La sécurité. sous surveillance. Business Connect. ACTUS L'ére des solutions vidéo et itv

Transcription

1 La sécurité sous surveillance ACTUS L'ére des solutions vidéo et itv Sécurité du LAN, Plan de reprise d'activité et Administration de la sécurité DOSSIER Quid de la famille ISO CHANGE THINGS YOUR WAY REALISATIONS Nos clients témoignent Business Connect Le magazine d Information de Telindus n 5 Février 2007

2 Internationales TENDANCES DOSSIER REALISATIONS Famille p4 p5 p8 p9 p15 Sommaire Business Connect n 5 Répondre aux nouveaux usages de la Vidéo Telindus part à la conquête de ces nouveaux marchés. page 4 La maîtrise du LAN en questions Les bonnes solutions page 5 Du Plan de Reprise d Activité au Plan de Continuité Informatique Quel PRA? page 6 L administration de la sécurité comme gain de réussite Configurer, surveiller, superviser page 7 Conseil, expertise, intégration Les atouts majeurs des offres sécurité sur un marché à forte concurrence pages 8 et 9 Le consultant Un homme de confiance, pas un gourou! page 10 Le coaching RSSI Un challenge productif page 16 ISO pour la qualité de la sécurité de l information pages 11 à 15 Telindus, toujours plus actif auprès de ses clients Le groupe Prévoir accélère ses communications grâce à une infrastructure réseau orientée ADSL et WiFi page 17 Le CERTI-AM fait la chasse aux SPAM page 18 Sanofi Pasteur rend plus performant et plus fiable ses réseaux locaux page 19 DOSSIER ISO pour la qualité de la sécurité de l information 2 N 5 BUSINESS CONNECT FEVRIER 2007

3 PARTENAIRES RENDEZ-VOUS Edito UTILISER TOUTES NOS POTENTIALITES p20 p23 Sommaire suite Zoom Nos experts sur les technologies et ont la parole solutions des partenaires page 23 Analyse fine du réseau et des applications avec Network General page 20 Transmode a créé une nouvelle génération de systèmes de transmission optique xwdm page 21 Les solutions intégrées de IronPort protégent toutes les messageries page 22 Un an vient de passer et Telindus, filiale à 100 % de Belgacom pour les services IT poursuit son intégration dans le groupe. Nos objectifs sont clairement définis : nous devons créer ensemble des synergies et nous développer en commun. Telindus Belgacom est devenu plus qu un nom, c est la nouvelle référence du marché. Nous possédons tous les atouts d un intégrateur et d un opérateur réseaux, ce qui nous permet aujourd hui de renforcer nos expertises dans les systèmes complexes. Grâce à Belgacom, nous pourrons nous développer sur de nouveaux axes comme les communications unifiées, le multimédia, le collaboratif, les applications temps réel et l internationalisation. Belgacom fait partie du top 8 des opérateurs mondiaux, avec des relais dans le monde entier, plus de personnes à son service et un chiffre d affaires de près de 6 milliards d euros en Le groupe est une référence en matière de services intégrés de télécommunication. Mais notre ambition va encore plus loin. En premier lieu, Telindus, déjà présent dans douze pays européens, ainsi qu en Chine et en Thaïlande, veut continuer son expansion à l international. Nous allons renforcer sa présence en Europe et en particulier en Europe du Sud, en Italie et en Espagne où le marché enregistre de fortes croissances. Ensuite, le chantier auquel nous nous attelons porte sur la mutualisation des compétences entre les différentes filiales du groupe. Cet axe est désormais une priorité. Notre filiale espagnole a par exemple développé un fort savoir-faire en matière de télévision numérique et de Video on Demand : il n y a pas un seul opérateur, outre l opérateur historique, qui ne soit notre client. Exporter ce savoir faire aux autres filiales figure donc parmi nos objectifs majeurs. Cette mutualisation peut également concerner des secteurs verticaux. Comme celui de la défense où Telindus affiche comme référence le projet Cyber Défense de l Otan, déployé dans sept pays, ou encore un programme réalisé auprès de la Marine Nationale pour équiper des frégates françaises ainsi que le porte-avion Charles De Gaulle. Autre domaine où Telindus souhaite diffuser son savoir-faire : la vidéosurveillance, avec des contrats remportés auprès du métro de Londres, celui de Sofia et de Pékin. Dès à présent, nous devons être l interface entre les besoins de nos clients et la technologie. Il nous appartient de mettre en place à travers toute l Europe du sud une structure répondant aux besoins des entreprises régionales, nationales et internationales, à l image de la France qui compte un réseau de douze agences pour environ 700 collaborateurs. Tous, ensemble, nous réussirons. Maria Victoria Hernandez Valcarcel *, Business Connect - n 5- Février 2007 Edité par Telindus - 10 avenue de Norvège - Z.A. Courtaboeuf - BP Les Ulis Cedex France - Tél Directrice de la Publication : Gestion éditoriale Odile Foubert et conception graphique : Comité de Rédaction : 1000 ans Communication Odile Foubert - Emmanuel Cabon - 8 avenue du Parc Courbevoie Gilles Delcroix - Stéphane Prophète - contact@1000anscommunication.com Eric de Bernouis - Philippe Jouvellier - Impression : Prisme Graphique Jean-Pierre Laurent - Jean-Marc Chartres 176 avenue Charles-de-Gaulle Crédits photos : Telindus Neuilly-sur-Seine VICE-PRESIDENTE DE TELINDUS POUR L EUROPE DU SUD * Maria Victoria Hernandez, Ingénieur en informatique de l Université polytechnique de Barcelone, a rejoint le Groupe Telindus après 20 ans d expérience dans les TIC comme Executive Chairman dans de grandes multinationales : ICL/ Fujitsu (Sales Development Manager, Southern Europe), BT Europe (Alliance Director Europe), GTS (COO Europe and CEO France). Elle a managé plusieurs milliers d employés ainsi que des budgets de plusieurs milliards d euros. En tant que vice-présidente de l Europe du Sud et de la Méditerranée, elle a la responsabilité d une croissance profitable en France, Espagne, Italie, Portugal et Suisse. Le contenu d un article n engage que son auteur - Telindus et Business Connect sont des marques déposées 3 N 5 BUSINESS CONNECT FEVRIER 2007

4 Internationales Répondre aux nouveaux usages de la Vidéo FORT DE SA HAUTE EXPERTISE SUR LES SOLUTIONS VIDEOS, TELINDUS PART A LA CONQUETE DU MARCHE POUR RENDRE COMPTE A SES CLIENTS DES MEILLEURES INNOVATIONS. Le marché des opérateurs en Europe étant extrêmement concurrentiel, nos clients dans ce domaine se doivent d innover encore et toujours en relation avec les nouveaux usages de leurs abonnés. Pour ce faire, nombres d éditeurs et de constructeurs proposent des solutions autour de la vidéo afin d offrir de nouveaux services pour les utilisateurs que nous sommes. En effet, les services de demain disponibles sur des terminaux aussi divers que le PDA, le mobile, le PC ou la télévision se construisent aujourd hui. Telindus Espagne dispose du plus grand retour d expérience et d une place de leader sur son marché. L opérateur câble ONO réalise ainsi la diffusion broadcast de plus de 170 chaînes de télévision et propose la VoD à tous ses abonnés. Telindus adresse de manière similaire les opérateurs disposant d une infrastructure xdsl. Enfin, Telindus met en place de nombreux points de diffusion DVB-T pour Télédiffusion de Madrid. On dénombre des services tels que : Broadcast TV : solution de diffusion de bouquets TV pour les réseaux opérateurs. VOD (Vidéo on Demand) : solution de diffusion de contenus à la demande des utilisateurs (films, abonnements...). itv (Interactive TV) : solution de TV permettant l interactivité du téléspectateur avec le contenu diffusé. L exemple le plus fréquemment cité est le fameux «Time shifting» permettant d arrêter la visualisation d un programme «live» et de le reprendre a posteriori. D autres nouveaux usages, accessibles à partir de sa précieuse télécommande, seront alors disponibles (enregistrement dans le réseau de l opérateur avec toutes les facilités d avance ou retour rapide, enregistrement automatique dans le réseau des émissions les plus populaires permettant de les visionner ultérieurement sans en avoir programmé l enregistrement...). Interactive Vidéo on Mobile : le principe est le développement de services vidéos intéractifs centrés sur le mobile. On entend alors parler de «Portails vidéos, Mobile dating, Home Security, Visio Blog»... Autant de solutions qui permettront aux opérateurs d augmenter l attractivité de leurs offres de services convergents et de réduire le «churn». La disponibilité de la vidéo interactive sur le mobile est un axe d intérêt important pour les sociétés de média ou les marques, car l accès au consommateur à travers le mobile est très recherché. Certains services sont aussi applicables au domaine du B2B2C, comme le marché hospitalier ou le marché hôtelier, qui demandent des solutions «Triple Play». L évolution de ces produits et de leurs interactions permettra de mettre en place des nouveaux services convergents à forte valeur ajoutée. Par exemple, vous pourrez, depuis votre mobile, lancer l enregistrement dans le réseau de l opérateur, du match de votre équipe sportive favorite, afin d en disposer sur votre télévision lorsque que vous rentrez à la maison. Le développement de ces solutions s inscrit dans une démarche européenne du groupe Telindus, afin de faire bénéficier nos clients opérateurs du retour d expérience de nos pays voisins (Belgique, Espagne ). Pour tous ces projets, nos clients nous ont fait confiance grâce à notre expertise d intégration des différents composants de la solution et aux démonstrations concrètes réalisées durant les tests sur site. Pour relayer notre approche européenne, Telindus France s est doté d un LAB d innovation pour les solutions Vidéos. Celui-ci permet de tester les solutions de nos fournisseurs et de faire la démonstration de ces services à nos clients. GILLES DELCROIX, CARRIER/SP PRE SALES AND SOLUTION MANAGER, TELINDUS FRANCE 4 N 5 BUSINESS CONNECT FEVRIER 2007

5 Maîtrise du LAN SI LES ACCES EXTERNES DES ENTREPRISES SONT POUR LA PLUPART BIEN SECURISES - INTERNET, EXTRANET - QU EN EST-IL DE L INTERNE? HORMIS LES ACCES WIFI, IL Y A BIEN SOUVENT AUCUNE PROTECTION. Comment pénétrer aujourd hui un système lorsque les points d accès extérieurs sont bien sécurisés? Simple : achetez un spyware «personnalisé» sur un site pirate pour 150 euros, copiez le fichier généré sur une clé USB, puis abandonnez-la sur le toit d une voiture dans le parking de la société visée. Il suffira d attendre quelques heures pour avoir la main sur une machine. La plupart des réseaux LAN étant sans protection, il sera alors très facile de rebondir pour atteindre son objectif (vol d informations, nuisances ). Depuis longtemps, certaines entreprises cherchent à maîtriser leurs réseaux internes ne seraitce que pour limiter, par exemple, l accès d un prestataire. Mais jusqu ici les solutions proposées étaient trop complexes pour être réellement envisageables. Or, le besoin est de plus en plus réel pour répondre aux besoins métiers, notamment en termes de mobilité interne et d accueil de tiers (partenaires ou prestataires). Le problème se pose à deux niveaux : le contrôle d accès au réseau et le contrôle d accès aux ressources sur le réseau. Pré-admission Le premier est très «en vogue» en ce moment sous l acronyme NAC (Network Access Control). Il s agit d autoriser le simple accès primaire au réseau moyennant certaines conditions. La plus logique est bien sûr une authentification valide. Après des solutions propriétaires n ayant eu aucun succès, le standard 802.1X semble être une solution. La pratique montre que les contraintes de fonctionnement avec Windows compliquent les choses. D où le succès d agent 802.1X développé par Funk software et Aegis (respectivement rachetés par Juniper et Cisco en 2006), même s ils demandent un effort de déploiement supplémentaire. Autre condition intéressante, vérifier que la machine utilisée est en phase avec la politique de sécurité définie. C est là que les choses se compliquent à nouveau. Cette validation nécessite l emploi d un agent logiciel supplémentaire (le 802.1X ne palliant pas du tout ce besoin). Or, les solutions proposées par les constructeurs d infrastructure sont liées à leurs équipements. Le groupe de travail TCG (Trusted Computing Group) «planche» bien sur une proposition de standard, mais rien de concret n est disponible aujourd hui. Dans les deux cas, il y a nécessité d installer un composant logiciel sur tous les postes avec la problématique sous jacente des postes «non maitrisés» (prestataires, visiteurs ) et des postes «non PCs» tels que badgeuses, imprimantes, téléphones IP, caméras Post-admission En supposant que l autorisation d accès ait bien réussi, il ne faut pas perdre de vue le scénario d introduction. A savoir qu une personne authentifiée et disposant d une machine «propre» ne devienne le vecteur de propagation d une attaque (de son plein gré ou à son insu). Le NAC n est donc pas suffisant et il faut aller plus loin dans la protection. D où le besoin d appliquer des profils de sécurité par identité/groupe, permettant de restreindre les activités autorisées afin de protéger le réseau et ses composantes. Il s agit de la notion de RBAC (Role Based Access Control). Comment les utiliser? Que ce soit pour le NAC ou le RBAC, les modes de mise en place sont aujourd hui lourds en terme de déploiement (agent), et fastidieux en terme d exploitation (Vlans et d Access List). Mais de nouvelles approches font leur apparition permettant de travailler directement avec le processus d identification de Windows, l envoi d un ActiveX pour valider le profil d un poste, puis l application dynamique de règles de filtrage sont les débuts prometteurs pour répondre aux attentes. Reste à savoir où et comment effectuer ces actions : 1 Avec des équipements spécialisés qui configurent dynamiquement l architecture existante : mais il faudra alors valider l interopérabilité avec les commutateurs en place ce qui devrait réserver nombre de surprises même si, en théorie, cette approche se base sur des standards. 2 Au travers d équipements positionnés en coupure dans l architecture existante : un déploiement en transparence peut permettre une mise en place très rapide. Cette approche sera aussi une solution très intéressante pour les environnements hétérogènes. 3 Dans des commutateurs d extrémité de nouvelle génération qui proposent des fonctionnalités de sécurité avancées. Ce sera à n en pas douter une des grandes nouveautés à partir de A suivre STEPHANEPROPHETE- CONSULTANTSECURITETELINDUSFRANCE 5 N 5 BUSINESS CONNECT FEVRIER 2007

6 Du Plan de Reprise d Activité au Plan de Continuité Informatique LES ENTREPRISES SONT DE PLUS EN PLUS SOUVENT CONFRONTEES A LA PROBLEMATIQUE DU PLAN DE REPRISE D ACTIVITE. LES APPROCHES TRADITIONNELLES BASEES SUR LA FOURNITURE D UN SITE DE SECOURS PAR UN TIERS SONT-ELLES TOUJOURS D ACTUALITE? REPONDENT-ELLES ENCORE AUX BESOINS DE REDEMARRAGE EXPRIMES PAR LES DIRECTIONS FONCTIONNELLES? côté, il y a la mise en place de politique de sécurité avec des normes D un comme la , l obligation de respecter des exigences sectorielles comme celles de Sarbanes-Oxley ou la volonté de mettre en œuvre des méthodologies comme ITIL. D un autre côté, il y a la pression des utilisateurs sur la disponibilité du Système d Information qui force les directeurs informatiques à réfléchir sur la mise en œuvre d un PRA. La question fondamentale qu il faut se poser est «Quel PRA?». Depuis quelques années, le monde du Plan de Reprise d Activité (PRA) a vécu une véritable révolution. L évolution des technologies autour des infrastructures systèmes et réseaux en est la cause principale à travers la réduction des coûts et des contraintes techniques. La première étape a été l évolution des concepts de stockage avec les technologies de disques locaux (RAID), puis l extension de ces technologies à travers les réseaux jusqu aux architectures SAN réparties. La seconde étape a porté sur la mise en cluster des serveurs, d abord localement, puis à travers les réseaux. La troisième étape a été le mixte des deux évolutions avec les solutions de réplication en temps réel ou légèrement différé. Toutes ces évolutions ont fait complètement éclater le concept traditionnel de reprise d activité qui impliquait l arrêt de cette dernière pendant une certaine durée au profit du concept de continuité totale ou partielle des services offerts par le Système d Information. Le Plan de reprise sur incident Le premier bénéficiaire est le Plan de reprise sur incident. Il se simplifie dans la mesure où de nombreux incidents sont «cachés» du point de vue de l utilisateur par les mécanismes de continuité mis en œuvre. Les réductions en ressources générales (place au sol, puissances électrique et climatique) des nouveaux équipements font qu il est beaucoup plus simple qu auparavant de disposer de deux salles informatiques transformant le PRA traditionnel (redémarrage chez un prestataire externe) en Plan de Continuité Informatique (PCI). Ce plan de continuité se base sur plusieurs approches : la continuité en temps réel par répartition des membres du cluster et des unités de stockage dans les deux salles, la continuité en temps différé par utilisation de serveurs d intégration ou de développement stockés dans la seconde salle, les unités de sauvegarde étant aussi dans la seconde salle, la répartition de risque qui consiste à partager les serveurs critiques entre les deux salles. Le raisonnement et la conception d un PCI s appuient donc sur une réflexion globale du risque que l on souhaite couvrir et du risque résiduel que l on accepte de supporter. Il s appuie aussi sur l obligation faite à la maîtrise d ouvrage de s exprimer sur ses besoins de disponibilité, obligation portée par les contrats de services entre l Informatique et les utilisateurs. Pour autant, la transformation d un PRA en PCI ne nous dédouane pas de la formalisation du plan même si ce dernier est plus simple dans sa formulation. De même, qui dit PCI dit aussi tests périodiques de ce dernier. A la différence du PRA traditionnel qui permettait des tests en parallèle de la production informatique, les tests de PCI se font directement sur les unités de production (du moins pour la continuité en temps réel). Ces tests sont fondamentaux pour garantir l efficience du plan et le niveau de formation des acteurs. PRA ou PCI, les technologies changent, les fondamentaux restent. ERIC DE BERNOUIS CHARGE D'AFFAIRE SECURITE TELINDUS FRANCE 6 N 5 BUSINESS CONNECT FEVRIER 2007

7 L administration de la sécurité comme gain de réussite AFIN DE GARANTIR ET DE MAITRISER UN NIVEAU ELEVE DE SECURITE, IL EST CAPITAL DE METTRE EN PLACE UNE ADMINISTRATION RIGOUREUSE ET EFFICACE. Les Systèmes d Information sont devenus le support indispensable au bon fonctionnement des entreprises et des organisations. Ce sont des infrastructures complexes avec des applications et des ressources dont il faut contrôler l accès et maîtriser la sécurité. Cette sécurité est réalisée avec des composants intégrés aux systèmes et aux applications, ou bien avec des dispositifs spécialisés. Pour aligner les objectifs des entreprises en matière de gestion du risque opérationnel avec la sécurité, il est indispensable d en maîtriser les composants et d avoir l assurance de leur disponibilité et de leur bon fonctionnement, tout en analysant leur activité. L administration consiste à exercer trois activités de base sur lesquelles s appuient des groupes composés d exploitants, d experts et de personnes prenant part à la sécurité : 1 le premier volet de cette administration vise la configuration des composants sécurité dont il faut garantir et entretenir l intégrité. Les configurations de base sont celles qui permettent à l équipement ou au module logiciel de fonctionner. Viennent ensuite les règles qui émanent de la politique de sécurité en vigueur et qui permettent d effectuer le travail de contrôle lié à la sécurité proprement dite. Concernant ces règles, il s agit d opérations récurrentes (adjonction/suppression/modification) selon les besoins et après contrôle. Généralement cette activité est réalisée avec une interface de configuration propre au constructeur/éditeur de la solution utilisée ; 2 le deuxième volet consiste à surveiller chaque composant sécurité, comme la disponibilité et le dispositifs spécialisés exécutent plusieurs processus permettant de reconnaître et de «lire» les logs, de leur affecter une typologie, de les filtrer, de les assembler ou de les croiser. Il est possible ainsi bon fonctionement d un coupe-feu ou d une de déclencher des alarmes quand des événements jugés importants se produi- Trois passerelle. On procède par des tests à activités de l aide d outils permettant d effectuer des requêtes sur le composant sécurité surveillé. Le principe consiste à attendre une base : configurer, surveiller, superviser sent. On peut aussi stocker les logs pendant un certain temps, et retrouver ultérieurement la trace de toute activité réponse connue à l avance ou bien qui comporte des informations permettant de «jauger» l état de la ressource testée ; 3 le dernier volet concerne la supervision des événements qui se déroulent au sein même des composants de sécurité, dispersés au sein du Système d Information. Cette activité englobe tout le traitement que l on fait des événements consignés dans les journaux d activité. En partant de ce principe, la supervision consiste à collecter en un point central et à analyser méticuleusement toutes les opérations effectuées et enregistrées. C est à ce moment qu interviennent les technologies de capture et d analyse de logs. Ce sont des solutions destinées à collecter d énormes volumes de logs en provenance de toutes sortes d éléments au sein d un réseau. Au fur et à mesure de la collecte, ces en fonction des besoins ou des obligations règlementaires. On peut aussi créer des rapports d activité personnalisés, ou bien alimenter des tableaux de bord ou fournir des indicateurs. Cela permet de «voir» la sécurité du Système d Information et de préconiser des corrections aux faiblesses et aux imperfections. Autour de ces trois activités essentielles, gravitent généralement des équipes spécialisées. On trouve tout d abord les exploitants qui ont pour mission d exécuter les opérations d administration, en considérant toutes les demandes de changement de règles, et de les appliquer après contrôle. Dans le même temps, ils devront prendre en compte toutes les alarmes détectées et affichées pour les qualifier, les valider et traiter les incidents confirmés. Ensuite, on rencontre, selon les organisations, des cellules d experts qui analysent, quant à elles, certains types d événements «en différé», certaines chaînes de connexion applicatives ou certains contextes afin d y déceler toute activité anormale ou suspecte. Ils effectueront aussi des veilles à propos des alertes virales et d attaques, et, enfin, réaliseront des tests d intrusion et de vulnérabilité sur le Système d Information afin de déceler toute brèche de sécurité. PHILIPPE JOUVELLIER CONSULTANT SECURITE TELINDUS FRANCE 7 N 5 BUSINESS CONNECT FEVRIER 2007

8 Conseil, expertise, intégration : les atouts majeurs des offres sécurité sur un marché à forte concurrence >>> Philippe Jouvellier Consultant Sécurité Telindus France POUR ARRIVER A UN HAUT NIVEAU DE SERVICES, LE MARCHE DE LA SECURITE A CONSIDERABLEMENT EVOLUE. L OFFRE S EST ETENDUE TRES LARGEMENT A TOUS LES DOMAINES, ET LES PRESTATAIRES SPECIALISES DANS LE CONSEIL ET LES SERVICES SONT DEVENUS NOMBREUX. RETOUR SUR UN MARCHE EN PLEINE EXPANSION. Le marché de la sécurité est en mouvement suivi le mouvement. L ensemble des directions perpétuel. Au fil du temps l offre couvre un métiers n imagineraient pas un retour en arrière nombre toujours croissant de besoins. On ou de remettre en cause des services et des applications assiste à une concentration des acteurs et le discours de la sécurité est largement utilisé et adopté au sein du monde des technologies de l information. Face aux besoins dans ce domaine, l innovation ne manque pas avec l apparition de nombreux acteurs. Sur des segments de niche, ils se développent et se diversifient ou bien sont immanquablement absorbés par d autres plus importants. L enjeu du marché est de taille, et tous l ont compris. Dernièrement les acteurs, qui habituellement «dialoguaient» avec les directions conçus dans un esprit d ouverture et de convivialité. Cette convivialité et la dématérialisation des transactions ont accéléré le développement d un nombre important de secteurs d activité. Ainsi, aujourd hui, les connexions à distance, dans le cadre du télétravail et de la mobilité, se sont développées de manière spectaculaire. La tendance à la hausse du nombre d applications «en ligne» disponibles aux internautes est à la hauteur de sa réputation, et le commerce en ligne se porte relativement bien. L e-entreprise et l e-administration sont bien une réalité! informatiques, sont montés d un étage L innovation Certains poids lourds de l infrastructure réseau, comme Cisco par exem- ne manque pas dans leur approche clients pour rencontrer avec l apparition les directions générales des entre- prises et des organisations. Ils abordent le sujet lié à la conformité, aux lois et aux de nombreux acteurs ple, ont commencé, il y a quelques années déjà, l absorption de startups spécialisées dans des secteurs de niche diverses réglementations ainsi que celui de l externalisation partielle ou totale des activités de gestion du Système d Information. Les préoccupations en matière de sécurité n auront eu de cesse de grandir et, à partir de là, de faire apparaître des manques et des vides technologiques et de compétence. Ce marché est assez dynamique : des sociétés spécialisées (startups) ont fait leur apparition ou bien ont été absorbées par des fournisseurs plus globaux, des prestataires de services et des cabinets conseil se sont spécialisés ou se sont renforcés sécurité à un rythme soutenu, étant donné la forte croissance du marché. Plus récemment, d autres dont le cœur de métier n était pas nécessairement lié au réseau et à son infrastructure ont marqué un vif intérêt pour des solutions complémentaires à leur offre depuis l apparition des différentes lois et règlementations ciblant le risque lié aux technologies de l information. Par exemple, l acquisition des sociétés Rsa et Network Intelligence par EMC2 traduit indiscutablement la volonté du leader du stockage de se placer dans le créneau de la sécurité du Datacenter et des données. pour répondre à la demande. Se focaliser sur une approche Les nouvelles donnes du Net Au fil du temps, les réseaux d entreprises se sont largement ouverts à Internet et aux réseaux publics. Les collectivités et les administrations ont métier Finalement les «grands» du marché s intéressent et absorbent de plus en plus d acteurs spécialisés dans divers secteurs pour apporter leur part 8 N 5 BUSINESS CONNECT FEVRIER 2007

9 au discours et à l offre sécurité du Système d Information. Certains domaines sont plus marqués que d autres dans l intérêt convergeant que portent les clients, les fournisseurs de solutions et les prestataires spécialisés. Si, dans le passé la sécurité, a longtemps consisté à protéger une infrastructure avec un discours technologique, autant aujourd hui on assiste à une focalisation sur certains vides que les clients souhaitent voir comblés. L approche «métiers» est d actualité. Ainsi, les projets destinés à limiter le risque tiennent de plus en plus compte des métiers, du contexte et de l impact des risques potentiels. Le marché du firewall et de l antivirus se porte bien mais il ne suffit plus à lui seul pour protéger les Systèmes d Information. Aujourd hui, le conseil et l expertise représentent un enjeu important pour les prestataires spécialisés dans la sécurité. Cette activité sort du cadre habituel de la fourniture et de l installation d équipements et dispositifs spécialisés. Les missions de conseil s adressent de plus en plus aux directions générales, aux gestionnaires du risque et aux responsables de la sécurité. Par exemple les audits réalisés dans le cadre de la conformité sont devenus indispensables et incontournables. Les services de télégérance et d infogérance quant à eux, représentent un atout pour les prestataires spécialisés. Pour ces raisons, les opérateurs et les intégrateurs cherchent à développer de plus en plus leurs parts de service amont et aval en enrichissant leurs prestations «à valeur ajoutée». vail. Cette brique vient donc compléter l offre Intégrity de l éditeur israélien. A son époque, Cisco System avait absorbé la société Okena devenue Cisco Secure Agent pour adresser le même marché. Au-delà de la mise en œuvre de technologies destinées à protéger l infrastructure, on constate une évolution de la demande et de l offre dans le Combler les manques Les domaines technologiques où l on observe des changements et des évolutions concernent l extension du périmètre de sécurité tel qu on le connaissait depuis quelques années. Ainsi aujourd hui la sécurité des applications intéresse de plus en plus de monde, aussi bien les fournisseurs de solutions que les clients. Devant le nombre important d applications «en ligne» et l enjeu pour les entreprises, l offre est assez dynamique avec quelques recentrages parmi ses acteurs, comme par exemple le rachat d Axiliance par Beeware. domaine de la mobilité, dans la protection d applications, dans la confidentialité des données et un timide décollage des projets liés à la supervision des événements de sécurité. Les différents recentrages observés dans la sécurité permettent de constater un vif intérêt des acteurs, que ce soit les éditeurs et les constructeurs, ou bien les prestataires de services dans ce marché où les clients expriment des besoins de plus en plus larges. Ces besoins concernent un périmètre étendu au sein de leur Système d Information, et une «proximité» des applications et des utilisateurs de plus en plus marqués. Dans le domaine des services, le conseil La sécurité du poste de travail et des «points d extrémité» en général est un sujet préoccupant car il était relégué en arrière-plan depuis plusieurs Un passage incontournable : l expertise et le conseil en amont revêt une importance particulière sur des projets où les cycles sont plus longs, ou bien quand ils concernent l exercice de la gestion années. En effet, dans ce domaine, une habitude a longtemps persisté dans les entreprises où l on installait uniquement un antivirus pour protéger les ordinateurs fixes et portables. Aujourd hui, on constate un changement significatif. L actualité permet d observer des demandes mieux formulées de la part des clients et des recentrages importants parmi les acteurs spécialisés dans ce domaine. Dernièrement, Check Point Software a annoncé le rachat de la société PointSec, éditeur spécialisé dans le chiffrement des données sur les disques durs des postes de tra- du risque dans la gouvernance des entreprises et des organisations. Par ailleurs, les services «managés» prennent une importance particulière depuis que les directions générales et informatiques s interrogent sur le développement en interne d équipes compétentes. Ainsi le conseil, l intégration et les services de télégérance et de télé exploitation deviennent de plus en plus indissociables des projets sécurité pour les entreprises et les collectivités. PHILIPPE JOUVELLIER CONSULTANT SECURITE TELINDUS FRANCE 9 N 5 BUSINESS CONNECT FEVRIER 2007

10 Le consultant : un homme de confiance, pas un gourou! APRES UNE SERIEUSE Trois phénomènes ont marqué l année 2006 : les investissements IT sont repartis. Après un REMISE EN QUESTION passage à vide sur la période , les projets IT sont de nouveau dans les tuyaux, poussés par des DU CONSULTING ET DE SA VALEUR moteurs qui s appellent innovation, rationalisation, AJOUTEE DANS avantage concurrentiel. Le DSI ne doit pas se tromper LES ANNEES 2000, pour orienter correctement les budgets et prendre les LE CONSEIL IT bonnes décisions. A DE NOUVEAU Le marché du conseil est devenu plus lisible. Les missions menées par des hommes et des femmes amenant LE VENT EN POUPE. une valeur ajoutée avérée, héritée d une longue expérience, ont permis de fidéliser nos clients, et de tisser avec eux une relation de qualité. La demande est arrivée à maturité. Dans l effort de rationalisation des achats, les demandeurs de conseil (DSI, RSSI, responsable d infrastructures) ont dû réfléchir avec attention aux axes d étude qu ils souhaitaient garder en interne, et ceux a contrario pour lesquels ils >>> Jean-Pierre Laurent souhaitaient être accompagnés. La demande est plus Directeur Conseil précise, la relation est plus claire. Telindus France Dans ce contexte, six sujets ont représenté l essentiel de nos missions de conseil en 2006 : Etudes d opportunité. «Comment gérer les traces informatiques», «La TOIP permettrait-elle de créer de la valeur dans mon entreprise?». «Nous avons restructuré notre offre «Lancer le projet constitue-t-il une opportunité? Ne pas le lancer présente-t-il un risque?» conseil. Elle permet à Telindus d amener un service global «sans couture» L étude d opportunité est «la petite sœur» du à ses clients» schéma directeur. Elle porte sur un domaine fonctionnel ou technique très ciblé, mais doit aborder tous les sujets techniques, humains organisationnels, budgétaires, réglementaires, et permettre de prendre la bonne décision. Coaching sécurité. Il se traduit par des interventions planifiées aux côtés d un RSSI (un jour par semaine par exemple). Formalisation et mise en œuvre de la politique de sécurité, structuration et tests de plan de continuité d activité, mise en conformité avec les normes en vigueur (ISO 17799, ISO 27001) sont les principaux sujets traités. Sensibilisation à la sécurité de l information. La communication vers les directions générales, directions métiers et utilisateurs est dans l air du temps. Conscient des insuffisances de la sécurisation «technologique», le RSSI complète le dispositif en misant sur la responsabilisation de l humain. Ces missions sont menées avec une approche pédagogique développée au sein de notre département «strategic training». Plan de crise. Les grandes sociétés préparent activement leur plan de crise «grippe aviaire». C est un gigantesque projet transverse, mêlant toutes les couches de l entreprise. Nous intervenons essentiellement aux côtés des responsables réseau et responsables sécurité. Gestion des identités. La réflexion porte sur le process (comment gérer les entrées sorties et les changements de rôle des personnels et sous-traitants), le support (badge multi-fonction ), le niveau de sécurité (authentification forte, SSO), l architecture (accès au SI, annuaires). Nous intervenons actuellement auprès des collectivités et des métiers «réglementés» (banque assurance). Organisation. La rationalisation, l externalisation, les fusions sont autant de moteurs qui poussent le DSI et le responsable de la production à structurer et formaliser leurs process. Nous intervenons en nous appuyant sur ITIL, sujet sur lequel nous menons depuis trois ans une politique volontariste de certification de nos consultants. Mais au-delà de ces sujets, il ne faut pas oublier que la demande actuelle de consulting, c est de disposer d un interlocuteur fiable, capable d écouter et de comprendre les contextes métiers et organisationnels, capable d obtenir rapidement l information adéquate, pour contribuer à une solution pertinente et structurée. Au-delà de l expert, le consultant doit être un homme de confiance tout simplement. JEAN-PIERRE LAURENT - DIRECTEUR CONSEIL TELINDUS FRANCE 10 N 5 BUSINESS CONNECT FEVRIER 2007

11 ISO pour la qualité de la sécurité de l information LES NORMES POUR LA SECURITE DE L INFORMATION, SOUVENT ISSUES DES PAYS ANGLO-SAXONS ET DIFFICILES A RETENIR COMME LA BS , VOIENT ENFIN LE JOUR SOUS DES APPELLATIONS PLUS RECEVABLES, COMME ISO MAIS, PLUS QU UN CHANGEMENT D APPELLATION, LA FAMILLE ISO EST UN VERITABLE PROCESSUS QUALITE POUR LA SECURITE DE L INFORMATION. La sécurité se dote désormais d un système de référence sur le modèle de la qualité, ce qui présage déjà moins de réticence entre les organisations en charge des sécurités. Certes, il faudra encore quelques années pour disposer de l ensemble des référentiels de chaque thème, y compris pour l analyse des risques pourtant initiale à toute démarche sécurité. Néanmoins, le processus est en marche pour que la sécurité soit une composante de performance et un indicateur de qualité. Dès lors, la maîtrise du risque informatique et son contrôle fourniront des mesures indispensables à nos gouvernances. Après des débuts hésitants, les certifications qualité ISO 9000 sont entrées dans les mœurs des entreprises. Les certifications ISO devraient suivre le même chemin. La démarche conjointe ISO 9001/ISO 27001, voire ISO 9001/ISO 14001/ISO 27001, se pose, y compris avec les autres référentiels pour le 11 N 5 BUSINESS CONNECT FEVRIER 2007

12 >>> Famille ISO Légende : Publiée Non publiée BS 7799:2 ISO 17799:2005 BS 7799:1 ISO En 2005 est créée une nouvelle famille de normes ISO comprenant : ISO : Vocabulaire ISO : Système de management de la sécurité de l'information (SMSI) (en vigueur) ISO : Renumérotation de l ISO (2007) ISO : Implémentation (en développement) ISO : Métriques et mesures (en développement) contrôle interne et financier que sont COSO, COBIT, ou lois sectorielles comme la LSF (Loi Sécurité Financière) et SOX (Sarbannes Oxley Act). La série ISO peut être appliquée, quelque soit la taille de l entreprise. Il faut commencer la démarche par une évaluation des risques principaux, face aux enjeux de l entreprise. Cette phase est primordiale, et doit être initiale au processus de sécurité, car elle permet ISO Modèle SMSI cible Certifiable Guide de bonnes pratiques ISO Conseils d implémentation ISO Mesures et tableaux de bord QUID DE LA FAMILLE ISO ISO Terminologie Famille ISO Gestion des risques ISO : Management du risque (ISO ) ISO : Conditions d'accréditation pour les organismes certificateurs de ISMS ISO : ISO pour la santé (en développement). ISO ISO pour la Santé L ISO est donc un cadre général de bonnes pratiques et d audit qui nécessite d être accompagné d un référentiel d évaluation pour être directement exploitable au plan opérationnel. ISO Critères d accréditation pour la certification ISO Continuité d activité d établir la cartographie des risques propres à l entreprise, et d en déduire les besoins de sécurité pour que les risques intolérables soient tolérables ou résiduels. S ils le sont, les organisations ont alors déployé les mesures préventives et prévu les moyens palliatifs pour limiter les impacts des risques éventuels. Parler de processus pour la sécurité implique que la notion de menace doit être présente comme un dysfonctionnement possible, donc comme une entrée potentielle à toute étude systémique. L analyse de risque s établit dès les phases initiales du projet, et permet alors d intégrer les exigences de sécurité comme des contrôles du processus à développer. Cette analyse de risques étant menée, la norme ISO 27000, et tout particulièrement ISO permet de gérer une check-list des thèmes de sécurité à traiter et des contrôles à mettre en œuvre afin de constituer une politique de sécurité. L intérêt de cette norme est multiple Même si la certification n est pas la cible, elle constitue un point de comparaison voire de convergence, statuant sur un niveau atteint tout en précisant les écarts... Aujourd hui, les dirigeants d entreprise doivent inclure dans leur rapport annuel un chapitre sur le contrôle interne et la maîtrise des risques de leurs activités. Des lois s appliquent sur l ensemble des secteurs d activités, et notamment sur les institutions financières qui sont soumises à des contraintes réglementaires de plus en plus nombreuses et variées. Or, ces informations financières sont élaborées et traitées en priorité sur les Systèmes d Information. Le respect de conformité entraîne des investissements et des mises en œuvre de projets, d organisations et de systèmes. La norme apporte un référentiel fixant la cohérence de la cible stratégique, et contribue pour la partie information aux exigences de conformité. Démontrer la prise en compte de la sécurité informatique dans ses processus et ses métiers devrait pouvoir apporter un avantage décisif pour gagner des marchés dans un environnement concurrentiel difficile. Cet objectif devrait aussi avoir des effets bénéfiques annexes, comme renforcer sa position pour la négociation d'un contrat d'assurance couvrant les risques informatiques, ou encore rassurer des investisseurs. Grâce à cette norme, on instaure aussi un climat de confiance vis-à-vis de ses partenaires, actionnaires et on crée un avantage commercial 12 N 5 BUSINESS CONNECT FEVRIER 2007

13 >>> Processus systémique intégrant la menace Risques Vulnérabilités Menaces ENTRÉES Normes Mesures, contrôles qualité Activités Interfaces Politiques Standards SORTIES (appel d offre exigeant un niveau de sécurité aux normes) et, bien entendu, un gage de pérennité et de qualité. Enfin, l intérêt principal est la fiabilité et la sécurité au sein de son Système d Information : plan de continuité d activité, maîtrise des dépenses informatiques, responsabilisation des collaborateurs. A terme, l ensemble des normes de sécurité de l information devrait se fondre dans l ISO Focus sur l ISO Depuis de nombreuses années, les entreprises et les administrations recherchent un référentiel de sécurité des Systèmes d Information leur permettant d évaluer leurs risques, afin de prendre les mesures adéquates pour renforcer leurs défenses vis-à-vis de menaces de plus en plus nombreuses et variées, liées à Internet, aux courriels et à l utilisation des nouvelles technologies de l information. La norme ISO 17799:2005 (aujourd hui ISO 27002) fournissait le référentiel nécessaire à l élaboration des exigences de sécurité, et apparaissait comme un recueil de recommandations. Elle établissait 11 domaines à couvrir, répartis comme suit à partir du chapitre 5 pour la définition de la politique de sécurité, jusqu à 15 pour la conformité. L ensemble des 11 domaines définissait 133 points de contrôles dans sa version La BS définissait les contrôles et la certification, mais celle-ci n a pas eu le succès escompté, notamment en France. La norme ISO (issue de la BS7799-2) a vu le jour en novembre 2005, et permet de faire certifier un «Système de Management de la Sécurité de l Information» (SMSI). Calquée sur les normes qualité ISO 9000 et environnement ISO 14000, { cette norme traite de la mise en œuvre d un système de management. Cette norme garantit aux parties prenantes (clients, actionnaires, partenaires, etc.) que la sécurité des Systèmes d Information a été sérieusement prise en compte et que l'entreprise s'est engagée dans une démarche d'amélioration constante. La norme ISO est un document simple, de quelques pages, instaurant surtout un processus pour la gestion de la sécurité basée sur une méthode connue. Le Japon l a retenu sous le nom de «cycle PDCA de Deming», et c est plus tard en Amérique, et maintenant en Europe, que nous découvrons toute la puissance de cet outil très simple et porteur d une méthode. Le PDCA est une école de pensée en gestion développée par M. Deming. La démarche d amélioration de la qualité qu il propose est basée sur cette école de pensée. Il est très répandu au Japon dans la plupart des organisations à valeur ajoutée à la recherche de la performance ultime. Elle se caractérise par 4 actes spécifiques majeurs en constante rotation. Il s agit d un cycle d activités ayant comme principal objectif l amélioration continue. Il est à noter que la norme ne fournit pour le moment aucune indication sur la manière dont l analyse de risques doit être menée, mais il est clair que la norme ISO13335 (DICP) ou des variantes parmi les méthodes, MEHARI, EBIOS, MARION, sont tout à fait indiquées. Dans les années à venir, il est prévu que la méthode fera elle-même l objet d une normalisation à travers la dénomination ISO 27005, à partir du texte de la BS7799-3:2006. >>> ISO/IEC 17799:2005 Gestion des actifs 7 Ressources humaines 8 ISO/IEC 17799:2005 Sécurité physique 9 Exploitation et réseaux 10 Contrôles d accès11 Politique de sécurité 5 Organisation de la sécurité 6 Conformité 15 Acquisition, développement et maintenance sys. 12 Gestion des incidents 13 Continuité de service N 5 BUSINESS CONNECT FEVRIER 2007

14 La conformité du SMSI permet d entrevoir la certification ISO 27001, pour une durée de trois ans. Beaucoup de pays industrialisés se sont lancés ou se lancent dans cette certification qui devrait devenir rapidement un critère valorisant. «On écrit ce qu on va faire. On fait ce qu on a écrit... et on le contrôle». La rédaction de la Politique de Sécurité des Systèmes d Information et de ses principes détaillés, est normalement déduite de l analyse de risques et de la tentative de réduction de ceux-ci à un niveau acceptable. La plupart du temps, cette politique étant déjà existante, il va falloir l adapter à un fonctionnement en mode cyclique, et à un découpage suivant les chapitres de la norme. La création du Système de Management de la Sécurité de l Information et son approbation formelle par la direction générale vont permettre le véritable déclenchement de la dynamique Cette dynamique devrait avoir lieu pour les raisons suivantes : Préférence des Français pour les standard ISO aux référentiels QUID DU SMSI Le Système de Management de la Sécurité de l Information (SMSI) traduit le factuel de la sécurité en phase avec son formalisme et s appuie sur des rapports auditables. A savoir : le manuel SMSI - le domaine d application du SMSI - la déclaration d applicabilité (engagement de la Direction) la politique et les objectifs de sécurité du SMSI les procédures et les contrôles en support du SMSI la liste des actifs sensibles la méthode d évaluation des risques le rapport d évaluation des risques le plan de traitement des risques (PTR) le plan de continuité d activité (PCA) les procédures documentées nécessaires à l organisation pour s assurer de l efficacité de la planification, de l opération et du contrôle des processus de sécurité de l information, et la description de comment est vérifiée la validité des résultats de contrôle les enregistrements requis par la norme. Définir le but, l objectif et les moyens d y parvenir PLAN S instruire, s entraîner et exécuter les tâches définies DO SMSI ACT Décider les mesures nécessaires et les améliorations possibles Contrôler, mesurer les écarts et comprendre les résultats obtenus CHECK >>> Modèle de qualité (PDCA) British Standard (BS). Convergence des organisations en charge des «sécurités» (sécurité physique, logique, environnementale) par une démarche globale Qualité. Renforcement du contrôle interne intégrant l outil informatique comme risque et moyen. Exigences réglementaires de plus en plus fortes pour la sécurité de l information. Nécessité d encadrer le risque résiduel pour le rendre assurable. Gouvernance exige contrôle «Confiance n exclut pas contrôle» La gouvernance est l association du pilotage, (c est-à-dire s assurer que les décisions d aujourd hui préparent convenablement demain), et du contrôle, (c est-à-dire, mesurer l écart par rapport à ce qui était prévu et l activité gérée aujourd hui). Ce processus de management qui présente quelques similitudes avec le Risk Management doit s appuyer sur un modèle de chaîne de valeur. Si les fonctions Stratégiques et Opérationnelles sont bien définies, la fonction de Pilotage, transverse aux activités principales de l entreprise, peut faire défaut. Dans les organisations «stratégiquement comptables», contrôlées en approche XLS, elle apparaît comme élément de confort. En réalité, elle s avère indispensable, afin d assurer une efficience dans le déploiement de la stratégie en une cohésion de solutions opérationnelles, et dans la définition de véritables indicateurs pour les opérations de contrôle. 14 N 5 BUSINESS CONNECT FEVRIER 2007

15 Par contre, la carence de la fonction de pilotage engendre irrémédiablement débauche d énergie, absence de consolidation du savoir-faire, et prolifération de tableaux de bords d autosatisfaction (mais il est vrai aucun ROI direct). Aligner les métiers de l entreprise sur le Système d Information est une véritable stratégie, qui sonne la révolution des DSI. Considérer l informatique comme l énergie du savoir, peut entraîner certains risques qu il convient de maîtriser. L émergence des référentiels sécurité de l information complète les standards du contrôle interne, et contribue à la nécessité d audits qui incombent naturellement au pilotage de la gouvernance. Le processus d anticipation et d'évolution qui caractérise une gouvernance exige une récurrence dans les opérations de contrôle pour être pertinent. Les référentiels sur lesquels le processus peut se déployer se précisent autour des items suivants : COBIT : Control Objectives for Information and Related Technology (gouvernance, contrôle et audit de l'information et des technologies associées). Le COBIT est un référentiel pour la gouvernance des technologies de l'information avec un objectif de contrôle et d'audit vis-à-vis de l'impact de l'utilisation de ces technologies dans l'entreprise et des risques qui y sont liés. Il établit les contrôles par rapport aux exigences COSO (Committee of Sponsoring Organizations of the Treadway Commission) «Modèle de contrôle d entreprise». ITIL : guides de bonnes pratiques pour la gestion des services informatiques (internes et externes). Il est axé sur le service à rendre et sur sa disponibilité pour l'utilisateur. Il vise à faciliter l'atteinte d'objectifs >>> Chaîne de valeur du processus d amélioration Stratégique Pilotage Opérationnel Gouvernance d entreprise >>> Pilotage de la gouvernance ISO COSO CoBIT Gouvernance TI ISO ISO ITIL ISO 9000 Quoi? Comment? qualité mesurés tout en maîtrisant les coûts par l'organisation et l'optimisation des services. ISO : série de normes dédiées à la sécurité de l'information qui, à terme, devrait couvrir l ensemble des normes liées à la sécurité de l information, hormis ISO (critères communs) pour la certification des matériels de sécurité. Sécurité maîtrisée, stratégie de confiance La gestion de la sécurité étant souvent répartie dans les fonctions de la gestion du SI, il en résulte des chevauchements et des trous. Jusqu ici, la sécurité était une fonction qui n était pas maîtrisée et/ou comprise par les métiers. Il en résultait des difficultés pour obtenir des moyens et une mauvaise compréhension des risques. Or, «on ne peut gérer ce que l'on ne mesure pas». Plus que les normes de sécurité, c est bien la notion de processus qui est importante. L augmentation naturelle de l entropie des processus augmente les menaces endogènes et exogènes liées au système, compte tenu de l exposition croissante aux vulnérabilités. La mise en place de contrôles ne garantit pas forcément leurs prises en charge, a fortiori si les acteurs concernés ne sont pas impliqués dans le processus de mise en place de ces contrôles. L assignation des responsabilités des acteurs du SI s avère conflictuelle si celle-ci n est pas induite par une stratégie partagée. Impliquer nos organisations à la maîtrise des risques, pour une juste sécurité est une stratégie qui peut être pilotée et mise en œuvre autour des normes de sécurité ISO JEAN-MARC CHARTRES CONSULTANT SECURITE TELINDUS FRANCE 15 N 5 BUSINESS CONNECT FEVRIER 2007

16 Le coaching RSSI, un challenge productif >>> Jean-Marc Chartres Consultant Sécurité Telindus France CHARGE DE LA PROTECTION DU SYSTEME D INFORMATION, LE RESPONSABLE DE LA SECURITE DES SYSTEMES D INFORMATION (RSSI) DOIT DESORMAIS AVOIR UN ROLE STRATEGIQUE ET OFFENSIF DANS L ENTREPRISE. Depuis toujours, les entreprises se posent la vite que le progrès ; son côté aléatoire rend difficile question du «comment» bien coacher nos savoir-faire. Nous devrons apprendre à intégrer le RSSI (responsable de la sécurité des le facteur de risque et, surtout, à l anticiper. Systèmes d Information), et le sujet de la sécurité de l information engendre toujours bon nombre de problématiques. Premier constat, l'informatique a compliqué la maîtrise de l'information de l'entreprise. En même temps, le RSSI a dû expliquer son activité souvent complexe et mal perçue. Coaching RSSI, mode d emploi Le Coaching RSSI est une véritable mission pour le consultant qui doit apporter un regard externe pour donner des facteurs clefs de réussite. Pour ce type de mission, mieux vaut compter sur : une expérience professionnelle diversifiée, Chargé de la protection du Système d Information, le RSSI doit désormais avoir un rôle stratégique et offensif dans l'entreprise. Coordinateur de la gestion des sécurités et des risques une connaissance solide des fonctionnements humains, relationnels et managériaux, une indépendance vis à vis des organisations Assurer la sécurité, c est réduire la potentialité d apparition d événements qui, combinés à d autres, peuvent conduire à la catastrophe. Comme l informatique concourt à la gestion de ces événements, elle se retrouve au centre du processus de sécurité et place le RSSI comme coordinateur de la gestion des risques et des sécurités (physique, logique, environnementale). Assurer la sécurité, ce n est pas éviter les incidents (ce qui est impossible), mais c est faire en sorte que ceux-ci ne conduisent à la catastrophe que dans des cas de très faible probabilité. Toute démarche de sécurité doit s établir sur un périmètre identifié et sur des risques évalués. Or, le périmètre est forcément à géométrie variable, et la partie des risques immatériels, prépondérante. Dans les systèmes physiques, la mesure crée la confiance. Dans le monde financier, par exemple, la confiance engendre la mesure. Le contrôle interne pour les uns, la maîtrise des risques opérationnels pour les autres, correspondent au processus à mettre en place pour rationaliser les moyens à utiliser afin de répondre aux exigences des enjeux et de satisfaire les audits réglementaires et sectoriels. Nous vivons une époque où le risque augmente aussi et personnes clientes, une déontologie rigoureuse, le bénéfice d un accompagnement préalable. L avenir du RSSI n est définitivement plus seulement dans la technique. Au contraire, son rôle l amène à prendre en compte des enjeux décisionnels, stratégiques ou qualitatifs. Dans la nécessité des entreprises d acquérir une gouvernance asservie sur les contrôles internes, afin d anticiper tout écart aux sécurités définies, le RSSI apparaît comme le coordinateur de cette chaîne. Assurer l opérationnalité de la stratégie de la confiance dans l information, par le retour de mesures concrètes vers la gouvernance est un élément majeur du processus de qualité de l information. Trop pour un seul homme? Peut-être, car certains experts préconisent déjà une scission des tâches entre RSI (responsable de la sécurité de l information à profil stratégique) et le RSSI (responsable de la sécurité des Systèmes d Information à profil technique). A nous d accompagner cette migration perpétuelle, mais si passionnante. JEAN-MARC CHARTRES CONSULTANT SECURITE TELINDUS FRANCE 16 N 5 BUSINESS CONNECT FEVRIER 2007

17 Le Groupe Prévoir accélère ses communications LE GROUPE PREVOIR A CHOISI TELINDUS POUR INSTALLER ET EXPLOITER SON INFRASTRUCTURE RESEAU ORIENTEE ADSL ET WIFI, ET POUR ACCROITRE SA PRODUCTIVITE GRACE A DES SYNCHRONISATIONS QUINZE FOIS PLUS RAPIDES. Spécialiste de la protection individuelle des familles et de l assurance vie, le Groupe Prévoir est un holding constitué de deux compagnies d assurances, Prévoir-Vie et Prévoir- Risques Divers et d une société de gestion de portefeuilles, Société de Gestion Prévoir. Pour garantir à ses clients répartis dans toute la France une qualité de service toujours plus optimisée, le Groupe Prévoir a fait évoluer son infrastructure réseau d agences vers une solution lui permettant l accès aux nouvelles technologies et au WiFi. A ce titre, le Groupe Prévoir a choisi Telindus pour déployer une infrastructure réseau, et assurer les services dont il souhaite bénéficier sur une partie des équipements télécoms qu il a mis en place sur son réseau. «Nous avons migré il y a plusieurs années d une base propriétaire vers une application CRM Siebel accessible par tous nos commerciaux répartis sur les 170 sites en France. Jusqu en 2005, les échanges passaient par un réseau RTC, mais ce dernier offrait peu de bande passante et souffrait de temps de synchronisation très longs. Nous avons donc modernisé nos outils de communication et déployé une infrastructure ouverte et sans fil intégrant des briques de sécurité. Avec le WiFi et l ADSL, nous avons pu fiabiliser et réduire significativement la durée de synchronisation pour gagner en efficacité. L utilisation de notre outil de CRM a été grandement améliorée» explique Franck Dufermont, Responsable du Projet à la Direction commerciale du Groupe Prévoir. Aujourd hui, chaque collaborateur se connecte à Siebel et à sa messagerie, n importe où dans l agence, en toute sécurité et sans échec. Quinze fois plus rapide Chacun des sites est doté d un réseau local sans fil basé sur un routeur WiFi Cisco. Les WLANs sont ensuite connectés au siège parisien du Groupe Prévoir via un réseau ADSL. Le Groupe Prévoir souhaitait, tout en conservant la maîtrise de son infrastructure, externaliser les services de déploiement, de supervision, d exploitation et de maintenance. Telindus s est chargé du déploiement de la solution prévue dans les 170 bureaux du Groupe sur toute la France. Le NCC de Telindus aux Ulis prend en charge (24 h/24 et 7 j/7), la supervision des équipements et détecte de façon proactive un incident. Se met alors immédiatement en place le diagnostic, le déclenchement d une intervention, pour un incident hardware, et l ouverture d un ticket chez l opérateur dans un délai inférieur à trente minutes après une remontée d alarme. Le Groupe Prévoir bénéficie en outre d une maintenance réseau de quatre heures sur site. «Dès que nous ouvrons un nouveau bureau, Telindus s occupe de construire le réseau. Les tests s étant effectués avec succès, nous avons lancé avec Telindus le déploiement sur les 170 sites restants» conclut Franck Dufermont. >>> Franck Dufermont, Responsable Projet à la Direction Commerciale du Groupe Prévoir «Avec un PC portable plus moderne et la technologie WiFi, nos commerciaux sont plus efficaces sur le terrain. Ils peuvent échanger un plus grand nombre d informations via leur messagerie et actualiser plus rapidement leur portefeuille de clients et de prospects. Ces opérations sont nettement fluidifiées et le temps perdu est limité grâce aux synchronisations quinze fois plus rapides» indique Franck Dufermont. A PROPOS DU GROUPE PREVOIR Fidèle à sa vocation première, la protection des familles face aux aléas de la vie, le Groupe Prévoir (1 200 personnes) met au service de ses clients, depuis près d un siècle, son expertise et son savoir-faire 17 N 5 BUSINESS CONNECT FEVRIER 2007

18 Le CERTI-AM arme la CNAF contre les SPAM SPAM PAR JOUR DE TROP POUR LA CNAF! LE CENTRE INFORMATIQUE, CERTI-ALPES MARITIMES, CENTRE SERVEUR NATIONAL DU RESEAU CAF EST CHARGE DE TROUVER UNE SOLUTION. TELINDUS EST CHOISI POUR SA MAITRISE DES ENVIRONNEMENTS SECURITE ET INSTALLE LA BONNE PARADE. La Caisse Nationale d'allocations Familiales (CNAF) est l'organisme national de la branche «Famille» de la Sécurité Sociale. Elle se compose d'un réseau de 123 Caisses d'allocations Familiales (CAF) sur toute la France pour la gestion des prestations légales, familiales et sociales et de 8 CERTI (Centres Régionaux Informatiques). Depuis 2003, et pour faire face aux SPAM, le CERTI-AM de la région Sud Est (Alpes-Maritimes) a déployé une solution anti- SPAM/antivirus. Jean Florimond, responsable de la sécurité SI à la CNAF explique : «Nous utilisions une passerelle SMTP Internet centralisée pour les échanges entre les agents des CAF. Nous avions de gros problèmes de SPAM et recherchions à faire évoluer notre solution qui s avérait insuffisante. Telindus nous a proposé une solution anti-spam et anti-virus IronPort qui correspond à nos besoins» SPAM par jour Les SPAM sont une réelle menace pour l entreprise. Sur les mails reçus quotidiennement par les CAF, sont des SPAM. Soit un encombrement des réseaux quasi-permanent et une perte de temps considérable pour les effacer des boîtes aux lettres. «La mise en place de la solution a permis de retrouver immédiatement une haute disponibilité de nos services mails» ajoute Jean Florimond. Le déploiement de la solution par Telindus a été effectué en novembre pour une mise en production mi-décembre Le contrôle des SPAM est réalisé au point d'entrée des mails dans le réseau institutionnel grâce à un moteur éprouvé de détection des courriers indésirables basé sur plusieurs techniques (analyse protocolaire, anti- DHA, reverse DNS, listes blanches et listes noires utilisateur et éditeur). Le taux de détection annoncé est au moins égal à 95 % tout en conservant un nombre de faux-positifs proche de zéro. La solution supporte des mises à jour de la base de données de manière automatique et à la demande. Une solution centralisée Telindus a aussi déployé une solution anti-virus avec une analyse fine des flux SMTP et une maintenance sur site. L'architecture des solutions est standard, les deux équipements sont positionnés sur une zone publique connectée sur le Firewall Internet. Tous les mails depuis Internet sont redirigés vers l'équipement Ironport, et tous les mails sortant depuis le relais Lotus Notes sont renvoyés vers les mêmes équipements. Cette approche offre une administration centralisée et un contrôle très fin du flux . Les boîtiers séries C d IronPort exploitent les informations de SenderBase de façon à éliminer la majeure partie des «mauvais s», sur la base non pas du contenu, mais de l identité des expéditeurs et de leur réputation. «Ces solutions correspondent exactement à nos besoins» conclut Jean Florimond. «Nous bénéficions entre autres d un retour sur investissement immédiat. Ce projet initialisé par Telindus est une réussite. Il contribue à l actualisation de notre plateforme de sécurité. Telindus nous a prouvé qu il avait une grande maîtrise en la matière, ce qui nous a permis d avoir toute confiance en ses préconisations». A PROPOS DE LA CNAF En France, 29,5 millions de bénéficiaires directs et indirects perçoivent des allocations familiales à travers le réseau formé par la Caisse Nationale des Allocations familiales (CNAF) et l'ensemble des Caisses d'allocations Familiales (CAF) 18 N 5 BUSINESS CONNECT FEVRIER 2007

19 Sanofi Pasteur homogénéise ses réseaux locaux SANOFI PASTEUR SOUHAITE UNE HOMOGENEITE DE PERFORMANCE, DE FIABILITE ET DE FONCTIONNALITES SUR L'ENSEMBLE DE SES RESEAUX LOCAUX REPARTIS EN FRANCE ET EN AMERIQUE DU NORD. En 2004, le nouveau Groupe Sanofi Aventis devient le 3 e groupe pharmaceutique mondial et le numéro 1 en Europe. Aventis Pasteur, la division vaccins du Groupe Sanofi Aventis, porte désormais le nom de Sanofi Pasteur. Disposant de sites principaux répartis à l international, Sanofi Pasteur souhaitait une refonte totale de ses réseaux locaux. Bertrand Tisseron, Responsable Réseaux de Sanofi Pasteur explique : «Nous avons lancé un projet d évolution de notre LAN qui correspond à la refonte totale des réseaux locaux des sites principaux de Sanofi Pasteur : Lyon, Marcy-L étoile, Val-de-Reuil, Toronto au Canada et Swiftwater aux Etats-Unis. Ce projet a été motivé principalement par le besoin d'homogénéité des solutions mises en place, et par l émergence de nouveaux besoins. C'est un projet qui va au-delà du simple déploiement LAN dans la mesure où la sécurité - isolation des flux et contrôle d'accès - tient une place prépondérante». Cette refonte est donc basée sur une harmonisation des infrastructures. Sanofi Pasteur désire en effet mettre en place une qualité de service équivalente sur chacun de ses sites en France et en Amérique du Nord. Mais, outre ces besoins clairement identifiés, Sanofi Pasteur désire déployer une infrastructure capable de supporter des communications voix, données et vidéo. Telindus, en charge du projet, et partenaire historique de Sanofi Pasteur, a répondu aux besoins exprimés en construisant une infrastructure hautement redondante et performante, facile à répliquer sur chacun des sites. «Nous avions besoin, d une part, de renouveler nos équipements et, d autre part, de compter sur un nouveau design d architecture» ajoute Loïc Picard Responsable projet de Sanofi Pasteur. «Nous avons exprimé des besoins de disponibilité, de performance élevée pour le support d'application comme la vidéo, avec la nécessité d'intégrer des fonctions de sécurité forte sur le réseau pour la gestion de communautés étanches et la gestion du contrôle d'accès». Telindus a bâti une architecture facile à administrer. Des fonctions de firewalling sont intégrées dans le cœur d infrastructure, ce qui permet, en utilisant également la fonction vrf-lite (virtualisation du routage) de créer des communautés étanches et sécurisées. La généralisation du 802.1X pour le contrôle d'accès apporte une réponse adaptée aux besoins de contrôle d'accès. Le design, l intégration, la migration et la maintenance sont aussi assurés par Telindus. «Nous bénéficions d un Business Virtuel Network qui nous permet d isoler des réseaux fonctionnels en profitant de toute la robustesse de l architecture. Nous pouvons mutualiser les moyens de chaque site tout en leur garantissant une infrastructure logiquement autonome» souligne Loïc Picard. «Telindus est notre partenaire de longue date et nous apprécions sa très forte expertise des réseaux complexes. Ce sont les équipes Telindus qui nous ont présenté la meilleure proposition technique. Nous avons sélectionné un intégrateur par site, mais c est à Telindus que nous avons confié le design de l architecture. Autre point important, la gestion de projet, qui pour nous est un point clé, ainsi que la qualité du suivi. Là aussi Telindus s est distingué». «Le déploiement sur un an évolue désormais vers d autres services comme la sécurisation de tous les accès. Mais déjà les bénéfices sont quantifiables : la solution supporte la croissance de l entreprise (17 % par an), elle est évolutive et permet de conserver la cohabitation bureautique et métier industriel sur un même réseau, tout en permettant la mutualisation avec un niveau de sécurité très élevé». Bertrand Tisseron, Responsable réseaux Sanofi Pasteur A PROPOS SANOFI PASTEUR Sanofi Pasteur, la division vaccins du groupe Sanofi Aventis, est la plus importante société entièrement consacrée aux vaccins humains. 19 N 5 BUSINESS CONNECT FEVRIER 2007

20 Une analyse fine avec Network General POUR SUIVRE CE QUI SE PASSE SUR LE RESEAU ET SIMPLIFIER LA GESTION DU SYSTEME D INFORMATION, NETWORK GENERAL CREE NETWORK INTELLIGENCE SUITE, SURVEILLANT A LA FOIS LE RESEAU ET LES APPLICATIONS. >>> La vue unifiée du SI par Network Intelligence Suite Indicateurs de performance réseau Network General, spécialiste des analyseurs réseau avec sa division Sniffer, complète son offre et propose aux grands comptes et aux PME, Network Intelligence Suite, véritable portail fournissant une vue unifiée sur la performance de l infrastructure et des applications du Système d Information. Network Intelligence Suite donne une visibilité fine et dynamique du réseau, permettant d anticiper les anomalies et les défaillances de la sécurité. Pour développer son offre, Network General s'appuie sur des intégrateurs locaux, comme Telindus. Introspection du SI «Nous avons créé Network Intelligence Suite pour permettre aux directions informatiques de passer d un suivi historiquement vertical de leurs différents domaines technologiques (bureautique Lan, Wan, Serveur applicatif) à un suivi transversal de l ensemble de ces domaines. L objectif est d obtenir une vision de bout en bout de la performance du Système d Information afin de pouvoir coller l organisation de l informatique à celle de l entreprise», explique Faouzi Lajri, Directeur Régional de Network General. Network Intelligence Suite monitore un Système d Information avec une vue applicative et infrastructure. Composée de logiciels et de hardwares, elle regroupe Indicateurs de performance applicative VolP Service - SLA - Performance d Application - Virtualisation Troubleshooting Horizontale Sniffer Enterprise NetVigil, pour la supervision des éléments de l infrastructure (routeurs, switches, serveurs, base de données ), Sniffer Enterprise Visualizer, pour le monitoring des flux réseaux et applicatifs, et Sniffer Enterprise Administrator, pour la gestion du parc des sondes Sniffer. La création de containeurs dans Network Intelligence Suite permet de regrouper virtuellement les équipements et les applications qui délivrent le service à une direction métier ; ainsi les exploitants peuvent immédiatement mesurer l impact métier d une défaillance du S.I. La suite logicielle réalise des tests en allant interroger en snmp, les mibs ou les logs afin de suivre l état de santé des équipements et de différents indicateurs de performance pour déclencher une alerte en cas de dépassement d un seuil. Du tableau de bord au paquet «La valeur ajoutée de Network Intelligence Suite est de fournir une vision allant d un tableau de bord destiné aux managers ou aux utilisateurs, jusqu à des rapports très détaillés indispensables aux exploitants du réseau dans leurs tâches d administration quotidienne» ajoute Eric Pilicer, Channel Manager Europe et Benelux de Network General. «La vérité étant dans la trame réseau et le paquet. Ce n est pas le tout de voir passer un indicateur dans le rouge, encore faut-il comprendre pourquoi, et pouvoir régler le problème». Network Intelligence Suite peut aussi surveiller le service de téléphonie sur IP de l'entreprise. Ses logiciels établissent des rapports précis sur les problèmes de performance dus au réseau, et communiquent avec la gamme de sniffers InfiniStream de Network General pour analyser les causes des pannes au niveau des paquets. Cette vision globale et détaillée du Système d Information permet d une part, de dimensionner l infrastructure de façon intelligente et, d autre part, de répondre aux engagements de qualité de service (SLA) en situant les seuils de performance et en vérifiant qu ils aient été respectés. 20 N 5 BUSINESS CONNECT FEVRIER 2007