Extension du périmètre de l'entreprise en toute sécurité grâce aux réseaux MPLS privés

Transcription

1 LIVRE BLANC Solutions de sécurité Extension du périmètre de l'entreprise en toute sécurité grâce aux réseaux MPLS privés 1. Introduction Globalisation des activités commerciales et entreprise étendue Une approche globale de la sécurité Extension d'un réseau MPLS privé en toute sécurité Renforcement de la sécurité de base du réseau grâce aux services de sécurité professionnels Aspects fondamentaux de la sécurité de l'entreprise étendue

2 Introduction La globalisation a un effet aussi profond que durable sur l'économie mondiale. L'émergence de cette tendance a poussé de nombreuses entreprises à revoir leur organisation, notamment pour s'adapter au développement du travail à domicile et de la flexibilité des conditions de travail, mais aussi pour faire évoluer la manière dont elles gèrent leurs relations avec tous les intervenants dont dépendent leurs activités commerciales, c'est-à-dire leurs clients, leurs fournisseurs et leurs partenaires. Pour simplifier, elles sont amenées à étendre leur périmètre autant que possible, en permettant à tous ceux qui en ont besoin d'accéder à leurs informations commerciales sensibles, où qu'ils se trouvent. La base même de l'entreprise étendue, ce sont ses réseaux IP ; cependant, en élargissant son périmètre afin d'y inclure ses clients, fournisseurs et revendeurs, elle augmente fortement les risques de subir des attaques numériques. En bref, plus la quantité d'informations et le nombre d'emplacements de stockage augmentent, plus le risque d'accès par des personnes non autorisées est important. Ce livre blanc passe en revue les principales problématiques, ainsi qu'un certain nombre de méthodes et de ressources permettant de protéger l'entreprise étendue contre cet accroissement des risques. Tout d'abord, il est nécessaire de considérer votre infrastructure de sécurité dans son ensemble, en comprenant bien que la meilleure manière de sécuriser l'entreprise étendue est d'adopter une approche globale. En particulier, il faut souligner que l'utilisation d'un réseau MPLS privé permet de gérer facilement et en toute sécurité les multiples interactions avec les clients, fournisseurs, distributeurs et partenaires. De plus, vous pouvez assurer cette protection globale des données en vous appuyant non seulement sur des technologies de sécurité hébergées en interne, mais aussi sur des services de sécurité proposés par des fournisseurs réputés, sous forme d'abonnement. Ainsi, vous pouvez employer des produits et services de sécurité offrant des contre-mesures contre les menaces identifiées, mais aussi travailler avec des fournisseurs de produits et services de sécurité proposant des solutions permettant de réduire les risques de manière proactive. Globalisation des activités commerciales et entreprise étendue Malgré le ralentissement actuel de l'activité économique, la globalisation continue d'influencer les entreprises de nombreux secteurs. Pression concurrentielle en constante augmentation, évolutions technologiques rapides et demandes toujours plus variées des clients et des fournisseurs : ce sont là divers à-côtés de la globalisation. Même si les entreprises ont toujours cherché de nouvelles manières de développer leur activité et d'améliorer leur rentabilité, certains analystes soulignent le fait que la globalisation a beaucoup accéléré le rythme de ce processus. Les marchés évoluent rapidement, en particulier les demandes des clients et les besoins des fournisseurs. De fait, pour rester en tête dans l'environnement économique globalisé actuel, les entreprises doivent réagir rapidement à ces changements, qui modifient en profondeur les marchés sur lesquelles elles opèrent. L'une des principales tendances est le raccourcissement des cycles de vie des produits. Dans le secteur de l'électronique mobile par exemple, le nombre et le rythme des nouveautés sont sans précédent. Des événements récents, tels que le déclin rapide de la demande de 4x4 et de camions aux États-Unis, ont montré à quel point, dans une économie globalisée, toute évolution des préférences des clients peut affecter les entreprises et leurs partenaires, notamment leurs fournisseurs et distributeurs, ainsi que leur personnel. La main-d'œuvre des entreprises s'est globalisée parallèlement aux marchés, des employés et des rôles dispersés dans le monde collaborant à présent aux mêmes projets. Les entreprises étendent également leur périmètre pour y inclure les réseaux professionnels (clients, chaîne d'approvisionnement, distributeurs, partenaires, etc.), aussi bien pour échanger des informations que pour accéder à des services de conseil et à des bases de connaissances. La principale exigence à laquelle fait face l'entreprise étendue d'aujourd'hui est d'être plus polyvalente et plus adaptable, l'objectif étant d'être plus compétitive et d'offrir à tous ceux qui travaillent avec elle la possibilité d'accéder à davantage d'informations depuis davantage d'endroits. Par ailleurs, une grande partie des relations commerciales établies par l'entreprise étendue ne sont que temporaires et n'existent que pendant une durée déterminée, le temps d'un projet spécifique. Pourtant, par sa nature même, le partage d'informations à l'intérieur du périmètre de l'entreprise étendue augmente le risque que ces informations soient accidentellement divulguées ou récupérées par des tiers non autorisés. En bref, plus la quantité d'informations et le nombre d'emplacements de stockage augmentent, plus le risque d'accès par des personnes non autorisées est important. Les responsables des nouvelles implantations d'entreprise doivent trouver un équilibre complexe entre des accès toujours plus nombreux et un contrôle rigoureux. Le plus sécurisé des réseaux est celui auquel le monde extérieur n'a aucun accès... Mais c'est également le moins productif! Voilà pourquoi il n'est possible de bénéficier de tous les avantages de l'entreprise étendue qu'avec des réseaux qui proposent un accès aux informations commerciales sensibles tout en assurant de multiples niveaux de contrôle. 2

3 Une approche globale de la sécurité Même si, comme dans toutes les entreprises, vous mettez en place un certain nombre de solutions de sécurité, vous devez considérer que votre infrastructure de sécurité fait partie d'un processus permanent qui nécessite une intégration étroite de ces solutions, ainsi que d'autres technologies. Dans une entreprise globalisée, la sécurité ne peut être considérée comme une démarche ponctuelle, ni comme relevant de la responsabilité d'un individu unique. En fait, vous devez faire partie intégrante de chacune des décisions prises par votre entreprise. La manière traditionnelle de protéger les données électroniques était de mettre en œuvre un certain nombre de technologies de sécurité conçues pour contrer des menaces individuelles spécifiques. De même, l'objectif principal d'une stratégie de sécurité était auparavant de protéger les locaux et le périmètre opérationnel de l'entreprise en empêchant les indésirables de s'y introduire. Cependant, la variété des sources et des vecteurs d'attaque électronique a fortement augmenté, ainsi que la subtilité des méthodes employées. Les entreprises doivent donc elles aussi employer des approches subtiles et variées pour protéger leurs actifs. Il serait présomptueux de considérer que les tentatives d'accès non autorisé ne peuvent provenir que de l'extérieur de l'entreprise... En réalité, les menaces actuelles peuvent également émaner de sources internes, notamment des partenaires commerciaux et de la chaîne d'approvisionnement de l'entreprise. Le rapport «2009 Data Breach Investigations Report» (Enquête sur les violations de données constatées en 2009), compilé par l'équipe RISK de Verizon Business, a clairement mis en évidence les évolutions du paysage de la sécurité informatique, ainsi que les nouveaux vecteurs d'attaque qui ont fait leur apparition (voir encadré 1). Ce rapport, basé sur 90 enquêtes effectuées par les experts de Verizon Business en 2008 sur des violations de données avérées, illustre parfaitement la raison pour laquelle vous devez prendre en considération toutes les sources de menaces potentielles, internes aussi bien qu'externes : il montre notamment que, même si près des trois quarts de ces violations émanaient de sources externes, un cinquième émanaient d'employés en interne et près d'un tiers étaient liées à des partenaires commerciaux. Ces chiffres mettent en lumière la nature variée des menaces de sécurité, ainsi que la difficulté que présente la protection de votre entreprise contre des attaques ciblées et issues de sources multiples. Du fait de sa position à la croisée des réseaux d'entreprise et aux fréquents changements qui affectent ses relations commerciales avec le monde extérieur, l'entreprise étendue présente de manière inhérente un certain nombre de points faibles en matière de sécurité. Dans le but d'obtenir des informations commerciales présentant davantage de valeur, les attaques ciblent de plus en plus souvent des points où les données sont concentrées ou agrégées. Les personnes à l'origine de ces attaques sont bien conscientes du dilemme auquel les entreprises font face : elles doivent étendre leur périmètre pour rendre leurs informations accessibles depuis davantage d'emplacements, mais cela entraîne fatalement des vulnérabilités. À la base, le fait de gérer la sécurité des informations consiste à trouver un équilibre entre les frais et les efforts liés à la mise en place d'une sécurisation appropriée et les coûts directs et indirects qui pourraient découler d'une violation de données. Il est essentiel de protéger vos actifs les plus importants, c'est-à-dire les informations essentielles à l'activité de l'entreprise et cela, aussi bien contre les menaces issues de l'extérieur que contre celles issues de l'intérieur. En permettant la libre circulation de vos actifs intellectuels, vous étendez la portée de vos activités et évitez toute interruption nuisible à vos revenus. Les mesures de protection que vous mettez en place doivent également vous aider à rester en conformité avec les exigences internes et externes en matière de sécurité. Cela constitue un aspect de plus en plus important de la gestion des risques : si vous opérez sur un secteur fortement réglementé, soumis à des exigences de conformité et de gouvernance très strictes, les conséquences d'une violation de données peuvent mettre en péril l'existence même de l'entreprise. Qui est à l'origine des violations de données? Sources externes : 74 % (+1 % par rapport à 2008) Sources multiples : 39 % (+9 %) Partenaires commerciaux : 32 % (-7 %) Sources internes : 20 % (+2 %) Les résultats sont très proches de ceux de 2008 : ce sont des sources externes qui sont à l'origine de la plupart des violations de données. Bien qu'elles représentent toujours un tiers de l'échantillon, les violations de données issues des partenaires commerciaux sont en recul, pour la première fois depuis des années. La taille moyenne des violations de données causées par des sources internes reste la plus élevée, mais ce sont les sources externes qui sont à l'origine du plus grand nombre d'enregistrements de données perdus. Pour 91 % de l'ensemble des enregistrements de données affectés, l'existence d'un lien avec le crime organisé a pu être prouvée. Source : Rapport «2009 Data Breach Investigations Report» (Enquête sur les violations de données constatées en 2009), par Verizon Business Encadré 1 : Sources des violations de données Une gestion efficace de la sécurité n'implique pas seulement la mise en place de technologies, mais également de pratiques qui protégeront votre image de marque et votre réputation et favoriseront la confiance. Ce sont les éléments qui doivent figurer au cœur même de la proposition de valeur de votre entreprise. Pour l'entreprise étendue, les changements fréquents qui affectent ses relations commerciales et ses partenariats doivent se traduire par une constante réévaluation de la ligne de démarcation entre ressources privées, ressources publiques et ressources partagées. La protection de l'entreprise étendue impose d'adopter une approche globale de la sécurité, notamment en prenant en considération aussi bien les actifs internes que les interactions entre ces actifs et le monde extérieur. Vous devez vous concentrer sur un certain nombre de domaines clés : la sécurisation des informations ; la sécurisation de l'infrastructure ; les problèmes de gouvernance, de gestion des risques et de conformité, avec une attention particulière aux questions de respect des normes (voir encadré 2). 3

4 L'adoption d'une approche globale de la sécurité implique de ne pas prendre uniquement en considération le point de vue de l'entreprise, mais également les implications des interactions avec tous les intervenants, tels que les fournisseurs, les partenaires et les distributeurs. Vous devez commencer par mettre en place une stratégie de base, adaptée aux besoins spécifiques de l'entreprise et axée sur ses processus métier. Vous devez ensuite évaluer les menaces réelles pesant sur ses actifs essentiels et les classer en fonction de leur importance, afin de trouver le juste équilibre entre risques de sécurité informatique et priorités opérationnelles, déterminant ainsi les investissements et mesures de contrôle à mettre en œuvre. L'objectif est d'obtenir une infrastructure souple et adaptée au profil spécifique de votre entreprise en termes de risques et d'exigences de conformité, tout en simplifiant la protection des données dans toute l'entreprise et en permettant une analyse en continu, par des intervenants tiers, des mesures de sécurité mises en place. En matière de sécurité, le principe fondamental est le suivant : il n'existe aucune solution idéale convenant à toutes les situations. Les fournisseurs de technologies et de services de sécurité doivent vous proposer une solution conçue et mise en œuvre spécifiquement pour vos besoins, que cette solution soit externalisée, interne ou mixte. La solution doit correspondre exactement à vos exigences et méthodes de travail et venir compléter votre réseau. Extension d'un réseau MPLS privé en toute sécurité L'avènement des réseaux IP a offert aux entreprises d'immenses possibilités et de nombreuses nouvelles opportunités. Le fait de disposer d'une architecture plus souple et plus ouverte, sur laquelle il est possible de combiner les communications de données ou vocales, a fait disparaître une grande partie des barrières qui s'imposaient aux entreprises du fait du périmètre limité des périphériques utilisés auparavant. Cela a provoqué une transformation complète des pratiques commerciales et informatiques. Il est désormais possible de concevoir le système d'informations d'une entreprise autour de grands réseaux ouverts, en gérant les communautés interconnectées de manière virtuelle, sans les contraintes et barrières infranchissables des réseaux traditionnels. Une telle solution réseau doit être en mesure de vous proposer une large gamme de méthode d'accès : technologies sans fil, Ethernet, DSL, satellite, etc. Elle doit également proposer une connectivité haut débit partout dans le monde et une gestion de la qualité de service (QoS) permettant de hiérarchiser le trafic des différentes applications de l'entreprise, en fonction de ses besoins. Au cours des dix dernières années, la technologie réseau MPLS (MultiProtocol Label Switching) a rencontré un succès grandissant. Cependant, bien que la technologie MPLS puisse être qualifiée de sécurisée, l'adoption d'une approche globale de la sécurité exige d'aller au-delà de la technologie elle-même et de prendre en considération la manière dont elle est exploitée du point de vue de l'infrastructure, de la technologie et des processus métier. Dans le cadre de cette évaluation, vous devez garder un certain nombre d'éléments à l'esprit. Le niveau de sécurisation d'un réseau découle directement de sa conception initiale : il ne doit donc y avoir aucun compromis à ce niveau. Tout réseau IP basé sur la technologie MPLS doit être relié au reste du réseau du fournisseur par plusieurs liens physiques, afin d'éviter que des nœuds ne se retrouvent isolés. Vous devez également examiner en détail les plans de développement du fournisseur, pour vous assurer qu'il restera en mesure d'assurer les niveaux de disponibilité auxquels il s'engage dans le cadre du contrat de qualité de service (SLA). Un réseau MPLS privé et sécurisé est une base idéale pour construire une solution de communications adaptée aux besoins de l'entreprise étendue. Sur ce type de réseau, vous pouvez hiérarchiser le trafic en fonction de son type (voix, vidéo, données, etc.), tout en le consolidant sur un réseau unique. Vous bénéficiez ainsi d'une souplesse accrue, car vous pouvez déterminer le mode de gestion du trafic sur le réseau (par exemple, pour donner la priorité au trafic des applications cruciales pour l'activité de l'entreprise) et d'un niveau de contrôle supplémentaire, puisqu'aucun élément réseau de base n'est partagé avec un réseau IP public. Il est possible de configurer un réseau MPLS de manière à ce que les données privées et publiques soient séparées d'un point de vue logique, mais les opérateurs d'un réseau combinant des trafics IP publics et privés sur les mêmes routeurs et circuits physiques rencontreront des difficultés pour gérer les congestions, du fait de la nature imprévisible du trafic IP public. Ces opérateurs doivent sécuriser de manière appropriée les éléments «côté fournisseur» (Provider Edge, PE) contre les attaques et vulnérabilités. De plus, les éléments de base de votre réseau MPLS privé ne doivent pas être visibles par les réseaux extérieurs. Bien que le non-respect de cette exigence ne constitue pas en lui-même un risque de sécurité, il est préférable que les structures du réseau et d'adressage internes soient masquées au monde extérieur. Cela rend plus difficile toute attaque par déni de service (DoS) contre les routeurs de base, par exemple. De très nombreuses sociétés utilisent la norme de sécurité PCI-DSS (Payment Card Industry Data Security Standard - standard de sécurité des données liées à l'industrie des cartes bancaires). L'exigence fondamentale de cette norme est de bâtir et d'entretenir un réseau totalement sécurisé. L'efficacité des réglementations et des directives de contrôle visant à éviter toute brèche de sécurité a donné lieu à d'âpres discussions, mais peu d'études empiriques ont été effectuées sur ces sujets. Dans son rapport «2008 Data Breach Investigations Report» (Enquête sur les violations de données constatées en 2008), Verizon Business constatait ce qui suit : des études non officielles effectuées auprès de sociétés victimes d'une violation de données montraient que ces sociétés ne respectaient en moyenne que 29 % des 12 exigences de la norme PCI-DDS. En d'autres termes, une société-type observait moins d'un tiers des exigences PCI-DSS. Les différentes sociétés présentaient des niveaux de conformité très variables, mais la conclusion globale était la suivante : ce sont les sociétés respectant le plus les exigences PCI-DSS qui ont subi le moins de violations de données. Source : Rapport «2009 Data Breach Investigations Report» (Enquête sur les violations de données constatées en 2009), par Verizon Business Encadré 2 : Importance du respect la norme de sécurité PCI-DSS En novembre 2008, Verizon Business a demandé à la société Symantec d'effectuer une évaluation de la sécurité de son architecture réseau, en se concentrant sur ses deux réseaux IP privés virtuels basés sur la technologie MPLS. L'objectif de ce projet était de passer en revue le respect des directives et des mesures physiques de sécurité afin de vérifier que le niveau de sécurité des plates-formes Verizon Business était bien conforme aux pratiques de protection réseau définies par le niveau «Intermédiaire» de la version 2 de la norme NIST Globalement, Symantec a qualifié de très satisfaisante la robustesse du réseau IP privé de Verizon Business, en termes de respect des procédures par le personnel, de redondance et de résistance aux attaques. Les infrastructures et stratégies de sécurité associées à la gestion et au fonctionnement des réseaux de Verizon Business ont été conçues via une approche globale : elles couvrent tous les aspects, aussi bien au niveau des règlements et procédures mis en place qu'au niveau de l'administration, très encadrée, des systèmes d'information et des utilisateurs individuels et groupes fonctionnels qui assurent leur gestion. Encadré 3 : Sécurité des réseaux IP privés 4

5 La technologie MPLS met en œuvre une séparation des espaces d'adressage et de routage, afin que les données de vos réseaux privés virtuels (VPN) ne soient pas partagées. Cependant, il est théoriquement possible d'exploiter le protocole de routage pour lancer une attaque par déni de service contre le routeur PE, ce qui peut avoir des conséquences néfastes sur les autres réseaux VPN. Pour cette raison, vos routeurs PE doivent être sécurisés de manière extrêmement rigoureuse, particulièrement au niveau des interfaces connectées aux routeurs «côté client» (Customer Edge, CE). Vous devez également configurer le réseau de manière à n'autoriser l'accès qu'aux ports du protocole de routage et uniquement depuis le routeur CE. L'entreprise étendue a besoin de disposer à la fois d'une souplesse totale et de mesures de contrôle étendues. Passez en revue les services complémentaires (évaluation de la sécurité, reporting sur les applications et outils de contrôle) que le fournisseur de votre réseau IP peut vous proposer pour vous aider à conserver en permanence la visibilité et le contrôle de votre réseau. Bien que certaines entreprises n'aient aucune visibilité sur les applications utilisées sur leur réseau, vous avez probablement déjà à l'esprit un certain nombre d'applications qui n'ont pas leur place sur un réseau d'entreprise : au mieux, elles risquent de saturer la bande passante ; au pire, elles peuvent ouvrir une brèche dans votre infrastructure de sécurité. En déployant un réseau MPLS privé, vous disposez des bases nécessaires pour adopter l'approche globale indispensable à la sécurisation d'une entreprise étendue, Vous pourrez notamment exercer un niveau élevé de contrôle et maintenir une sécurité rigoureuse, en fixant vos propres stratégies et niveaux de risque acceptables. Dans certains cas, il peut être nécessaire d'étendre le périmètre de votre réseau, par exemple pour y inclure des sites de petite taille, pour permettre à des employés de travailler depuis leur domicile ou en déplacement, ou pour fournir de manière économique un accès sécurisé à Internet. Toute opération de ce type doit être soigneusement planifiée, afin d'éviter de compromettre la sécurité de votre réseau. Avec un réseau MPLS privé, vous aurez la possibilité de mettre en place une passerelle sécurisée reliée au réseau IP public pour fournir à vos employés, clients, fournisseurs et partenaires les possibilités d'accès à votre réseau que vous voulez leur accorder. Vous êtes en droit d'attendre de votre fournisseur de services réseau qu'il soit en mesure de contrôler ce type de passerelle, tout en garantissant la sécurité et l'intégrité des données. Les différentes composantes du trafic des clients, des fournisseurs et des employés doivent être isolées les unes des autres ; en tant que tel, tout trafic transitant entre le réseau public et le réseau MPLS privé doit être géré par un réseau VPN côté client. Votre passerelle doit isoler le réseau privé du réseau public jusqu'à ce qu'une connexion soit établie par l'intermédiaire d'un tunnel IPsec ; seul le trafic en provenance de ce tunnel doit pouvoir accéder à la partie privée du réseau. Renforcement de la sécurité de base du réseau grâce aux services de sécurité professionnels Vous le savez sans doute, la situation économique actuelle impose d'en faire toujours plus avec moins de moyens, en mettant l'accent sur la recherche d'efficacité et la diminution des coûts de l'entreprise. Tout ce qui n'est pas indispensable est devenu un luxe inabordable. À l'inverse, il est certain que la protection des actifs essentiels de votre entreprise n'est pas un luxe. En étudiant comment améliorer la sécurité de votre réseau MPLS privé, vous serez peut-être amené à prendre des décisions difficiles pour déterminer la manière la plus efficace d'atteindre vos objectifs. Si vous choisissez de mettre en place une solution interne à l'entreprise, vous devrez assumer des investissements importants pour acquérir les technologies et les infrastructures requises, puis recruter le personnel disposant des compétences requises. Étant donné les impératifs actuels de limitation des investissements, la meilleure solution pour sécuriser votre réseau MPLS privé pourrait bien être de faire appel à un fournisseur réputé pour prendre en charge la sécurité de votre réseau sous la forme d'un service géré, dans le cadre d'un programme global d'externalisation. Cette approche est efficace aussi bien pour soutenir votre stratégie de gestion des risques que pour favoriser les bonnes pratiques en matière de sécurité et contrôler vos coûts. En l'adoptant, vous n'avez pas à effectuer d'investissements importants en matière de technologies et d'infrastructures réseau, ni en ce qui concerne le personnel spécialisé associé. Ce type de programme limite également les problèmes d'obsolescence des technologies et des services : vous bénéficiez en permanence de ce qui se fait de mieux, sans avoir à effectuer de nouveaux investissements. De plus, la sécurité et la réduction des risques sont sous la responsabilité de spécialistes dont c'est le travail à plein temps et qui disposent d'une expérience éprouvée et de connaissances approfondies. Service Internet Security Assessment (Évaluation de la sécurité Internet) de Verizon Visant à garantir la sécurité de l'entreprise étendue, ce service est désormais proposé aux clients des services de réseau IP privé de Verizon Business dans le monde entier. Cette solution offre aux clients une approche innovante et approfondie pour passer en revue tous les aspects importants de leur stratégie de sécurité, puis évaluer les risques liés à leurs infrastructures réseau reposant sur les technologies Web. Le service Internet Security Assessment comporte deux composantes basées sur des services professionnels : découverte et classification des actifs virtuels et évaluation des risques externes. Pour assurer une protection efficace de l'entreprise étendue, qui rassemble les clients, les partenaires, les revendeurs et les fournisseurs, ces deux composantes fournissent au client une vision claire de son infrastructure de sécurité en se basant sur une analyse de ses activités Internet couplée à une analyse rigoureuse visant à rechercher les vulnérabilités. Encadré 4 : Service Internet Security Assessment de Verizon Services de sécurité dématérialisés («Cloud Computing») proposés par Verizon Désormais, les clients des services de réseau IP privé de Verizon ont la possibilité de bénéficier d'une offre de sécurité dématérialisée totalement gérée, qui leur permet de se décharger de la gestion et de l'administration du pare-feu présent sur leur réseau. Dans ce cadre, les experts de la sécurité de Verizon Business aideront ses clients à déterminer et à mettre en œuvre les stratégies de pare-feu qui leur permettront de constituer une première ligne de défense contre le trafic potentiellement dangereux. Verizon Business collaborera avec chaque client pour mettre en œuvre les stratégies de pare-feu appropriées, puis les faire évoluer en fonction des besoins. Encadré 5 : Des services dématérialisés pour assurer la sécurité de la société Plus spécifiquement, le fournisseur doit être à même de vous proposer un service couvrant l'intégralité de la gestion de la sécurité, encadré par un contrat de niveau de service (SLA) et accompagné d'outils de supervision et d'une assistance 24 heures sur 24 et 7 jours sur 7. Ce type de service de sécurité dématérialisé («Cloud Computing») doit fournir des résultats identiques à ceux obtenus avec une solution basée sur des équipements installés chez le client (CPE), afin que l'entreprise puisse mettre en œuvre une combinaison de solutions CPE et de solutions basées sur des pare-feux réseau. 5

6 Vous devez également étudier la qualité du réseau IP du fournisseur en examinant les informations de sécurité complémentaires qu'il est en mesure de vous fournir, à partir des données analytiques issues de son propre réseau global. Un certain nombre de fournisseurs ont équipé leurs réseaux IP globaux d'outils de surveillance et d'alerte précoce, désignés sous le nom de «pots de miel» («honeypots»). Il s'agit de leurres placés sur un réseau IP public, afin de détecter les tentatives d'accès non autorisé aux réseaux et systèmes informatiques. Ils sont généralement utilisés pour collecter des informations dans le but de développer des contre-mesures spécifiques et de renforcer la sécurité générale du réseau. Le programme de sécurisation des éléments de base du réseau doit fournir une connexion centralisée et sécurisée, dédiée au transport des données. En complément, des mesures de sécurité et de prévention des risques doivent protéger les données une fois qu'elles ont pénétré au sein de l'entreprise étendue. Un fournisseur de services professionnels peut vous aider à sécuriser vos informations en effectuant différentes opérations pour votre compte, comme assurer la protection des données cruciales stockées au sein de l'entreprise étendue ou étudier les brèches de sécurité et violations de données. Il peut également assurer la gestion des identités et des accès, pour s'assurer que les niveaux d'accès et de contrôle appropriés sont accordés aux propriétaires et aux utilisateurs des données et mettre en place les mesures de sécurité appropriées au niveau du réseau et des applications. Vous pouvez également vous intéresser aux services de support : le fournisseur pourra par exemple assurer la gestion et la supervision des périphériques de votre entreprise (qu'ils soient liés à la sécurité ou non) ou vérifier la pertinence des stratégies mises en place, de la conception de l'architecture globale ou de la prise en charge de la gestion des événements liés à la sécurité. En ce qui concerne les questions de gouvernance, de gestion des risques et de conformité, un certain nombre de services professionnels pourront vous aider à répondre aux exigences de conformité en matière de sécurité des informations, à vérifier que les procédures sont suivies, à protéger vos clients, partenaires et fournisseurs, ou encore à vous assurer que tous les intervenants respectent les stratégies de sécurité mises en place. Pour être pleinement efficaces, ces services gérés doivent viser à réduire les risques plutôt que constituer des solutions ponctuelles, lourdes à gérer et généralement coûteuses à exploiter. Ainsi, le fait de renforcer la sécurité de base de votre réseau grâce à des services professionnels constitue une manière efficace et économique de limiter les risques et de vous permettre de vous consacrer à vos activités professionnelles. À propos de Verizon Business Verizon Business, division de Verizon Communications (NYSE : VZ), est l un des principaux fournisseurs mondiaux de solutions informatiques et de communications. Nous associons notre expertise à l un des réseaux IP les plus interconnectés au monde pour fournir des solutions largement primées dans le domaine des communications, de l informatique, de la sécurité des informations et des réseaux. Nous connectons en toute sécurité les clients, partenaires, fournisseurs et collaborateurs mobiles des entreprises étendues, leur permettant ainsi d être plus productifs et plus efficaces, tout en contribuant à la protection de l environnement. De nombreuses grandes entreprises et administrations mondiales, y compris 96 % des sociétés du classement Fortune 1000 et des milliers d organismes publics et d établissements d enseignement, s appuient sur nos services professionnels administrés pour valoriser leur activité. Pour en savoir plus, consultez le site Aspects fondamentaux de la sécurité de l'entreprise étendue Il ne fait aucun doute que le processus de globalisation va s'intensifier et que votre entreprise sera amenée à étendre son périmètre toujours plus loin, pour atteindre davantage de personnes et d'endroits. Malgré les avantages que cela présente en termes de souplesse et d'opportunités commerciales, vous devez bien garder à l'esprit que les risques d'attaques augmenteront en proportion. Les impératifs que constituent la sécurité des informations et la réduction des risques pour l'entreprise étendue exigent une approche globale, ce qui implique de passer en revue tous les aspects pouvant constituer une vulnérabilité. D'un point de vue technique, un réseau MPLS privé offre d'indéniables avantages pour la création d'une solution de communications alliant robustesse, efficacité et accessibilité, qui permette à vos employés, clients, partenaires et fournisseurs d'accéder aux informations stratégiques de votre entreprise, où qu'ils se trouvent. D'un point de vue financier, il est bien plus intéressant de s'abonner à des services proposant toujours les solutions les plus récentes et permettant de réduire les risques de sécurité de manière proactive, sans avoir à engager de lourds investissements. En vous appuyant sur les services de sécurité gérés, vous pouvez faire coïncider vos besoins en termes de protection des informations avec vos objectifs commerciaux, en bénéficiant de conseils et d'une aide à la décision pour gérer les priorités, affecter les ressources et élaborer votre stratégie globale. Pour se montrer à la hauteur de son statut d'entreprise étendue, celle-ci doit s'adresser à un fournisseur de services auquel elle peut confier la sécurité de base de son réseau MPLS privé et qui sera capable de lui fournir un service fiable et de haute qualité. Il devra assurer une transmission efficace du trafic réseau, proposer des mesures de contrôle pour réduire les risques d'attaque et fournir des outils robustes de gestion et de supervision en continu de la sécurité. En résumé, vous devez vous adresser à un fournisseur de services qui vous permette de répondre de manière proactive et économique aux menaces émergentes avant même qu'elles ne constituent un risque pour votre entreprise, l'objectif étant que vous puissiez vous consacrer à vos activités professionnelles et travailler plus efficacement. Pour plus d'informations sur nos services de sécurité professionnels, visitez la page verizonbusiness.com/fr 2010 Verizon. Tous droits réservés. WP /10 Les noms et les logos Verizon et Verizon Business, ainsi que tous les autres noms, logos et slogans identifiant les produits et services de Verizon sont des marques et des marques de service ou des marques déposées de Verizon Trademark Services LLC ou de ses sociétés apparentées aux États-Unis et/ou dans d autres pays. Les autres marques et marques de service appartiennent à leurs propriétaires respectifs. 6