Quelle convergence dans la sécurité des entreprises et des organisations?

Transcription

1 Quelle convergence dans la sécurité des entreprises et des organisations? ACTUS William Mosseray, Chief Executive de Telindus International : «Mieux comprendre le métier de nos clients» Les règles et les usages de la vidéosurveillance CHANGE THINGS YOUR WAY TENDANCES Le Network Control Center de Telindus au cœur des dispositifs de sécurité REALISATIONS La SG CIB booste ses communications avec l IP Business Connect Le magazine d Information de Telindus n 10 Octobre 2008

2 TENDANCES DOSSIER REALISATIONS p4 p6, 17 à 18 p8 p11 à 15 p16 Sommaire Business Connect n 10 William Mosseray, Chief Executive de Telindus International, expose les projets de l entreprise pour Quelles sont les règles liées à la vidéosurveillance? Et quels sont les usages? Le Network Control Center de Telindus délivre des services de MSSP (Managed Security Quelle convergence dans la sécurité des entreprises et des organisations? Telindus toujours plus à l écoute des besoins métier de ses clients «Nous devons aider Focus sur les règles légales Service Provider) à nos clients à comprendre d utilisation et de l ensemble de ses clients. La SG CIB a décidé de comment les technologies contraintes techniques Présentation du NCC qui migrer vers les solutions vont le mieux s'adapter à observer pour que s intègre parfaitement modernes et novatrices de à leurs objectifs métiers les systèmes de aux autres fonctions l IP communication, pour dans le temps». vidéosurveillance soient de Telindus œuvrant autour garantir un environnement page 4 et restent conformes de la sécurité du SI. de travail performant. aux finalités déclarées. page 8 page 16 Telindus : la proximité page 6 et l expérience d un Le succès du groupe international! La qualité des déploiement de Web page 5 visioconférences HD services passe par La convergence peut facilite les échanges une parfaite maîtrise paraître complexe si et améliore l activité des aspects performance l on considère que cette entre collaborateurs. et sécurité. démarche implique des Les banques sont séduites. page 10 personnes, des processus page 17 et des technologies. La sécurité n est pas en La sécurité : un projet ambitieux, mené de bout en bout par les équipes d'expert de Telindus, pour répondre à tous les besoins de l'entreprise. reste et constitue un bon exemple. Dans ce domaine particulier, la rapidité, la richesse, et la précision de l information sont déterminantes pour DOSSIER Quelle convergence dans la sécurité des entreprises et des organisations? page 18 prendre les bonnes décisions et réduire les risques. pages 11 à 15 2 N 10 BUSINESS CONNECT OCTOBRE 2008

3 PARTENAIRES p19 Sommaire suite Edito «Contribuer à la réussite de nos clients» Aujourd hui, les directions informatiques ne sont plus considérées comme des centres de coût, car elles participent à la création de valeur dans leur société. Elles définissent et implémentent les solutions permettant d augmenter leur productivité, de créer l innovation, toutes deux nécessaires pour gagner en compétitivité et se développer sur leur marché. Le point sur les technologies et solutions des partenaires Trend Micro collecte en temps réel des informations sur les sites et les fichiers suspects qui circulent sur la Toile et avertit ses clients. page 19 RSA assure la protection des données et propose deux technologies : une qui protège l accès aux données, l autre qui garde la trace de ceux qui les ont consultées. page 20 F5 se place sur le terrain de l optimisation et de la sécurisation des data centers, afin de fluidifier la circulation des données et de faciliter l accès aux serveurs, depuis l extérieur. page 21 BEE WARE sécurise les flux HTTP et XML du Régime Général des Retraites dans la mise en place de multiples Web Services dédiés aux échanges et à la communication. page 22 J ai récemment rejoint Telindus France pour prendre la direction commerciale nationale, et mon objectif prioritaire est que nos clients apprécient et reconnaissent la contribution apportée par les collaborateurs de Telindus au côté de nos partenaires dans leur réussite. C est avec un immense plaisir que je rédige l éditorial de ce nouveau Business Connect, reflet de l engagement commun de Telindus avec ses partenaires pour répondre aux challenges business de nos clients. Nous investissons significativement en ce sens, que ce soit en formation de nos collaborateurs pour vous apporter l excellence opérationnelle ou en innovation technologique pour mettre à votre disposition les meilleures solutions. A la lecture de ce numéro, vous découvrirez notre réalisation à la SG CIB qui démontre la capacité de Telindus à vous accompagner partout en France avec nos douze agences en régions, mais également à l étranger, grâce à notre appartenance au Groupe Entreprise de Belgacom présent à l international. Business Connect - n 10 - Octobre 2008 Edité par Telindus 10 avenue de Norvège Z.A. Courtaboeuf - BP Les Ulis Cedex France - Tél. : Directrice de la Publication : Gestion éditoriale Odile Foubert et conception graphique : Comité de Rédaction : 1000 ans Communication Caroline Gros Odile Foubert 8 avenue du Parc Courbevoie Jean Sénéchaut Jean-Marc Chartres contact@1000anscommunication.com Bruno Antoine Jerôme Bourguet Impression : Prisme Graphique Philippe Jouvellier Alain Manet 176 avenue Charles-de-Gaulle Crédits photos : Telindus Neuilly-sur-Seine Mes équipes et moi-même restons à votre disposition pour comprendre vos besoins et y répondre. En attendant d avoir le plaisir de vous rencontrer, je vous souhaite une excellente lecture. Jean Sénéchaut Directeur commercial national de Telindus France Le contenu d un article n engage que son auteur - Telindus et Business Connect sont des marques déposées 3 N 10 BUSINESS CONNECT OCTOBRE 2008

4 «Les ambitions pour la France de Telindus International» William Mosseray, Chief Executive de Telindus International, confie à Business Connect ses ambitions pour la France et sa vision de l avenir. William Mosseray, Chief Executive de Telindus International depuis avril 2008, après avoir été Executive Vice President Strategy du Groupe Belgacom, a exercé diverses fonctions de direction au sein de Belgacom dans les domaines suivants : ressources humaines, gestion de la restructuration et du changement et gestion générale. William Mosseray a rejoint Belgacom en 1993 en tant que Conseiller exécutif de l Administrateur Délégué. Il a travaillé, en 1996 et 1997, pour Ameritech, principal opérateur de télécommunications dans la région du Midwest et principal actionnaire de Belgacom à l époque. Docteur en droit de la KULeuven et diplômé en droit fiscal de l ICHEC, Il est également titulaire d un MBA de la Vlerick Leuven Ghent Management School et a terminé le Stanford Executive Program à la Stanford Business School de Californie. > Vous êtes le Chief Executive de Telindus International, quelles sont vos ambitions pour la France? La France représente le deuxième pays en chiffre d affaires derrière la Belgique dans le Groupe Telindus points de terminaison, les informations...). Les communications unifiées sont également au cœur de notre stratégie de développement grâce aux bénéfices qu elles apportent aux entreprises, que l on parle de téléphonie sur IP et de travail International. Je prête donc collaboratif, d IP TV ou d affichage une attention toute particulière à Telindus France, qui représente un vecteur de croissance important. dynamique, de centre de contact pour les relations clients, de mobilité dans les hôpitaux ou de très Nous travaillons dès à présent avec l ensemble du haut débit dans les villes. Apporter des réponses Nous allons également Comité Exécutif de toujours accélérer notre développement Telindus France sur un plus proches des sur les services besoins métier de plan de développement managés, c'est-à-dire sur nos clients triennal , en l infogérance et l outsourcing axant notre stratégie sur les innovations technologiques permettant d apporter toujours plus de valeur ajoutée à nos clients, non seulement en France, mais aussi à l international. de téléphonie, de sécurité, et d infrastructure réseau, et ceci au niveau international. J ai ainsi le plaisir de vous annoncer que la France, forte de son expérience dans ce domaine, a été choisie pour implémenter notre Centre > Quelles sont vos priorités pour 2009? de Supervision International sur notre site des Ulis. Déjà leader sur le marché de la sécurité, nous allons nous appliquer à apporter des réponses à l ensemble des vulnérabilités et des menaces toujours plus sophistiquées (sécuriser les accès, les infrastructures, la connectivité, les > Votre métier d'intégrateur est-il en train d évoluer? Les technologies évoluent très rapidement ce qui nous impose une adaptation constante. Mais mettre en place une technologie ne suffit pas ; il faut désormais répondre à des préoccupations plus larges sur le long terme et mener une réflexion en commun avec nos clients. Nous devons les aider à comprendre comment les technologies vont le mieux s'adapter à leurs objectifs métiers et cela dans le temps. Par exemple, comment gagner quelques millièmes de seconde sur la transmission d un ordre dans une salle de marché, un véritable avantage concurrentiel pour une banque. Cela fait partie de notre métier d intégrateur, filiale d un opérateur. > Est-ce un changement d orientation pour Telindus? L organisation des entreprises, notamment sur les aspects TIC, connaît un véritable changement culturel : le DSI d une entreprise n est plus seulement garant du fonctionnement du SI mais participe pleinement de la stratégie d une entreprise et de sa compétitivité sur le marché. Telindus a donc naturellement su s adapter à ce changement de gouvernance. C est justement là le privilège de quarante ans d expérience. 4 N 10 BUSINESS CONNECT OCTOBRE 2008

5 Telindus aujourd hui, au cœur de l innovation et fort de son expérience. L expertise d une entreprise agile et la force d un groupe international Communications unifiées Réseaux Conseil Santé Industrie & Services Secteur public Client Finance Services managés Défense Opérateur Télécom Sécurité Déploiement Support Comprendre les usages et accompagner les entreprises dans la définition de leurs besoins Proposer, déployer, exploiter et maintenir les solutions technologiques et architectures pertinentes en fonction de critères d évaluation très précis : L usage La performance L évolutivité La disponibilité Le coût Maîtriser l innovation dans la complexité des environnements Telindus : la proximité et l expérience d un groupe international Créé en 1969, un groupe de 2700 personnes réparties sur 43 sites dans 11 pays d Europe et en Asie, pour un CA de 800M en 2007 Depuis 2006, filiale du groupe Belgacom personnes - CA M En France, une présence nationale de proximité grâce à nos 12 agences régionales : Un CA de 180 M en personnes dont : ingénieurs dans les équipes de support et services managés en intégration et gestion de projet - 60 architectes - 50 consultants Lille Strasbourg Rennes Les Ulis Nantes Annecy Lyon Bordeaux Grenoble Marseille Nice Toulouse Une gamme complète de solutions au service des besoins métier de nos clients WAN/MAN/LAN/mobilité Accélération /optimisation réseaux ToIP Une offre complète réseaux et communications unifiées IP Messagerie unifiée et travail collaboratif Visio conférence/téléprésence Centres d appels IPTV/VOD/Affichage dynamique Vidésurveillance Sécurité du SI : la complémentarité des solutions pour répondre à la diversité des risques Secure End Point : postes de travail Secure Inside : contrôle d accès aux infrastructures Secure Access : Firewall et passerelles Gestion des identités Secure Data Center Gestion et supervision des évènements de sécurité Un portefeuille de services de bout en bout PLAN : Conseil DO : Intégration CHECK : Support et Services managés ACT : Contrôle de sécurité et gestion de la performance 5 N 10 BUSINESS CONNECT OCTOBRE 2008

6 De la vidéosurveillance à la réglementation : quels sont les usages? La sécurité bénéficie sur le plan juridique de règles légales d utilisation et de contraintes techniques à observer afin que les systèmes de vidéosurveillance soient et restent conformes aux finalités déclarées. TEXTES DE REFERENCE LIES A LA VIDEOSURVEILLANCE PUBLIQUE Article 10 de la loi du 21/01/1995 sur la prévention de l insécurité modifié par la loi n du 23/01/2006. Décret n du 17/10/1966, modifié par décret n du 28/07/2006, relatif à la vidéosurveillance. Arrêté du 3/08/2007, portant définition des normes techniques des systèmes de vidéosurveillance et abrogeant l arrêté du 26 septembre Circulaires ministérielles du 22/10/1996 et du 26/10/2006. L article 10 de la loi du 21/01/1995 modifié par la loi du 23/01/2006 stipule que les enregistrements visuels de vidéosurveillance ne sont pas de la compétence de la Commission Nationale de l Informatique et des Libertés (C.N.I.L). Ils sont soumis à autorisation préfectorale après avis de la commission départementale de vidéosurveillance. L arrêté préfectoral est valable cinq ans. Dans un rapport sur le développement L informatique est devenue un «confort» indispensable dans tous les actes de la vie quotidienne de la vidéosurveillance en 2007, le nombre de caméras «autorisées» (pour se contacter, se localiser, s'informer, se sécuriser ). actuellement en France était de Le développement de la vidéosurveillance attise de nombreux débats, et la peur du Big Brother réapparaît avec image à l appui. Ces craintes sont légitimes, et doivent orienter notre réflexion et nous permettre de vérifier que nos lois sont en mesure de nous protéger et que notre sécurité et nos libertés sont préservées. Pour assurer ces nombreux services, les Systèmes Informatiques assurent la traçabilité et la surveillance potentielle des déplacements, des comportements. Et c est cette prolifération de données «intimes», qui constitue la menace principale. Qui peut en effet garantir dans le temps l intégrité de l information? Les Anglo-Saxons parlent d intimité pour la confidentialité, et d immunité pour Usage et détournement La CNIL (Commission Nationale de l Informatique et des Libertés), nous apporte une réflexion fort intéressante sur les véritables défis de notre société en matière de fichiers nominatifs, et nous sensibilise confidentialité et intégrité, ce qui traduit assez bien cette notion d identité de certaines données. Ce capital identitaire sous toutes ses formes, donnée, image ou son, appartient à notre patrimoine privé, et chacun doit pouvoir en assu- sur le véritable danger, à savoir rer l exactitude dans le temps. A ce titre, La focalisation l usage temporel des données informatiques une image ne peut être sortie de son sur la et son détournement potentiel. Il ne s agit pas d être pour ou contre une technologie, mais d avoir une interrogation vidéosurveillance est démonstrative, mais mal fondée. contexte (finalité) sans atteinte aux libertés. Nous sommes bien dans un besoin de sécurité : garantir l immunité sur ces usages. Dans le cas de la vidéo- de l information dans le temps. surveillance, ce qui nous interpelle, c est le risque de l usage de l image numérique. La focalisation sur la vidéosurveillance est démonstrative, mais mal fondée, car en matière de traçage informatique il existe aujourd hui de nombreux systèmes nomades qui nous tracent en permanence, alors qu ils sont normalement dédiés à des finalités de communications! Le danger est omniprésent dans toute technologie, y compris en informatique, où le risque aurait une connotation «virtuelle», mondiale, invisible, intemporelle. Respect du droit «Toute innovation technologique porte, en elle, le bien et le mal et renvoie aux usages que souhaitent en faire ses promoteurs,» déclare le président de la CNIL. Or le droit doit être univoque et se trouve donc être bien souvent, par nature, en inadéquation avec cette ambivalence du progrès technique. Le droit doit préserver et prévenir avant de sanctionner, et se nourrir de l expérience. Pourtant, le cycle du progrès technologique actuel perturbe ce processus. 6 N 10 BUSINESS CONNECT OCTOBRE 2008

7 Le temps juridique est particulièrement lent à la fois parce que les normes et les concepts s élaborent dans le respect des procédures démocratiques, et parce que les enjeux sont de plus en plus complexes. L ensemble des autorités de contrôle nationales en charge de la protection des données reconnaît la légitimité des politiques de lutte antiterroriste mises en place dans leurs États respectifs. Mais comment garantir alors, dans le temps les équilibres fondamentaux de finalité, de proportionnalité? La vidéosurveillance bénéficie sur le plan juridique des règles légales d utilisation et des contraintes techniques à observer afin que les systèmes de vidéosurveillance soient et restent conformes aux finalités déclarées. Il ne faut juger de la vidéosurveillance ou non, mais de la garantie de son usage dans le temps. Les bases juridiques existent pour authentifier les systèmes. Elles sont cohérentes et intègrent les recommandations techniques. Le véritable danger réside alors dans la possibilité de détournement des règles. Jean-Marc Chartres Consultant Sécurité REGLEMENTATIONS LIEES A LA VIDEOSURVEILLANCE Les systèmes de vidéosurveillance peuvent permet que les images soient enregistrées relever de deux régimes distincts, à savoir ou conservées dans des traitements la loi n du 21 janvier 1995 soumettant informatisés ou des fichiers structurés les systèmes de vidéosurveillance visionnant permettant d identifier des personnes les lieux ouverts au public à une autorisation physiques. préfectorale et la loi Informatique et libertés Le fait de procéder à des enregistrements réglementant les systèmes de de vidéosurveillance : vidéosurveillance installés dans un lieu non sans autorisation ; ouvert au public ou implantés dans des lieux de ne pas les détruire dans le délai prévu ; publics lorsqu ils sont couplés ou intégrés à de les falsifier ; un traitement de données à caractère d entraver l action de la commission personnel. départementale ; Seule une autorisation préfectorale est de faire accéder des personnes nécessaire si le dispositif de non habilitées aux images ; vidéosurveillance est installé dans un lieu d utiliser les images à d autres fins que public ou ouvert au public et qu aucune celles pour lesquelles elles sont autorisées ; image n est enregistrée ni conservée dans est puni de 3 ans d emprisonnement et des traitements informatisés ou des fichiers de d amende, sans préjudice structurés qui permettent d identifier des des dispositions des articles personnes physiques. du Code Pénal et L.120-2, L et Une déclaration auprès de la CNIL est L du Code du Travail. nécessaire quand le dispositif mis en place EXIGENCES TECHNIQUES D UN SYSTEME DE VIDEOSURVEILLANCE L Arrêté du 3 août 2007 fournit un référentiel pour les choix techniques : Les caméras doivent être réglées, équipées et connectées au système de visualisation et, le cas échéant, au système de stockage, de façon que les images restituées lors de la visualisation en temps réel ou en temps différé répondent aux finalités pour lesquelles le système de vidéosurveillance a été autorisé. Les caméras disposent des caractéristiques techniques adaptées aux conditions d illumination du lieu vidéosurveillé. Les réseaux sur lesquels transitent les flux vidéo offrent une bande passante compatible avec les débits nécessaires à la transmission d images de qualité suffisante. Les réseaux sur lesquels transitent les flux vidéo doivent être sécurisés. Les textes réglementaires précisent les caractéristiques d authentification afin de certifier la qualité de l image et ses informations spatiales et temporelles, et les conditions d exportation des fichiers qui devront préciser date, heure, durée de l image, identification caméra, date et heure export, identification personne, sur support non réinscriptible et séparé (logiciel de lecture sur support séparé), de façon à garantir la confidentialité et l intégrité des enregistrements. L arrêté permet ainsi de définir les contraintes pour un terminal de paiement ; à savoir Caméra d un terminal de paiement ; 4 CIF, 6 IPS, plan étroit, (2 Mbs si JPEG). Nous disposons donc, de textes réglementaires qui fixent les limites et indiquent les contraintes techniques à respecter. 7 N 10 BUSINESS CONNECT OCTOBRE 2008

8 Services managés sécurité : derrière les outils, des hommes Du conseil aux services managés, Telindus est présent sur toute la chaîne de valeur de la sécurité. Le Network Control Center, qui délivre des services de MSSP (Managed Security Service Provider), est au cœur du dispositif et s intègre parfaitement aux autres fonctions de Telindus œuvrant autour de la sécurité du SI. Interview de Bruno Antoine, directeur national des Services de Telindus France. > Business Connect : La sécurité est une tendance forte du marché. Est-ce une nouvelle activité pour Telindus? Bruno Antoine : Cela fait déjà dix ans que nous proposons des services d audit, de conseil, d intégrations et de services managés sur la sécurité. Aujourd hui, la sécurité constitue 40 % de notre activité. > La sécurité recouvre beaucoup de choses. A la lumière de cette expérience, comment la définissez-vous? Je vais commencer par ce qu elle n est pas : uniquement une affaire de technologies et d équipements. La sécurité est une affaire de compétences, de process, de technologie aussi, bien sûr, mais, pour garantir un haut niveau de sécurité, l important est de bien coordonner les différentes phases. C est pourquoi, outre une offre de Services Managés robuste, nous savons délivrer une offre de bout en bout, depuis la définition du modèle de sécurité à mettre en place chez le client, jusqu à la validation de la solution. Et qui dit validation, dit mise en évidence des écarts entre ce qui était prévu et ce qui existe. Il faut donc corriger ces défauts et réinjecter les ajustements effectués dans le plan de la sécurité pour l améliorer. Une solution de sécurité n est jamais figée ; elle doit perpétuellement s adapter à l'évolution des enjeux et des risques métiers, aux évolutions du Système d Information et aux nouvelles menaces. 8 N 10 BUSINESS CONNECT OCTOBRE 2008

9 > Fournissez-vous obligatoirement toute la chaîne des prestations? Par le passé, les clients adressaient les différentes phases à des sociétés distinctes. Ils pensaient que fractionner le projet entre plusieurs intervenants était un gage de sécurité. Aujourd hui, les problèmes de sécurité et les solutions à apporter sont devenus tellement complexes que faire intervenir plusieurs acteurs n est pas un gage d efficacité. De plus, les clients ont souvent de réelles difficultés à assurer le rôle de chef d orchestre. Aussi ont-ils désormais tendance à globaliser et à ne retenir qu un seul prestataire. Il en va de même pour d autres secteurs, comme les infrastructures ou les communications unifiées, qui, eux aussi, deviennent complexes et nécessitent une unité d action pour atteindre une efficacité optimale. > Quelles formes prennent ces prestations? En Services Managés, la règle est une intervention dans un cadre forfaitaire avec engagement de résultats basés sur un reporting intégrant des SLA. Depuis notre NCC «Depuis notre NCC nous assurons (Network Control Center), nous la gestion des incidents sommes à même, en faisant et la sécurité 24 heures référence à ITIL, d assurer la sur 24 et 365 jours gestion des incidents, des changements, des releases, des problèmes et sur 365» bien sûr de la sécurité et ce, 24 heures sur 24 et 365 jours sur 365. Une soixantaine d experts se relaient pour délivrer les prestations qui peuvent, le cas échéant, être délivrées. L ensemble des évènements détectés dans le cadre de ce service est formaté et mis à disposition des équipes d ingénierie et de conseil, qui, respectivement, feront évoluer l architecture de sécurité et la politique de sécurité de notre client. Enfin, pour une vision plus intégrée, nous sommes à même de délivrer des services formatés sur le même modèle dans le domaine des infrastructures réseau et des communications unifiées. > Quel type d équipement utilisez-vous? L hypervision et la corrélation globale sont assurées par Netcool d IBM complété par des solutions plus spécialisées en fonction des domaines technologiques.. Sur la sécurité à proprement parler, la corrélation des événements de sécurité est assurée sur la base de produit Sentinel de Novell, par exemple. De plus, comme la redondance est une règle d or de la sécurité, notre NCC parisien est couplé avec celui du réseau international de Telindus, installé près de Bruxelles. LES CINQ ETAPES D UN PLAN DE SECURITE Une solution de sécurité ne consiste pas uniquement à déployer des équipements tels que des pare-feux, des sondes ou des antivirus. C est un tout qu il faut dont la réalisation comporte plusieurs étapes. Définition du modèle de sécurité avec le client et qui doit répondre au pré-requis de conformité des métiers Client. Prise en compte de l évolution de la sécurité. En informatique comme en télécoms, rien n est jamais figé. Il faut donc intégrer les évolutions prévisibles. Recommandation et élaboration d un plan d action. Après la phase études, vient celle des conclusions. C est un peu le plan de l architecte. Mise en place des mesures techniques. C est seulement là qu intervient la phase technique : quels sont les outils à mettre en œuvre pour réaliser le plan de sécurité élaboré pendant la phase précédente. Validation de la sécurité. Bien que souvent négligée, cette phase est aussi importante que les autres. On vérifie que ce que l on a déployé répond bien aux besoins. Si ce n est pas le cas, on effectue les ajustements nécessaires et on réinjecte les résultats dans le plan de sécurité afin de l améliorer. LES NORMES La sécurité est aussi une affaire de norme. C est pourquoi nos services se réfèrent-ils aux normes et standards internationaux. A titre d exemple, ISO 17799/ISO27001 ou son évolution ISO2700x bien sûr pour la gestion sécurisée des informations, EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) et PSSI (Politique de Sécurité des Systèmes d Information) pour les aspects décisionnels et la rédaction des schémas directeurs des politiques de sécurité internes aux organismes. L activité SOC à proprement parler s appuie sur des processus conformes à ITIL (Information Technology Infrastructure Library). Les tests et audits de vulnérabilité sont réalisés suivant les méthodes OSSTM et lowasp, pour les tests applicatifs. 9 N 10 BUSINESS CONNECT OCTOBRE 2008

10 Web Services : communications en environnements hétérogènes Si le développement de Web Services peut paraître simple, le succès de leur déploiement passe par une parfaite maîtrise des aspects performance et sécurité. «Quels sont vos meilleurs délais pour me fournir ce matériel?». «Combien de temps, de recherches, d appels vous seront nécessaires pour répondre à cette question?» «Ne serait-il pas plus simple que vos applications soient capables d interroger le Système d Information de vos filiales, fournisseurs ou partenaires pour vous fournir, en temps réel, l état de leurs stocks, leurs disponibilités ou leurs tarifs?». A la fois relativement simples et bénéficiant de la nature d interopérabilité du Web, les Web Services semblent mieux armés que leurs prédécesseurs pour rester la technologie d échange entre applications. Contrairement aux idées reçues, les Web Services ne s appliquent pas qu aux services d échanges entre applications ouvertes vers l extérieur, ils facilitent également la communication des applications internes à l entreprise. Comment ça marche? Un Web Service est un composant, client ou serveur, développé dans n'importe quel langage et déployé sur n'importe quelle plate-forme. Il est enveloppé dans une couche de standards dérivés du XML (extensible Markup Language) afin de garantir son interopérabilité avec d autres Web Services. Le Web Service serveur propose diverses fonctions exploitables par le Web Service Client. La liste des fonctions, des paramètres nécessaires et des variables retournées est décrite dans un fichier WSDL (Web Service Description Language) que le Web Service client récupère dans un annuaire UDDI (Universal Description, Discovery and Integration). Les échanges sont généralement réalisés avec le protocole SOAP (Simple Obejct Access Procotol), principalement sur HTTP. L utilisation de protocoles standards comme HTTP simplifie l insertion des Web Services dans une infrastructure réseau existante. Avec quelles sécurités? Pour répondre aux besoins les plus simples, le déploiement d un Web Service est relativement aisé. En revanche, dès que le service rendu nécessite une sécurité de l accès par authentification du demandeur et du serveur ou une confidentialité de tout ou partie des échanges, la mise en œuvre des Web Services devient plus délicate. En sachant que certains Web Services serveurs doivent eux-mêmes interroger d autres Web Services pour construire leur réponse, on comprend que les aspects d architecture et de sécurité doivent alors être étudiés avec soin. Comment, par exemple, assurer la confidentialité d un contenu entre deux Web Services alors que ceux-ci communiquent via différents Web Services intermédiaires? Les Web Services facilitent aussi la communication des applications internes à l entreprise >>> Pour répondre aux besoins les plus simples, le déploiement d un Web Service est relativement aisé. Les solutions classiques comme TLS (Transport Layer Security) montrent ici leurs limites. Pour répondre aux spécificités de sécurité des Web Services, diverses normes ont été développées comme XML Encryption, XML Signature, SAML (Security Assertion Markup Language) ou encore XACML (extensible Access Control Markup Language). On constate malheureusement que les aspects sécurité restent encore le frein principal à la mise en œuvre d'architectures distribuées à base de Web Services. Fort de plusieurs années d expérience en sécurité des applications Web, Telindus est capable de vous accompagner pendant chaque phase de projet. En phase de spécification par une analyse des risques et des préconisations orientées architecture et sécurité ; dans la phase de déploiement par la mise en œuvre d une infrastructure supportant les architectures SOA, d un firewall applicatif ou d une passerelle Web Services. Enfin, en phase d exploitation, le NCC (Network Control Center) de Telindus peut superviser ces infrastructures afin de valider leur disponibilité et leur niveau de performance. Jérôme Bourguet Ingénieur Avant-Vente 10 N 10 BUSINESS CONNECT OCTOBRE 2008

11 Quelle convergence dans la sécurité des entreprises et des organisations? Le mot convergence est utilisé dans de très nombreux domaines : on le rencontre par exemple en physique, en géologie, en informatique, en biologie... Il est aussi utilisé pour décrire des comportements et des rapports entre les humains. Il évoque le rapprochement, le rassemblement. En informatique, la convergence est numérique et elle tend à fusionner l'information, le support et le transport. Dans un environnement professionnel de nouvelles technologies, toute démarche dans la convergence peut se résumer comme l art de réunir des éléments disparates et d en tirer un avantage avec un but bien précis. La généralisation de l information au format numérique permet des échanges entre des mondes et des activités «étanches». Ainsi existe-t-il une convergence dans le secteur des télécommunications avec la téléphonie fixe-mobile et une autre au sein des réseaux IP avec la convergence entre la voix et les données. Dans une entreprise ou une organisation, la convergence peut paraître complexe si l on considère que cette démarche concerne et implique des personnes, des processus et des technologies. Cependant le résultat contribue à améliorer nettement la capacité opérationnelle d un secteur d activité, et il apporte souvent un avantage compétitif. Ce phénomène permet aussi d abandonner les limites souvent imposées par la logique des «silos» d informations, avec ses multiples confinements qui doivent malgré tout, chacun de leur côté, servir une seule et même organisation. La sécurité des entreprises et des organisations constitue un bon exemple. Pour remplir une mission de plus en plus importante et adaptée aux diffé- 11 N 10 BUSINESS CONNECT OCTOBRE 2008

12 on fait appel à deux grands domaines : la sécurité physique et la sécurité logique. D un point de vue fonctionnel, la sécurité physique se destine à la protection de personnes, d objets ou de locaux. Il peut s agir de procédures, d équipements divers, ou de personnes dédiées. De son côté, la sécurité logique est très généralement une réponse technologique. Dans l entreprise on la rencontre souvent comme la réponse aux risques liés aux technologies de l information. Ces deux domaines sont gérés par des équipes distinctes et différentes. La sécurité physique est Le principe de sécurité intégrée rents secteurs d activités, l exercice de la sécurité doit pouvoir disposer d un ensemble d informations et d indicateurs d origines multiples. Ces sources d informations destinée à la protection de personnes, d objets ou de locaux... Dans les faits, on constate généralement que les personnes affectées à la sécurité physique d une entreprise n ont que peu ou pratiquement aucun échange d information ni de relations directes avec les spécialistes en charge de la sécurité informatique. s appliquent à des «silos» s adressant chacun de leur côté à des objectifs de sécurité logique, de sécurité physique, à la gouvernance et à la conformité. La convergence entre ces domaines peut contribuer directement à élever le niveau de maîtrise du risque. Depuis toujours, il existe dans les entreprises une multitude d activités et de pratiques en matière de sécurité. Ce sont des tâches différentes, mais elles ont toutes un point commun : elles participent à la prévention et à la gestion du risque global de chacune des organisations. Elles sont souvent rattachées à l une des trois catégories de risques identifiés : le stratégique, le financier, et l opérationnel. Pour parer à chacun des risques identifiés et «traités», les organisations mettent en place des moyens permettant par exemple, la prévention, la détection, la correction ou le rétablissement, la traçabilité, la production de Un très faible nombre d organisations a fait le pas pour «connecter» ces deux structures. L une s attache à surveiller ce que l on peut voir à l œil nu dans des locaux, et l autre surveille des événements virtuels et électroniques. D autre part, il faut noter que la sécurité physique fait de plus en plus appel aux nouvelles technologies et que la sécurité logique dépend beaucoup des comportements humains. Depuis plusieurs années une idée nouvelle est apparue. Elle se base sur le principe de la «sécurité intégrée». Cette notion fait appel à la convergence d activités de sécurité dans une entreprise. L exercice consiste à rassembler (échange ou concentration d informations, utilisation, exploitation, signalisation, interconnexion) les informations provenant de plusieurs domaines distincts, ou silos, et à l aide de moyens spécifiques de traiter des événements ou des situations. Le résultat est souvent immédiat et significatif. Les événements sont détectés au plus preuves, la vérification de conformité, la vision et l analyse de... la sécurité tôt. L information pour établir des diagnostics est plus riche. logique l impact Pour parer au risque opérationnel, on fait appel à La résolution des problèmes peut être accélérée de manière est une réponse une multitude de solutions. Pour traiter et réduire le risque, aux risques liés significative, ou bien certaines tâches sont tout simplement aux technologies automatisées. Il est possible d établir une convergence de l information. d activités et d informations d origines distinctes pour assurer des tâches de sécurité. Dans les faits, cela se traduit généralement par la collaboration et l association d activités de sécurité physique et logique dans un premier temps. La convergence associant la sécurité physique, la sécurité logique, la gouvernance et la conformité est plus difficile à réaliser. Prenons l exemple de la convergence entre sécurité physique et logique. Dans l entreprise, comme dans beaucoup de lieux publics, la sécurité physique existe depuis toujours. Dans ce domaine il y a des besoins, des règles, des procédures, des acteurs et des technologies. Historiquement 12 N 10 BUSINESS CONNECT OCTOBRE 2008

13 cette sécurité s exerce avec le traditionnel contrôle d accès aux locaux, et avec la surveillance des allées et venues. Il y a longtemps cette tâche était accomplie par des personnes dédiées. Depuis quelques années déjà, la technologie a rejoint ce domaine. Convergence physique-logique De plus en plus de contrôles automatisés sont réalisés à l aide de badges d accès ou plus rarement à l aide de la biométrie. A cela s ajoute la vidéo surveillance, pour observer les allées et venues à l aide de caméras placées aux endroits «stratégiques». La combinaison de ces deux solutions est d ailleurs souvent mise en œuvre. Le contrôle d accès consiste souvent à lire la piste magnétique d un badge quand on insère ce dernier dans un lecteur. Dans d autres on fait appel à la technologie radio, comme le RFID par exemple. Dans ce cas il n y a pas de contact physique entre un badge et la borne de contrôle. Le simple passage à proximité d une borne suffit. L information stockée sur le badge est captée et lue par la borne. Cela permet même d effectuer un contrôle en entrant et en sortant des locaux. Il est même possible de savoir à tout instant combien de personnes sont présentes, ou bien s il reste des personnes après une certaine heure coupures courant électrique, bascule de système de secours ). Ces événements correspondent généralement à des inondations, des incendies, des bris de verre, des émissions et fuites de gaz, des coupures électricité, des pannes d ascenseurs, des mouvements et des intrusions dans un périmètre donné, des dépassements de seuils de température ou de pression, des arrêts ou des démarrages de machines le soir, ou bien encore lors d une situation d urgence, comme en Plus rarement, Par ailleurs, il existe des dispositifs destinés à la géo-localisation. Leur utilisation permet de localiser géographiquement les contrôles cas d alerte incendie. d accès peuvent Parallèlement, des caméras enregistrent le passage ou le mouvement se faire à l aide ou de suivre les déplacements de certaines personnes ou des personnes, de véhicules ou d objets. Elles enregistrent, en permanence ou bien à la demande, à la suite d un événement particulier. de la biométrie bien d objets dans un espace ou un périmètre particulier. Certains de ces équipements sont capables de faire la distinction Les plus évoluées se mettent en marche et s orientent toutes seules dans la direction souhaitée à la suite d une action particulière (alarme ou intrusion). Certaines caméras sont capables de lire des informations entre plusieurs situations relatives à des personnes ou des objets (sens de déplacement, accélération, positon verticale ou horizontale, renversement ). spécifiques, comme par exemple des numéros sur des plaques minéralogiques des véhicules, ou bien encore de reconnaître des visages. Convergence de sécurité Aujourd hui, la sécurité physique fait de plus en plus appel aux technologies Les différents dispositifs Parallèlement, il existe depuis fort longtemps des dispositifs spécialisés qui répondent à des besoins de protection de locaux très variés, et basés sur le principe de la détection d événements. Ils ont tous un point commun : un événement se produit, une alarme est déclenchée (sonore et/ou visuelle) et l information est notifiée à destination de quelqu un (console, pager, transmetteur téléphonique ), ou bien d un système quelconque. L événement est donc transformé en information numérique, c est un signal qui va permettre de répondre à trois questions lorsque se produit un événement important : quoi? Où? Quand? Certains dispositifs activent des mesures conservatoires d urgence (exemple : sprinkler d incendie, cloisons coupe-feu, arrêts machines, et au traitement d informations numériques. Cette pratique dans la sécurité s est diversifiée et adaptée à de multiples secteurs d activité avec des situations ou des événements particuliers. Le saut au numérique permet l intégration dans un contexte de sécurité global. Lorsque que l on combine ces possibilités avec la protection d un Système d Information, le résultat est très souvent bénéfique. Depuis quelques années déjà, une forme de convergence entre sécurité physique et logique a fait une apparition discrète. L interface hommemachine est souvent un simple badge d accès. C est ce qu utilisent les employés, les visiteurs et les prestataires au sein de certaines organisations. On trouve sur ce support différentes informations relatives à l identité et aux droits d une personne particulière, comme par exemple : son 13 N 10 BUSINESS CONNECT OCTOBRE 2008

14 nom, son groupe dans l organigramme d entreprise, son matricule, sa photo d identité, une puce électronique pour accueillir des certificats numériques de type X.509 ou stocker des mots de passe ou encore des clés de chiffrement, une piste magnétique ou une antenne RFID. Certains badges accueillent en plus un générateur de mots de passe Pour que l ouverture de cette session soit accordée, et donc ouverte, on devra s assurer que cette personne est présente physiquement dans les locaux et qu elle a bien été authentifiée. La première vérification est une requête lancée sur le référentiel pour connaître le statut de présence dans les locaux. La seconde vérification est soit un processus d authentification basé sur l utilisation d un badge inséré dans un lecteur de carte sur le PC (lecture de certificat numérique ou autre facteur) ou bien la saisie dynamiques, ce qui permet de répondre aux d un mot de passe classique. On observe donc une «convergence» entre le contrôle physique et le contrôle logique. Le badge est enjeux des sessions établies à distance. Le un véritable badge répond ainsi à de multiples besoins de sécurité. passeport de sécurité permettant de répondre Les deux contrôles sont effectués. Si cette personne ne se trouve pas dans les locaux, le statut de cette personne dans à de multiples Dans ce type d exemple, l un des pivots de l annuaire sera «absent». contrôles l architecture de convergence est un référentiel Toute tentative d ouverture de session informatique avec ce numérique de l organisation. Ce référentiel informatique est un annuaire ou une base de données. Il est accessible simultanément depuis les systèmes de contrôle d accès aux locaux et par les systèmes de contrôle d accès informatique. Les accès aux locaux ainsi qu à l informatique sont contrôlés à l aide d un seul et même moyen, leur badge individuel. Il y a convergence entre la sécurité physique et la sécurité logique. Il est possible de combiner les deux contrôles et de les rendre interactifs entre eux. compte utilisateur sur le réseau local sera systématiquement bloquée et se soldera par un échec, même si le mot de passe saisi est correct ou si le badge contient le bon certificat numérique. On peut imaginer la même règle pour l utilisation d un système de téléphonie IP. La présence physique de la personne dans les locaux est obligatoire pour que sa ligne téléphonique puisse émettre et recevoir des appels. Dans les deux cas le but consiste à détecter et à bloquer toute tentative d usurpation d identité. A l inverse, une règle peut être mise en place pour contrôler les accès distants des nomades et des télétravailleurs. Dans ce cas, l absence des Les contrôles physiques et logiques Dans ce cas, la mise en œuvre de double vérification fonctionne comme locaux des personnes est un préalable indispensable pour les autoriser à ouvrir des sessions à distance. suit : un utilisateur arrive dans les locaux d une entreprise. Il porte sur lui un badge de type RFID. En passant devant l une des bornes de contrôle sa présence dans les locaux est détectée. Cet état est enregistré dans une base de données ou sur un annuaire informatique. Une fois arrivée à son bureau, ou n importe quel endroit situé dans les locaux de l organisation, cette personne tente d ouvrir une session informatique sur le réseau local. Le badge, passeport de sécurité Dans cet exemple de convergence, l utilisation d un seul support est possible comme le badge individuel qui permet à la fois de contrôler l accès physique de personnes à des locaux (sites, bâtiments, parking, salles à accès restreint) et et l'accès au Système d Information. On peut même parfois ajouter la gestion d un compte dans une cantine ou un comité d entreprise. Enfin il permet, quand il est visible, d identifier visuellement son porteur. Comme illustré dans l exemple, le badge est un véritable passeport de sécurité logique et physique et il permet de répondre à de multiples contrôles de sécurité dans un environnement de convergence sécurité physique et logique. Les fonctions de sécurité mises en œuvre sont par exemple : le contrôle de l accès physique à différents lieux ; la gestion de crédits de compte (cantine, comité d entreprise ) ; l ouverture de sessions sur un poste de travail informatique ; la génération de mots de passe dynamiques pour les sessions distantes ; le chiffrement de données ; la signature numérique ; 14 N 10 BUSINESS CONNECT OCTOBRE 2008

15 l accès aux ressources sur un réseau ; l accès aux applications et aux données de l organisation. Les interactions dans la convergence permettent d obtenir des résultats intéressants et apportent un niveau de sécurité élevé. Dans une enquête (PricewaterhouseCoopers et CIO magazine) menée auprès de entreprises et organisations dans 63 pays, en mars-avril 2005, 53 % des responsables avaient déclaré avoir quelques niveaux d intégration entre leurs divisions de sécurité physique et logique. C était alors un plus, comparé aux 29 % déclarés en Beaucoup de personnes pensent aujourd hui que les deux entités ne peuvent pas rester isolées indéfiniment. Des exemples de collaboration timide font leur chemin. Des démarches communes ont été réalisées, comme par exemple l affichage aux postes de contrôle des locaux (annonce des équipes de sécurité physique) et informant les tés physique et logique viennent se connecter. La mise en œuvre et la collaboration entre des solutions basées sur le tout IP pour la sécurité permettent des économies significatives puisque le câblage pour véhiculer l information (signalisation, administration, télémaintenance et gestion) est le même : c est le réseau d entreprise. La vidéosurveillance nécessite moins de personnes affectées à la surveillance devant des écrans de contrôle. Aujourd hui, les caméras disposent de fonctionnalités leur permettant de réagir quand certains événements se produisent. Elles peuvent «croiser» leurs informations avec des «états» et des événements. Par exemple, le cheminement d un camion devant livrer des containers sur un port maritime peut être surveillé. Dans des situations plus sensibles, une plaque d immatriculation particulière qui pénètre dans une enceinte pourra attirer une attention soutenue. Tout un travail de collecte d informations et de pré-analyse est réalisé grâce à la convergence d informations Le personnes à leur arrivée de la présence d un virus à propagation d origines diverses. socle rapide et l envoi en parallèle de cette information ( ou de base à toute Il existe toutefois de nombreux obstacles à cette convergence. pop-up) par les équipes de sécurité informatique. Autre exemple : à la suite de plaintes multiples auprès des cette démarche est bien sûr l intégration On trouve d énormes challenges culturels dans la collaboration de deux mondes séparés, comme les équipes affectées à la dans un paysage services de sécurité physique, et relatives à des vols dans les sécurité physique, et les équipes de la sécurité informatique. «tout IP» locaux, les ordinateurs affichent une information à l attention des Par ailleurs, si des personnes proches des technologies, comme utilisateurs à l ouverture de session. les informaticiens qui aiment tester de nouveaux «jouets», d autres personnes, comme les personnes qui contrôlent des locaux, sont sceptiques Bénéfices de la convergence sécurité physique-logique Les bénéfices de la convergence sont évidemment multiples. Ils sont par exemple d ordre stratégique et fonctionnel. La sécurité combine à la fois des aspects physiques et logiques importants et correspondants à des situations réelles. Certains biens et des applications sensibles peuvent être mieux protégés, et globalement le niveau de sécurité s en trouve élevé avec un niveau de risque diminué. Les bénéfices sont aussi opérationnels, avec des équipes concentrées sur l essentiel de leur activité, mais avec une collaboration avec d autres secteurs d activité. Les évolutions technologiques permettent des cycles de corrections d événements, plus intuitifs et plus rapides. Ces bénéfices sont aussi financiers avec un très net avantage dans l utilisation d un seul et même réseau, sans avoir à câbler des infrastructures de réseaux parallèles. On retient de cette démarche la diminution du risque, des fonctionnalités de haut niveau, des solutions adaptées aux besoins, et des investissements optimisés. Le socle de base à toute cette démarche est bien sûr l intégration dans un paysage «tout IP», avec un seul réseau sur lequel les éléments de sécuri- vis-à-vis des technologies émergentes. D autres difficultés attendent les candidats à ce type de démarche comme par exemple : la forte disparité dans la qualification et la rémunération des personnes dans les deux types d équipes ; la concurrence entre les groupes, avec le risque d entendre «c est notre problème, et c est à nous de nous en charger» ou bien l inverse avec «ce n est pas de notre ressort, voyez avec les autres» ; les écarts très importants dans la formation des équipes avec, par exemple, des personnes inspectant des locaux qui ne comprennent pas quels peuvent être les risques quand des utilisateurs laissent leur PC allumé le soir dans les bureaux. En dépit de ces difficultés, la convergence en sécurité a progressé dans les quelques organisations «phare» qui ont adopté cette démarche et mis en œuvre des formes de convergence. Dans la majorité des cas, des économies significatives et des réductions de coûts importantes ont été observées avec en retour des niveaux de service obtenus très intéressants. Philippe Jouvellier Chef de Marché Sécurité 15 N 10 BUSINESS CONNECT OCTOBRE 2008

16 La SG CIB : postes IP pour un environnement de travail performant P. Stefanyszyn SG CIB a confié à Telindus la refonte complète de son système de téléphonie. Depuis juin 2006, postes IP sont en installation entre Paris et Londres ainsi que dans le reste des sites européens. La solution retenue s articule autour d un Cluster Call Manager Cisco, réparti sur Londres et Paris, dont la mise en place a débuté en juin La messagerie est assurée par le produit Cisco Unity. Les services optionnels aux utilisateurs sont issus de la gamme de produit de Telisca et la gestion des centres d appels par UCCX Cisco. Avec cette solution Convergente IP, SG CIB se garantit de la pérennité de ses investissements, accompagnée de la certitude d une évolutivité technologique potentielle vers de nouvelles fonctionnalités comme la visio ou la vidéo sur IP. SG CIB (Société Générale Corporate & Investment Banking) est l un des trois grands métiers du Groupe Société Générale, avec la Banque de Détail & Services financiers et la Gestion d actifs. En associant expertise, principes innovants, services de conseil et haute qualité d exécution, SG CIB offre des solutions sur mesure en termes de levée de capitaux, financement, gestion de risque et de placements à ses clients émetteurs et investisseurs sur les marchés de dette et actions. Refonte complète de la téléphonie La SG CIB emploie collaborateurs dans le monde, répartis dans 45 pays. Pour garantir un environnement de travail performant, SG CIB a décidé, pour sa téléphonie, de migrer vers les solutions modernes et novatrices de l IP communication Cisco et d en confier la mise en oeuvre et l exploitation à Telindus. Philippe Marin Ingénieur Commercial Grands Comptes Secteur Finances explique : «Telindus, a été choisi pour accompagner SG CIB dans cette refonte complète de son Système de Téléphonie. Nous avons dû faire face à trois points majeurs : la multiplicité des applications qui sont rattachées à la téléphonie, la reprise d une architecture existante non définie initialement par Telindus et l évolution de 150 utilisateurs jusqu aux utilisateurs prévus, sans rupture de service. Pour ce projet, une étude et un suivi des capacités du système sont réalisés régulièrement, garantissant l adéquation entre les ressources des plateformes serveurs et les taux de disponibilité attendus». Profiter de la synergie des équipes Depuis le mois d août 2006, près de utilisateurs ont été équipés. La moyenne de 300 postes par mois est la cible fixée pour la suite du projet jusqu à utilisateurs prévus. Une assistance aux utilisateurs, spécifique sur chaque site, a été mise en place à la suite de chaque vague de migration. Cet accompagnement au changement permet aux collaborateurs SG CIB une prise en main rapide du poste et de ses nouvelles fonctionnalités. En même temps, un second groupe de travail est chargé d élaborer une structure et un plan de service pour la prise en compte de l exploitation, de la supervision et du support. Le niveau de qualité de Services est ainsi mesuré mensuellement par des SLA et des indicateurs pour la totalité des prestations délivrées. Se basant sur son offre VOC (Voice Operation Center) Telindus propose une équipe dédiée sur le site de SG CIB pour l exploitation (gestion des incidents, gestion des changements, gestion des configurations,) et s appuyant pour la supervision 7 jours sur 7, 24 heures sur 24, sur les ressources mutualisées de son NCC (Network Control Center). Avec Telindus déjà présent au sein du Groupe Société Générale, et en faisant le choix d un prestataire unique la Direction des Systèmes d Information de SG CIB s est assurée de maintenir la Qualité de Services et la confiance de ses utilisateurs à son plus haut niveau. A PROPOS SG CIB (SOCIETE GENERALE CORPORATE & INVESTMENT BANKING) SG CIB est un acteur de tout premier plan présent en Europe, en Asie-Pacifique et sur le continent américain La banque emploie près de collaborateurs à l échelle internationale, dont plus de la moitié sont basés hors de France 16 N 10 BUSINESS CONNECT OCTOBRE 2008

17 La visioconférence HD améliore la productivité des banques Communiquer sans quitter son bureau, augmenter sa productivité, réduire ses coûts, optimiser ses performances, favoriser la Green IT : les avantages de la visioconférence HD séduisent les banques. Face à la mondialisation, qui amplifie les contraintes de l entreprise, optimiser ses communications avec son personnel et ses clients devient un atout majeur, voire concurrentiel. Depuis la fin des années 1990, les établissements financiers se sont ainsi dotés d équipements de visioconférence qui répondent à leurs besoins d améliorer en continu leur productivité. Elle permet désormais de mettre en place des réunions de qualité, avec un son et une image en Haute Définition (HD). Pour les banques, les bénéfices sont immédiats. La visioconférence ouvre les réunions collaboratives à tous les employés, quel que soit leur lieu de travail (Londres, New York, Tokyo, Paris ) et limite désormais les déplacements. Les images reçues en visioconférence sont animées, sans décalage, et permettent un «face à face» entre les collaborateurs et la visualisation de documents en commun. De plus, le son en Haute Définition permet une meilleure compréhension des langues étrangères. Cet environnement virtuel est propice à la prise de décision rapide dans d excellentes conditions. Résultat : une amélioration significative de la productivité des équipes. Alain Manet, Solutions Manager de Telindus explique : «La qualité des visioconférences HD facilite les échanges et améliore l activité entre collaborateurs. C est aussi un gain d efficacité immédiat, en évitant les déplacements et donc en réduisant les coûts, mais aussi en contribuant au développement durable. La prise de conscience actuelle des conséquences sur l environnement de la mondialisation des échanges encourage les entreprises à mener des politiques de gestion plus verte. Au travers de ce Green IT, les solutions de visioconférence sont de formidables outils pour réduire rapidement et durablement son impact sur les émissions de CO2». Vaincre les distances Aujourd hui, des solutions existent pour chaque besoin de travail collaboratif à distance. Deux personnes peuvent discuter depuis leur bureau au travers d écrans 19 pouces, ou en salle de conférence équipée de vidéoprojecteurs et/ou d écrans plasma 50 pouces. Encore plus à la pointe de la technologie, la téléprésence qui donne à chacun, quel que soit l endroit où il se trouve dans le monde, la sensation d être dans le même bureau. Les communications sont ainsi simplifiées, les échanges d informations optimisées tout comme les performances qui se répercutent sur les résultats financiers. La téléprésence utilise les mêmes technologies que la visioconférence HD mais dans un environnement qui reflète plus la réalité. «Cela correspond aux évolutions des métiers, surtout dans le domaine bancaire» ajoute Alain Manet. «Les réunions en téléprésence donne un sentiment de confiance aux collaborateurs et aux clients, plongés dans une réalité où les images sont grandeur nature (échelle 1). Les utilisateurs ont l impression de partager le même espace. La communication se passe en temps réel.» Parler, en interaction immédiate avec ses collaborateurs, est devenu une nécessité absolue pour les banques. La téléprésence a été conçue pour répondre à ce besoin métier. «Les banques ont tendance à augmenter leur temps de réunion», précise Alain Manet. «La visioconférence n est pas toujours adaptée à des réunions qui durent longtemps, voire une journée. Par contre, les équipements de salle en téléprésence répondent tout à fait à cette attente.» Pour bien fonctionner, visioconférence et téléprésence demandent une qualité de service, une sécurité et une haute disponibilité en tout point du réseau et des applications. L expertise de Telindus joue ici un rôle essentiel. «Face aux solutions traditionnelles du marché, notre connaissance des réseaux et notre expertise en solutions IP sont des gains de performance et de sécurité qui rassurent nos clients. Au moment du choix, c est ce qui fait la différence», conclut Alain Manet. Alain Manet Chef de Marché Communications Unifiées 17 N 10 BUSINESS CONNECT OCTOBRE 2008

18 Faire de la sécurité un projet d entreprise : les solutions Telindus Une gamme des solutions complémentaires face à des risques diversifiés. TELINDUS SECURE ACCESS TELINDUS SECURE INSIDE Vos besoins Protéger le SI du monde extérieur Autoriser uniquement les flux légitimes à transiter sur le SI Sécuriser les flux de messagerie Sécuriser les flux de navigation web Technologies Firewalls, Proxies, IDSs, IPSs, Firewalls applicatifs, Load Balancing URL Filtering, Content Cheking, AV, AS, DNS Telindus Solutions et Services Test d intrusion Analyse des risques Politique d accès Architectures Déploiement sur mesure Support et maintenance Gestion et supervision des flux Vos besoins Protéger le réseau interne contre la propagation des intrusions Contrôler les accès au réseau interne Répondre aux règles de confirmité Réduire les coûts liés au Helps Desk Technologies Network Access Control Telindus Solutions et Services Impacts Inventaire du parc réseaux Règles de conformité et du processus d isolation Implémentation Transfert de compétences Support et maintenance Gestion et supervision des évènements TELINDUS SECURE CONNECTIVITY TELINDUS SECURE END POINT Vos besoins Fournir un accès distant sécurisé Garantir l identité de l utilisateur Assurer la disponibilité et la confidentialité du poste de travail Technologies Tunnels IPSec et SSL VPNs Authentification forte Contrôle d accès, chiffrement Telindus Solutions et Services Analyse des risques liés à la mobilité dans l entreprise Développement de la politique d accès Test d intrusion Définition et design des architectures Déploiement et transfert de compétences Support et maintenance Gestion et supervision des flux Vos besoins Protéger les données de l entreprise Contrôler les applications et les périphériques Détecter et bloquer les menaces Assurer la conformité du PC Technologies Chiffrement Host IPS Règles de sécurité Telindus Solutions et Services Analyse des risques liés à la mobilité des postes Développement des scénarios d accès (interne, externe) Définition et design des architectures Sensibilisation et formation Support et maintenance Gestion et supervision des flux TELINDUS MANAGED SECURITY Vos besoins Répondre aux audits Maîtriser les évènements de sécurité pour minimiser les risques Surveiller et tracer en temps réel Alerter pour corriger Anticiper Technologies Collecte de logs Stockage format d origine Normalisation Filtrage et corrélation Alerte et reporting Telindus Solutions et Services Analyse des risques liés au non respect de conformité de traçabilité Analyse des évènements devant laisser une trace Définition des tableaux de bord attendus Définition des règles de corrélation Support et maintenance Gestion et supervision évènements de sécurité TELINDUS SECURE DATA CENTER Vos besoins Garantir la disponibilité Protéger les données Contrôler les accès aux applications Détecter les attaques et intrusions Enregistrer et gérer des preuves d accès Cloisonner les accès Technologies Chiffrement Authentification Virtualisation Parefeu applicatif IPS Telindus Solutions et Services Risques liés aux applications et aux donnés Plans de continuité Design des architectures Implémentation Support et maintenance 18 N 10 BUSINESS CONNECT OCTOBRE 2008

19 Trend Micro à la pointe du combat contre la cyber piraterie Invisible mais bien réelle, la piraterie sévit sur Internet, devenant une industrie des plus lucratives. Elle s organise en réseaux et contamine des millions de machines, à l insu des utilisateurs. «En quelques mois, on a détecté sur Internet autant éradiqués, ils muent et reprennent du service.» Les machines de virus et de codes malveillants qu au cours des infectées deviennent les «PC zombies» et constituent des deux dernières années.» La constatation provient réseaux, les botnets. Certains comptent jusqu à de Frédéric Guy, responsable Business Development PC. Leurs «propriétaires», les botmasters, cherchent à Europe du Sud chez Trend Micro, un éditeur japonais de tirer parti de leurs investissements en revendant, par logiciels de protection des échanges. Créé il y a une vingtaine exemple, des numéros de cartes bancaires ou des codes d années, il est partenaire de Telindus depuis cinq ans. secrets tapés sur le PC (vol d information d entreprise, relais de spams). Les pirates créent des PC zombies On est loin de l ère des premiers virus. Ceux-ci se transmettaient Surveiller la réputation des sites Web de PC à PC par des disquettes infectées. Puis, Face à ces menaces, la traditionnelle défense antivirus et on a assisté à l arrivée de la messagerie, autre source de de détection de signature s essouffle : le temps de trouver contamination du poste de travail. «C est à cette époque que la parade à un nouveau code, et celui-ci a eu tout le temps >>> Frédéric Guy, Trend Micro a été fondé. Nous avions un produit de type passerelle de faire des dégâts. «Depuis deux ou trois ans, Trend Micro responsable Business qui se plaçait entre Internet et les postes de travail ; il exa- a investi une quarantaine de millions de dollars à la mise Development Europe du Sud chez Trend Micro minait tout ce qui entrait et tout ce qui sortait.» Le Web, en œuvre d une politique de réputation, qui complète la étape suivante, a marqué le formidable essor d Internet traditionnelle protection antivirus, antispam, antimalware mais également des virus et des attaques en tout genre! et autres spywares». Dans les grandes lignes, des serveurs Trend Micro collectent en temps réel >>> >>> Telindus, Au début, les pirates poursuivaient un objectif de «L industrie un des premiers nuisance : paralyser les postes de travail et les du piratage est des informations sur les sites et les fichiers partenaires serveurs. Une forme de cyber violence gratuite! florissante et suspects qui circulent sur la Toile. Ils en de Trend Micro «Les internautes qui annonçaient des vulnérabilités dans les logiciels étaient parfois regardés de travers ciels clients Trend Micro. Par exemple, ils n est pas prête avertissent les machines dotées de logi- de s arrêter.» Ses techniciens possèdent le plus haut degré de certification : par les éditeurs et ceux-ci n étaient guère pressés de corriger les préviennent l internaute que le site Web auquel il Affinity One. Ils fournissent failles, poursuit Frédéric Guy. Alors tout ce petit monde s est veut accéder, qu il soit légitime ou pas (nombre de des services d audit et de conseil, réorganisé et a décidé de tirer profit des défauts des systèmes.» sites légitimes sont contaminés), est peut-être d installation et de supervision. Les pirates sont devenus des commerçants. Nombre de infecté. «A ce stade, on ne cherche pas à savoir Lors de séminaires techniques, ceux qui découvrent des failles des exploits, en langage quelle est la signature du code malveillant ; on ils sont régulièrement formés informatique les mettent désormais aux enchères sur l évite». Ces serveurs sont alimentés, notamment, par des robots qui explorent la Toile, à aux derniers produits. des sites spécialisés. «Ils se vendent de 500 à dollars et plus», précise Frédéric Guy. Les pirates les achètent et se la recherche des sites, des fichiers, des messages lancent dans leur coupable activité. Leur méthode dangereux. consiste à infecter des machines à l insu des utilisateurs. «L industrie du piratage est florissante, «Les codes malveillants sont tellement perfectionnés, signale conclut Frédéric Guy, et n est pas prête de Frédéric Guy, qu ils sont difficilement détectables et que même s arrêter.» 19 N 10 BUSINESS CONNECT OCTOBRE 2008

20 Authentification forte des utilisateurs et chiffrement des données sont quelques-unes des technologies mises en œuvre par RSA pour sécuriser l accès à l information. >>> Louis Beringer, responsable France de RSA. «>>> RSA partenaire de Telindus depuis une dizaine d années «Nous étions partenaires avant notre rachat par EMC2, rappelle Romain Pia, responsable des canaux de distribution. Ensemble, nous avons une centaine de clients en France, dont quelques grands groupes, comme Axa, Air France, Groupama, Reunica ou Servier.» RSA assure la protection rapprochée des données Le métier de RSA a toujours été la protection de quatre chiffres que l utilisateur frappe au clavier (comme l information, c'est-à-dire authentifier ceux qui y sur une carte bancaire). Pour accéder aux informations, accèdent et la chiffrer pour la rendre inutilisable les deux conditions doivent être remplies. On peut d ailleurs aux intrus.» Cette stratégie, résumée par Louis Beringer, responsable France de RSA, différencie la société de la plupart des acteurs du monde de la sécurité. La grande majorité d entre eux se concentrent sur la protection «périphérique». A l aide d équipements comme les utiliser cette méthode d authentification pour se connecter à un VPN, ce qui renforce sa sécurité. C est cette maîtrise de la protection des données qui a poussé EMC2, le spécialiste du stockage, à acquérir RSA, afin de garantir la sécurité des informations stockées pare-feu, on surveille l entrée du réseau et du Qui dans ses baies. RSA est devenu une division, et dit ouverture Système d Information. «Ce n est plus suffisant, sa technologie s est progressivement intégrée à la mobilité, ajoute Louis Beringer, car l entreprise s ouvre de plus en plus à la mobilité, aux clients et aux partenaires. Or, qui dit ouverture dit risque d intrusion.» aux clients et aux partenaires dit risque d intrusion dans les équipements d EMC2. Mais RSA peut également intervenir auprès d entreprises non équipées en matériel EMC2. L un des exemples de cette défense périmétrique est le réseau privé virtuel (VPN ou Virtual Private Network). Certes, les liens entre les sites distants et le site principal sont «blindés», mais l authentification généralement se fait par nom d utilisateur et mot de passe, relativement faciles à dérober pour les spécialistes. Et si un intrus parvient à pénétrer dans un site distant, généralement moins bien défendu que le site central, il peut remonter jusqu au cœur du système. «D où l intérêt de dresser une dernière barrière, juste avant d accéder aux données? Et c est ce que nous fournissons.» RSA a bâti sa fortune sur la technique de l authentification forte. Celle-ci s appuie sur un double facteur. Le premier : le Secure ID. Un petit boîtier génère, selon un algorithme, des codes à six chiffres (token) qui changent toutes les trente secondes. Sur le serveur distant tourne le même algorithme. Au moment de l authentification, l utilisateur tape le token indiqué sur le boîtier et il doit être identique à celui du serveur. Second facteur : un PIN code à Cependant, la sécurité ne se limite pas à la protection contre les intrusions provenant de l extérieur. Selon les spécialistes, près de 80 % des fraudes sont d origine interne. Or la réglementation, de plus en plus stricte, oblige opérateurs, banques ou assurances à garder la trace de toutes les transactions ; celles-ci peuvent ultérieurement intéresser la police et la justice (recherche postmortem). Ce journal des événements (log) aide également l administrateur à détecter des incidents de fonctionnement du SI. Pour répondre à ce besoin EMC2 a acquis, en 2006, la société Network Intelligence, dont le produit envision, collecte, stocke et corrèle tous les logs. Il est ainsi possible de retracer, en cas de besoin, l activité de tel abonné à la téléphonie mobile (dans le cas d une enquête) ou celle de tel employé indélicat (en cas de fuites). EnVision permet aussi de déclencher des alertes de sécurité et de produire des rapports pour répondre aux obligations liées aux différentes réglementations. Au final, les deux technologies de SecurID et envision se complètent : la première protège l accès aux données ; la seconde garde la trace de ceux qui les ont consultées. 20 N 10 BUSINESS CONNECT OCTOBRE 2008