Architecture de sécurité

Dimension: px
Commencer à balayer dès la page:

Download "Architecture de sécurité"

Transcription

1 4 Architecture de sécurité Le Chapitre 2 a donné la définition du NITS (National Institute of Standards and Technology) pour l informatique en nuage : modèle des systèmes d information qui autorise un accès réseau pratique et à la demande à des ressources de calcul configurables partagées qui peuvent être mises à disposition et retirées rapidement avec un travail de gestion ou une intervention du fournisseur de service minimal [11]. Mais coent cela se traduit-il lors de la mise en place d un Cloud? À un niveau élevé, un datacenter (prise en charge de l infrastructure), du matériel (serveurs, systèmes de stockage et réseau), tout un ensemble de logiciels de support, une équipe aux compétences larges et approfondies, et des procédures sont là pour que cela fonctionne. La Figure 4.1 illustre cette vue d ensemble des éléments. Stockage Serveurs Câblage Datacenter géant Coutateurs réseau Racks Planification Logiciel Alimentation fiable Procédures Logiciel Serveurs (matériel) Présenté coe un Cloud Orchestration Virtualisation Stockage (matériel) Réseau (matériel) Internet ou réseau privé Stratégies Datacenter Architecture Figure 4.1 Architecture et implémentation d un Cloud.

2 92 La Sécurité dans le Cloud L exploitation sécurisée et efficace d un Cloud implique une planification préalable importante. À un niveau élevé, nous avons un datacenter et des connexions Internet redondantes qui donnent accès à l entrée d un Cloud. Cette entrée représente la partie technologique d un périmètre de sécurité des informations 1 constituée de périphériques réseau qui apportent des counications sécurisées. Voici la définition qu en donne le NIST : La procédure d affectation unique de ressources informatiques à un système d information définit le périmètre de sécurité de ce système. [26] À l intérieur de ce périmètre, nous trouvons de nombreux équipements placés en racks et câblés conformément à des modèles définis. Une infrastructure est également nécessaire pour gérer le Cloud et ses ressources pendant son fonctionnement. En allant plus loin, chaque composant (serveurs, stockage et réseau) demande un certain niveau de configuration. Cette vue d ensemble est celle de nombreux composants organisés en partie selon des modèles visuellement évidents. Lors de la conception ou de la planification d un système complexe, il est important de voir plus loin et d envisager les processus et les procédures qui seront nécessaires à son exploitation. Bien qu il soit possible de construire un petit Cloud sans passer trop de temps en planification, tout Cloud de taille moins modeste exige une planification et une conception importantes. Tout manque de planification conduira inévitablement à des coûts récurrents plus élevés en raison de l inefficacité de la conception et des procédures, ainsi que d une exploitation décalée par rapport aux besoins de gestion d un Cloud fortement dynamique. D accord, mais qu est-ce qu une planification appropriée? Une planification trop poussée conduit souvent à une mauvaise interprétation du futur et peut demander par la suite un travail de refonte important à un coût excessif. Mais ne pas anticiper les modifications mène droit dans le mur. Une meilleure approche implique une architecture prudente qui tient compte d un inévitable besoin d évolution et conserve la souplesse nécessaire à des adaptations. À la section Le Cloud amène à de vastes changements du Chapitre 1, nous avons expliqué que le Cloud présente des avantages qui vont vers la simplification du système informatique. À la section Architecture de référence d un Cloud du Chapitre 2, nous avons examiné les accès en libre-service et à la demande aux services du Cloud. Si le Cloud veut tenir ces promesses, l architecture doit être conçue et planifiée en conséquence. Dans ce chapitre, nous détaillons les composants architecturaux qui permettent de construire un Cloud, en gardant la sécurité à l esprit. Nous coençons par identifier les exigences d une architecture de Cloud sécurisé, ainsi que les modèles et les éléments architecturaux fondamentaux. Nous présenterons et étudierons ensuite plusieurs architectures de Cloud en regard de ces bases. Nous conclurons ce chapitre par une brève présentation des stratégies clés dans une exploitation sécurisée. 1. Un périmètre de sécurité peut être défini par l ensemble de systèmes et de composants qui se trouvent sous une même responsabilité d administration.

3 Chapitre 4 Exigences de sécurité pour l architecture 93 Bien que ce contenu se focalise sur un travail qui reste de la responsabilité du fournisseur de services en nuage, les locataires endossent souvent le rôle de fournisseur de services pour d autres utilisateurs et sont donc concernés. Exigences de sécurité pour l architecture Entre autres objectifs, l architecture doit être en mesure de répondre aux besoins. Cette section passe en revue les exigences architecturales d une implémentation de Cloud type. Plusieurs éléments motiveront ces exigences : Coûts et ressources. Les ressources financières du fournisseur de Cloud vont délimiter ses possibilités d investissements dans les technologies, notaent dans les contrôles de sécurité. Toutefois, il est important de reconnaître que des ressources limitées vont obliger à bien réfléchir à la conception, à l architecture et à la construction. Par exemple, si vous savez que votre équipe sera réduite, vous serez obligé d aller vers une amélioration des procédures et une plus grande automatisation. De la même manière, le coût sert également de motivation aux clients des services en nuage. La nature de ces contraintes tend à un développement des services dont les caractéristiques opérationnelles ne sont pas adaptées à tous les clients. Fiabilité. Cette qualité définit jusqu à quel point vous pouvez compter sur un système pour fournir les services annoncés. La fiabilité peut être vue coe la garantie que la technologie sous-jacente est capable de fournir des services. Performances. La mesure d une ou plusieurs qualités qui sont en rapport avec l utilité d un système. Par exemple, les mesures classiques comprennent la réactivité du système aux entrées et la charge qu il est capable de supporter. Le trio de la sécurité. Les principes fondamentaux de la sécurité (confidentialité, intégrité et disponibilité) s appliquent à la plupart des systèmes. L architecte sécurité doit mettre en correspondance les contrôles de sécurité et les exigences de sécurité qui sont parfois dictées par le besoin d assurer les trois autres éléments fondamentaux (fiabilité, performances et coûts). Contraintes légales et réglementaires. Les contraintes légales et réglementaires, que nous avons abordées au Chapitre 3, peuvent conduire à de nombreuses exigences supplémentaires qui sont en rapport avec, entre autres, les contrôles de sécurité techniques, les stratégies d accès et la conservation des données. Nous coençons par un domaine inhabituel des exigences sur la sécurité d un système : la sécurité physique. Mais, lorsque nous aurons terminé, vous comprendrez nos motivations.

4 94 La Sécurité dans le Cloud Sécurité physique En coençant par le bâtiment dans lequel le datacenter du Cloud est hébergé, la sécurité physique est aussi importante que tout autre contrôle qui vise à protéger la sécurité et l exploitation du Cloud. Les locaux font l objet de différentes menaces, y compris les dangers naturels, les actions humaines et les désastres. Construire le datacenter de votre Cloud dans une zone inondable est aussi imprudent qu accorder des accès privilégiés à tous les utilisateurs. L étendue des problèmes de sécurité physique est vaste et implique de nombreuses mesures pour éviter, empêcher, détecter et répondre aux accès non autorisés aux bâtiments, aux ressources ou aux informations présentes dans les locaux. La sécurité physique d un bâtiment doit être vue coe un système de protection, avec les éléments de sécurité individuels se complétant les uns les autres pour mettre en place une défense multifacette à plusieurs niveaux. Ces éléments comprennent une conception environnementale, des contrôles d accès (mécaniques, électroniques et procéduraux), une surveillance (capteurs vidéo, thermiques, de proximité), une identification du personnel avec un contrôle des accès, et une détection des intrusions associée à des systèmes de réponse (témoins, grilles, zones fermées). La sécurité physique d un bâtiment doit être constituée de couches dont chaque élément est associé à un contrôle général automatisé et à un centre de surveillance. La planification d une sécurité physique efficace implique une prise en compte approfondie des circonstances qui seront rencontrées, en incluant les activités normales et les situations imprévues. Les éléments de la sécurité physique doivent être soutenus par des procédures appropriées et mises en œuvre par un personnel professionnel expérimenté. Cette équipe de sécurité doit avoir pour mission exclusive la protection des biens et l application des procédures de sécurité physique, même en cas de désastre. Étant donné l étendue et la complexité d une planification de la sécurité physique, une bonne solution consiste à la confier à des experts expérimentés et reconnus. Nous l avons indiqué dans l introduction de cette section, il est possible que traiter des exigences de sécurité physique dans une section consacrée aux exigences de l architecture de sécurité fasse hausser quelques sourcils. Cependant, nous vivons dans un monde où la limite entre la sécurité physique et la sécurité virtuelle est de plus en plus floue. Il existe des raisons évidentes à prendre en compte la sécurité physique de notre Cloud, mais la sécurité virtuelle n en est pas moins importante. Nous le verrons à la section Surveillance de la sécurité du Chapitre 6, les capteurs environnementaux, les capteurs physiques et les images vidéo représentent des sources d information qui peuvent aider à comprendre des événements de sécurité et à éclairer des situations qui déclencheraient sinon les alarmes. Autrement dit, les données des capteurs physiques peuvent énormément profiter à la surveillance de la sécurité.

5 Chapitre 4 Exigences de sécurité pour l architecture 95 Échec mémorable En 2005, l auteur était impliqué dans la construction d un datacenter pour une grille informatique publique de taille importante. Le site se trouvait à Londres, dans une ancienne brasserie (murs très épais), avec pour voisins un bar très fréquenté et une discothèque. Les lundis matin, l équipe de construction arrivait sur le site en faisant attention aux nombreuses bouteilles de bière cassées à l entrée du bâtiment. La porte d entrée donnant sur la rue était en verre non renforcé avec un verrou automatique qui fonctionnait mal. Cet espace était gardé par une personne non armée assise derrière un bureau d accueil standard. Le garde devait appuyer sur deux boutons, le premier pour déverrouiller la porte d entrée, le second pour déverrouiller la porte intérieure du bâtiment. Sur le mur à côté du garde, un panneau à clés non fermé était accroché. Sur le bureau, un ordinateur servait à prograer les cartes d accès des locataires aux différents niveaux, pièces et bureaux du bâtiment. Les toilettes se trouvaient à l arrière, avec une fenêtre basculante au travers de laquelle un adulte pouvait facilement passer. Une échelle suffisaent haute pour atteindre la fenêtre des toilettes du premier étage était habituellement posée tout près. En résumé, ce bâtiment semblait disposer d une sécurité physique, mais elle était aussi fragile que du papier de soie et très mal structurée. En une occasion, la carte d accès de l auteur ne fonctionnait pas et interdisait l accès aux zones pourtant autorisées. Le garde en poste était nouveau. Après avoir constaté que le garde ne parvenait pas à utiliser l ordinateur pour accorder les privilèges d accès appropriés, l auteur lui a demandé s il pouvait utiliser le prograe. Étonnaent, il a répondu oui... La morale de cette histoire est qu en raison de contrôles de sécurité inadaptés au niveau des locaux la rédaction de SLA pour les locataires de ce lieu était pratiquement impossible. Normes et stratégies de sécurité du Cloud Certaines exigences de sécurité seront probablement uniques à l implémentation d un Cloud, mais il est important qu elles soient cohérentes avec les standards appropriés, coe l ISO et l ISO 27002, si vous voulez bénéficier de nombreuses expériences pratiques et de meilleures pratiques. Par ailleurs, tous les aspects de la sécurité doivent être intégrés à la stratégie de sécurité d un Cloud, qu il est préférable de concevoir sous forme d un document formel ayant reçu l approbation et la bénédiction totale de la direction. Une stratégie de sécurité sert de référence à partir de laquelle sont déduites les exigences de sécurité. Elle ne doit pas détailler les approches techniques ou architecturales, car elles risquent de changer plus fréqueent que la stratégie, mais doit présenter les exigences sousjacentes d un point de vue organisationnel ou métier. Par exemple, elle doit expliquer la nécessité d utiliser un chiffrement standard par l intermédiaire d un produit coercial qui aura été évalué, plutôt qu indiquer l utilisation de TLS (Transport Layer Security), de SSL (Secure Sockets Layer) ou de tout autre mécanisme de sécurisation des counications.

6 96 La Sécurité dans le Cloud La stratégie de sécurité doit également amener à la rédaction de plusieurs documents connexes : Un ensemble de directives pour mettre en place la sécurité dans le développement du logiciel d infrastructure, dans les procédures de gestion de l infrastructure et dans les procédures d exploitation. Une politique d utilisation acceptable pour chaque catégorie d utilisateurs, des opérations internes à l administration en passant par les locataires et les utilisateurs finaux. Ce document doit identifier les catégories d utilisations interdites, les raisons de cette interdiction et les conséquences de toute infraction. Un ensemble de normes de sécurité pour tous les aspects du Cloud, du développement à l exploitation. Vous devez y indiquer les éléments suivants : Contrôles d accès. Ils doivent être donnés à un niveau de granularité qui permet de guider la mise en œuvre des accès physiques aux bâtiments et les accès logiques aux systèmes et aux applications. Gestion et réponse aux incidents. Vous devez détailler les rôles et les responsabilités des différentes parties, ainsi que les procédures et la chronologie de la détection au rapport postmortem. Sauvegardes de la configuration du système et du réseau. Il est important de disposer d une copie actuelle et officielle de toutes les configurations, notaent des composants d infrastructure, des serveurs et des coutateurs, ainsi que de tous les systèmes hébergés. Tests de la sécurité. Le fournisseur du Cloud doit effectuer des tests initiaux et périodiques de la sécurité et documenter les résultats. Ce document doit comprendre les rôles et les responsabilités, et préciser à quel moment les tests et les comptes rendus des tiers doivent être réalisés. Chiffrement des données et des counications. Ce standard doit détailler les domaines fonctionnels (coe le trafic du serveur web), les algorithmes cryptographiques approuvés et la longueur requise pour les clés. Standards pour les mots de passe. Ce document doit préciser les caractéristiques des mots de passe acceptables, notaent leur longueur et leur forme, et la manière dont le fournisseur du Cloud en vérifiera la conformité. Surveillance en continu. Vous devez détailler la manière dont la gestion de la configuration et le contrôle des changements sont effectués de manière à garantir une sécurité permanente de la base de référence alors qu elle évolue et est mise à jour. Plusieurs autres aspects sous le contrôle du fournisseur de Cloud bénéficieront du développement de standards formels. Il s agit notaent de la fermeture des sessions inactives, de la définition des rôles et des responsabilités du personnel du Cloud, de la rotation des fonctions et de la planification des vacances, de la gestion des supports optiques et électroniques, y compris les procédures de destruction ga-

7 Chapitre 4 Exigences de sécurité pour l architecture 97 rantie pour les supports qui ne peuvent plus être effacés, du retrait ou de l utilisation hors site des équipements, de la suppression opportune des privilèges d utilisateurs, ainsi que de la reprise sur désastre et de la continuité de l activité. Exigences de sécurité du Cloud L architecture de sécurité du Cloud doit être cohérente avec les objectifs de la stratégie de sécurité. Par conséquent, la première exigence sera de développer une stratégie de sécurité pour le Cloud. La seconde sera de rédiger des formules provisoires pour chaque document et standard indiqués à la section précédente. À un certain stade, il faudra identifier les exigences préliminaires au développement de l architecture de sécurité du Cloud. Des exigences représentatives qui s appliqueront probablement à votre architecture sont données dans la suite de cette section. Synchronisation de l heure au niveau du Cloud Puisque le bon fonctionnement des systèmes et les journaux dépendent d une heure correcte, tous les systèmes doivent se synchroniser à partir de la même source de temps. En général, cela passe par la mise en place de NTP (Network Time Protocol), l un des plus anciens protocoles Internet mais toujours employé. Une heure correcte et synchronisée est extrêmement importante lorsque des ordinateurs counicants résident dans des lieux différents et que les estampilles temporelles des enregistrements et des événements doivent être synchronisées. En cas de dérive des horloges des périphériques réseau et/ou des ordinateurs, une infrastructure de Cloud est sujette à toutes sortes d erreurs difficiles à diagnostiquer. De façon générale, une information de temps exact est fournie par une autorité nationale de différentes manières, notaent par des transmissions radio, cellulaires, satellitaires ou câblées issues de serveurs de temps principaux. Elle est ensuite distribuée via des sous-réseaux NTP à des millions de serveurs secondaires et, à partir de là, aux clients finaux. NTP fournit un temps universel coordonné (UTC, Coordinated Universal Time), les informations de fuseaux horaires ou d heures d été devant être obtenues séparément. Attention Une infrastructure physique de Cloud doit disposer de sources de temps précises, fiables et vérifiables, coe WWV et GPS. Le système de gestion du temps doit se fonder sur au moins deux sources fiables pour une exploitation solide et sécurisée. Tous les ordinateurs et les périphériques réseau doivent obtenir leur information de temps pour une synchronisation parfaite et des opérations du Cloud fiables. Voici les meilleures pratiques pour la gestion de NTP : Configurer les client pour qu ils fassent référence à au moins deux serveurs de temps de manière à assurer la redondance. La synchronisation précise de l heure dépend de la fréquence à laquelle les clients actualisent leurs horloges à partir des serveurs de temps. Les sources doivent se limiter aux réseaux et aux signaux radio officiels et légaux.

8 98 La Sécurité dans le Cloud Gestion des identités Les identités constituent un élément clé de la sécurité. Ces informations doivent être correctes et disponibles à tous les éléments du Cloud qui ont des besoins de validation des accès. Voici les exigences de base : Des contrôles doivent être mis en œuvre pour protéger la confidentialité, l intégrité et la disponibilité des informations d identité. Un système de gestion des identités doit être mis en place pour prendre en charge les besoins d authentification du personnel du Cloud. Le système de gestion des identités doit pouvoir prendre en charge les besoins d authentification à grande échelle des locataires et des utilisateurs du Cloud. Il faut envisager l utilisation d un système d identités fédérées pour permettre la portabilité des identités des utilisateurs et proposer un seul mécanisme tant pour les accès internes que pour les accès des locataires et des utilisateurs. Un tel système permettra éventuellement l interopérabilité avec les fournisseurs ou les royaumes (realms) d identité de tiers et des clients. L identité des utilisateurs doit être vérifiée au moment de leur enregistrement conformément à la stratégie de sécurité et aux contraintes légales. Lorsque des identités sont supprimées, l historique des utilisateurs doit être conservé pour d éventuels besoins d enquête ultérieure. Lorsque des identités d utilisateurs sont retirées ou recyclées, vous devez vérifier que l accès accordé à un nouvel utilisateur ne concerne pas les données ou les environnements des anciens utilisateurs, ni d autres ressources d information privées. Pour cela, il faut qu au niveau approprié du système de gestion les identités des utilisateurs ne soient jamais réellement réutilisées, ce qui évitera tout conflit ou confusion. Des moyens doivent être mis en place pour que le personnel du fournisseur du Cloud puisse vérifier les déclarations d identité des clients. Gestion des accès Le contrôle des accès se fonde sur les informations d identité pour permettre et contraindre l accès à un Cloud en fonctionnement et à l infrastructure sous-jacente. Voici quelques exigences : De manière générale, le personnel du Cloud doit avoir un accès limité aux données des clients. Il peut avoir besoin d un accès à l hyperviseur d une machine allouée à un client ou aux périphériques de stockage qui héberge les machines virtuelles ou les données du client, mais un tel accès doit être sévèrement encadré et se limiter à des opérations précises parfaitement définies dans la politique de sécurité et les SLA. Vous devez mettre en place des procédures de besoin d en connaître pour le personnel du Cloud afin d éviter les opportunités inutiles d accès aux données des clients.

9 Chapitre 4 Exigences de sécurité pour l architecture 99 Les opérations qui demandent des privilèges élevés doivent faire l objet d une authentification multiple. Appliquez des contrôles de sécurité supplémentaires pour ces opérations. Vérifiez que les mécanismes d autorisation de gestion du Cloud sont restreints et qu ils n autorisent pas un accès à l ensemble du Cloud. Interdisez l usage de comptes partagés (coe celui de l administrateur) et favorisez l utilisation de sudo ou équivalent pour donner des privilèges consignés et uniquement aux membres du rôle approprié. Lors de l affectation des autorisations, le principe du moindre privilège doit être de mise. Optez pour des contrôles d accès fondés sur les rôles de manière à donner aux utilisateurs autorisés des accès qui dépendent de leurs fonctions. Mettez en place une liste blanche d adresses IP pour tous les contrôles ou les accès à distance du personnel d exploitation. Lorsqu une telle liste ne peut pas être établie, imposez un accès au travers de mécanismes supplémentaires, coe des passages renforcés au travers de proxies ou de passerelles. Astuce Dans des circonstances inhabituelles, le fournisseur du Cloud peut avoir besoin d un accès d urgence à certaines fonctions de contrôle du Cloud ou aux machines virtuelles des locataires. De manière à anticiper ces situations, vous devez envisager la mise en place d une procédure de type en cas d urgence, briser la vitre. Dans cette procédure d urgence, les contrôles de sécurité qui sont toujours en place peuvent être contournés. Une procédure brise-vitre doit être clairement définie et parfaitement comprise. Elle doit également être soigneusement documentée et testée. Une telle stratégie peut se fonder sur des comptes privilégiés prédéfinis qui doivent être employés uniquement dans des conditions précises. Toutefois, les conséquences d une telle approche peuvent être graves si les circonstances ne l exigeaient pas. Une partie de la procédure peut inclure la rédaction d un rapport formel sur les circonstances qui ont conduit à briser la vitre. Une phase de nettoyage doit également être prévue après usage de ces comptes ou procédures d urgence. Gestion des clés Dans un Cloud, le chiffrement constitue l un des principaux moyens de protéger les données lorsqu elles sont stockées et au cours des phases de stockage et de traitement. Voici les exigences quant à la gestion des clés : Des contrôles adaptés doivent être mis en place de manière à limiter l accès au système de génération des clés sur lequel le fournisseur du Cloud garde le contrôle. Vérifiez que le niveau racine et les clés de signature sont gérés de manière appropriée.

10 100 La Sécurité dans le Cloud Dans une infrastructure de Cloud multisite, la révocation des clés doit être effectuée sans effets secondaires ni délais excessifs. Des procédures doivent permettre le rétablissement lorsque des clés ont été compromises. Protégez et chiffrez les données des clients et les images des machines virtuelles à toutes les phases appropriées de leur cycle de vie. Audit du système et du réseau Les journaux d événements de sécurité du système et du réseau forment la pierre angulaire de la gestion de la sécurité courante de tout système. Dans un Cloud, des événements d audit seront générés dans des zones de confiance fondamentalement différentes. Cela va des réseaux hautement sécurisés et des composants de sécurité aux systèmes pour lesquels le prestataire de services en nuage cède un contrôle important aux locataires ou aux utilisateurs. Les événements de sécurité doivent donc être considérés avec différents degrés d intégrité. Les exigences suivantes sont essentielles à la génération et à la gestion des événements d audit : Un audit est obligatoire pour tous les systèmes en exploitation, depuis les composants système et réseau de l infrastructure jusqu aux, mais sans nécessairement les inclure, machines virtuelles des clients. Les accords de confidentialité et les contrats de service passés avec les locataires peuvent fixer la limite des données qui seront collectées dans leurs machines virtuelles et, dans de nombreux cas, sur leurs réseaux virtuels. Tous les événements de sécurité doivent être enregistrés et accompagnés des informations connexes qui permettent de les analyser. Cela doit inclure l heure exacte, un nom d hôte, des identifiants d utilisateurs, des codes d événements appropriés et les informations d aide. Les événements d audit générés doivent être consignés de manière quasi temps réel. Le bon fonctionnement de l audit et de la journalisation doit être vérifié de manière régulière à l aide de différents moyens coe heartbeat ou calland-respond. Tous les événements et les journaux d audit doivent faire l objet d une collecte permanente et centralisée de manière à garantir leur intégrité et à autoriser des alertes et une surveillance dans les délais. Tous les événements et les journaux d audit doivent être conservés et archivés de manière sécurisée pendant au moins la durée requise par la stratégie de sécurité. Cette durée doit être de préférence infinie de manière à permettre des analyses à long terme rétroactives, que ce soit dans le cadre d actions juridiques ou dans l objectif d améliorer la sécurité et sa surveillance. Pour répondre aux besoins légaux ou opérationnels confirmés des locataires ou des clients, les enregistrements d audit seront nettoyés de manière à autoriser

11 Chapitre 4 Exigences de sécurité pour l architecture 101 leur partage avec les locataires et les clients, que ce soit par l intermédiaire d un service de sécurité ou à la demande. Des contrôles doivent être mis en place pour protéger la confidentialité, l intégrité et la disponibilité des événements d audit, des journaux d audit, du système de centralisation des journaux, de l archivage, du traitement et des rapports. Surveillance de la sécurité La surveillance de la sécurité se fonde sur les journaux d audit, la surveillance de la sécurité réseau (par une inspection du trafic avec snort ou autres) et sur des données environnementales (voir la section Sécurité physique ). Voici certaines exigences pour la surveillance de la sécurité : La surveillance de la sécurité doit être un service durci et hautement disponible auquel il est possible d accéder en interne ou à distance de manière sécurisée. La surveillance de la sécurité doit comprendre les éléments suivants : La génération d alertes fondée sur la reconnaissance automatique de l existence ou de la détection d un événement de sécurité ou d une situation critique. L envoi d alertes critiques par différents moyens pour que l équipe de sécurité et la direction en soient informées promptement. Les moyens donnés au personnel de sécurité pour enquêter et suivre le déroulement d un incident ou simplement pour examiner les journaux de manière à améliorer les mécanismes d alerte ou à identifier manuellement des incidents de sécurité. Mettez en place un système de détection des intrusions ou d une anomalie au niveau du Cloud et envisagez de le fournir en tant que service pour les locataires ou les utilisateurs (la Figure 4.2 est une vue d ensemble de la gestion des événements de sécurité et de son lien avec la surveillance de la sécurité). Envisagez de fournir sous forme de PaaS (Platform-as-a-Service) ou d IaaS (Infrastructure-as-a-Service) une fonction qui permette aux clients d implémenter la détection des intrusions/anomalies et qui les autorise à envoyer des jeux d événements ou des alertes appropriés au système de surveillance de la sécurité mis en place par le fournisseur du Cloud (nous y reviendrons à la section Surveillance de la sécurité du Chapitre 6). Vérifiez que la surveillance de la sécurité est implémentée de manière fiable et correcte même en cas de dysfonctionnement dans le processus de génération des événements et de leur collecte. Les journaux de sécurité doivent être conservés de manière compatible avec la loi, la réglementation applicable et la stratégie de sécurité.

12 102 La Sécurité dans le Cloud Archivage, exploration de données, analyse des tendances Génération des événements de sécurité Collecte, filtrage et alertes Corrélation et analyse initiale Transformer un long flux d événements en un petit ensemble exploitable Connaissance de la situation Données d événements brutes Alertes simples Avertissements et indications Connaissance exploitable Portail de sécurité : interfaces de surveillance et de rapport? Résolution Surveillance Figure 4.2 Vue d ensemble de la gestion des événements de sécurité et de son rôle dans la surveillance. Gestion des incidents La gestion et la réponse aux incidents doivent être en phase avec les SLA et la politique de sécurité : Vérifiez que les incidents peuvent être gérés de manière fiable et leur impact, contenu. Une procédure formelle doit être mise en place pour détecter, identifier, confirmer et répondre aux incidents. Elle doit être détaillée de manière standard ou formelle et testée régulièrement. La gestion des incidents doit comprendre des moyens clairs et fiables qui permettent aux clients et aux locataires de signaler au fournisseur des situations ou des événements. La procédure de gestion des incidents doit comprendre des examens et des rapports périodiques. Tests de la sécurité et correction des vulnérabilités Des tests de sécurité doivent être menés sur tous les logiciels pour approbation de leur mise en production. Il est important de mettre en place des tests de vulnérabilité et d intrusion de manière quasi continue. Pour une plus grande efficacité, cette possibilité doit être coordonnée au changement de surveillance et de gestion de

13 Chapitre 4 Exigences de sécurité pour l architecture 103 configuration de manière à éviter les fausses alarmes et la réponse aux incidents. Voici quelques exigences précises : Des environnements distincts doivent être utilisés pour le développement, les tests, l activation et la mise en production de tous les logiciels et systèmes du fournisseur de Cloud, y compris la distribution des correctifs. Des procédures de gestion des correctifs doivent être définies pour tous les composants, les serveurs, les systèmes de stockage, les logiciels de virtualisation, les applications et les composants de sécurité de l infrastructure. Bien que l application des correctifs se fasse généralement sur des systèmes actifs, cette pratique est dangereuse et doit être évitée dans un Cloud en raison des mécanismes d allocation et de mise à disposition plus rapides exigés. Définissez une stratégie intégrée pour la correction des vulnérabilités ou les contrôles compensatoires qui peuvent être appliqués dans diverses circonstances, de la réponse aux menaces iédiates ou iinentes à l application de correctifs moins critiques en vue d améliorer la sécurité ou la fiabilité du Cloud. Certaines vulnérabilités viendront du logiciel d un fournisseur et demanderont des correctifs de sa part, une solution de contournement validée ou un développement maison de contrôles compensatoires. D autres vulnérabilités peuvent être apportées par le fournisseur du Cloud au travers d un logiciel personnalisé, d éléments de conception non sûrs qui ouvrent des brèches dans la sécurité ou de contrôles qui sont simplement mal configurés. La Figure 4.3 illustre une procédure que vous pouvez implémenter pour corriger les défauts de sécurité sous la responsabilité du fournisseur. Contrôles du système et du réseau Ces contrôles doivent être mis en œuvre sur les systèmes de l infrastructure, les systèmes qui hébergent les données et les applications des clients et tous les équipements réseau. Cela inclut tous les composants ou les services physiques ou virtuels. Voici quelques exigences spécifiques : Assurez l isolation, la configuration et la sécurité adaptées sur les composants de sécurité. Mettez en place une isolation réseau entre les différentes zones fonctionnelles de l infrastructure du Cloud, en coençant par implémenter des réseaux totalement distincts (y compris l utilisation d une séparation physique et une virtualisation du réseau) pour les composants accessibles publiquement (interfaces pour les hôtes de machines virtuelles et le stockage dans un Cloud public), les composants de gestion de l infrastructure et l administration du réseau et de la sécurité. Renforcez ce point en utilisant d autres contrôles réseau et des pare-feu logiciels sur les machines. Séparez les accès à la plateforme matérielle depuis le système d exploitation et depuis les machines virtuelles de manière à empêcher l utilisateur qui dispose d un accès de gestion au matériel d obtenir un accès à la machine virtuelle ou au côté accessible publiquement. L accès inverse, de la machine virtuelle à la plateforme, doit également être empêché.

14 104 La Sécurité dans le Cloud Figure 4.3 Procédure de correction de la sécurité. Découverte des vulnérabilités et/ou des exploits scans de sécurité ; tests ; examens de journaux, bogues, etc. Évaluation : impact ; gravité ; correctif, solution de contournement ; impact potentiel du correctif ; estimation de la durée ; identification des ressources. Ingénieurs du Cloud Équipe de sécurité Développement d un correctif Test du correctif Test de la sécurité Vérification du correctif Opérations Modification du contrôle Environnements de test et/ou d activation Approbation de la distribution du correctif Planification de la correction Production Les mêmes contrôles doivent également servir à renforcer l isolation des machines virtuelles actives qui appartiennent à des clients différents. Des contrôles appropriés seront implémentés de manière à garantir l intégrité des systèmes d exploitation, des images de machines virtuelles, des applications de l infrastructure, des configurations réseau et de tous les logiciels de plateforme et des données des clients. Le fournisseur du Cloud doit proposer des moyens pour examiner les mises à jour logicielles et système avant de les passer en production. Une vérification des vulnérabilités du code doit être mise en œuvre conjointement à des scanners de code malveillant et d autres outils.

15 Chapitre 4 Exigences de sécurité pour l architecture 105 Outils Entre autres usages répandus, les listes blanches sont employées dans les réseaux pour identifier les adresses IP source de confiance et dans les systèmes pour identifier les applications autorisées. En acceptant uniquement les adresses IP source qui se trouvent en liste blanche, vous pouvez effectivement rejeter tout le trafic non sûr qui provient des autres adresses IP. De manière comparable, vous pouvez circonscrire l ensemble des applications autorisées en ajoutant les produits sur liste blanche. Lorsqu une application est lancée par un utilisateur, le système consulte la liste et vérifie la validité de l exécution. Les applications peuvent être recensées avec leurs caractéristiques, coe leur taille ou leur emplacement, et toutes les autres seront explicitement refusées. Il existe plusieurs entreprises qui opèrent sur ce marché, notaent CoreTrace (http://www.coretrace.com/) avec Bouncer et Bit9 (http://www.bit9.com/) avec Parity. L emploi d une liste blanche de produits présente toutefois un inconvénient : vous devez vous assurer que toutes les applications qui devront pouvoir s exécuter sur un système sont autorisées dans cette liste et elle doit être actualisée suite à la mise à niveau d une application. Notez que ces informations peuvent également être conservées dans une CMDB et ensuite vérifiées par un script ou une application. Ces deux dernières années ont vu une augmentation de l utilisation des listes blanches de produits. Elles doivent être considérées coe un outil potentiel pour le déploiement d une infrastructure de Cloud, en particulier si vous souhaitez minimiser le nombre de mises à niveau à réaliser de manière régulière. Informations de configuration Avec une infrastructure de Cloud hautement dynamique et la mise à disposition/ retrait de machines virtuelles, il est extrêmement important qu une liste de tous les actifs du Cloud soit maintenue à jour, en y incluant les matériels, les systèmes, les logiciels, les configurations, les allocations et tous les éléments du Cloud qui sont gérés ou surveillés en exploitation. Voici les exigences associées : Les meilleures pratiques conseillent d utiliser une CMDB, un sujet sur lequel nous reviendrons à la section Importance d une CMDB. Tous les actifs et les éléments du Cloud doivent être classifiés d après leur fonction, leur sensibilité, leur caractère critique et les autres caractéristiques qui ont un impact matériel sur la gestion de leur sécurité ou sur la compréhension de leur impact sur la sécurité s ils tombent en panne ou sont compromis. Exigences générales sur la sécurité de l infrastructure Outre les contraintes de sécurité du Cloud décrites précédeent dans cette section, il existe de nombreuses exigences plus générales pour la sécurité de l infrastructure : Cherchez à exploiter les meilleures pratiques des fournisseurs et de la counauté, car elles sont issues de l expérience. Même si une bonne pratique n est pas applicable, la connaître peut déjà se révéler bénéfique.

16 106 La Sécurité dans le Cloud Par défaut, les machines virtuelles doivent être endurcies et minimisées. Les ports ouverts doivent se limiter au strict minimum pour la mise à disposition et l allocation initiale pour un client. Lorsqu une procédure opérationnelle exige l ouverture d un port, elle doit se faire uniquement face au besoin et uniquement pour la durée requise. Mettez en œuvre les moyens qui permettent d assurer la continuité de l activité conformément aux accords de niveaux de service. Vérifiez périodiquement que la perte de données maximale admissible (PDMA) et que la durée maximale d interruption admissible (DMIA) sont satisfaites. Faites en sorte que la connectivité réseau soit assurée grâce à de multiples voies d accès aux services du Cloud. Garantissez l utilisation de connexions réseau physiques et logiques diverses et redondantes. Vérifiez que la connectivité redondante ne mène pas au même point physique ou logique qui a été simplement renoé par un second fournisseur. Dans la mesure du possible, vérifiez que les liens physiques qui entrent dans le bâtiment (et, à partir de là, dans l infrastructure du Cloud) ne sont pas sujets à un point de défaillance unique en cas d événement catastrophique. Vérifiez que le bâtiment dispose d une source d alimentation suffisante et que sa distribution permette à l infrastructure de secours d entrer en action lorsque l électricité est coupée dans une partie du bâtiment. Autrement dit, le fournisseur de Cloud doit disposer d une source d alimentation suffisante pour maintenir une fonctionnalité centrale de manière à assurer une continuité d activité à distance ou pour maintenir la sécurité du bâtiment en attendant de revenir dans un état opérationnel total. Vérifiez que les adresses IP retirées internes au Cloud, coe celles affectées aux machines virtuelles d un précédent locataire, soient suffisaent anciennes avant de les recycler chez un autre utilisateur. Cela permettra d éviter que ce nouvel utilisateur n accède aux ressources de l utilisateur précédent. Attendez-vous à une innovation et à des évolutions permanentes dans l informatique en nuage et dans les technologies sous-jacentes. Prévoyez de pouvoir modifier, adapter ou étendre l infrastructure d une manière que vous n aurez pas totalement anticipée. Modèles de sécurité et éléments architecturaux Cette section étudie plusieurs modèles et éléments qui sous-tendent ou contribuent à la sécurité du Cloud. Tous les efforts consacrés à ces modèles (pattern) seront récompensés au cours de la procédure de construction et de l exploitation, et ils permettront généralement une meilleure sécurité.

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain Nacira Salvan Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN Nacira.salvan@safran.fr CRiP Thématique Sécurité de l informatique de demain 03/12/14 Agenda Quelques définitions

Plus en détail

Cloud Service Management

Cloud Service Management Cloud Service Management HEAT Help Desk SOLUTION BRIEF 1 MODERNISEZ LES OPERATIONS DE GESTION DES SERVICES ET OFFREZ PLUS DE VALEUR STRATEGIQUE A L ENTREPRISE HEAT Cloud Service Management est un ensemble

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

La situation du Cloud Computing se clarifie.

La situation du Cloud Computing se clarifie. Résumé La situation du Cloud Computing se clarifie. Depuis peu, le Cloud Computing est devenu un sujet brûlant, et à juste titre. Il permet aux entreprises de bénéficier d avantages compétitifs qui leur

Plus en détail

Conception d une infrastructure «Cloud» pertinente

Conception d une infrastructure «Cloud» pertinente Conception d une infrastructure «Cloud» pertinente Livre blanc d ENTERPRISE MANAGEMENT ASSOCIATES (EMA ) préparé pour Avocent Juillet 2010 RECHERCHE EN GESTION INFORMATIQUE, Sommaire Résumé........................................................

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie "étude de cas architecture et systèmes"

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie étude de cas architecture et systèmes Concours interne d ingénieur des systèmes d information et de communication «Session 2010» Meilleure copie "étude de cas architecture et systèmes" Note obtenue : 14,75/20 HEBERGE-TOUT Le 25 mars 2010 A

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

L'infonuagique, les opportunités et les risques v.1

L'infonuagique, les opportunités et les risques v.1 L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

UserLock Quoi de neuf dans UserLock? Version 8.5

UserLock Quoi de neuf dans UserLock? Version 8.5 UserLock Quoi de neuf dans UserLock? Version 8.5 Table des Matières 1. UserLock Version 8... 3 1.1. Le Statut utilisateur, un nouvel indicateur de risque... 3 1.2. Des alertes en temps réel contre les

Plus en détail

Windows Vista et Windows Server 2003... 15. Étude de cas... 41

Windows Vista et Windows Server 2003... 15. Étude de cas... 41 Windows Vista et Windows Server 2003... 15 Windows Vista... 16 Pourquoi Vista?... 16 L initiative pour l informatique de confiance... 17 Le cycle de développement des logiciels informatiques fiables...

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

CA Server Automation. Vue d ensemble. Avantages. agility made possible

CA Server Automation. Vue d ensemble. Avantages. agility made possible FICHE PRODUIT : CA Server Automation CA Server Automation agility made possible La solution intégrée CA Server Automation permet d automatiser le provisioning, la correction et la configuration des composants

Plus en détail

<> Description des Services gérés de Cisco

<<Service Description for Cisco Managed Services>> Description des Services gérés de Cisco Page 1 sur 18 Description des Services gérés de Cisco Le présent document décrit les éléments de service, les fonctionnalités et les composants des Services

Plus en détail

CA ARCserve D2D. Une récupération après sinistre ultra-rapide vous permet d'éviter une interruption de service. DOSSIER SOLUTION : CA ARCserve D2D r16

CA ARCserve D2D. Une récupération après sinistre ultra-rapide vous permet d'éviter une interruption de service. DOSSIER SOLUTION : CA ARCserve D2D r16 CA ARCserve D2D CA ARCserve D2D est un produit de récupération sur disque conçu pour offrir la combinaison idéale de protection et de récupération rapides, simples et fiables de vos données professionnelles.

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

Créer et partager des fichiers

Créer et partager des fichiers Créer et partager des fichiers Le rôle Services de fichiers... 246 Les autorisations de fichiers NTFS... 255 Recherche de comptes d utilisateurs et d ordinateurs dans Active Directory... 262 Délégation

Plus en détail

Cisco Unified Computing Migration and Transition Service (Migration et transition)

Cisco Unified Computing Migration and Transition Service (Migration et transition) Cisco Unified Computing Migration and Transition Service (Migration et transition) Le service Cisco Unified Computing Migration and Transition Service (Migration et transition) vous aide à migrer vos applications

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Architecture de join.me

Architecture de join.me Présentation technique de l architecture sécurisée et fiable de join.me 1 Introduction 2 Présentation de l architecture 3 Sécurité des données 4 Sécurité des sessions et du site web 5 Présentation de l

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Dépannage du réseau (S4/C8) Documenter le réseau

Dépannage du réseau (S4/C8) Documenter le réseau Dépannage du réseau (S4/C8) b Documenter le réseau Pour corriger et diagnostiquer des problèmes réseau efficacement, un ingénieur réseau doit savoir comment le réseau a été conçu et connaitre les performances

Plus en détail

Alinto Protect. Guide de l administrateur. Alinto Version 1.7

Alinto Protect. Guide de l administrateur. Alinto Version 1.7 Alinto Protect Guide de l administrateur Alinto Version 1.7 Index 1. Rappels sur Alinto Protect......................................................................... 1 1.1. Niveau 1 : relais de messagerie................................................................

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

Service de migration du centre de données Cisco

Service de migration du centre de données Cisco Service de migration du centre de données Cisco Le service Cisco Data Center Migration Service (service de migration du centre de données Cisco) permet aux entreprises et aux prestataires de services d

Plus en détail

Solution de sauvegarde pour flotte nomade

Solution de sauvegarde pour flotte nomade Solution de sauvegarde pour flotte nomade > PRÉSENTATION D OODRIVE > Les enjeux LA SOLUTION > La solution AdBackup Laptop > Sécurité et options de protection > Monitoring et services > Hébergement (mode

Plus en détail

Unitt www.unitt.com. Zero Data Loss Service (ZDLS) La meilleure arme contre la perte de données

Unitt www.unitt.com. Zero Data Loss Service (ZDLS) La meilleure arme contre la perte de données Zero Data Loss Service (ZDLS) La meilleure arme contre la perte de données La meilleure protection pour les données vitales de votre entreprise Autrefois, protéger ses données de manière optimale coûtait

Plus en détail

L iphone en entreprise Présentation de la sécurité

L iphone en entreprise Présentation de la sécurité L iphone en entreprise Présentation de la sécurité Avec iphone vous pourrez accéder de façon totalement sécurisée aux services de l entreprise tout en protégeant les données de l appareil. Vous profiterez

Plus en détail

SÉCURISER EMC VSPEX END-USER COMPUTING AVEC RSA SECURID

SÉCURISER EMC VSPEX END-USER COMPUTING AVEC RSA SECURID GUIDE DE CONCEPTION SÉCURISER EMC VSPEX END-USER COMPUTING AVEC RSA SECURID VMware Horizon View 5.2 et VMware vsphere 5.1 - Jusqu à 2 000 bureaux virtuels EMC VSPEX Résumé Le présent guide décrit les composants

Plus en détail

Objectifs et gestion de la sécurité

Objectifs et gestion de la sécurité INF4470 : Fiabilité et sécurité informatique Par Eric Gingras Hiver 2010 Objectifs et gestion de la sécurité Qu'est ce que la sécurité? «Situation où l'on a aucun danger à craindre.» (dictionnaire Larousse)

Plus en détail

LAN Intégré : accéder

LAN Intégré : accéder LAN Intégré : accéder accédez à votre réseau local sans contrainte de lieu ni de temps La solution WLAN (Wireless Local Area Network) pour réseaux locaux sans fil fonctionne de la même manière que les

Plus en détail

Atteindre la flexibilité métier grâce au data center agile

Atteindre la flexibilité métier grâce au data center agile Atteindre la flexibilité métier grâce au data center agile Aperçu : Permettre l agilité du data-center La flexibilité métier est votre objectif primordial Dans le monde d aujourd hui, les clients attendent

Plus en détail

Virtual Data Center d Interoute. Prenez la main sur votre Cloud.

Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Faites évoluer vos ressources informatiques à la demande Choisissez la localisation d hébergement de vos données en Europe Le réseau européen

Plus en détail

Sélectionner la bonne base de données de gestion de configurations pour mettre en place une plate-forme efficace de gestion de services.

Sélectionner la bonne base de données de gestion de configurations pour mettre en place une plate-forme efficace de gestion de services. Solutions de Service Management Guide d achat Sélectionner la bonne base de données de gestion de configurations pour mettre en place une plate-forme efficace de gestion de services. Aujourd hui, toutes

Plus en détail

Ce tutorial est un document pas à pas détaillé de la création et le déploiement d un domaine traitant sur :

Ce tutorial est un document pas à pas détaillé de la création et le déploiement d un domaine traitant sur : 1. Présentation 1.1.Introduction Ce tutorial est un document pas à pas détaillé de la création et le déploiement d un domaine traitant sur : Installation Active Directory. Configuration du DNS. Configuration

Plus en détail

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement COREYE CACHE Solution d absorption de charge pour une disponibilité et une performance optimales des applications Web En bref Architecture technique La plateforme Coreye Cache délivre la majeure partie

Plus en détail

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée

Plus en détail

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2 Module 1 Introduction à la gestion de l environnement Windows Server 2008 R2 Vue d ensemble du module Rôles serveur Utilisation des outils d administration Microsoft Windows Server 2008 R2 Utilisation

Plus en détail

Pandémie : comment assurer la continuité d activité de l entreprise?

Pandémie : comment assurer la continuité d activité de l entreprise? Pandémie : comment assurer la continuité d activité de l entreprise? Les entreprises françaises sont peu préparées à affronter une éventuelle pandémie Le concept de plan de continuité d activité n est

Plus en détail

Livre banc. Contrôle de trajet dynamique : la base de votre WAN hybride

Livre banc. Contrôle de trajet dynamique : la base de votre WAN hybride Contrôle de trajet dynamique : la base de votre WAN hybride Le réseau étendu (WAN, wide area network) a connu bien peu d innovations pendant une grande partie de la dernière décennie. Alors que le reste

Plus en détail

Module 197 Développer et implanter un concept de gestion des versions et des configurations

Module 197 Développer et implanter un concept de gestion des versions et des configurations Module 197 Développer et implanter un concept de gestion des versions et des configurations Copyright IDEC 2002-2009. Reproduction interdite. Sommaire Introduction... 3 Délimitation du domaine... 3 Fonctions

Plus en détail

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et l'anglais. L'étudiant a le choix entre deux filières

Plus en détail

La sécurité dans le Cloud v.8

La sécurité dans le Cloud v.8 La sécurité dans le Cloud v.8 Octobre 2011 Présenté au CQSI 2011 Tactika inc. clement.gagnon@tactika.com www.tactika.com @tactika Contenu de la conférence 1. Concept du Cloud Computing 2. Risques : menaces,

Plus en détail

Business Central Wireless Manager

Business Central Wireless Manager Business Central Wireless Manager Guide de présentation Sommaire CATÉGORIE DE PRODUIT... 3 PRÉSENTATION... 3 PRÉSENTATION DE BUSINESS CENTRAL... 3 FONCTIONNALITÉS ET ATOUTS... 4 POINTS D ACCÈS WIFI PRIS

Plus en détail

Système de vidéosurveillance Guide de configuration

Système de vidéosurveillance Guide de configuration Guide de configuration Introduction Les technologies de vidéosurveillance ne sont plus considérées comme «nouvelles» de nos jours, puisque l on enregistre et archive des vidéos depuis maintenant de nombreuses

Plus en détail

GESTION DU RÉSEAU DANS LES ENVIRONNEMENTS DISTRIBUÉS. Défis et Opportunités pour l Entreprise

GESTION DU RÉSEAU DANS LES ENVIRONNEMENTS DISTRIBUÉS. Défis et Opportunités pour l Entreprise GESTION DU RÉSEAU DANS LES ENVIRONNEMENTS DISTRIBUÉS Défis et Opportunités pour l Entreprise I. INTRODUCTION Le développement des réseaux ne se limite pas à leur taille et à leurs capacités, il concerne

Plus en détail

ITIL Gestion de la continuité des services informatiques

ITIL Gestion de la continuité des services informatiques ITIL Gestion de la continuité des services informatiques Sommaire 1 GENERALITES 3 2 PRESENTATION DE LA PRESTATION 3 3 MODALITES DE LA PRESTATION 6 Page 2 1 Généralités Nous utilisons les meilleures pratiques

Plus en détail

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive www.adbackup-corporatesolutions.com

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive www.adbackup-corporatesolutions.com AdBackup Laptop Solution de sauvegarde pour flotte nomade Société Oodrive www.adbackup-corporatesolutions.com Sommaire Présentation d Oodrive...3 Carte d identité...3 Références clients...3 Les enjeux...4

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Cinq principes fondamentaux

Cinq principes fondamentaux Cinq principes fondamentaux de la protection moderne des données David Davis vexpert Veeam Backup & Replication 6.5 Encore plus IMPRESSIONNANT! Veeam permet une protection des données puissante, facile

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Ceano. Un Partenariat plus simple. 1 plateforme unique pour une IT facile. 1 collaboration d équipe facilitée

Ceano. Un Partenariat plus simple. 1 plateforme unique pour une IT facile. 1 collaboration d équipe facilitée Ceano 1 plateforme unique pour une IT facile Mise à disposition des services en temps réel Facturation unique Gestion optimisée des ressources Services Cloud sur demande Voix et Voix sur IP Connectivité

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

Sauvegarde et restauration en environnement VMware avec Avamar 6.0

Sauvegarde et restauration en environnement VMware avec Avamar 6.0 Livre blanc Sauvegarde et restauration en environnement VMware avec Avamar 6.0 Analyse détaillée Résumé Dans les entreprises, les environnements virtuels sont de plus en plus déployés dans le cloud. La

Plus en détail

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente Traçabilité des administrateurs internes et externes : une garantie pour la conformité Marc BALASKO Ingénieur Avant-vente Quelles normes? Sécurité des données des titulaires de cartes bancaires Régulation

Plus en détail

IBM Managed Security Services for Network Firewalls

IBM Managed Security Services for Network Firewalls Description des services IBM Managed Security Services for Network Firewalls 1. Nature des services Les services IBM Managed Security Services for Network Firewalls (appelés «Services MSS for Network Firewalls»)

Plus en détail

Next Generation Networking. Solutions proposées aux défis des détaillants. Livre blanc

Next Generation Networking. Solutions proposées aux défis des détaillants. Livre blanc Next Generation Networking Solutions proposées aux défis des détaillants Livre blanc Introduction Aujourd hui plus que jamais, les détaillants dépendent d Internet pour connecter un grand nombre de sites

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

RESUME DES NORMES ISO

RESUME DES NORMES ISO RESUME DES NORMES ISO Travail réalisé par : Selma FERKOUS O8301 ISO 19011 : La norme internationale ISO 9011, se focalise sur le management de programmes d audit, la réalisation d audits internes ou externes

Plus en détail

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service Solutions de gestion des actifs et services Au service de vos objectifs d entreprise Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Plus en détail

Planifier la migration des applications d entreprise dans le nuage

Planifier la migration des applications d entreprise dans le nuage TM Planifier la migration des applications d entreprise dans le nuage Guide de vos options de migration : nuage privé et public, critères d évaluation des applications et meilleures pratiques de migration

Plus en détail

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Date : 2010-09-08 Référence 20100906-CSPN-CibleSécurité-V1.1.doc VALIDITE DU DOCUMENT Identification Client Projet Fournisseur

Plus en détail

Guide de l utilisateur de Cisco IP Phone Messenger et Cisco Unified Presence version 7.0

Guide de l utilisateur de Cisco IP Phone Messenger et Cisco Unified Presence version 7.0 Guide de l utilisateur de Cisco IP Phone Messenger et Cisco Unified Presence version 7.0 INCLUANT LA LICENCE ET LA GARANTIE Siège social aux États-Unis Cisco Systems, Inc. 170 West Tasman Drive San Jose,

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

Note de mise en œuvre

Note de mise en œuvre Note de mise en œuvre Objet : Tenue des données par les institutions appliquant l approche standard ou une approche de mesure avancée (AMA) Catégorie : Fonds propres N o : A & A-1 Date : Mai 2006 I. Introduction

Plus en détail

Gestion des fichiers journaux

Gestion des fichiers journaux Gestion des fichiers journaux Jean-Marc Robert Génie logiciel et des TI Surveillance et audit Afin de s assurer de l efficacité des moyens de protection et de contrôle, il faut mettre en place des moyens

Plus en détail

IBM Tivoli Storage Manager

IBM Tivoli Storage Manager Maintenir la continuité des affaires grâce à une gestion efficace et performante du stockage IBM Tivoli Storage Manager POINTS FORTS Accroît la continuité des affaires en réduisant les temps de sauvegarde

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

2013/2014. Nathan RENAULT BTS SIO SISR

2013/2014. Nathan RENAULT BTS SIO SISR 2013/2014 Nathan RENAULT Sommaire I. Active Directory (A.D.) a. Promotion du Windows Serveur en contrôleur de domaine b. Ajouts des rôles au contrôleur de domaine c. Consoles d administration MMC d. Utilisateurs

Plus en détail

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008

Plus en détail

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Exemple d examen EXIN Cloud Computing Foundation Édition Septembre 2012 Droits d auteur 2012 EXIN Tous droits réservés. Aucune partie de cette publication ne saurait être publiée, reproduite, copiée, entreposée

Plus en détail

AlarmLink DE LA MENACE A LA PRESTATION DE SECOURS SANS DETOUR SUR ET RAPIDE

AlarmLink DE LA MENACE A LA PRESTATION DE SECOURS SANS DETOUR SUR ET RAPIDE AlarmLink DE LA MENACE A LA PRESTATION DE SECOURS SANS DETOUR SUR ET RAPIDE 2 De la menace à la prestation de secours: toutes les instances participant au processus d alarme peuvent accéder à la plate-forme

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Security Intelligence Platform 4.0.5 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Présentation de la société. Aout 2011

Présentation de la société. Aout 2011 Présentation de la société Aout 2011 En quelques mots SonicWALL Inc, (Nasdaq SNWL), est un leader mondial de solutions intelligentes de sécurité des réseaux et de protection de données. Fournisseur de

Plus en détail

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization)

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization) Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization) Préparé par : Zeus Kerravala Les cinq raisons majeures pour déployer SDN et NFV NetworkWorld,

Plus en détail

Architecte d infrastructures informatiques

Architecte d infrastructures informatiques Architecte d infrastructures informatiques E1C23 Infrastructures informatiques - IR L architecte d infrastructures informatiques pilote la conception, le déploiement et la mise en oeuvre d'architectures

Plus en détail

ComplianceSP TM sur SharePoint 2010 CONTRÔLE CONFORMITÉ PERFORMANCES

ComplianceSP TM sur SharePoint 2010 CONTRÔLE CONFORMITÉ PERFORMANCES TM ComplianceSP TM sur SharePoint 2010 Gestion complète de documents et processus des sciences de la vie sur SharePoint 2010 CONTRÔLE CONFORMITÉ PERFORMANCES Aperçu Consciente de la pression croissante

Plus en détail

GUIDE DE DEMARRAGE RAPIDE 4.5. FileAudit VERSION. www.isdecisions.com

GUIDE DE DEMARRAGE RAPIDE 4.5. FileAudit VERSION. www.isdecisions.com GUIDE DE DEMARRAGE RAPIDE FileAudit 4.5 VERSION www.isdecisions.com Introduction FileAudit surveille l accès ou les tentatives d accès aux fichiers et répertoires sensibles stockés sur vos systèmes Windows.

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France Sommaire Cloud Computing Retours sur quelques notions Quelques chiffres Offre e need e need Services e need Store

Plus en détail

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS KASPERSKY SECURITY FOR BUSINESS IDENTIFIER. CONTRÔLER. PROTÉGER. Guide de migration RENOUVELLEMENTS ET MISES À NIVEAU DES LICENCES : Guide de migration PRÉSENTATION DE LA NOUVELLE GAMME ENDPOINT SECURITY

Plus en détail

Réf. 2402 Implémentation et gestion de Microsoft Exchange Server 2003

Réf. 2402 Implémentation et gestion de Microsoft Exchange Server 2003 Public Ce cours est destiné aux informaticiens qui gèrent une messagerie électronique dans un environnement comprenant entre 250 et 5000 utilisateurs, réparti sur de nombreux sites, utilisant divers protocoles

Plus en détail

Administration et sécurité des réseaux M&K ELHDHILI

Administration et sécurité des réseaux M&K ELHDHILI Administration et sécurité des réseaux 1 Plan du cours Chapitre 1: Introduction à l administration des réseaux Domaines d activités Organisation logique (criètères, types de décisions ) Architectures et

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Security Center Plate-forme de sécurité unifiée

Security Center Plate-forme de sécurité unifiée Security Center Plate-forme de sécurité unifiée Reconnaissance automatique de plaques d immatriculation Vidéosurveillance Contrôle d accès Solutions innovatrices Tout simplement puissant. Le Security Center

Plus en détail

Security Service de Services sécurité. Protocole de surveillance des alarmes de sécurité

Security Service de Services sécurité. Protocole de surveillance des alarmes de sécurité Security Service de Services sécurité Protocole de surveillance des alarmes de sécurité TABLE DES MATIÈRES 1.0 BUT... Page 1 2.0 PORTÉE.. Page 1 3.0 DÉFINITIONS Page 1 4.0 PROTOCOLE 4.1 Généralités.. Page

Plus en détail

La Continuité d Activité

La Continuité d Activité La virtualisation VMware vsphere au service de La Continuité d Activité La virtualisation VMware vsphere La virtualisation et la Continuité d Activité La virtualisation et le Plan de Secours Informatique

Plus en détail

Outils logiciels SPC - une façon simple d optimiser les performances et la protection

Outils logiciels SPC - une façon simple d optimiser les performances et la protection Outils logiciels SPC - une façon simple d optimiser les performances et la protection SPC - Étendre l art moderne de la détection d intrusion www.spc-intruder-detection.com Answers for infrastructure.

Plus en détail

EMC Data Domain Boost for

EMC Data Domain Boost for EMC Data Domain Boost for Symantec Backup Exec Augmentez vos performances de sauvegarde grâce à une intégration avancée dans OpenStorage Avantages clés Sauvegardes plus rapides et meilleure utilisation

Plus en détail

C2O, une plate-forme de gestion et d automatisation de process

C2O, une plate-forme de gestion et d automatisation de process C2O, une plate-forme de gestion et d automatisation de process AVANTAGE PRODUCTION Siège social : 15 rue ampère - 60800 Crépy en Valois Tel: + 33 (0)1 76 77 26 00 - info@avantageproduction.com SARL au

Plus en détail