - Configuration et gestion de Microsoft SharePoint 2010 Cours 10701A - Configuration et gestion de Microsoft SharePoint 2010 INTRODUCTION Ce cours apprend aux stagiaires comment installer, configurer et administrer SharePoint, ainsi que gérer et surveiller

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé)

TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé) TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé) Nom du routeur Type de routeur Adresse FA0 Adresse FA1 Adresse S0 Adresse S1 Masque de sousréseau Routage Mot de passe enable Mot

Plus en détail

Découverte et investigation des menaces avancées PRÉSENTATION

Découverte et investigation des menaces avancées PRÉSENTATION Découverte et investigation des menaces avancées PRÉSENTATION AVANTAGES CLÉS RSA Security Analytics offre les avantages suivants : Surveillance de la sécurité Investigation des incidents Reporting sur

Plus en détail

Comment votre PC peut-il être piraté sur Internet?

Comment votre PC peut-il être piraté sur Internet? Edited By BIANCHI Lorenzo A.C.S2013SERVICES INFORMATIQUE 2014 Comment votre PC peut-il être piraté sur Internet? Comment votre PC peut-il être piraté sur Internet? Toujours le fait de personnes malveillantes,

Plus en détail

BYOD Smart Solution. Mettre à disposition une solution qui peut être adaptée à des utilisateurs et appareils divers, à tout moment et en tout lieu

BYOD Smart Solution. Mettre à disposition une solution qui peut être adaptée à des utilisateurs et appareils divers, à tout moment et en tout lieu Présentation de la solution BYOD Smart Solution Mettre à disposition une solution qui peut être adaptée à des utilisateurs et appareils divers, à tout moment et en tout lieu Cisco ou ses filiales, 2012.

Plus en détail

Ordinateur central Hôte ERP Imagerie/Archivage Gestion des documents Autres applications d'administration. Messagerie électronique

Ordinateur central Hôte ERP Imagerie/Archivage Gestion des documents Autres applications d'administration. Messagerie électronique 1 Produit Open Text Fax Remplacez vos appareils de télécopie et vos processus papier inefficaces par un système sécurisé et efficace de télécopie et de distribution de documents. Open Text est le premier

Plus en détail

KMnet Admin LOGICIEL COMPLET ET PERFORMANT D'ADMINISTRATION DES PÉRIPHÉRIQUES.

KMnet Admin LOGICIEL COMPLET ET PERFORMANT D'ADMINISTRATION DES PÉRIPHÉRIQUES. KMnet Admin LOGI CIEL D'ADMINISI TRATION DES PÉ RIPHÉR ÉRIQUES PO UR LES ENTREPRISES LOGICIEL COMPLET ET PERFORMANT D'ADMINISTRATION DES PÉRIPHÉRIQUES. ADMINISTRATION RAPIDE ET FACILE DES PÉRIPHÉRIQUES

Plus en détail

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Sommaire F-Secure Anti-Virus for Mac 2015 Sommaire Chapitre 1: Prise en main...3 1.1 Gestion des abonnements...4 1.2 Comment m'assurer que mon ordinateur est protégé...4

Plus en détail

Lettre d'information n 17 - Janvier 2011

Lettre d'information n 17 - Janvier 2011 Lettre d'information n 17 - Janvier 2011 Sommaire 1. Meilleurs voeux 2011 2. Quand la gestion des services et les technologies de virtualisation s'associent pour donner le Cloud Computing (informatique

Plus en détail

En savoir plus pour bâtir le Système d'information de votre Entreprise

En savoir plus pour bâtir le Système d'information de votre Entreprise En savoir plus pour bâtir le Système d'information de votre Entreprise En savoir plus sur : Services en ligne, SaaS, IaaS, Cloud - 201305-2/5 SaaS, IaaS, Cloud, définitions Préambule Services en ligne,

Plus en détail

IBM Tivoli Storage Manager

IBM Tivoli Storage Manager Maintenir la continuité des affaires grâce à une gestion efficace et performante du stockage IBM Tivoli Storage Manager POINTS FORTS Accroît la continuité des affaires en réduisant les temps de sauvegarde

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Module 8. Protection des postes de travail Windows 7

Module 8. Protection des postes de travail Windows 7 Module 8 Protection des postes de travail Windows 7 Vue d'ensemble du module Vue d'ensemble de la gestion de la sécurité dans Windows 7 Protection d'un ordinateur client Windows 7 en utilisant les paramètres

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Solutions McAfee pour la sécurité des serveurs

Solutions McAfee pour la sécurité des serveurs Solutions pour la sécurité des serveurs Sécurisez les charges de travail des serveurs avec une incidence minime sur les performances et toute l'efficacité d'une gestion intégrée. Imaginez que vous ayez

Plus en détail

Tableau Online Sécurité dans le cloud

Tableau Online Sécurité dans le cloud Tableau Online Sécurité dans le cloud Auteur : Ellie Fields Ellie Fields, directrice principale du marketing produits, Tableau Software Juin 2013 p.2 Tableau est conscient que les données font partie des

Plus en détail

Sage CRM. 7.2 Guide de Portail Client

Sage CRM. 7.2 Guide de Portail Client Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,

Plus en détail

Présentation d'un Réseau Eole +

Présentation d'un Réseau Eole + Présentation d'un Réseau Eole + Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Eole Plus. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

Avantages économiques de la stratégie de Cisco relative à l'informatique en nuage

Avantages économiques de la stratégie de Cisco relative à l'informatique en nuage Avantages économiques de la stratégie de Cisco relative à l'informatique en nuage Principaux résultats Synthèse L'informatique en nuage permet d'utiliser l'informatique en tant que service, en tout lieu

Plus en détail

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le

Plus en détail

Conception d'une architecture commutée. Master 2 Professionnel STIC-Informatique 1

Conception d'une architecture commutée. Master 2 Professionnel STIC-Informatique 1 Conception d'une architecture commutée Master 2 Professionnel STIC-Informatique 1 Conception d'une architecture commutée Définition Master 2 Professionnel STIC-Informatique 2 Motivations L'architecture

Plus en détail

L'ensemble de ces tendances présente de nouveaux challenges pour les départements IT de l'entreprise. Plus précisément :

L'ensemble de ces tendances présente de nouveaux challenges pour les départements IT de l'entreprise. Plus précisément : Livre blanc L'architecture de réseau d'entreprise Cisco ONE : l'automatisation et la reconnaissance des applications comme pierre angulaire de l'entreprise moderne Le challenge Au cours des dix dernières

Plus en détail

Enjeux de la sécurité des réseaux

Enjeux de la sécurité des réseaux HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Enjeux de la sécurité des réseaux Séminaire Inkra Networks 14 octobre

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

Réf. 2402 Implémentation et gestion de Microsoft Exchange Server 2003

Réf. 2402 Implémentation et gestion de Microsoft Exchange Server 2003 Public Ce cours est destiné aux informaticiens qui gèrent une messagerie électronique dans un environnement comprenant entre 250 et 5000 utilisateurs, réparti sur de nombreux sites, utilisant divers protocoles

Plus en détail

Pourquoi une stratégie de protection intelligente?

Pourquoi une stratégie de protection intelligente? Un livre blanc de Trend Micro juillet 2013 Pourquoi une stratégie de protection intelligente?» Les entreprises actuelles ont besoin d'une stratégie de protection élaborée, intelligente et simple pour une

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

Technique et architecture de l offre Suite infrastructure cloud. SFR Business Team - Présentation

Technique et architecture de l offre Suite infrastructure cloud. SFR Business Team - Présentation Technique et architecture de l offre Suite infrastructure cloud Les partenaires de l offre Cloud Computing SFR Le focus HP Les principes de mise en œuvre réseau Les principes de fonctionnement de la solution

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail