Les services IP. Business Connect. dédiés aux autoroutes de l information. ACTUS Global Telindus Task Force au service des comptes multinationaux

Transcription

1 Les services IP dédiés aux autoroutes de l information ACTUS Global Telindus Task Force au service des comptes multinationaux «Secure Inside», la sécurité au cœur du réseau CHANGE THINGS YOUR WAY REALISATIONS APHP Systalians et Eurotunnel choisissent Telindus Business Connect Le magazine d Information de Telindus n 9 Juin 2008

2 DOSSIER EXPERT REALISATIONS p4 p5 p 7 à 11 p14 p16 Sommaire Business Connect n 9 La cellule de pilotage Global Telindus task Force vient renforcer Avec Secure Inside, Telindus complète son offre de sécurité globale Les services IP dédiés aux autoroutes de l information : un Security Research Center de Telindus traque les failles de la VoIP. Telindus toujours plus actif auprès de ses cients les domaines d expertise et répond aux besoins éclairage particulier sur page 13 infrastructure, convergence de contrôle d accès aux les poumons du système APHP met à niveau son IP, applications et sécurité cœur des réseaux internes. entier et des services IP. accès Internet et multiplie du Système d Information, page 5 Les experts de Telindus par trois le débit de son auprès des clients Telindus aux quatre coins du monde. page 4 Les solutions IPTV sur mesure de Telindus reviennent sur la conception du système de communication permettant raccordement pour répondre aux nouveaux besoins de la santé. répondent de façon de délivrer efficacement page 15 dynamique aux évolutions des modes de communication de la banque. page 6 une autoroute de communication entre le point de départ des usagers et leur destination. pages 7 à 11 Banques : le contrôle permanent du management des risques. page 14 DOSSIER Les services IP dédiés aux autoroutes de l information TENDANCES Et si la Green IT sauvait la planète en changeant profondément nos habitudes. Deux experts s interrogent sur la protection de notre environnement. page 12 Eurotunnel remplace son réseau ATM par un autre en Gigabit Ethernet et multiplie par six le débit de son lien transmanche. page 16 Le GIE Systalians choisit d adopter de bonnes pratiques en matière de sécurité en s alignant sur la norme ISO page 17 2 N 9 BUSINESS CONNECT JUIN 2008

3 PARTENAIRES FLASH p18 p21 Edito Convergence IP, communications unifiées, messageries unifiées, travail collaboratif, visioconférence, téléprésence, contact centers, applications vidéo, ROI sont dans toutes les analyses, tous les discours, toutes les propositions. Et c est un fait que la révolution IP apporte son lot de fonctionnalités et de nouveaux services convergents sur un réseau IP unique et sécurisé dont les entreprises ne peuvent ignorer les bénéfices. Sommaire suite Et pourtant, les directions informatiques et réseaux doivent sans cesse résoudre l équation paradoxale qui améliore les business process, la productivité, la compétitivité et la profitabilité d une entreprise en maîtrisant les investissements et la sécurité des réseaux. Le point sur les technologies et solutions des partenaires Check Point, pionner dans le monde de la sécurité, vient d'introduire la virtualisation dans son offre de passerelles de sécurité VPN-1 et de passerelle VPN SSL (Secure Sockets Layer) Connectra. pages 18 et 19 Consentry présente le LANShield Switch, un commutateur d'accès Ethernet qui embarque des fonctions de contrôleur de pré-authentification et de post-authentification. page 20 La Bretagne a accueilli les DSI des villes de l'ouest. Page 21 Telindus annonce 100 recrutements pour 2008 et la mise en place des partenariats écoles et des formations de techniciens en communications unifiées. Page 22 Les prochains Meeting Point présentent les solutions Telindus IPTV et Secure Inside. Page 23 Business Connect - n 9 - Juin 2008 Edité par Telindus 10 avenue de Norvège Z.A. Courtaboeuf - BP Les Ulis Cedex France - Tél. : Directrice de la Publication : Crédits photos : Telindus Odile Foubert Gestion éditoriale Comité de Rédaction : et conception graphique : Caroline Gros Odile Foubert 1000 ans Communication Etienne Didelot Philippe Jouvellier 8 avenue du Parc Courbevoie Emmanuel Cabon Marc Moscovith contact@1000anscommunication.com Saddik El Arguioui Joffray Czarny Impression : Prisme Graphique Jean-Marc Chartres Christine Crelier 176 avenue Charles-de-Gaulle Nadia Babaali Didier Pescarmona Neuilly-sur-Seine Silvain Gaudissant Le contenu d un article n engage que son auteur - Telindus et Business Connect sont des marques déposées Le rôle de l intégrateur est alors de convertir ces besoins en termes de solutions techniques et de manière transparente pour les utilisateurs sans interruption de services : proposer l architecture optimale, assurer l installation et l interfonctionnement de toutes les applications et la sécurité des systèmes, s assurer que les mises à jour d un ou plusieurs éléments de la chaîne ne créent pas de perturbations sur l ensemble, et que la supervision et l exploitation de la solution sont maîtrisées, anticiper l évolution des besoins, etc. Et c est pour cela que nos clients les plus exigeants nous font confiance : nous sommes présents dans le secteur de la Défense, des banques, des transports, des villes, avec des projets dans les domaines les plus sensibles tels que la convergence, la vidéosurveillance, la sécurité, allant du conseil stratégique auprès des directions générales, au déploiement et à la maintenance d architectures complexes. Dans cette parution, nous abordons la convergence de plus en plus globale sur le réseau IP où toutes les données sont désormais appelées à transiter, ainsi que la sécurité pour protéger le cœur des réseaux, mais aussi la protection de l environnement ; les nouvelles technologies se doivent d apporter leur brique à l édifice : la «Green IT» est née. Il s agit de stopper la course folle à la consommation électrique des systèmes, de limiter l émission de CO2 et ce, grâce à de nouvelles technologies de stockage, de communications unifiées (visioconférence, téléprésence ). Vous lirez également dans ce numéro de Business Connect le point de vue de nos clients sur ces sujets. Odile Foubert Responsable de la communication de Telindus France 3 N 9 BUSINESS CONNECT JUIN 2008

4 Telindus chouchoute ses grands comptes multinationaux En créant la Global Telindus Task Force, la société dispose désormais d une cellule de pilotage de ses activités transfrontières. Le but est de coordonner les prestations fournies à un client dans chaque pays où celui-ci est implanté. Le pivot de ce dispositif est le Key International Account Manager. La réputation de Telindus à l international n est plus à faire. Avec ses quatorze filiales d activité traditionnels : santé, finances, administrations publiques, médias, distribu- en Europe et ses implantations en tion, industrie Le but de ce Chine et en Thaïlande, complétées nouveau dispositif : que l informa- par un réseau de partenaires dans le tion circule mieux entre les diffé- reste du monde, la société est à rentes entités du groupe qui même d accompagner ses clients travaillent pour un même client International Account Manager. d autres pays, Telindus préfère grands comptes internationaux. dans différents pays afin d offrir C est lui qui désormais coordonne resserrer les liens avec ses clients Mais encore convient-il d exploiter partout un même niveau de solutions les actions dans les pays. Et si l entre- existants en renforçant le niveau de au mieux ce formidable potentiel. et de services. «Auparavant, nous tra- prise désire confier à Telindus le ses prestations via cette Task Force, vaillions de manière plus opportuniste» déploiement de la téléphonie sur IP sorte de cellule pilotage de son résume Christine Crelier, Responsable sur l ensemble de ses implantations action transfrontière. «C est capital, coordination Nationale. «Désormais internationales, l opération sera conclut Christine Crelier, car la notre démarche est plus systématique placée sous la responsabilité du Key majorité de nos clients souhaitent et plus coordonnée.» Par exemple, International Account Manager aujourd hui s assurer d une interacti- Telindus fournit à la même entre- qui coordonnera le projet avec ses vité globale à tous les niveaux de leur prise des solutions de sécurité en homologues étrangers. Système d Informations afin de mieux >>> Christine Crelier, Responsable Coordination Nationale France, d autres de vidéosurveillance en Angleterre et, enfin, de l infrastructure IP en Espagne. Cellule de pilotage pour les actions transfrontières contrôler la performance de leurs applications et de leurs services. Pour cela elles se reposent sur des prestataires fiables, capa- Pour y parvenir, Telindus a créé la Jadis, le responsable du compte Cette nouvelle stratégie internatio- bles de proposer des solutions technolo- Global Telindus Task Force qui cou- dans chaque pays savait que ses nale concerne essentiellement les giques performantes et une expertise de vre tous ses domaines d expertise homologues suivaient ce client, grands comptes, cœur de la clientèle services de bout en bout tout en interve- (infrastructure et convergence IP, mais aucune collaboration formelle de Telindus et dont 60 % sont des nant sur des périmètres internationaux. applications, sécurité du Système n existait. Ce compte est désor- multinationales. Plutôt que d éten- Notre mission est d accompagner nos d Information ) sur ses secteurs mais suivi en central par un Key dre son emprise internationale à clients sur ces problématiques.» 4 N 9 BUSINESS CONNECT JUIN 2008

5 La nouvelle offre «Secure Inside», protège le cœur des réseaux en répondant aux besoins de contrôle d accès. Elle complète ainsi l offre de sécurité globale de Telindus. Pendant des années, les principales menaces pesant sur les Systèmes d Information étaient perçues comme venant presque exclusivement de l extérieur. En couvrant ce risque, les organisations ont vécu dans un sentiment de sécurité relative après la mise en œuvre d un périmètre de protection qui les isolait virtuellement du monde extérieur et en particulier d Internet. Depuis des années, toutes les communications avec l extérieur sont inspectées avec une ou plusieurs solutions de contrôle et de filtrage des flux à la frontière du périmètre, comme à un poste frontière. Considérant que cette stratégie suffisait largement, un grand nombre d organisations n a pas mesuré l importance croissante de plusieurs phénomènes lors de ces dernières années. Deux de ces phénomènes peuvent être cités. Le premier est constitué de l évolution des menaces, qui contournent tous les schémas de sécurité établis ; le second concerne les changements intervenus dans les habitudes de travail au sein des organisations. La sécurité au cœur du réseau Dans de nombreux cas, les réseaux internes sont devenus le théâtre d incidents et d accidents. Dans beaucoup de situations, deux grands responsables parmi toute une liste d hypothétiques suspects ont souvent été cités : le poste de travail des utilisateurs et l engouement de la mobilité. Aujourd hui la réalité impose d aborder les projets liés à la sécurité en englobant l ensemble des composants des Systèmes d Information. A l échelle de l infrastructure, la sécurité concerne le périmè- «Secure Inside» : contrôle d accès aux réseaux internes tre de sécurité, mais il est devenu indispensable d y ajouter les points d extrémité, c'est-à-dire les postes de travail et les équipements connectés aux réseaux internes et aussi le cœur du réseau. Avec sa nouvelle offre «Secure Inside» Telindus répond aux besoins de contrôle d accès aux réseaux internes de ses clients. Cette offre est constituée de solutions destinées à authentifier les utilisateurs et les équipements. Ces solutions mettent en œuvre des contrôles de conformité des équipements. Ces contrôles peuvent isoler en quarantaine les postes de travail qui représentent un risque pour la sécurité. Enfin, les clients peuvent envisager et disposer d un réel filtrage des accès des utilisateurs aux réseaux internes en fonction des rôles et des missions de chacun vis-à-vis d une organisation. Une offre complète et efficace de bout en bout Telindus met à la disposition de ses clients, des experts dans chacune des étapes des projets de sécurité du réseau interne. Les étapes se déclinent ainsi : Conseil en amont : ce sont généralement des prestations de tests intrusifs, ou bien d expression de besoins et de constitution de rôles «logiques» des utilisateurs dans les organisations. Cette étape est l une des plus importantes, elle détermine l architecture complète de la solution et les contrôles opérés ; Expertise d architectures : cette étape vient adapter et vérifier le bon fonctionnement de l architecture cible. Elle comporte des tests qui valident avec les clients le rôle de la solution mise en œuvre ; Installation, déploiement et configuration : il s agit de la phase d intégration de la solution ; Support et maintenance : Telindus accompagne ses clients une fois la solution déployée et opérationnelle. Des prestations d assistance et de support sont proposées, ainsi que les abonnements aux mises à jour des logiciels. Service de télégérance : Telindus, fort de son expérience en matière de services managés de la sécurité, propose à ses clients des modules de prestations disponibles pour les infrastructures «Secure Inside» déployées. Ces modules permettent de maintenir les équipements et les services en condition opérationnelle et ils peuvent décharger les clients de tâches administratives des solutions. Philippe Jouvellier Consultant Sécurité Telindus France 5 N 9 BUSINESS CONNECT JUIN 2008

6 L IPTV pour la banque du futur! Telindus apporte aux banques des solutions IPTV sur mesure, répondant à leurs besoins et aux évolutions des modes de communication. Le secteur de la banque de détail connaît une époque de profond changement, marquée par de nombreuses consolidations. Le mode de relation avec le client a également évolué ces dernières années avec, comme conséquence, de lourds investissements sur les infrastructures e-business bancaires. Bien que ces investissements sur les services en ligne aient été nécessaires et bénéfiques, le contact personnel avec le client dans les agences reste primordial dans l optique d une relation de qualité entre la banque et son client. Les banques souhaitent donc actuellement réinvestir dans leurs agences afin de les transformer de simples lieux d enregistrements d opérations bancaires en : - véritables agences commerciales capables de générer de la vente de produits financiers additionnels ; - vitrines de la banque, la différenciant de la concurrence ; - lieux agréables, avec un temps d attente perçu minimum. Diffuser des produits «maison» Les solutions IPTV de Telindus, et en particulier l affichage dynamique, permettent de répondre très efficacement à ces besoins et sont considérées comme partie intégrante de l agence bancaire du futur. Ce mode de communication remplace, ou complète, avantageusement les outils traditionnels que sont les prospectus. La vidéo permet : - d atteindre un taux de mémorisation client très supérieur au support papier ; - d informer et de promouvoir des produits financiers de manière attrayante ; >>> Principe de fonctionnement de l affichage dynamique IP - d obtenir un délai très court entre la conception et Là aussi, Telindus propose des solutions innovantes, par exemple la mise en place d un portail la diffusion du message. Utilisée depuis des dizaines d années, la publicité papier est coûteuse, vidéo où des sessions d e-learning sont mises à la logistique de diffusion est longue et complexe. disposition des conseillers qui peuvent les consulter lors de temps disponibles entre deux rendez- La diffusion d un message vidéo est a contrario très simple et diffusée quasi immédiatement ; vous, ou pour préparer une réunion sur un - de réduire le temps d attente perçu par le client et produit particulier avec un client. de le mettre à profit pour susciter des ventes additionnelles (le temps d attente moyen dans une outre celles évoquées précédemment, sont nom- Les applications IPTV dans le monde bancaire, agence est estimé à trois minutes environ 75 % breuses. On peut citer : des intentions d achat sont déclenchées sur le - la diffusion de TV numérique dans les salles de point de vente). marché, avec des services tels que l enregistrement numérique sur le réseau, la fonction de Avec la forte baisse du prix des écrans plats et l arrivée des technologies IPTV, ces solutions sont Time Shifting (pause sur une émission en direct), désormais économiquement et techniquement ou encore la diffusion en différé (par exemple, une tout à fait abordables. émission financière importante diffusée à 15 h est enregistrée et rediffusée automatiquement à la Des services personnalisés clôture du marché) ; Les employés travaillant en agence, en particulier - la communication Corporate, en interne les conseillers financiers, sont évidemment des (discours du Président, annonces CE ), et en vecteurs de ventes primordiaux. Dans un secteur externe à l intention des visiteurs. où les offres produit et la réglementation évoluent Etienne Didelot Business Developement sans cesse, leur formation est cruciale. Infrastructure et Mobilité 6 N 9 BUSINESS CONNECT JUIN 2008

7 Les services IP dédiés aux autoroutes de l information Imaginez un service autoroutier de qualité desservant l Europe sans pompe à essence ni aire de repos ni panneau de direction Le voyage deviendrait alors un chemin de croix impossible à planifier. Le système de communication d une entreprise est aujourd hui basé sur des artères bien dimensionnées, à l image de nos autoroutes, pour véhiculer les requêtes des utilisateurs et les réponses des applications, mais les services apportés par le réseau,indispensables à son fonctionnement, sont très souvent négligés. Le parallèle avec les autoroutes est certes très imagé, mais pas si éloigné de la réalité. En effet, comment peut-on penser mettre en place des réseaux hautement disponibles, penser aux architectures de «disaster recovery», sans mettre un éclairage particulier sur les poumons du système entier, les services IP? «Services IP» ou, en d autres termes barbares, des services DNS (Domain Name System), DHCP (Dynamic Host Configuration Protocol), TFTP (Trivial File Transfert Protocol) RADIUS (Remote Authentication Dial-In User Service), NTP (Network Time Protocol). L efficience d un système de communication, comme le montre le schéma page suivante, n est autre que de permettre à un utilisateur autorisé d accéder à des applications servant son métier. Sans «service IP» disponible, il n y a plus de communication possible, plus de téléphone, plus d application de facturation, plus de vidéo protection, plus de gestion des ressources humaines et plus de messagerie! Quand on connaît les investissements que concèdent les entreprises dans la mise en place d un ERP, dans la refonte d une infrastructure réseau LAN et WAN, dans la mise en place d outils de collaboration, on peut 7 N 9 BUSINESS CONNECT JUIN 2008

8 >>> Rôles des services IP s étonner du peu d intérêt accordé à l investissement autour des solutions d architecture haute disponibilité des Services IP. Il y a toujours de «bonnes» explications à un état de fait comme celui-ci : Partage de responsabilité entre équipes réseaux et équipes systèmes qui ne permet pas de délimiter un domaine de responsabilité simple ; Rarement de dysfonctionnements majeurs malgré les attaques dont les DNS externes font l objet ; Eléments rarement identifiés comme faisant partie intégrante de la chaîne de liaison. En 2007, une étude du cabinet Frost & Sullivan, a montré que 75 % des entreprises interrogées avaient récemment implémenté ou commencé une réflexion autour de la refonte de leur architecture DNS/DHCP. Nous souhaitons donc, par ce dossier, vous exposer notre conception du système de communication permettant de délivrer efficacement une autoroute de communication entre le point de départ des usagers (leurs postes de travail fixe ou mobile) et leur destination (les applications métier de l entreprise). Péages : authentification des utilisateurs (RADIUS) Ce service permet aux terminaux mobiles (ordinateurs mobiles, PDA, téléphone portable, Wifi, etc.) de se faire connaître avant d accéder au réseau. Ce sont des gendarmes qui vérifient les identités sur l autoroute. Stations service : mise à disposition des fichiers (TFTP) Ce service permet aux téléphones IP et aux SetupBox VOD d aller lire ou de sauvegarder leurs fichiers de configuration. Panneaux de direction : traduction par résolution de nom (DNS) Ce service permet aux utilisateurs de résoudre des noms qui ont été conçus pour être «parlants» (exemple : ou intranet) en adresse réseau IP afin d accéder aux applications ou de communiquer entre eux. Gestion du plan d adressage (IPAM : IP Address management) Ce centre de contrôle de la gendarmerie est là pour permettre à l entreprise de mieux gérer l attribution des différentes plages IP et de vérifier leurs taux de remplissage. Fonctionnement DHCP Le DHCP serveur est capable de fournir tous les renseignements de configuration nécessaires au fonctionnement du Stack TCP/IP du client. Les champs renseignés par DHCP sont : l adresse IP attribuée, le nom de domaine, le subnet mask, l adresse du routeur par défaut, le nom du serveur WINS, etc. >>> Dialogue DHCP De quels services les autoroutes ont-elles besoin? Bretelles d accès : attribution d une adresse IP (DHCP) Ce service permet aux terminaux (ordinateurs fixe ou mobile, PDA, téléphones IP, SetupBox VOD, Camera, Serveurs, etc.) d obtenir les paramètres réseaux indispensables leur permettant d accéder au réseau. L adresse IP vous permet d être identifié et aiguillé tout au long du parcours par les équipements constituant la chaîne de communication 8 N 9 BUSINESS CONNECT JUIN 2008

9 Ainsi lorsqu un client se connecte au réseau, il doit obtenir une adresse >>> Les flux DNS IP. Pour ce faire, il envoie une requête «DHCP discover» sur le LAN (1). Le Serveur DHCP qui la reçoit, réalise une réservation d attribution d IP dans sa table DHCP et offre cette adresse IP au client via un «DHCP Offer». Suite à cette proposition, le client va accepter cette offre en répondant un «DHCP Request». A la réception de cette réponse, le Serveur DHCP valide définitivement en renvoyant l attribution d IP finale au client (2). Cette adresse lui sera attribuée jusqu à l expiration du Bail (les adresses IP sont délivrées avec une date de début et une date de fin bail de validité) que lui octroie le serveur. La bonne marche du protocole réside en plusieurs types de paquets DHCP susceptibles d'être émis soit par le client pour le ou les serveurs, soit par le serveur vers un client : DHCPDISCOVER : pour localiser les serveurs DHCP disponibles ; DHCPOFFER : réponse du serveur à un paquet DHCPDISCOVER, qui contient les premiers paramètres ; DHCPREQUEST : requête diverse du client, pour prolonger son bail par exemple ; DHCPACK : réponse du serveur avec les paramètres et l'adresse IP du client ; IP. Pour ce faire, il va s appuyer sur son serveur DNS (serveur DNS interne) en lui demandant, via une requête DNS, de lui résoudre l IP correspondant au serveur applicatif Si le serveur DNS interne de l utilisateur possède cette information, il répondra directement au client. Dans le cas contraire, le serveur DNS interne devra interroger son serveur DNS externe (DNS Forwarder). DHCPNAK : réponse du serveur pour signaler au client que son bail Ce serveur DNS externe à la connaissance d une liste de serveurs Le est échu, ou lorsqu il annonce une mauvaise configuration racines (Root Servers) et va donc demander à l un d entre nouveau réseau ; DHCPDECLINE : le client annonce au serveur que l'adresse domaine peut générer des eux quel est le serveur DNS autoritaire qui gère le domaine belgacom.com. Sa réponse permettra au DNS externe de est déjà utilisée ; sous-domaines joindre le serveur DNS autoritaire de la zone belgacom.com sans en référer à DHCPRELEASE : le client libère son adresse IP ; afin de lui demander de faire correspondre (résolution) le nom quiconque DHCPINFORM : le client demande des paramètres locaux, il a déjà son adresse IP. de la cible avec une adresse IP. Une fois la réponse obtenue le DNS externe la relaiera au DNS interne. Et le DNS interne la relaiera au client. Cette résolution de nom peut bien sûr être récursive car aucun DNS n a la Quid du fonctionnement DNS Internet est divisé en plusieurs centaines de domaines de haut niveau, comportant chacun un grand nombre d hôtes. Chaque domaine est divisé connaissance de tous les serveurs mondiaux, et encore moins ceux internes à l entreprise. Une fois cette adresse IP obtenue, le client pourra joindre le serveur applicatif en question. en sous-domaines, eux-mêmes divisés en sous-sous-domaines, etc. On représentera cette division par une arborescence avec, comme racine, le «.» et comme feuille, le nom des machines serveurs. On peut écrire les noms des domaines en majuscules ou en minuscules. Pour créer un domaine, on doit avoir l autorisation de celui qui est immédiatement supérieur. Une fois enregistré, le nouveau domaine peut générer des sous-domaines sans en référer à quiconque. Pour accéder aux applications, le client, muni de son adresse IP, utilisera des noms tels que Le réseau ne sachant joindre que des plages d adresse IP, le client va devoir transformer ce nom en adresse Fonctionnement en IPv6 Ces services IP doivent aussi permettre la gestion de la transition au protocole IPv6. Côté DNS, le modèle choisi est une transposition de l existant IPv4 avec un support de l adressage IPv6. En revanche côté DHCP, on peut continuer à utiliser un serveur DHCP classique à la sauce IPv6 (DHCPv6), pour lequel le fonctionnement reste identique. Il est également possible de configurer une délégation des préfixes à partir des routeurs. Cette fonctionnalité est appelée Stateless Auto-configuration (RFC 2462). Le principe consiste à rentrer, dans la configuration des 9 N 9 BUSINESS CONNECT JUIN 2008

10 routeurs, les préfixes réseaux que l on souhaite attribuer dans le cadre de l adressage global (les nœuds IPv6 possèdent plusieurs adresses : une adresse lien-local, une adresse site-local et une adresse unicast globale pour le trafic sur internet). L autoconfiguration sans état s effectue en plusieurs étapes : Détection des voisins Création de l adresse lien local Détection de multiplication d adresses Création de l adresse unicast globale La découverte des voisins s effectue par l utilisation de messages ICMPv6 et réalise différentes fonctions (résolution d adresse, détection d inaccessibilité des voisins, configuration automatique). L adresse lien-local est créée en plusieurs étapes également : Création de l identifiant d interface (16 bits rajoutés au milieu de l adresse MAC) Détection d adresse dupliquée Concaténation avec le préfixe lien-local (FE80 ::/64). Une fois ces différentes étapes effectuées, le nœud IPv6 sollicite le routeur. Ce dernier délivre le préfixe qui a été préalablement configuré. L adresse unicast globale est alors le résultat de la concaténation du préfixe et de l identifiant d interface (il n y a alors pas de détection de duplicité de l adresse, cette étape étant réalisée au niveau de la création de l adresse lien-local). Le changement de plan d adressage est alors extrêmement aisé : il suffit de changer les préfixes dans la configuration du routeur. Vous comprenez bien que tout serveur et tout client ne peuvent fonctionner de manière transparente pour l utilisateur que si ces services sont disponibles. Aussi, au-delà des protocoles DNS et DHCP décrits succinctement ci-dessus, c est d une part, dans l architecture même de ces services que repose le degré de sécurité, de performance et de disponibilité et d autre part, dans la configuration qui ne devrait jamais être celle par défaut et leur exploitation que réside la bonne santé du système entier. Sécurisation des services Disponibilité Toujours dans l étude de 2007 de Frost & Sullivan, les décideurs ont classé l importance des prérequis que doit comporter une solution visant à mettre en place des services IP. A cause de la multiplication d une part, des terminaux IP, portables, setup box, caméras de vidéo protection, téléphones IP, téléphone mobile multiservice et d autre part, des serveurs tournés internet ou extranet, exigent une attention particulière sur la sécurité des services IP. >>> Besoins des entreprises en services IP Source : Frost& Sullivan En fonction des plateformes d hébergement (serveur ou appliance), les services IP doivent entrer dans la politique de sécurité et donc être mesurés quant aux failles, patchés si nécessaire, et hautement redondants. A ce titre, la démarche d outsourcing de ses solutions commence à voir le jour afin de mesurer et d améliorer les niveaux de services (SLA) à l instar d autres services plus visibles par l utilisateur. Au sujet de la vulnérabilité Le serveur de noms est la clef de voûte du Système d Information mais c est aussi un de ses talons d Achille, car la philosophie du DNS veut que les données soient publiques et qu il donne les mêmes réponses à toutes les requêtes. Cette accessibilité expose les serveurs DNS à de multiples attaques : la fuite d'informations ; la corruption des données des serveurs DNS ; la saturation du service DNS (déni de service DNS) Ces attaques exploitent une mauvaise configuration des serveurs DNS en détournant les mécanismes de services récursifs et de transfert de zones nécessaires au fonctionnement des services DNS. A titre d xemple, près de 30 % des serveurs DNS sont ainsi configurés pour autoriser les transferts de zones vers des demandeurs arbitraires. Pour pallier à ces problématiques, les architectures DNS doivent respecter les règles d implémentation suivantes : 10 N 9 BUSINESS CONNECT JUIN 2008

11 Séparation des différents services DNS (résolution internet vs résolution du domaine interne) par spécialisation des serveurs ; Séparation des fonctions «DNS revolvers» et «DNS fowarder» ; Application des règles de design DNS à chaque type service : - mise en place de vues différentes pour les caches DNS internes, - sécurisation des accès aux serveurs DNS SOA (Start Of Authority) internes, - restriction des transferts de zone, - interdiction de toute récursivité pour les serveurs DNS SOA externes Mise en place d une politique d'accès à internet maîtrisée, limitant le spectre de clients pouvant solliciter (et donc potentiellement exploiter) le DNS. Pour adresser les problématiques de confidentialité, d intégrité et ressources est souvent vue comme une opération de spécialistes et donc attribuée à un nombre limité d individus qui fragilisent l organisation même des opérations. C est pourquoi, l IP devenant non plus prépondérant mais indispensable au fonctionnement d une entreprise ou d une collectivité, des solutions ont vu le jour au cours des dernières années pour répondre aux exigences suivantes : disponibilité performance suivi et reporting de fonctionnement facilité d exploitation facilité de délégation de responsabilité alerting. Les évolutions des technologies des infrastructures de communication d authentification des échanges DNS, il existe des mécanismes complémentaires de sécurisation : Seulement deux serveurs mettent en évidence la nécessité de disposer de services IP pérennes pour prendre en compte les nouveaux besoins : TSIG/TKEY qui utilise une clé symétrique, donc partagée entre sur mille le déploiement soutenu des terminaux IP, notamment supportent les deux serveurs (clé transmise par des mécanismes différents) ; mobiles, qui demande une gestion rigoureuse des adresses IP IPv6 DNSSEC qui est basé sur le principe d un échange de clé publique. Le standard DNSSEC est un ensemble de protocoles, utilisant de la cryptographie symétrique et/ou asymétrique, incorporant un système de stockage et de publication des clés publiques. Il permet ainsi de résoudre les différents problèmes de sécurité lors des transferts de zone, des mises à jour (update dynamique par exemple) et de rendre inopérant le DNS spoofing (détournement de flux entre deux machines à l'avantage du pirate). Malheureusement, ces mécanismes rencontrent des problématiques de ainsi qu une traçabilité de ces attributions ; les infrastructures qui hébergent de plus en plus d applicatifs multimédia (Convergence IP) ce qui accentue la notion de disponibilité et d évolutivité de ces services IP. le «Network Access Control» qui va augmenter l intelligence du réseau en s appuyant sur un certain nombre de services IP comme l authentification et l attribution des paramètres réseaux ; l architecture orientée service (SOA) qui va augmenter les interactions applicatives en s appuyant sur la résolution de noms. performances et de déploiement limité, liées à des enjeux politiques entre les Etats-Unis et le reste du monde (qui aura la légitimité pour signer la racine de l arborescence DNS?). Les recommandations de Telindus Si vous souhaitez toujours utiliser au mieux vos autoroutes de l information dans lesquelles vos investissements se sont concentrés, n oubliez pas Les évolutions en question Les évolutions des sociétés ou de leurs organisations conformes à la mondialisation font que les services informatiques doivent mettre en place des systèmes robustes mais aussi flexibles. En effet, les rachats ou les spin-off de telle ou telle filiale ou organisation engendrent instantanément la volonté d économie d échelle et donc d interconnexion des systèmes informatiques métiers. Les services IP sont au cœur de ce système. Dès lors qu ils ont été bien architecturés et qu ils permettent de contrôler la distribution d adresse IP, de résoudre les noms, mais surtout de faciliter leur exploitation, ils répondent aux exigences de ce que nous appelons la «Real Time Entreprise». Au-delà des aspects techniques, l exploitation est souvent le parent pauvre de ces mécanismes. C est bien là que le bât blesse! L exploitation de ces les bretelles d accès, péages, panneaux d indication, et aires de services : industrialiser ces services IP (les sécuriser, les mettre en haute disponibilité et les gérer de façon centralisée) ; avoir une visibilité temps réel de l utilisation de ces services ; avoir une gestion de son plan d adressage IP ; et faire du «smart planning» pour anticiper l utilisation des ressources IP. Toutes ces recommandations vous permettront entre autres, d éviter une perte de vos applications critiques chiffrée suivent à plusieurs centaines de milliers d euros, car rappelez-vous : Pas d IP -> pas de réseau -> pas d application -> pas de business Emmanuel Cabon Directeur France Avant-Vente Telindus Saddik El Arguioui Ingénieur Avant-Vente Telindus 11 N 9 BUSINESS CONNECT JUIN 2008

12 La Green IT au secours de la planète La Green IT vise à mettre les Nouvelles Technologies de l Information et de la Communication (NTIC) au service de l environnement. Elle permet en particulier de réduire les déplacements, consommateurs d énergie et générateurs de gaz carbonique. Mais leur adoption ne se fera pas sans un changement profond de nos habitudes. Le point de vue de deux experts. > En quoi la Green IT peut-elle contribuer au développement durable? Les NTIC sont à double facette. D un côté, elles consomment de l énergie, rejettent du CO2 et de la chaleur. Surtout les centres d hébergement et il faudrait réfléchir au moyen d utiliser cette énergie. De l autre côté, elles ont un impact positif sur l environnement en limitant les déplacements. Au fil du temps, les aspects positifs s imposeront aux négatifs. > Quels sont les projets de la Région Alsace? Nous réfléchissons à équiper l Hôtel de Région et les agences de salles de visioconférence. Mais on ne pourra pas supprimer tous les déplacements. Alors pourquoi ne pas les optimiser? L Alsace étant une région à forte densité urbaine, une autre idée consiste à installer à la périphérie des agglomérations une salle de réunions toute équipée. En effet, on met en général autant de temps pour aller d une ville à une autre que du centre-ville à la périphérie. Ainsi, chacun ferait la moitié du chemin et gagnerait du temps. Autre initiative, la région a décidé qu elle subventionnerait la construction de bâtiments sociaux à condition qu ils soient équipés de fibre optique, l infrastructure de base. DES OUTILS AU SERVICE DE L ENVIRONNEMENT Alain Cote Conseiller pour les NTIC de la région Alsace En Europe, les transports absorbent les deux-tiers du pétrole consommé et rejettent le tiers des gaz à effet de serre. D'où l'intérêt de limiter les déplacements. Les technologies de l'information y contribuent en permettant de se «réunir» et de travailler à distance. La visioconférence en est un exemple. L'essor de l'ip et la généralisation du haut débit favorisent d'autres formes de travail à distance, tels que le télétravail et le travail collaboratif, qui permettent de partager un document entre plusieurs intervenants. Télémédecine, télé-enseignement, télé-administration constituent d'autres outils pour réduire les déplacements. Gilles Berhault Président de l ACIDD (Association Communication et Information pour le Développement Durable) > En quoi les NTIC contribuentelles à protéger l environnement? Parce que le monde a changé. Jadis on pensait que les ressources étaient illimitées et l information restait rare et chère. Aujourd hui, les ressources s épuisent et l information n a jamais été aussi abondante et bon marché. Il faut donc ménager les ressources en réduisant, par exemple, les déplacements et profiter des possibilités offertes par l accès de plus en plus facile à l information. Ce nouveau mode de fonctionnement génère de plus en plus d économies. > Quelles pourraient être les conséquences sur notre mode de vie? Il faut totalement repenser nos habitudes. Par exemple, développer le télétravail. C est souvent une heure ou deux de stress évitées. Aux États- Unis, 40 % des cadres travaillent chez eux. Les NTIC permettent d effectuer des démarches administratives à distance ; elles redynamisent la vie locale. Elles vont participer au développement de modes de production nouveaux. Par exemple, grâce aux imprimantes 3D, il sera possible de fabriquer de petits objets bon marché au lieu de les importer de Chine. Mais cette évolution n ira pas d elle-même. C est un changement complet de culture et celui-ci doit commencer par l information et l éducation. 12 N 8 BUSINESS CONNECT JUIN 2008

13 EXPERT La VoIP en toute sécurité, mais pas sans faille Trouver la faille! C est la mission du Security Research Center de Telindus, chargé de cerner la moindre anomalie du système : écoute, usurpation d identité sont au menu des experts en sécurité. La révolution IP a sonné le glas des outils classiques de communication. La téléphonie traditionnelle s est fait surclasser par la ToIP et la VoIP (Voice Over IP) ou téléphonie par Internet, première étape de la convergence des Systèmes d'information. Ces nouvelles technologies se sont vite intégrées au réseau de l entreprise. Mais ces interconnexions ne se sont pas faites sans certaines lacunes de sécurité, dues principalement à une méconnaissance des risques au début des migrations. Des attaques multiples et variées En effet, les techniques permettant de faire de l'écoute de conversation téléphonique en téléphonie traditionnelle n ont pas de similitudes en VoIP. L'accès physique au commutateur ou au téléphone n'est plus requis ; seul un accès au réseau est nécessaire en VoIP. L'écoute, l'usurpation d'identité ainsi que le contournement des restrictions d'appels sont des risques courants dans les architectures VoIP. Toutes les attaques afin d exploiter les vulnérabilités ne nécessitent pas une connaissance ardue en Hacking/ Phreaking et peuvent être mise en place très facilement par un employé malicieux. Chercher, analyser et qualifier les risques La mission du Security Research Center de Telindus, en partenariat avec Cisco, fut la découverte de failles de sécurité permettant par exemple de mettre en écoute les téléphones IP Cisco. En effet, les mini serveurs Web intégrés dans les téléphones profil de n'importe quel bureau et téléphone. Ce type de fonctionnalité peut permettre l'usurpation d'identité en récupérant les identifiants d'une personne. De plus, certaines lacunes furent aussi découvertes dans le service Webdialer, qui permet d'émettre des appels de n'importe quel téléphone. peuvent recevoir des commandes permettant d émettre un appel, de faire sonner le téléphone ou bien de contrôler le flux RTP (flux voix). Ainsi, par l'envoi de commandes URIs, il est donc possible de mettre en écoute un téléphone Les architectures VoIP doivent être intégrées dans la politique de sécurité L'interface Web du service ne valide pas correctement les champs reçus de l'utilisateur et offre la possibilité de modifier son profil et donc de s attribuer un autre téléphone. Cette modification de profil offre donc la possibilité à distance et d'écouter une conversation se déroulant dans un bureau. La notion de bureaux mobiles, dans lesquels les téléphones ne sont plus dédiés à une personne mais peuvent être utilisés par de nombreux employés, est de plus en plus repandue en entreprises. Des fonctionnalités sont donc apparues sur les téléphones IP permettant de s'authentifier d émettre un appel à distance via l interface web d un téléphone. Ces recherches permettent de mieux qualifier les risques et de les analyser. Les architectures VoIP étant une partie du Système d'information, elles doivent être intégrées dans la politique de sécurité au même titre que tous les autres éléments du Système d'information. Joffray Czarny Ingénieur Test d intrusion Telindus et donc de récupérer son 13 N 9 BUSINESS CONNECT JUIN 2008

14 EXPERT L objectif de bonne gouvernance des banques Les banques connaissent une transformation profonde de leur mode d'organisation. Telindus les accompagne dans leur démarche de contrôle permanent du management des risques. Outre la banque de détail, la banque d'investissement et la gestion d'actifs, la banque s'est diversifiée dans d'autres domaines comme l'assurance et la distribution. Les facteurs clés des banques sont liés au marché, à la restructuration de l industrie bancaire, à la relation client, et à une capacité de gestion de l incertitude. Il s agit donc d une mutation à risques. Leurs stratégies s appuient largement sur l outil informatique et nécessitent une extrême rigueur quant à la notion de gouvernance d entreprise relayée par leur Système d Information. Une relation durable Telindus apporte auprès de nombreuses banques des solutions et des services dans le domaine des Technologies de l Information et des Communications. Le co-sourcing et la coopération sont les mots d'ordre dans ce secteur. Qu'il s'agisse de gestion de projet ou d'opérations ICT quotidiennes, il convient d équilibrer en permanence l objectif de performance et de conformité. Cet objectif ne peut être réalisé que par une vision et un contrôle permanent du management des risques. Il existe une analogie forte entre les récents dysfonctionnements bancaires et la dérive de l objectif de gouvernance. La conformité des systèmes doit intervenir comme régulateur proactif de la performance, car si elle est curative c est pour constater un sinistre. Si les projets informatiques de communications unifiées vont permettre une meilleure relation client, ils vont augmenter la réactivité et la productivité des offres et services. Cette performance induite, expose inexorablement à des menaces et risques nouveaux. Il faut alors que tout nécessite un pilotage efficient (préemptif), la gouvernance représente alors l ensemble des connaissances pour un pilotage automatique (contrôlé). Cette course effrénée à la technologie, les banques la connaissent depuis l an 2000 d abord par leurs applications, puis par les contraintes liées à la globalisation des échanges. Telindus, par ses différents métiers et son expérience, établit cette intermédiation de gouvernance en proposant des services projet informatique puisse reposer sur une cohérence technique et organisationnelle Co-sourcing et coopération d accompagnement lors des phases de vies des projets informatiques. encadrée par un processus sont les mots Cette démarche est la clef de succès d ordre dans réel de gouvernance. des ingénieurs Telindus, consultants, ce secteur La réflexion sur le futur poste de travail bancaire, qui par excellence intégrera tous les moyens de communication et donc les menaces, est au cœur du projet de gouvernance du Système d Information. Le profil, du ou des postes, ses possibilités, son contrôle et sa sécurité sont des enjeux stratégiques importants à concilier. Le rôle de l intégrateur est d orienter les solutions en prenant en charge les savoir-faire et les savoir-être du client. Réactivité et prise de décisions n excluent pas les contrôles et les éléments de régulation. Tout système, qu il soit technique ou organisationnel, avant-ventes, chef de projets se mobilisent de manière collaborative et chronologique tout au long du cycle de vie des projets. Ce modèle nous permet d accompagner de façon cohérente nos clients, et nous garantit un retour d expérience et une effervescence entre les équipes. Telindus, rattaché au Groupe Belgacom, développe en interne cette capacité de mettre en synergie les différentes énergies pour une qualité de service de plus en plus performante, et conforme aux attentes de nos clients. Jean-Marc Chartres Consultant Telindus 14 N 9 BUSINESS CONNECT JUIN 2008

15 Un accès Internet haut débit et sécurisé pour l APHP Associé à l opérateur Completel, Telindus a remporté l appel d offres lancé par l Assistance Publique-Hôpitaux de Paris pour mettre à niveau son accès à Internet. Il en assure également la sécurisation et la supervision 24 heures sur 24. En multipliant pratiquement par trois le débit de son raccordement à Internet pour le porter à 150 Mbit/s, l Assistance Publique-Hôpitaux de Paris (APHP) prend en compte des besoins de connexion toujours croissants. «Le nombre d utilisateurs augmente, explique Francis Robert, Directeur des Services Opérationnels (DSO). Ils sont potentiellement , dont réguliers. Les médecins, par exemple, font beaucoup de recherches sur le Net. En outre, les documents transmis, comme les pièces attachées aux messages électroniques ou encore certaines images médicales, sont toujours plus gros.» Parallèlement, la fréquentation des sites Web de l APHP croît, ce qui gonfle d autant le trafic. Ces nouvelles contraintes sont traduites dans l appel d offres que l APHP lance en milieu de «Le précédent marché public arrivait à échéance, rappelle Francis Robert. Il fallait donc en passer un nouveau.» C est Telindus, associé à l opérateur Completel, qui le remporte. «Completel est un de nos partenaires avec lesquels nous répondons à ce type d appel d offres», précise Olivier Mirtin, Directeur de comptes du service public. «Telindus a remporté le marché parce que sa solution technique nous a séduits, ainsi que sa méthodologie de déploiement. Quant aux prix des services et des prestations, ils étaient en adéquation avec nos estimations», souligne Francis Robert. La mise en service du nouvel accès a eu lieu en avril dernier. Il comprend deux liaisons de raccordement à 150 Mbit/s. L un des liens relie le site informatique principal, situé dans le XVII e arrondissement de Paris, au réseau de Completel : c est le lien actif. Le second, de secours, dit passif, raccorde le site informatique secondaire, situé dans le XVIII e, au réseau de l opérateur. Entre les deux sites, une fibre noire. Elle sert à la réplication en continu des données du site principal vers le site secondaire. Si le lien principal est rompu, le trafic est automatiquement «rerouté», via la fibre noire, vers le lien de secours. Les utilisateurs ne s aperçoivent de rien. Telindus a préféré cette solution actif/passif à celle comportant deux liens actifs en partage de charge, l un venant en secours de l autre en cas de pépin. «Cela suppose la mise en œuvre de mécanismes d équilibrage de charge que nous estimons complexes et pas assez sûrs», estime Olivier Mirtin. La sécurisation de l accès à Internet est prise en charge par une plate-forme hébergée chez Completel. Elle se compose de pare-feu (Nokia et Check Point), du filtrage d URL et de proxy (Bluecoat), d un antivirus (Sophos installé sur le boîtier Bluecoat) ; enfin, un boîtier Ironport protège la messagerie. Telindus assure également l exploitation et la supervision 24 heures sur 24 du raccordement à Internet. L APHP garde néanmoins un œil dessus par le biais d une console de supervision qui lui permet de voir le trafic entrant et sortant, les incidents survenus, etc. Dans quatre ans, APHP lancera un nouvel appel d offres. Le principe retenu pour l accès à l Internet reprend celui du Système d Information. Un élément actif, qui supporte toute la charge de travail et un élément passif de cours, qui prend instantanément le relai en cas d incident. Ainsi, au centre informatique actif est associé le lien actif et au centre de secours le lien passif. Entre les deux, une fibre noire qui garantit une connexion permanente et transparente en cas de dysfonctionnement de la chaîne principale. A PROPOS DE L ASSISTANCE PUBLIQUE-HOPITAUX DE PARIS L Assistance Publique-Hôpitaux de Paris est un établissement public relevant de la Ville de Paris Il se compose de 37 hôpitaux prenant en charge 52 disciplines médicales et biologiques Il emploie personnes Son budget est d environ 6 milliards d euros 15 N 9 BUSINESS CONNECT JUIN 2008

16 SOLUTIONS DOSSIER REALISATIONS PARTENAIRES FLASH Eurotunnel fait entrer le Gigabit Ethernet dans son réseau Remplacer un réseau ATM par un autre en Gigabit Ethernet pour relier deux sites distants de soixante-dix kilomètres : le défi est relevé en 2007 par Telindus. A la clé, une technologie de pointe, plus facile à exploiter et à maintenir. En passant de l ATM au Gigabit Ethernet, non seulement Eurotunnel a multiplié par six le débit de son lien transmanche, mais il est désormais équipé d une technologie de pointe en plein essor, capable de faire face aux contraintes actuelles. Il y a une quinzaine d années, lors du déploiement du réseau, le haut débit se nommait ATM (Asynchronous Transfert Mode). Mais avec le temps, le matériel Il fallait faire cohabiter ATM et Ethernet le temps de la migration et par la suite garder une passerelle en exploitation pour les quelques services qui resteront encore en ATM parce que non vitaux.» Eurotunnel, c est deux sites distants de soixantedix kilomètres, installés de part et d autre de la Manche et reliés par deux fibres optiques pour transporter le Gigabit Ethernet. Quelque 200 serveurs sont localisés côté français. Les deux cœurs de réseau, l un côté français et l autre côté anglais, sont constitués de deux gros commuta- vieillit, tombe de plus en plus fréquemment teurs Back Diamond 8800 d Extreme Networks en panne et les bogues se multiplient. Or, le fonctionnant au niveau 2. Sur chaque site, ils sont nombre de tâches est automatisé, comme le reliés entre eux par le protocole VRRP (Virtual check-in, et l informatique doit fonctionner Router Redundancy Protocol) qui les fait travailler 24 heures sur 24. Le réseau en est le système comme un seul routeur virtuel, l un étant prêt à nerveux et ne doit connaître aucune défail- prendre le trafic de l autre si ce dernier tombe en lance prolongée. panne. Chaque machine physique est connectée à «Nous ne trouvions plus de compétences son homologue d outre-manche, mais les deux Eurotunnel Le tunnel sous la Manche est l aboutissement d un rêve séculaire d un lien transmanche imaginé et abandonné cent fois. Eurotunnel en détient la concession jusqu en L exploitation a commencé en Environ 212 millions de voyageurs et 196 millions de tonnes de marchandises y ont transité. Ce système de transport respectueux de l environnement, puisque ses vingt-cinq navettes fonctionnent à la traction électrique, limite le rejet de gaz à effet de serre. techniques sur le marché pour assurer la maintenance de ces équipements devenus obsolètes ni d équipement de rechange, explique Jean Brunier DSI d Eurotunnel. Il nous fallait donc changer de technologie. L IP et Ethernet s imposaient tout naturellement». A l été 2006, Eurotunnel lance un appel d offres et, à la fin de l année, retient Telindus. Le déploiement a été achevé en septembre Telindus assure également la maintenance en J+1. Cependant, saut technologique ne signifie pas remplacement du jour au lendemain d une technologie par une autre. «Ce fut le gros défi du chantier, précise Christophe Dernys, responsable projet chez Telindus. liens empruntent des tunnels différents. Résultat, il existe pour chaque Black Diamond deux chemins pour traverser le Pas-de-Calais : le direct, et celui qui passe par son voisin et l autre tunnel. En périphérie de ce double cœur de réseau, se trouvent les commutateurs Summit X450. Placés en pieds d immeubles, ils fournissent aux utilisateurs les services de niveau 3 classique dans un réseau d entreprise. Sur ceux-ci se raccordent les équipements informatiques, les systèmes automatiques et le réseau bureautique. Grâce au doublement des organes vitaux et à la redondance des liens, la sécurité du réseau est assurée. Une véritable cure de jouvence. A PROPOS D EUROTUNNEL Trait d union entre l Europe continentale et l Angleterre, Eurotunnel a transporté en 2007 dans ses navettes voitures et camions Environ 8,26 millions de voyageurs de l Eurostar ont traversé le tunnel En 2007, la société a généré un chiffre d'affaires de 775 millions d euros et elle employait personnes 16 N 9 BUSINESS CONNECT JUIN 2008

17 Le Gie Systalians rentre dans la norme ISO S'aligner sur une démarche ISO permet au GIE Systalians une compatibilité rapide à ce nouveau règlement et montre l'intérêt des métiers de retraite complémentaire à adopter de bonnes pratiques en matière de sécurité de l information. Né du rapprochement des groupes de protection sociale Réunica et Bayard Retraite Prévoyance, le GIE Systalians a pour objet de mettre en commun et de mutualiser, tant sur le plan technique que financier, les différents Systèmes d Informations spécifiques à chacun de ses membres. Avec un effectif de 350 personnes, (dont 150 en interne) et utilisateurs «clients» répartis sur site et postes de travail, Systalians traite 325 millions de transactions sur son serveur central. La sécurité des flux financiers 7 milliards d euros de cotisation ainsi que des données à caractère personnel est au cœur de son métier. Emmanuel Garnier RSSI de Systalians explique : «Nous devons garantir un niveau de sécurité conforme aux exigences de nos membres adhérents. Notre mission est de définir et mettre en œuvre la politique de sécurité en intégrant ce qui est imposé dans le monde de la protection sociale.» Pour ce faire, une démarche de certification de l informatique a été entreprise depuis 2001 avec la certification ISO 9001, puis en 2006, avec la mise en place du contrôle interne basé sur COBIT et l alignement (en cours) sur les pratiques ITIL. «Nous avions la volonté d aller encore plus loin en nous alignant sur l ISO 27001» précise Emmanuel Garnier. La norme ISO définit l ensemble des exigences et des contrôles à effectuer pour la mise en place d'un Système de Management de la Sécurité de l'information (SMSI). Plus précisément, la norme est constituée de clauses obligatoires et de 133 mesures de sécurité (annexe A), classées en onze chapitres. C est le modèle de qualité défini pour assurer une amélioration continue de la sécurité du Système d Information. Avec cette certification ISO 27001, Systalians veut simplifier le dialogue avec les métiers, les fournisseurs et les acteurs externes, faciliter les démarches d audit et renforcer la confiance de ses clients. Fin 2006, Systalians fait appel à Telindus pour l accompagner dans sa démarche de certification. Marc Moscovitch, consultant sécurité Telindus rappelle les exigences d un tel projet : «A partir d un diagnostic précis, nous avons mesuré la conformité, et identifié les écarts pour établir un plan d action. Il s agit de définir ce que l on veut faire et mettre en place ce que l on a défini : contrôle et actions préventives et correctives pour améliorer le système». Ce plan d action sur deux ans s emploie à sélectionner de bonnes pratiques (ISO 27002) et à les appliquer en fonction de l analyse des risques : prise en compte des contraintes réglementaires, aspects de reprise d activité, équipements adaptés, anti-spam, anti-virus, filtrage web «Nous voulons construire un SMSI progressivement, en nous insérant dans la structure de l organisation, avec l appui du management au plus haut niveau afin de prévoir, dès la construction, les efforts de maintien dans le temps : alignement continu du SMSI, mesure de l efficacité et maintenance, exploitation et sécurité des infrastructures. L implication de tous et à tous les niveaux est un prérequis à la réussite de la certification.» ajoute Emmanuel Garnier. La certification est annoncée pour «Telindus définit et met en place le système de management de la sécurité. Nous montrons notre capacité à accompagner un client sur des projets stratégiques puisque nous intervenons sur une politique d entreprise validée par la direction générale : conseil et organisation stratégique qui sont des compléments aux métiers traditionnels de Telindus» précise Marc Moscovitch, consultant sécurité Telindus. A PROPOS DU GIE SYSTALIANS Créé en juillet 2005, Systalians est entré en activité le 1 er janvier 2006, date à laquelle l ensemble du personnel informatique du groupe Réunica Bayard a rejoint le GIE 17 N 9 BUSINESS CONNECT JUIN 2008

18 Check Point met la sécurité à l heure de la virtualisation Parce qu elle optimise l exploitation des ressources informatiques, la virtualisation s impose partout. Les outils de sécurité n y échappent pas. Check Point, le pionnier du secteur, a introduit la virtualisation dans son offre. La virtualisation a tout pour plaire. Et pour La virtualisation consiste à décoreler la partie cause, elle contribue à mieux rentabiliser physique de la partie logique. Pour rompre ce lien, on l utilisation des équipements informatiques introduit entre elles une couche «d abstraction» dite de et procure une appréciable souplesse d exploitation. Elle permet en effet de mutualiser des moyens. «La demande est très forte», note Philippe Rondel, directeur technique de Check Point France. virtualisation. Celle-ci se charge de faire communiquer le serveur physique avec les composants logiques afin de qu il exécute leurs commandes. L éditeur VMWare s est imposé comme le leader du marché du logiciel de virtualisation. Dans les réseaux, cette notion existe depuis longtemps, avec l arrivée des réseaux privés virtuels (RPV ou VPN pour Virtual Private Plusieurs serveurs virtuels sur une machine physique Network en anglais). Elle est plus Dès lors, on peut organiser la partie logique beaucoup récente dans l univers de l informatique. Check Point, pionner dans le monde de plus facilement grâce à des serveurs virtuels ayant leur propre système d exploitation et indépendants de la partie la sécurité, vient de l introduire matérielle. Par exemple, pourront tourner simultanément un serveur de fichiers Windows, La virtualisation dans son offre de passerelles de consiste sécurité VPN-1 et de passerelle VPN SSL (Secure Sockets Layer) à décoreler la partie physique un serveur Web Linux, une base données Solaris alors qu il aurait fallu, auparavant, Connectra. de la partie autant de machines que de serveurs. Mieux, en logique Dans les serveurs traditionnellement, fonction de la charge, il est possible d affecter plus la partie matérielle (processeurs, disques, mémoires, interfaces ) et la partie logique (système d exploitation, applications ) étaient liées. Résultat, chaque machine était spécialisée et ne pouvait abriter que les applications compatibles avec le système d exploitation. ou moins de ressources physiques à tel ou tel serveur. Et s il faut un second serveur Web, il est possible d en ajouter un. Quitte à déplacer, par exemple, la base données sur une autre machine pour lui faire de la place. Le tout simplement puisqu il n y a plus de contraintes matérielles. Inconvénient : lorsque la machine physique tombe en >>> Pour maîtriser la sécurité des applications, chacune d'elle est affectée à un VLAN (réseau local privé virtuel). Les VLAN sont protégés par des pare-feu virtuels fonctionnant tous sur la même machine physique. 18 N 9 BUSINESS CONNECT JUIN 2008

19 panne, tous les serveurs virtuels associés s arrêtent. L originalité de la virtualisation : un apparent point faible qui se transforme en point fort. Il suffit de disposer d une machine de réserve (une ou deux suffisent pour une ferme de serveurs physiques) et de sauvegarder les images des serveurs logiques avec leurs données sur un réseau de stockage ou SAN (Storage Area Network). En cas d incidents, les images des serveurs logiques sont téléchargées sur la machine de réserve locale ou même distante et les applications peuvent redémarrer rapidement. Cette opération de sauvetage est classique. De plus en plus préoccupées par la sécurité, les entreprises investissent dans les solutions de secours et se dotent de PRA/PCA (plan de reprise d activité/plan de continuité d activité) pour parer aux catastrophes (incendie, inondation, explosions, sabotage ). Elles disposent donc des outils nécessaires au redémarrage rapide des serveurs virtuels arrêtés. Jusqu à 250 passerelles de sécurité sur une seule plate-forme physique «Nous proposons maintenant notre solution SecurePlatform dans un environnement virtualisé VMWare en complément de notre offre dédié VPN-1 Power VSX», déclare Philippe Rondel. Secure Platform est un logiciel qui contient à la fois le système d exploitation de Check Point et les applications de sécurité (pare-feu, anti-virus, filtrage Web, sonde de détection d intrusion, passerelle VPN ). Il s installe sur un serveur classique (Dell, HP, IBM ). Étant compatible VMWare, il peut donc tourner comme serveur entreprises virtuel à côté d autres serveurs virtuels fournissant d autres fonctions. Lorsque SecurePlatform partage avec d autres les ressources physiques du serveur hôte, ses performances sont souvent limitées. Cette solution s insère dans une gestion uniformisée des Datacenter et protège localement une ferme de serveurs, bien souvent, eux-mêmes déjà virtualisés. La virtualisation ne sert pas qu à partager un serveur physique entre des serveurs logiques aux tâches différentes. On peut également multiplier les fonctions de même VPN-1 Power VSX est la solution idéale pour les opérateurs, les hébergeurs et les grandes nature pour les proposer à des utilisateurs différents. VPN-1 Power VSX permet ainsi de créer sur une seule machine jusqu à 250 passerelles de sécurité virtuelles. «C est la solution idéale pour les opérateurs, les hébergeurs et les grandes entreprises», indique Philippe Rondel. Ceux-ci n ont plus à multiplier les passerelles physiques ; tout déploiement pour un nouveau besoin s en trouve grandement simplifié. En outre, les «cloisons» entre ces passerelles de sécurité virtuelles sont totalement étanches ; un utilisateur ne peut pas voir la politique de sécurité de ses voisins. Ce cloisonnement offre à l opérateur ou à l hébergeur la possibilité de déléguer à chaque utilisateur tout ou partie de l exploitation de sa passerelle : définition des règles, consultation des rapports. >>> Philippe Rondel, directeur technique de Check Point France: "La demande des clients pour la virtualisation est très forte." >>> Un pionnier Les passerelles VPN SSL aussi de la sécurité Enfin, Check Point a introduit la virtualisation dans sa des réseaux passerelle VPN Connectra. Une couche d abstraction C est au milieu des années 90, VMWare placée sur un serveur physique permet de créer avec l essor de l Internet, des passerelles VPN virtuelles. «La solution intéresse les qu est apparu Check Point opérateurs et les hébergeurs voire les très grosses entreprises, avec un produit déjà équipés de systèmes de sécurité, mais qui désirent renforcer révolutionnaire : le pare-feu leur capacité d accès distant fondé sur la technologie SSL, (firewall). Internet étant un souligne Philippe Rondel. Ils pourront ainsi proposer à réseau public mondial, chaque leurs clients des passerelles «individuelles» faciles entreprise s y connectant devait à créer, à configurer et à réaffecter en fonction se protéger des attaques pouvant des charges de trafic». SSL est en effet provenir de n importe qui et de en vogue. Si la technologie concurrente, IPsec, plus ancienne, convient n importe où. Le pare-feu devait laisser passer le trafic «ami» et plutôt aux interconnexions entre bloquer celui des «ennemis». gros sites ou aux postes d entreprise Depuis les menaces se sont nécessitant une maîtrise sécuritaire, SSL perfectionnées et les ripostes est mieux adapté aux employés itinérants, aux également. Check Point a suivi cette télétravailleurs ainsi qu aux accès réservés aux évolution et a élargi sa palette de partenaires En effet, SSL, à la différence produits. Outre les pare-feux et les d IPsec, ne nécessite aucun client spécifique passerelles VPN, il a aujourd hui à son sur le PC : c est le banal navigateur Web qui catalogue des produits de cryptage de joue ce rôle. données, de protection du poste de travail La virtualisation est en passe de révolutionner le monde de l informatique. (PC de bureau ou portable) et de solutions de gestion des briques de sécurité qui émaillent le réseau. 19 N 9 BUSINESS CONNECT JUIN 2008

20 Consentry protège le réseau local des menaces internes Le pare-feu défend le réseau contre les attaques externes. Mais le danger peut également venir de l intérieur. Pour l écarter, le LANShield de Consentry veille au grain. >>> Ismet Geri, responsable Europe du Sud de Consentry, startup californienne fondée en 2003 et partenaire de Telindus depuis le début de l année. >>> Le LANShield Switch est un commutateur d'accès Ethernet qui embarque des fonctions de contrôleur de pré-authentification et de post-authentification. Ces dernières années, les responsables réseaux se sont aperçus que les menaces émanaient également de l intérieur de l entreprise. Elles proviennent notamment de partenaires, de consultants qui y travaillent épisodiquement. La moindre des précautions est de limiter leur accès au Système d Information. Autre danger, les prises des téléphones IP ou d imprimantes sur lesquelles n importe qui peut se connecter, ainsi que les PC portables des itinérants. Ceux-ci se connectent au fil de leurs déplacements dans des environnements non sécurisés et leurs machines risquent d être infectées. Dans ce cas, lorsque ces baroudeurs, de retour au bureau, se connectent au réseau, ils propagent les virus à tout le Système d Information et le mettent en péril. La parade à ce nouveau danger se nomme le NAC (Network Admission Control). Il consiste à vérifier qui se connecte au réseau et, en fonction de son identité, à lui accorder l accès à certaines ressources auxquelles sa fonction lui donne droit. Le visiteur sera ainsi confiné dans un espace restreint du réseau. L opération se double généralement d une vérification du PC : son antivirus, son pare-feu local, les logiciels de sécurité maison sont-ils activés et à jour? Si ce n est pas le cas, la connexion est suspendue ; la machine est mise en quarantaine et des outils logiciels sont proposés à l utilisateur pour qu il la mette à niveau. Une approche innovante «Consentry se place sur le terrain du NAC, souligne Ismet Geri, directeur Europe du Sud de Consentry, partenaire de Telindus depuis le début de l année. Mais notre approche, innovante, diffère totalement de celle de nos concurrents.» Dans l approche traditionnelle, illus- trée par la solution Cisco, un agent logiciel est placé sur le PC (supplicant 802.1x). A la connexion, celui-ci s identifie auprès du commutateur d accès. En fonction de son identité, le demandeur est affecté à un profil (administratif, commercial, ressources humaines.). C est la pré-admission. A chaque profil correspond un VLAN (réseau local virtuel). Un VLAN spécifique est créé pour les visiteurs avec des droits limités (accès à certains serveurs et à Internet par exemple). «L inconvénient, révèle Ismet Geri, est double. Il faut installer un supplicant sur chaque PC et il est nécessaire de créer une multitude de VLAN, surtout dans les grosses sociétés. C est lourd pour l administrateur de réseau.» Simplifier les procédures d admission et de contrôle La solution Consentry vise à simplifier le NAC. Les opérations de pré-admission et de post-admission sont concentrées dans un contrôleur (LANShield Controller), placé en coupure entre les commutateurs d accès et l annuaire. Lorsque le contrôleur voit arriver la demande de connexion, il l authentifie (ou non) en fonction de l information délivrée par l annuaire de l entreprise. Il affecte alors à celui-ci un rôle, dont les droits sont déterminés par l administrateur depuis le serveur de gestion Consentry Insight Manager. Comme le contrôleur voit passer tout le trafic, il bloque de lui-même les requêtes indues. Plus besoin d installer un supplicant sur chaque PC ni de créer un VLAN par profil. Autre avantage, supervisant le trafic et générant un rapport d audit de l activité de chaque utilisateur, le contrôleur détecte les comportements anormaux. Consentry propose également le LANShield Switch. C est un commutateur d accès Ethernet de niveaux 2 et 3 qui embarque les fonctions du contrôleur. «Il est plus logique d apporter l intelligence à l accès du réseau», estime Ismet Geri. Les utilisateurs disposent ainsi de deux machines en une seule. 20 N 9 BUSINESS CONNECT JUIN 2008