SOFTWARE- DEFINED PROTECTION. Schéma de sécurité entreprise

Dimension: px
Commencer à balayer dès la page:

Download "SOFTWARE- DEFINED PROTECTION. Schéma de sécurité entreprise"

Transcription

1 SOFTWARE- DEFINED PROTECTION Schéma de sécurité entreprise

2 Table des matières S Sommaire Niveau de mise en application 4 Niveau de contrôle Niveau d'administration 34 R Résumé 42 CP SDP Check Point Software-Defined Protection CP A À propos de Check Point 53 Annexe : Modèles de réseaux d'entreprise

3 S Sommaire Le monde des affaires repose aujourd'hui sur la libre circulation des informations. Les données des entreprises circulent dans le cloud et les appareils mobiles, et rayonnent à travers des idées et des messages dans les réseaux sociaux. BYOD, mobilité et cloud computing ont révolutionné les environnements informatiques statiques, entraînant la naissance de réseaux et d'infrastructures dynamiques. Mais si notre environnement informatique a changé rapidement, le paysage des menaces a changé encore plus vite. La sophistication et la vitesse de cette évolution sont exponentielles. Des attaques d'un type nouveau sont de plus en plus fréquentes, mêlant menaces connues et inconnues, profitant des failles «zero-day», et utilisant des logiciels malveillants cachés dans des documents, des sites web, des hôtes et des réseaux. Dans ce monde fait d'infrastructures informatiques et de réseaux exigeants, où les périmètres ne sont plus aussi bien définis et où les menaces deviennent chaque jour plus intelligentes, nous devons définir la meilleure façon de protéger les entreprises contre des menaces en constante évolution. Il existe une multitude de produits de protection, qui sont généralement de nature réactive et tactique, mais font abstraction de toute notion d'architecture. Les entreprises d'aujourd'hui ont besoin d'une architecture unique combinant des équipements de sécurité réseau haute performance avec des protections proactives en temps réel. Un nouveau paradigme est nécessaire pour protéger les entreprises de manière proactive. Check Point Software-Defined Protection (SDP) est une nouvelle architecture et méthodologie pragmatiques de sécurité. Elle propose une infrastructure modulaire, agile et surtout, SÉCURISÉE. Une telle architecture doit protéger les entreprises de toute taille en tout lieu : siège, succursales, smartphones ou appareils mobiles, ou lors de l'utilisation du cloud. Les protections doivent automatiquement s'adapter à la nature des menaces, sans obliger les administrateurs de sécurité à garder un œil sur des milliers de notifications et de recommandations. Ces protections doivent s'intégrer harmonieusement dans l'environnement informatique, et l'architecture doit fournir une posture défensive s'appuyant sur des sources d'intelligence collaboratives internes et externes. L'architecture SDP partitionne l'infrastructure de sécurité en trois niveaux interconnectés : Un niveau de mise en application qui repose sur des points d'exécution physiques et virtuels de la sécurité, segmente le réseau, et exécute la logique de protection dans des environnements exigeants. 002

4 SCHÉMA DE SÉCURITÉ ENTREPRISE SOMMAIRE S Un niveau de contrôle qui analyse les différentes sources d'information sur les menaces et génère des protections et des politiques de sécurité exécutées par le niveau de mise en application. Un niveau d'administration qui orchestre l'infrastructure et apporte le plus haut degré d'agilité à l'ensemble de l'architecture. Modularité Visibilité Automatisation Niveau d administration Renseignements sur les menaces Politique de sécurité Contrôle des accès Protection des données Prévention des menaces Niveau de contrôle Protection Protection Point d exécution Point d exécution Point d exécution Point d exécution Niveau de mise en application En combinant le niveau de mise en application haute performance avec le niveau de contrôle logiciel hautement évolutif et dynamique, l'architecture SDP fournit non seulement une résilience fonctionnelle, mais fournit également une prévention proactive des incidents adaptée au paysage des menaces en constante évolution. De par sa nature proactive, l'architecture SDP prend en charge les exigences de la politique traditionnelle de sécurité réseau et de contrôle d'accès, ainsi que la prévention des menaces nécessaire aux entreprises modernes qui adoptent de nouvelles technologies telles que l'informatique mobile et les réseaux définis par logiciel (SDN). 003

5 Niveau de mise 01 en application La première étape de la sécurisation de l'entreprise consiste à déterminer les emplacements des points d'exécution à la fois sur le réseau et les hôtes pour superviser les interactions entre les utilisateurs et les systèmes. Cette segmentation est critique pour la survie d'une entreprise faisant l'objet d'une attaque et est donc le principe de base du niveau de mise en application. La segmentation de l'architecture SDP empêche les menaces de proliférer dans les réseaux, de sorte qu'une attaque visant un composant réseau unique ne puisse atteindre le reste de l'infrastructure de sécurité de l'entreprise. La segmentation est la pierre angulaire de la mise en application de la sécurité. Elle a pour objectif de : La première étape de la sécurisation de l'entreprise consiste à déterminer les emplacements des points d'exécution Simplifier et modulariser la politique de sécurité sur différents segments du réseau Permettre la création de modèles d'architecture de sécurité pour les différents segments Appliquer des politiques de confinement aux hôtes compromis dans un segment Définir les interactions à l'intérieur d'un segment qui ne nécessitent pas de supervision 004

6 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Nécessité de la segmentation La sécurité des réseaux de première génération s'intéressait à la protection du périmètre, «une sorte de coque craquante autour d'un centre mou,» comme le décrivait Bill Cheswick en Le réseau interne était une «zone de confiance», au contraire de l'internet externe. Le rôle d'un pare-feu était d'autoriser les connexions sortantes (de la zone de confiance vers l'extérieur) et de bloquer les connexions entrantes. Les pare-feux de la génération suivante ont étendu ce rôle par l'ajout d'un système de prévention des intrusions (IPS) et de fonctions de prise en charge des utilisateurs et des applications, pour assurer un contrôle plus granulaire du trafic réseau entrant et sortant. Le cloisonnement est critique pour la survie d'une entreprise faisant l'objet d'une attaque La protection du périmètre n'est plus assez efficace aujourd'hui pour protéger les entreprises. Les systèmes d'information d'entreprise sont maintenant disséminés dans plusieurs sites physiques et environnements réseau, et fournissent des services non seulement aux utilisateurs internes mais également à des partenaires commerciaux, des clients et le grand public. Les actifs de l'entreprise reposent sur différents types de ressources informatiques, allant des ordinateurs centraux aux appareils mobiles des employés. Comme le périmètre continue de s'élargir sans frontière discernable, de nombreuses entreprises estiment que le modèle d'un réseau interne sécurisé n'est plus une valeur sûre. Des agresseurs motivés peuvent utiliser des méthodes d'accès physique, d'ingénierie sociale, et d'exploitation des vulnérabilités du matériel et des logiciels, pour percer les mécanismes de défense de l'entreprise. Des contrôles de sécurité internes sont nécessaires pour protéger les interactions au sein du réseau et améliorer la visibilité sur ces interactions. Le compartimentage est critique pour la survie d'une entreprise faisant l'objet d'une attaque. De même qu'un porte-avions utilise des compartiments étanches pour isoler les zones endommagées et rester à flot en cas d'attaque, les grandes entreprises devraient identifier les segments de leur réseau qui ont des caractéristiques de sécurité différentes, et établir des contrôles de sécurité nécessaires pour confiner les menaces et poursuivre leur activité. L'implémentation de points d'exécution entre les utilisateurs et les actifs critiques de l'entreprise apporte non seulement une meilleure visibilité sur les postes de travail compromis par des agresseurs externes, mais permet également de détecter et empêcher les accès non autorisés par des utilisateurs internes, appliquant ainsi la politique de sécurité de l'entreprise. 005

7 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Méthode de segmentation L'implémentation de la segmentation commence par la définition des segments «atomiques» du réseau. Un segment est défini comme étant un ensemble logique d'éléments informatiques et d'éléments réseau protégés par un point d'exécution. Un segment peut être aussi petit qu'une seule application fonctionnant sur un hôte, ou aussi grand que toute l'entreprise. Un segment atomique contient des éléments qui partagent les mêmes besoins en protection. Des points d'exécution sont introduits au périmètre de chaque segment pour appliquer la logique de protection définie. Les segments peuvent être regroupés pour modulariser la protection. Une fois le modèle de segmentation créé, il est intégré dans le schéma du réseau. Enfin, des canaux de confiance sont établis pour protéger les interactions et les flux de données entre les différents segments réseau. Description de la méthodologie de segmentation : Étape 1 Étape 2 Étape 3 Étape 4 Segments atomiques. Identifiez les éléments partageant les mêmes caractéristiques de sécurité.. Définissez des points d'exécution de la sécurité au périmètre des segments et supervisez tous les flux d'information entrants et sortants, pour n'autoriser que les accès contrôlés. Regroupement des segments. Regroupez les segments atomiques pour une protection modulaire. Itération. Poursuivez le regroupement des segments jusqu'à ce que tous les actifs de l'entreprise soient intégrés dans un périmètre de segment contrôlé. Consolidation de la mise en application. Consolidez les composants physiques et virtuels tels que les passerelles de sécurité réseau ou les logiciels sur hôte.. Utilisez la consolidation et la virtualisation pour atteindre une solution optimale. Canaux de confiance. Protégez les interactions et les flux de données entre les segments Étape 1 : Segments atomiques Un segment atomique est constitué d'un ensemble d'éléments informatiques et d'éléments réseau qui : (1) partagent un profil de sécurité commun, (2) ne peuvent être subdivisés en segments plus petits, (3) peuvent être protégés par des contrôles de sécurité supervisant toutes les interactions entre le segment et des entités externes. Exemples d'un segment atomique : un appareil sur lequel le logiciel de sécurité est installé, ou plusieurs ordinateurs sur un réseau partagé protégé par une passerelle de sécurité. Un segment atomique est un ensemble d'hôtes et d'éléments réseau qui partagent un profil de sécurité commun 006

8 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Définir les segments atomiques et identifier les entités qui partagent un profil de sécurité commun constituent la première étape de l'implémentation de l'architecture SDP. Un profil de sécurité est affecté à chaque segment en fonction de la valeur des actifs situés dans le segment et du niveau de confiance accordé aux utilisateurs du segment et aux contrôles de sécurité. Des risques peuvent survenir au point d'interaction entre deux segments ayant des profils de sécurité différents. Leur gravité augmente également proportionnellement à l'écart de profil de sécurité entre les deux segments. Pour pallier à ces risques, de nombreuses entreprises utilisent un système de classification des données, des hôtes, des applications et des réseaux à l'échelle de l'entreprise, prenant en charge cette méthode de segmentation. Selon les objectifs métiers de l'entreprise, une des exigences de sécurité suivantes est choisie comme principe directeur pour la classification : confidentialité, intégrité ou disponibilité (CIA). Un exemple pourrait être : Public - des systèmes et des données auxquels le grand public est autorisé à accéder. Client - des systèmes et des données contenant des informations confidentielles, auxquels typiquement des clients authentifiés et un petit nombre d'utilisateurs internes sont autorisés à accéder. Interne - les employés y ont accès en tout lieu. Confidentiel - des systèmes et des données internes nécessitant des protections étendues. Départemental - réservé à certains utilisateurs en fonction de leur rôle. Des risques peuvent survenir au point d'interaction entre deux segments ayant des profils de sécurité différents Ce type de classification facilite la définition des segments et de leur profil de sécurité. Le niveau et l'étendue de la segmentation nécessaire à chaque entreprise dépend de ses besoins métiers et des exigences de sécurité. Certaines entreprises appliquent des règles strictes de «moindre privilège» et de «séparation des privilèges», tandis que d'autres considèrent que tous les utilisateurs et les systèmes sont équivalents en termes de niveau d'accès et d'importance. CONSEIL Lors de la constitution des segments, vérifiez si les entités ont les mêmes autorisations, si elles prennent en charge les mêmes processus métiers, gèrent des actifs similaires et bénéficient du même niveau de protection. Si c'est le cas, ces entités peuvent être incluses dans un segment atomique unique. Si ce n'est pas entièrement le cas, ces entités devraient alors être segmentées séparément. 007

9 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Quelques exemples de séparation des entités en différents segments : Deux postes de travail sur le même réseau local accédant à des actifs de même classification :. Comme un des utilisateurs a peu d'intérêt d'attaquer l'autre poste de travail puisqu'ils ont tous deux accès aux mêmes actifs, les deux hôtes peuvent faire partie d'un même segment atomique.. D'autre part, les utilisateurs peuvent souhaiter accéder à des actifs pour lesquels ils n'ont pas d'autorisation. Ces utilisateurs et ces actifs devraient être modélisées dans des segments distincts. Un appareil mobile exposé à des menaces (vol, par exemple) qui ne sont pas applicables aux serveurs d'un datacenter :. Ces entités ont des exigences de sécurité différentes et ne devraient pas être placées dans un même segment atomique. Des unités métiers et des sites distincts :. Différentes entités devraient toujours être modélisées dans des segments distincts. Des serveurs accessibles à des utilisateurs situés à l'extérieur de l'entreprise :. Ces entités ont un profil de sécurité distinct des serveurs internes qui ne sont pas exposés à l'extérieur. Étape 2 : Regroupement des segments Une fois les segments atomiques identifiés, ils peuvent être regroupés en segments hiérarchiques (par exemple, les applications peuvent être regroupées dans le périmètre des hôtes, plusieurs hôtes dans un segment réseau, et plusieurs réseaux hiérarchiquement). Bien que chaque sous-segment gère sa propre protection, le regroupement apporte : Une modularité accrue grâce à l'abstraction et au masquage des données Une confiance accrue ou une protection plus complète au périmètre du segment supérieur que dans les sous-segments Un contrôle centralisé et la fourniture de services d'infrastructure de sécurité Le confinement des infections et la récupération Prenons l'exemple du site de la Figure 1-A. Cette entreprise est constituée de plusieurs sites connectés par un réseau MPLS. Chaque site, représenté dans une zone grisée, est composé d'un réseau d'accès hébergeant des segments d'utilisateurs internes (LAN) et de serveurs. Les serveurs internes et les serveurs confidentiels sont hébergés sur des segments séparés, isolés des utilisateurs par une passerelle ou un point d'exécution. Plusieurs segments départementaux fournissent des fonctionnalités de confinement à leurs utilisateurs finaux. Enfin, une zone démilitarisée (DMZ), dans son propre segment, fournit des services au public. Dans cet exemple, plusieurs segments serveurs et un segment utilisateur distinct permettent un contrôle précis de toutes les interactions entre segments. Ce contrôle applique les politiques de sécurité reposant sur la classification et permet le confinement des hôtes compromis. 008

10 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Tous les segments internes bénéficient de services de sécurité provenant d'un système centralisé et de l'infrastructure d'administration réseau dans les segments serveur. Les accès Internet et WAN sont contrôlés par des points d'exécution dédiés. Le point d'exécution Internet contrôle également les accès Internet vers et hors de la DMZ. Regroupement des segments Figure 1-A MPLS INTERNET Classification des segments Public Interne Confidentiel Point d'exécution Point d'exécution Départemental LAN DMZ SERVEURS INTERNES SERVEURS SERVEURS DÉPARTEMENTAUX CONFIDENTIELS DATACENTER Dans un regroupement hiérarchique, les interactions peuvent traverser plusieurs points d'exécution. Par exemple, un serveur situé dans le segment «serveurs internes» qui se connecte à une ressource sur Internet (un service de mise à jour de contenus par exemple) pourrait être supervisé par les points d'exécution successifs suivants : 1. Le logiciel de sécurité installé sur les hôtes du segment «serveurs internes» 2. Le point d'exécution au périmètre du segment «serveurs internes» 3. Le point d'exécution situé au périmètre du datacenter 4. Le point d'exécution exposé à Internet Les interactions au niveau des proxies situés dans le segment de la DMZ pourraient traverser des contrôle supplémentaires, notamment les points d'exécution vers et hors du segment de la DMZ. En répétant le processus de regroupement des segments sur des portions du réseau consécutivement plus grandes, les entreprises peuvent assurer l'inclusion de tous les actifs dans un segment protégé. Les lignes de défense hiérarchiques établies selon le regroupement des segments compartimentent le réseau interne et fournissent une protection supérieure. 009

11 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Étape 3 : Consolidation de la mise en application Du modèle à l'implémentation Une fois le modèle de segmentation créé, les points d'exécution définis doivent être implémentés sous forme de passerelles de sécurité ou de logiciel sur hôte. Des technologies de consolidation et de virtualisation, y compris les passerelles multiconnectées, la virtualisation des passerelles, les réseaux locaux virtuels (VLAN), SDN et la virtualisation réseau, peuvent être utilisées pour optimiser les performances, l'exploitabilité et le coût de possession. Le processus de modélisation de la segmentation (Figure 1-B) illustre un exemple de segmentation d'un réseau comprenant des postes de travail, des serveurs (CRM, R&D et comptabilité), un centre d'exploitation de la sécurité (SOC) et des serveurs frontaux dans un segment DMZ. Des profils de sécurité sont associés aux segments atomiques (voir la légende «Classification des segments» de la Figure 1-A). Des points d'exécution sont placés au périmètre de chaque segment. Les segments sont regroupés en fonction de leur profil de sécurité. Processus de segmentation Figure 1-B Serveurs web UTILISATEURS PC/PORTABLES Serveurs de CRM Serveurs de R&D Serveurs SOC Serveurs comptables Public Interne Interne Confidentiel Départemental Départemental 1. Segments atomiques DMZ UTILISATEURS LAN DATACENTER 2. Groupement des segments 010

12 PASSERELLE DE SÉCURITÉ SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Ce processus de modélisation du bas vers le haut fournit la souplesse et la modularité nécessaires afin de déterminer les points d'exécution requis pour tout type d'application. Les ingénieurs sécurité déterminent où commencer (par exemple, processus, hôte et réseau) et où s'arrêter. Les points d'exécution établissent ensuite les lignes de défense hiérarchiques qui assurent la protection des données et des systèmes hébergés dans les segments correspondants. Consolidation des passerelles Alors que le modèle de la Figure 1-A comprend huit points d'exécution différents au périmètre du segment réseau (à l'exclusion des points d'exécution sous forme de logiciels de sécurité sur hôte dans le segment du réseau local), l'implémentation réelle ne se traduit généralement pas par huit passerelles de sécurité. En fonction des contraintes de sécurité, de performance et de coût, plusieurs points d'exécution peuvent être consolidés en une seule passerelle de sécurité multiconnectée dans chaque site. La Figure 1-C présente une configuration simple comprenant une passerelle de sécurité unifiée utilisée pour contrôler toutes les interactions entre segments. Plusieurs points d'exécution modélisés peuvent être regroupés dans une seule passerelle de sécurité Une passerelle de sécurité unique consolide les points d'exécution de plusieurs segments Figure 1-C INTERNET MPLS SERVEURS INTERNES DÉPARTEMENTAUX SERVEURS SERVEURS CONFIDENTIELS DMZ LAN 011

13 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Virtualisation de la sécurité Alors que la consolidation des passerelles permet de réaliser des économies substantielles, la consolidation des points d'exécution peut présenter quelques inconvénients. En particulier, une politique de sécurité plus complexe peut se traduire par un risque supplémentaire d'erreurs de configuration. Par exemple, une règle mal configurée autorisant les accès entre deux segments internes pourrait permettre, par inadvertance, un accès Internet entrant. Comme alternative à la configuration monolithique illustrée à la Figure 1-C, une passerelle de sécurité virtuelle peut être préférable (Figure 1-D). Dans ce scénario, une seule appliance héberge plusieurs systèmes virtuels. Chaque système est logiquement équivalent à une passerelle de sécurité et peut être géré de manière distincte. La virtualisation de la sécurité simplifie sa gestion et réduit le coût de possession Virtualisation des contrôles de sécurité Figure 1-D V V V V V V INTERNET MPLS V SERVEURS PASSERELLE DE SÉCURITÉ VIRTUALISÉE INTERNES DÉPARTEMENTAUX SERVEURS SERVEURS CONFIDENTIELS DMZ LAN La virtualisation de la sécurité simplifie l'administration. Chaque système virtuel correspond à un point d'exécution de segment de sécurité, et ses contrôles de sécurité peuvent être déployés et administrés de manière distincte. L'utilisation d'une plate-forme matérielle unifiée réduit également le coût total de possession. Virtualisation des serveurs (cloud) Dans un environnement de virtualisation des serveurs (voir l'annexe - Modèle : cloud) des passerelles de sécurité virtuelles peuvent être implémentées à l'aide de machines virtuelles (VM), comme illustré dans la Figure A-D. L'infrastructure dans le cloud fournit la technologie de virtualisation sous-jacente, et garantit que le trafic entre segments passe par les points d'exécution au niveau des VM en créant des VLAN et en les connectant via le point d'exécution. 012

14 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 La supervision du trafic entre les différentes machines virtuelles sur le même hôte physique peut être efficacement traitée par un point d'exécution situé dans une machine virtuelle sur l'hôte. La mise en application peut également être intégrée au niveau de l'hyperviseur lui-même, pour veiller à ce que tous les flux d'information soient supervisés, sans nécessiter la refonte du réseau virtuel pour positionner les machines virtuelles derrière le point d'exécution. Le point d'exécution au niveau de l'hyperviseur utilise l'api fournie par la plate-forme de virtualisation pour recevoir tout le trafic réseau vers et depuis les ordinateurs virtuels hébergés. Les environnements de virtualisation de serveur peuvent également intégrer des passerelles de sécurité virtualisée physiques (comme illustré dans la Figure 1-D) pour décharger le traitement de la sécurité du serveur virtualisé vers un équipement de sécurité personnalisé haute performance. Réseaux locaux virtuels (VLAN) Les VLAN sont un mécanisme clé utilisé pour segmenter les réseaux d'entreprise. Une passerelle de sécurité connectée à un commutateur peut analyser le trafic réseau et le transmettre à plusieurs VLAN. Cette configuration permet à une passerelle de sécurité unique de contrôler le trafic réseau entre des centaines de VLAN. Dans la Figure 1-E, le commutateur est configuré pour transmettre tous les paquets réseau provenant de VLAN02 et VLAN03 à la passerelle de sécurité, pour superviser le trafic entre segments via le point d'exécution virtualisé implémenté dans la passerelle. Utilisation de VLAN pour la segmentation du réseau Figure 1-E INTERNET RÉSEAU 04 VLAN04 VLAN05 VLAN02 VLAN03 RÉSEAU 02 RÉSEAU Le principal inconvénient de la segmentation d'architectures VLAN est la dépendance à des commutateurs pour appliquer la politique de séparation de segment, puisque ces commutateurs peuvent également être attaqués. Une mauvaise configuration peut permettre à des attaques de saut de VLAN de les contourner, et permettent ainsi à un hôte VLAN de passer à un autre. Par conséquent, des séparations virtuelles et réseau devraient être combinées pour fournir divers degrés de séparation de segment. 013

15 LAN DMZ Point d'exécution Point d'exécution 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Réseau défini par logiciel (SDN) Dans les infrastructures réseau traditionnelles, les réseaux et les fonctions de sécurité réseau, telles que routeurs, commutateurs, pare-feux et prévention d'intrusions, sont implémentés sous forme d'appliances physiques. Les flux sont déterminés par la topologie du réseau, et chaque équipement réseau individuel décide localement de la meilleure façon de transmettre des paquets à leur destination. Mais avec l'émergence des environnements de réseau et de serveurs virtualisés dans le cloud, la possibilité de déployer rapidement de nouvelles applications sans modifications complexes du réseau est devenue une exigence standard. SDN est une architecture réseau émergeante dans laquelle le contrôle du réseau est découplé de l'infrastructure du réseau. Niveau de mise en application SDN (réseau défini par logiciel) Figure 1-F Niveau de mise en application Point d'exécution Commutateur SDN Point d'exécution Commutateur SDN Commutateur SDN Commutateur SDN SERVEURS Commutateur SDN INTERNES DÉPARTEMENTAUX SERVEURS SERVEURS CONFIDENTIELS En intégrant le niveau de mise en application SDP dans l'infrastructure SDN, comme illustré ci-dessus dans la Figure 1-F, les commutateurs SDN ne sont que de simples points d'exécution dont le rôle consiste à décharger les flux et les sous-flux aux points d'exécution SDP appropriés. La Figure 1-G ci-dessous illustre l'intégration entre les architectures SDP et SDN. Le niveau d'administration SDP orchestre cette intégration à l'aide d'api SDN (1) et par la coordination des politiques de réseau et de sécurité entre les niveaux de contrôle SDP et SDN (2). Les flux sont alors programmés par le niveau de contrôle SDP/SDN pour transiter par les points d'exécution SDP centralisés physiques ou virtuels (3). Toutes les interactions entre segments sont ainsi constamment supervisées par les commutateurs SDN dont le rôle est de simplement décharger les flux et les sous-flux vers les points d'exécution appropriés. 014

16 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Intégration SDP/SDN Figure 1-G Modularité Visibilité 1 Automatisation Niveau d administration SDP Application métier Application métier Application métier Niveau applicatif SDN 2 2 Contrôleur SDN Contrôle des accès Protection des données Prévention des menaces Niveau de contrôle SDP 3 3 Point d exécution Point d exécution Point d exécution Niveau de mise en application Les commutateurs SDN pourraient être chargés de transmettre les interactions entre le segment du réseau local et les serveurs internes via un point d'exécution sur passerelle, tandis que les interactions avec la DMZ devraient être transmises via un autre point d'exécution implémentant un ensemble étendu de protections. Une fois identifié, le trafic de déni de service distribué pourrait être acheminé différemment du trafic légitime, permettant ainsi aux interactions autorisées de circuler librement. 015

17 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Déchargement du traitement de la sécurité dans le cloud Le traitement de la sécurité au niveau du réseau et des points d'exécution sur hôte peut être confié à des ressources dédiées dans des configurations de clouds privés et publics. Au lieu de prendre des décisions à partir d'informations disponibles localement, les points d'exécution peuvent interroger le cloud. Les points d'exécution dans le cloud deviennent alors une extension du niveau de mise en application SDP. Le déchargement dans le cloud offre les avantages suivants : Lorsque les décisions dépendent d'informations complexes toujours changeantes, telles que les indicateurs de menace, la diffusion de ces informations à tous les points d'exécution pertinents devient rapidement problématique. Le déchargement permet l'agrégation de ces données et leur utilisation dans le cloud. En recueillant et en analysant les journaux d'événements de sécurité de manière centralisée, un système de gestion des incidents de sécurité (SIEM) peut stocker de grandes quantité de données et effectuer une analyse de sécurité rétrospective. Il peut indiquer que des éléments sont potentiellement compromis et générer des références globales pour les interactions autorisées. Les références peuvent fournir des indications d'anomalies comportementales aux points d'exécution. Pour les systèmes de stockage et de retransmission tels que la messagerie, la latence supplémentaire entraînée par le téléchargement des données et des pièces jointes dans le cloud pour analyse n'est pas excessive. En fait, les pièces jointes peuvent être analysées dans des environnements de type bac à sable afin de déterminer si elles sont malveillantes, avant d'être transmises à l'hôte destinataire. Les utilisateurs mobiles se connectant via Internet à un portail dans le cloud peuvent bénéficier de services de sécurité situés géographiquement proche d'eux, pour un traitement de sécurité plus fiable et plus rapide que si leur trafic réseau était acheminé à travers des points d'exécution centralisés. Les contrôles de sécurité dans le cloud déplacent la problématique de sécurité du réseau d'entreprise vers le cloud. Les entreprises doivent obtenir des garanties et des capacités de surveillance suffisantes de la part du prestataire de cloud externe pour assurer la mise en place des contrôles de sécurité nécessaires. Des canaux de confiance devraient également être utilisés pour authentifier et protéger toutes les communications depuis et vers le cloud. Des profils de garantie de la disponibilité du réseau et du cloud devraient également être définis pour contrer d'éventuelles attaques DDoS. Un exemple de sécurisation du cloud est fourni en Annexe A - Modèle mobile. 016

18 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Étape 4 : Canaux de confiance Les points d'exécution au niveau des segments bloquent les interactions non autorisées entre les segments. Cependant, les interactions autorisées doivent également être protégées. Lorsque deux segments réseau possèdent des éléments co-localisés, une passerelle de sécurité peut être physiquement connectée aux deux segments pour filtrer les interactions entre segments. Lorsqu'elles sont physiquement séparées, ces interactions doivent être sécurisées pendant qu'elles transitent dans l'infrastructure réseau. Lorsque des interactions entre les segments sont établies par un segment hiérarchique dans un réseau de confiance, le segment hiérarchique est alors responsable de la sécurisation des données en transit. Toutefois, si la sécurité du réseau est faible, en regard des profils de sécurité des deux segments, des agresseurs pourraient accéder ou modifier les données circulant entre les deux segments. Par conséquent, un canal de confiance doit être établi entre les segments et devrait chiffrer les interactions entre segments. Un tel canal permettrait d'empêcher les accès non autorisés aux données qui y circulent, tout en détectant et en bloquant toute tentative de modification des données. L'exemple suivant illustre deux segments départementaux situés dans différents sites et interagissant dans un canal de confiance. Dans cet exemple, les utilisateurs internes peuvent directement accéder aux serveurs internes. Un canal de confiance devrait être établi entre les segments pour sécuriser les interactions sur des réseaux de faible sécurité Canal de confiance chiffré entre deux segments Figure 1-H CANAL DE CONFIANCE Point d'exécution INTERNET MPLS SERVEURS SERVEURS Point d'exécution DÉPARTEMENTAUX CONFIDENTIELS DATACENTER DMZ LAN SERVEUR INTERNES SERVEURS SERVEURS DÉPARTEMENTAUX CONFIDENTIELS DATACENTER 017

19 LAN INTERNET 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Étude de cas Stuxnet Comment la segmentation peut empêcher les vers informatiques de se propager En juin 2010, un nouveau ver réseau ciblant les systèmes de contrôle industriel SCADA de Siemens utilisés dans le programme nucléaire iranien a été découvert. Selon des sources publiques, le ver a endommagé des machines d'enrichissement d'uranium, entraînant de sérieuses conséquences pour les objectifs du programme. Cette étude de cas analyse les caractéristiques du ver et démontre un lien direct entre son efficacité et une segmentation inefficace. Communément appelé «Stuxnet», le ver était une menace mixte qui : (1) a infecté des postes de travail sous Windows à partir de lecteurs USB, (2) s'est propagée dans le réseau et des supports amovibles, (3) a permis à l'hôte infecté de se connecter à un serveur de commande et de contrôle pour recevoir d'autres commandes et extraire des informations, et (4) a identifié les hôtes exécutant le logiciel de contrôle SCADA et a reprogrammé leurs automates industriels pour endommager les centrifugeuses utilisées pour l'enrichissement d'uranium. Stuxnet Figure 1-I Qom Arak Teheran Natanz P2P WAN Isfahan Bushar Iran INTERNES DATACENTER 4 OPÉRATEUR SERVEURS PCS PLC 2 3 SERVEURS DE COMMANDE ET DE CONTRÔLE 1 Stuxnet a utilisé plusieurs techniques pour se dissimuler et compliquer son éradication. Le ver est resté caché pendant des années et s'est propagé via des vulnérabilités connues et inconnues. Initialement injecté dans un poste de travail interne de confiance, il s'est propagé latéralement en infectant plus de ordinateurs en Iran, et a endommagé près de centrifugeuses de la centrale nucléaire de Natanz. Des mois d'efforts intensifs ont été nécessaires pour rétablir la situation en raison de la réinfection agressive du ver. 018

20 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Les protections de périmètre de segment suivantes auraient pu stopper l'attaque : Contrôle d'accès 1. Une protection au périmètre du segment atomique aurait dû empêcher le logiciel malveillant de pénétrer dans l'hôte via l'interface USB. Des contrôles de périmètre de segment sur les postes et le réseau local auraient pu empêcher l'établissement de connexions directes entre les hôtes infectés. Une fois détectés, les hôtes infectés auraient pu être confinés, pour limiter leurs connexions réseau sortantes vers les services réseau autorisés uniquement. 2. En tant que composants critiques, Les PC opérateur n'auraient pas dû être accessibles sur le réseau. Un pare-feu de périmètre de segment aurait pu empêcher l'accès à ces ordinateurs. Prévention des menaces 3. La prévention d'intrusions dans les segments LAN et au périmètre du WAN auraient pu détecter les hôtes infectés et empêcher les logiciels malveillants de se propager à d'autres segments via des vulnérabilités connues. Une fois le ver détecté et analysé, la prévention d'intrusions aurait pu diffuser dynamiquement des signatures personnalisées pour bloquer entièrement le ver et empêcher l'exploitation de vulnérabilités jusqu'alors inconnues. 4. Les accès sortants du réseau local vers les serveurs de commande et de contrôle sur Internet aurait pu être détectés et bloqués au périmètre du site et de l'organisation. Le fait que le ver Stuxnet ait réussi à infecter de nombreuses cibles démontre la faiblesse des mécanismes de contrôle entre les entités ayant des caractéristiques de sécurité différentes, y compris les PC opérateur ayant accès aux automates de contrôle. Résumé du niveau de mise en application Le niveau de mise en application de l'architecture SDP se compose de points de contrôle qui agissent comme des platesformes d'exécution des protections définies par logiciel. Les points d'exécution peuvent être implémentés sous forme de passerelles de sécurité réseau, de logiciel sur hôte, d'applications sur appareils mobiles ou de machines virtuelles dans le cloud. Le principe de base du niveau de mise en application est la segmentation. La segmentation est critique pour la survie d'une entreprise faisant l'objet d'une attaque, car elle empêche les menaces de proliférer dans le réseau. L'implémentation de la segmentation commence par la définition des segments «atomiques» du réseau. Des points d'exécution sont introduits au niveau du périmètre de chaque segment atomique pour appliquer une logique de protection définie. Les segments atomiques peuvent être regroupés pour modulariser la protection. Enfin, des canaux de confiance sont établis pour protéger les interactions et les flux de données entre les différents segments réseau. Cette méthode de segmentation facilite la consolidation des passerelles et peut être appliquée à de nombreuses configurations d'infrastructure réseau, aussi bien traditionnelles et physiques que modernes et dynamiques utilisant la virtualisation de la sécurité et du réseau, les réseaux locaux virtuels et les infrastructures SDN. Le niveau de mise en application SDP repose sur cette approche de la segmentation pour constituer une défense efficace contre les infections résultant des menaces persistantes avancées (APT) les plus complexes. 019

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Exercices Active Directory (Correction)

Exercices Active Directory (Correction) Exercices Active Directory (Correction) Exercice : Scénarios pour l'implémentation de composants logiques AD DS Lire les scénarios suivants et déterminer les composants logiques AD DS à déployer dans chaque

Plus en détail

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Fiche technique: Sécurité de la messagerie Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Présentation protège les données confidentielles et garantit la productivité

Plus en détail

Présentation du déploiement des serveurs

Présentation du déploiement des serveurs Présentation du déploiement des serveurs OpenText Exceed ondemand Solutions de gestion de l accès aux applications pour l entreprise OpenText Connectivity Solutions Group Février 2011 Sommaire Aucun environnement

Plus en détail

Quels critères pour votre infrastructure hyperconvergée de nouvelle génération?

Quels critères pour votre infrastructure hyperconvergée de nouvelle génération? Descriptif de la solution Mars 2016 Points clés Qu'est-ce que l'hyperconvergence de nouvelle génération? Nous présentons les objectifs permettant aux systèmes hyperconvergés de nouvelle génération de corriger

Plus en détail

F-Secure Software Updater Un outil unique pour protéger votre entreprise

F-Secure Software Updater Un outil unique pour protéger votre entreprise F-Secure Software Updater Un outil unique pour protéger votre entreprise Protège l'irremplaçable f-secure.fr Vue d'ensemble Ce document décrit Software Updater, ses fonctionnalités, son fonctionnement,

Plus en détail

Concept des VLAN Introduction au VLAN virtuel

Concept des VLAN Introduction au VLAN virtuel Les VLAN Sommaire 1.Concept des VLAN 1.1.Introduction au VLAN virtuel 1.2.Domaines de broadcast avec VLAN et routeurs 1.3.Fonctionnement d un VLAN 1.4.Avantages des LAN virtuels (VLAN) 1.5.Types de VLAN

Plus en détail

Symantec Protection Suite Enterprise Edition for Servers

Symantec Protection Suite Enterprise Edition for Servers Une protection complète et de haute performance là où vous en avez besoin Présentation permet d'éviter les arrêts des serveurs physiques et virtuels grâce à une politique de prévention basée sur différentes

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

BITDEFENDER GRAVITYZONE

BITDEFENDER GRAVITYZONE BITDEFENDER GRAVITYZONE Notes de publication de la version 5.0.4 Bitdefender GravityZone Notes de publication de la version 5.0.4 Date de publication 2013.06.14 Copyright 2013 Bitdefender Notice Légale

Plus en détail

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base Windows Server 2008 Chapitre 3 : Le service d annuaire Active Directory: Concepts de base omar.cheikhrouhou@isetsf.rnu.tn omar.cheikhrouhou@ceslab.org Objectives Comprendre les concepts de base d Active

Plus en détail

Optimisation WAN de classe Centre de Données

Optimisation WAN de classe Centre de Données Optimisation WAN de classe Centre de Données Que signifie «classe centre de données»? Un nouveau niveau de performance et d'évolutivité WAN Dans le milieu de l'optimisation WAN, les produits de classe

Plus en détail

BITDEFENDER GRAVITYZONE

BITDEFENDER GRAVITYZONE BITDEFENDER GRAVITYZONE Notes de publication de la version 5.1.17-441 Bitdefender GravityZone Notes de publication de la version 5.1.17-441 Date de publication 2014.11.21 Copyright 2014 Bitdefender Mentions

Plus en détail

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

Annuaire : Active Directory

Annuaire : Active Directory Annuaire : Active Directory Un annuaire est une structure hiérarchique qui stocke des informations sur les objets du réseau. Un service d'annuaire, tel qu'active Directory, fournit des méthodes de stockage

Plus en détail

Découverte et investigation des menaces avancées INFRASTRUCTURE

Découverte et investigation des menaces avancées INFRASTRUCTURE Découverte et investigation des menaces avancées INFRASTRUCTURE AVANTAGES CLÉS Infrastructure RSA Security Analytics Collecte distribuée grâce à une architecture modulaire Solution basée sur les métadonnées

Plus en détail

L'évolution de VISUAL MESSAGE CENTER Architecture et intégration

L'évolution de VISUAL MESSAGE CENTER Architecture et intégration L'évolution de VISUAL MESSAGE CENTER Architecture et intégration Sommaire Résumé exécutif Base technologique : VISUAL Message Center 2 3 VISUAL Message Center Core Engine VISUAL Message Center Extended

Plus en détail

10 façons d optimiser votre réseau en toute sécurité

10 façons d optimiser votre réseau en toute sécurité 10 façons d optimiser votre réseau en toute sécurité Avec le service Application Intelligence and Control des pare-feu nouvelle génération SonicWALL et la série d accélération WAN (WXA) Table des matières

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

État de l'art des hyperviseurs de confiance. Geoffrey Plouviez. Agence Nationale de la Sécurité des systèmes d'information

État de l'art des hyperviseurs de confiance. Geoffrey Plouviez. Agence Nationale de la Sécurité des systèmes d'information État de l'art des hyperviseurs de confiance Geoffrey Plouviez Agence Nationale de la Sécurité des systèmes d'information La virtualisation Qu'est ce qu'un hyperviseur? Comme un système d'exploitation en

Plus en détail

En savoir plus pour bâtir le Système d'information de votre Entreprise

En savoir plus pour bâtir le Système d'information de votre Entreprise En savoir plus pour bâtir le Système d'information de votre Entreprise En savoir plus sur : Services en ligne, SaaS, IaaS, Cloud - 201305-2/5 SaaS, IaaS, Cloud, définitions Préambule Services en ligne,

Plus en détail

Livre banc. Contrôle de trajet dynamique : la base de votre WAN hybride

Livre banc. Contrôle de trajet dynamique : la base de votre WAN hybride Contrôle de trajet dynamique : la base de votre WAN hybride Le réseau étendu (WAN, wide area network) a connu bien peu d innovations pendant une grande partie de la dernière décennie. Alors que le reste

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Projet Storebox. Livre blanc Swisscom (Suisse) SA

Projet Storebox. Livre blanc Swisscom (Suisse) SA Projet Storebox Livre blanc Swisscom (Suisse) SA Sommaire Sommaire... 2 Introduction... 3 Différence entre synchronisation et sauvegarde... 3 Quelle méthode utiliser?... 3 Situation initiale... 4 Enjeux...

Plus en détail

Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés

Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés Présentation Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés BÉNÉFICES Un accès à des informations plus précises qui permet une protection renforcée grâce à l analyse

Plus en détail

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé

Plus en détail

SharePoint Server 2013 Déploiement et administration de la plate-forme

SharePoint Server 2013 Déploiement et administration de la plate-forme Présentation des technologies SharePoint 1. Historique des technologies SharePoint 13 1.1 SharePoint Team Services v1 14 1.2 SharePoint Portal Server 2001 14 1.3 Windows SharePoint Services v2 et Office

Plus en détail

CLOUD CP3S SOLUTION D INFRASTRUCTURE SOUMIS À LA LÉGISLATION FRANÇAISE. La virtualisation au service de l entreprise. Évolutivité. Puissance.

CLOUD CP3S SOLUTION D INFRASTRUCTURE SOUMIS À LA LÉGISLATION FRANÇAISE. La virtualisation au service de l entreprise. Évolutivité. Puissance. CLOUD CP3S La virtualisation au service de l entreprise Virtualisation / Cloud Évolutivité Sécurité Redondance Puissance SOLUTION D INFRASTRUCTURE SOUMIS À LA LÉGISLATION FRANÇAISE SOLUTION D INFRASTRUCTURE

Plus en détail

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Sommaire F-Secure Anti-Virus for Mac 2015 Sommaire Chapitre 1: Prise en main...3 1.1 Gestion des abonnements...4 1.2 Comment m'assurer que mon ordinateur est protégé...4

Plus en détail

Principes de base et aspects techniques

Principes de base et aspects techniques HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27001 / ISO27002 Principes de base et aspects techniques

Plus en détail

Infrastructure RDS 2012

Infrastructure RDS 2012 105 Chapitre 3 Infrastructure RDS 2012 1. Introduction Infrastructure RDS 2012 Une infrastructure RDS 2012 R2 est composée de plusieurs serveurs ayant chacun un rôle bien défini pour répondre aux demandes

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Technique et architecture de l offre Suite infrastructure cloud. SFR Business Team - Présentation

Technique et architecture de l offre Suite infrastructure cloud. SFR Business Team - Présentation Technique et architecture de l offre Suite infrastructure cloud Les partenaires de l offre Cloud Computing SFR Le focus HP Les principes de mise en œuvre réseau Les principes de fonctionnement de la solution

Plus en détail

Conception d'une architecture commutée. Master 2 Professionnel STIC-Informatique 1

Conception d'une architecture commutée. Master 2 Professionnel STIC-Informatique 1 Conception d'une architecture commutée Master 2 Professionnel STIC-Informatique 1 Conception d'une architecture commutée Définition Master 2 Professionnel STIC-Informatique 2 Motivations L'architecture

Plus en détail

Check Point exploite la puissance de la virtualisation pour simplifier la sécurité des clouds privés

Check Point exploite la puissance de la virtualisation pour simplifier la sécurité des clouds privés Fiche produit : Systèmes virtuels Check Point Check Point exploite la puissance de la virtualisation pour simplifier la sécurité des clouds privés Vous cherchez un moyen de réduire la complexité et simplifier

Plus en détail

LIVRE BLANC. La garantie de la meilleure performance réseau pour les applications Cloud

LIVRE BLANC. La garantie de la meilleure performance réseau pour les applications Cloud LIVRE BLANC La garantie de la meilleure performance réseau pour les applications Cloud TABLE DES MATIERES I. Présentation... 3 II. Les besoins : inspection approfondie des paquets (DPI), Qualité de Service

Plus en détail

GESTION CENTRALISÉE DELL POWERVAULT DL 2000 OPTIMISÉ PAR SYMANTEC

GESTION CENTRALISÉE DELL POWERVAULT DL 2000 OPTIMISÉ PAR SYMANTEC GESTION CENTRALISÉE DELL POWERVAULT DL 2000 OPTIMISÉ PAR SYMANTEC NOTE DE SYNTHESE La solution Dell PowerVault DL2000 optimisée par Symantec Backup Exec est la seule à proposer un système intégré de sauvegarde

Plus en détail

La (L in)sécurité des systèmes de contrôle de processus

La (L in)sécurité des systèmes de contrôle de processus La (L in)sécurité des systèmes de contrôle de processus Étant donné les menaces existantes, la cyber-sécurité est devenue une priorité pour les environnements de contrôle. A l origine, les systèmes de

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures de balayage de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Niveau 5... 6 Niveau 4... 6

Plus en détail

RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE D'ATTAQUES PAR DÉNI DE SERVICE DISTRIBUÉ (DDOS) 1ÈRE ÉDITION 1ER TRIMESTRE 2014

RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE D'ATTAQUES PAR DÉNI DE SERVICE DISTRIBUÉ (DDOS) 1ÈRE ÉDITION 1ER TRIMESTRE 2014 RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE D'ATTAQUES PAR DÉNI DE SERVICE DISTRIBUÉ (DDOS) 1ÈRE ÉDITION SYNTHÈSE Ce rapport contient les observations et perspectives issues des limitations mises en

Plus en détail

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger L intégration du pare-feu de nouvelle génération dans l environnement Citrix et Terminal Services Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Changement dans les achats de solutions informatiques

Changement dans les achats de solutions informatiques Changement dans les achats de solutions informatiques Ce que cela signifie pour l informatique et les Directions Métiers Mai 2014 Le nouvel acheteur de technologies et la nouvelle mentalité d achat Un

Plus en détail

Le client/serveur repose sur une communication d égal à égal entre les applications.

Le client/serveur repose sur une communication d égal à égal entre les applications. Table des matières LES PRINCIPES DE BASE... 1 Présentation distribuée-revamping...2 Présentation distante...3 Traitements distribués...3 données distantes-rd...4 données distribuées-rda distribué...4 L'ARCHITECTURE

Plus en détail

Solutions de sécurité

Solutions de sécurité Solutions de sécurité Connectivité Datacenter Applications et Contenus Votre équipe commerciale JUNIPER NETWORKS dédiée tél. +33(0) 1 41 85 15 81 pole.juniper@westconsecurity.fr www.westconsecurity.fr

Plus en détail

Managed VirusScan et renforce ses services

Managed VirusScan et renforce ses services VirusScan ASaP devient Managed VirusScan et renforce ses services Protection antivirus administrée, automatique et permanente pour les postes de travail, les nomades et les serveurs de fichiers. Avec la

Plus en détail

Une protection antivirus pour des applications destinées aux dispositifs médicaux

Une protection antivirus pour des applications destinées aux dispositifs médicaux Une protection antivirus pour des applications destinées aux dispositifs médicaux ID de nexus est idéale pour les environnements cliniques où la qualité et la sécurité des patients sont essentielles. Les

Plus en détail

JASPERSOFT ET LE PAYSAGE ANALYTIQUE. Jaspersoft et le paysage analytique 1

JASPERSOFT ET LE PAYSAGE ANALYTIQUE. Jaspersoft et le paysage analytique 1 JASPERSOFT ET LE PAYSAGE ANALYTIQUE Jaspersoft et le paysage analytique 1 Ce texte est un résumé du Livre Blanc complet. N hésitez pas à vous inscrire sur Jaspersoft (http://www.jaspersoft.com/fr/analyticslandscape-jaspersoft)

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Gestion des utilisateurs et Entreprise Etendue

Gestion des utilisateurs et Entreprise Etendue Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS KASPERSKY SECURITY FOR BUSINESS IDENTIFIER. CONTRÔLER. PROTÉGER. Guide de migration RENOUVELLEMENTS ET MISES À NIVEAU DES LICENCES : Guide de migration PRÉSENTATION DE LA NOUVELLE GAMME ENDPOINT SECURITY

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Bilan sur la sécurité des applications

Bilan sur la sécurité des applications Bilan sur la sécurité des applications De récents piratages ciblant les applications et systèmes d'exploitation mobiles ont compromis la sécurité d'une quantité jusque-là inégalée de données d'entreprise.

Plus en détail

Utilisation du système Cisco UC320W avec Windows Small Business Server

Utilisation du système Cisco UC320W avec Windows Small Business Server Utilisation du système Cisco UC320W avec Windows Small Business Server Cette note d'application explique comment déployer le système Cisco UC320W dans un environnement Windows Small Business Server. Table

Plus en détail

Système d'administration de réseau. Une interface de gestion unique pour l'ensemble des systèmes et des terminaux

Système d'administration de réseau. Une interface de gestion unique pour l'ensemble des systèmes et des terminaux Système d'administration de réseau Alcatel-Lucent OmniVista 8770 Une interface de gestion unique pour l'ensemble des systèmes et des terminaux SUITE D'APPLICATIONS INTÉGRÉES Aujourd'hui, les entreprises

Plus en détail

Référentiel Général de Sécurité. version 1.0. Annexe A3

Référentiel Général de Sécurité. version 1.0. Annexe A3 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

Serveur FTP. 20 décembre. Windows Server 2008R2

Serveur FTP. 20 décembre. Windows Server 2008R2 Serveur FTP 20 décembre 2012 Dans ce document vous trouverez une explication détaillé étapes par étapes de l installation du serveur FTP sous Windows Server 2008R2, cette présentation peut être utilisée

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

1 LE L S S ERV R EURS Si 5

1 LE L S S ERV R EURS Si 5 1 LES SERVEURS Si 5 Introduction 2 Un serveur réseau est un ordinateur spécifique partageant ses ressources avec d'autres ordinateurs appelés clients. Il fournit un service en réponse à une demande d un

Plus en détail

Découverte et investigation des menaces avancées PRÉSENTATION

Découverte et investigation des menaces avancées PRÉSENTATION Découverte et investigation des menaces avancées PRÉSENTATION AVANTAGES CLÉS RSA Security Analytics offre les avantages suivants : Surveillance de la sécurité Investigation des incidents Reporting sur

Plus en détail

NOTIONS DE RESEAUX INFORMATIQUES

NOTIONS DE RESEAUX INFORMATIQUES NOTIONS DE RESEAUX INFORMATIQUES GENERALITES Définition d'un réseau Un réseau informatique est un ensemble d'équipements reliés entre eux afin de partager des données, des ressources et d'échanger des

Plus en détail

Ordinateur central Hôte ERP Imagerie/Archivage Gestion des documents Autres applications d'administration. Messagerie électronique

Ordinateur central Hôte ERP Imagerie/Archivage Gestion des documents Autres applications d'administration. Messagerie électronique 1 Produit Open Text Fax Remplacez vos appareils de télécopie et vos processus papier inefficaces par un système sécurisé et efficace de télécopie et de distribution de documents. Open Text est le premier

Plus en détail

TP 10.3.5a Notions de base sur le découpage en sous-réseaux

TP 10.3.5a Notions de base sur le découpage en sous-réseaux TP 10.3.5a Notions de base sur le découpage en sous-réseaux Objectif Identifier les raisons pour lesquelles utiliser un masque de sous-réseau. Faire la distinction entre un masque de sous-réseau par défaut

Plus en détail

Serveur de Licences Acronis. Guide Utilisateur

Serveur de Licences Acronis. Guide Utilisateur Serveur de Licences Acronis Guide Utilisateur TABLE DES MATIÈRES 1. INTRODUCTION... 3 1.1 Présentation... 3 1.2 Politique de Licence... 3 2. SYSTEMES D'EXPLOITATION COMPATIBLES... 4 3. INSTALLATION DU

Plus en détail

PPE 4 : Mise en œuvre d un réseau interne sécurisé ainsi que des outils de contrôle et de travail collaboratif SOMMAIRE

PPE 4 : Mise en œuvre d un réseau interne sécurisé ainsi que des outils de contrôle et de travail collaboratif SOMMAIRE PPE 4 : Mise en œuvre d un réseau interne sécurisé ainsi que des outils de contrôle et de travail collaboratif Objectifs du projet et du service à réaliser Dans le but de mettre en place un réseau interne

Plus en détail

Présentation de la solution SAP SAP Technology SAP Afaria. La mobilité d entreprise comme vecteur d avantage concurrentiel

Présentation de la solution SAP SAP Technology SAP Afaria. La mobilité d entreprise comme vecteur d avantage concurrentiel Présentation de la solution SAP SAP Technology SAP Afaria La mobilité d entreprise comme vecteur d avantage concurrentiel des périphériques et des applications des périphériques et des applications La

Plus en détail

Par le service des publications Citrix. Citrix Systems, Inc.

Par le service des publications Citrix. Citrix Systems, Inc. Licences : présentation de l architecture Par le service des publications Citrix Citrix Systems, Inc. Avis Les informations contenues dans cette publication peuvent faire l'objet de modifications sans

Plus en détail

Lexmark Transforme son Organisation IT avec l aide de CA Agile Operations Suite

Lexmark Transforme son Organisation IT avec l aide de CA Agile Operations Suite Customer success story Juillet 2015 Lexmark Transforme son Organisation IT avec l aide de CA Agile Operations Suite Profil Client Secteur : Services informatiques Société : Lexmark Effectifs : 12 000 Chiffre

Plus en détail

DOSSIER SOLUTION CA Service Assurance Mai 2010. assurez la qualité et la disponibilité des services fournis à vos clients

DOSSIER SOLUTION CA Service Assurance Mai 2010. assurez la qualité et la disponibilité des services fournis à vos clients DOSSIER SOLUTION CA Service Assurance Mai 2010 assurez la qualité et la disponibilité des services fournis à vos clients est un portefeuille de solutions de gestion matures et intégrées, qui contribue

Plus en détail

Claudie Maurin GSI 09/2013 1

Claudie Maurin GSI 09/2013 1 1 2 Internet : une architecture client/serveur Le serveur : fournisseur de données Les données sont fournies par un ensemble de postes serveurs interconnectés qui abritent la base de données répartie à

Plus en détail

Notre offre Système. systemes@arrabal-is.com

Notre offre Système. systemes@arrabal-is.com systemes@arrabal-is.com Généralités Généralités des systèmes Windows Les systèmes Microsoft sont au cœur du système d information de la majorité des entreprises, si bien qu environ 90% des postes utilisateurs

Plus en détail

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès 259 Chapitre 6 La sécurité 1. Introduction La sécurité La sécurité des données est un enjeu capital. Une base de données peut être amenée à stocker des données très sensibles, confidentielles. L'implémentation

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique La gestion Citrix Du support technique. Désignation d un Responsable de la relation technique Dans les environnements informatiques complexes, une relation de support technique proactive s avère essentielle.

Plus en détail

Symantec CyberV Assessment Service

Symantec CyberV Assessment Service Symantec CyberV Assessment Service Cyber-résilience : gagnez en visibilité Le cyber-espace, monde technologique hyperconnecté constamment en évolution, offre des opportunités inégalées de connectivité,

Plus en détail

La situation de la sécurité des clés USB en France

La situation de la sécurité des clés USB en France La situation de la sécurité des clés USB en France Synthèse Sponsorisé par Kingston Technology Préparé indépendamment par Ponemon Institute LLC Date de publication : novembre 2011 Rapport d'étude du Ponemon

Plus en détail

Hyper-V et SC Virtual Machine Manager sous Windows Server 2008 R2

Hyper-V et SC Virtual Machine Manager sous Windows Server 2008 R2 186 Hyper-V et SC Virtual Machine Manager sous Windows Server 2008 R2 L'utilisation des fonctionnalités de haute disponibilité intégrées aux applications, L'ajout de solutions tierces. 1.1 Windows Server

Plus en détail

QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents.

QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents. QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents. POURQUOI SURVEILLER With enough time, prevention will always fail. RÔLES D UN SOC

Plus en détail

Mise à jour de BlackBerry Device Software via le réseau sans fil

Mise à jour de BlackBerry Device Software via le réseau sans fil Préambule : Ce document présente comment mettre à jour la version logicielle de l OS déployé et contrôlé depuis le serveur BES. Cette procédure est tirée du Guide de Mise à jour du BlackBerry Device Software

Plus en détail

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Notes de mise à jour Endpoint Security for Mac by Bitdefender Notes de mise à jour Date de publication 2015.03.13 Copyright 2015 Bitdefender Mentions Légales Tous

Plus en détail

Windows 2003 server. Active Directory. Rudolf Pareti. Version 1.0

Windows 2003 server. Active Directory. Rudolf Pareti. Version 1.0 Windows 2003 server Active Directory Rudolf Pareti Version 1.0 Domaine Windows Définitions Contrôleur de domaine Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

G. Méthodes de déploiement alternatives

G. Méthodes de déploiement alternatives Page 32 Chapitre 1 - Le fichier MigUser.xml permet de configurer le comportement d'usmt lors de la migration des comptes et profils utilisateurs (capture et restauration). - Le fichier config.xml permet

Plus en détail

Comment sécuriser les communications vers des tiers et des établissements partenaires?

Comment sécuriser les communications vers des tiers et des établissements partenaires? Comment sécuriser les communications vers des tiers et des établissements partenaires? Olivier Mazade Responsable Réseaux Centre Hospitalier Universitaire de Clermont Ferrand Xavier Hameroux Directeur

Plus en détail

Rex: Déploiement de la ToIP sur Lyon-Saint Exupéry Mercredi 16 Décembre 2009 Dominique MACHU (RSSI)

Rex: Déploiement de la ToIP sur Lyon-Saint Exupéry Mercredi 16 Décembre 2009 Dominique MACHU (RSSI) Rex: Déploiement de la ToIP sur Lyon-Saint Exupéry Mercredi 16 Décembre 2009 Dominique MACHU (RSSI) dominique.machu@lyonaeroports.com 34 Présentation de Lyon-Saint Exupéry 35 Présentation de Lyon-Saint

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

Cisco SecureX Brochure produit

Cisco SecureX Brochure produit Cisco SecureX Brochure produit La sécurité est plus importante que jamais Les approches traditionnelles de la sécurité réseau ciblaient un seul et même objectif : protéger les ressources situées au sein

Plus en détail

Chapitre 1: Prise en main...3

Chapitre 1: Prise en main...3 F-Secure Anti-Virus for Mac 2014 Sommaire 2 Sommaire Chapitre 1: Prise en main...3 1.1 Que faire après l'installation...4 1.1.1 Gestion des abonnements...4 1.1.2 Ouvrir le produit...4 1.2 Comment m'assurer

Plus en détail

Active Directory Sommaire :

Active Directory Sommaire : Active Directory Sommaire : Définition Ce qu'il permet A quoi sert-il? Principe de fonctionnement Structure Hiérarchie Schéma Qu'est ce qu'un service d'annuaire? Qu'elle est son intérêt? L'installation

Plus en détail

Profil de la société

Profil de la société Profil de la société Leader de l orchestration des stratégies de sécurité Pionnière de l orchestration des stratégies de sécurité, la société Tufin automatise et accélère les modifications des configurations

Plus en détail

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information : Annonces internes Sonatrach recherche pour sa DC Informatique et Système d Information : Un Directeur Système d Information Système d Information Gestion Système d Information Métier Décisionnel et Portail

Plus en détail

Sécurité : les principaux risques et les moyens de protection associés

Sécurité : les principaux risques et les moyens de protection associés Sécurité : les principaux risques et les moyens de protection associés Les dangers sont très nombreux et divers. De plus, ils évoluent rapidement dans le temps. Néanmoins, les principaux risques pour les

Plus en détail

Concepts de base. du décisionnel. A. Quelques définitions. Décision. Remarque. Comment prendre de bonnes décisions. Le décideur

Concepts de base. du décisionnel. A. Quelques définitions. Décision. Remarque. Comment prendre de bonnes décisions. Le décideur Concepts de base I - du décisionnel I Quelques définitions 7 Les Phases de la Prise de décision 8 Aide à la décision 8 Le système d'information décisionnel 9 Références Bibliographiques 11 A. Quelques

Plus en détail

Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada

Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada ITSB-96 Dernière mise à jour : mars 2015 1 Introduction La correction des

Plus en détail