Architecture de sécurité

Dimension: px
Commencer à balayer dès la page:

Download "Architecture de sécurité"

Transcription

1 4 Architecture de sécurité Le Chapitre 2 a donné la définition du NITS (National Institute of Standards and Technology) pour l informatique en nuage : modèle des systèmes d information qui autorise un accès réseau pratique et à la demande à des ressources de calcul configurables partagées qui peuvent être mises à disposition et retirées rapidement avec un travail de gestion ou une intervention du fournisseur de service minimal [11]. Mais coent cela se traduit-il lors de la mise en place d un Cloud? À un niveau élevé, un datacenter (prise en charge de l infrastructure), du matériel (serveurs, systèmes de stockage et réseau), tout un ensemble de logiciels de support, une équipe aux compétences larges et approfondies, et des procédures sont là pour que cela fonctionne. La Figure 4.1 illustre cette vue d ensemble des éléments. Stockage Serveurs Câblage Datacenter géant Coutateurs réseau Racks Planification Logiciel Alimentation fiable Procédures Logiciel Serveurs (matériel) Présenté coe un Cloud Orchestration Virtualisation Stockage (matériel) Réseau (matériel) Internet ou réseau privé Stratégies Datacenter Architecture Figure 4.1 Architecture et implémentation d un Cloud.

2 92 La Sécurité dans le Cloud L exploitation sécurisée et efficace d un Cloud implique une planification préalable importante. À un niveau élevé, nous avons un datacenter et des connexions Internet redondantes qui donnent accès à l entrée d un Cloud. Cette entrée représente la partie technologique d un périmètre de sécurité des informations 1 constituée de périphériques réseau qui apportent des counications sécurisées. Voici la définition qu en donne le NIST : La procédure d affectation unique de ressources informatiques à un système d information définit le périmètre de sécurité de ce système. [26] À l intérieur de ce périmètre, nous trouvons de nombreux équipements placés en racks et câblés conformément à des modèles définis. Une infrastructure est également nécessaire pour gérer le Cloud et ses ressources pendant son fonctionnement. En allant plus loin, chaque composant (serveurs, stockage et réseau) demande un certain niveau de configuration. Cette vue d ensemble est celle de nombreux composants organisés en partie selon des modèles visuellement évidents. Lors de la conception ou de la planification d un système complexe, il est important de voir plus loin et d envisager les processus et les procédures qui seront nécessaires à son exploitation. Bien qu il soit possible de construire un petit Cloud sans passer trop de temps en planification, tout Cloud de taille moins modeste exige une planification et une conception importantes. Tout manque de planification conduira inévitablement à des coûts récurrents plus élevés en raison de l inefficacité de la conception et des procédures, ainsi que d une exploitation décalée par rapport aux besoins de gestion d un Cloud fortement dynamique. D accord, mais qu est-ce qu une planification appropriée? Une planification trop poussée conduit souvent à une mauvaise interprétation du futur et peut demander par la suite un travail de refonte important à un coût excessif. Mais ne pas anticiper les modifications mène droit dans le mur. Une meilleure approche implique une architecture prudente qui tient compte d un inévitable besoin d évolution et conserve la souplesse nécessaire à des adaptations. À la section Le Cloud amène à de vastes changements du Chapitre 1, nous avons expliqué que le Cloud présente des avantages qui vont vers la simplification du système informatique. À la section Architecture de référence d un Cloud du Chapitre 2, nous avons examiné les accès en libre-service et à la demande aux services du Cloud. Si le Cloud veut tenir ces promesses, l architecture doit être conçue et planifiée en conséquence. Dans ce chapitre, nous détaillons les composants architecturaux qui permettent de construire un Cloud, en gardant la sécurité à l esprit. Nous coençons par identifier les exigences d une architecture de Cloud sécurisé, ainsi que les modèles et les éléments architecturaux fondamentaux. Nous présenterons et étudierons ensuite plusieurs architectures de Cloud en regard de ces bases. Nous conclurons ce chapitre par une brève présentation des stratégies clés dans une exploitation sécurisée. 1. Un périmètre de sécurité peut être défini par l ensemble de systèmes et de composants qui se trouvent sous une même responsabilité d administration.

3 Chapitre 4 Exigences de sécurité pour l architecture 93 Bien que ce contenu se focalise sur un travail qui reste de la responsabilité du fournisseur de services en nuage, les locataires endossent souvent le rôle de fournisseur de services pour d autres utilisateurs et sont donc concernés. Exigences de sécurité pour l architecture Entre autres objectifs, l architecture doit être en mesure de répondre aux besoins. Cette section passe en revue les exigences architecturales d une implémentation de Cloud type. Plusieurs éléments motiveront ces exigences : Coûts et ressources. Les ressources financières du fournisseur de Cloud vont délimiter ses possibilités d investissements dans les technologies, notaent dans les contrôles de sécurité. Toutefois, il est important de reconnaître que des ressources limitées vont obliger à bien réfléchir à la conception, à l architecture et à la construction. Par exemple, si vous savez que votre équipe sera réduite, vous serez obligé d aller vers une amélioration des procédures et une plus grande automatisation. De la même manière, le coût sert également de motivation aux clients des services en nuage. La nature de ces contraintes tend à un développement des services dont les caractéristiques opérationnelles ne sont pas adaptées à tous les clients. Fiabilité. Cette qualité définit jusqu à quel point vous pouvez compter sur un système pour fournir les services annoncés. La fiabilité peut être vue coe la garantie que la technologie sous-jacente est capable de fournir des services. Performances. La mesure d une ou plusieurs qualités qui sont en rapport avec l utilité d un système. Par exemple, les mesures classiques comprennent la réactivité du système aux entrées et la charge qu il est capable de supporter. Le trio de la sécurité. Les principes fondamentaux de la sécurité (confidentialité, intégrité et disponibilité) s appliquent à la plupart des systèmes. L architecte sécurité doit mettre en correspondance les contrôles de sécurité et les exigences de sécurité qui sont parfois dictées par le besoin d assurer les trois autres éléments fondamentaux (fiabilité, performances et coûts). Contraintes légales et réglementaires. Les contraintes légales et réglementaires, que nous avons abordées au Chapitre 3, peuvent conduire à de nombreuses exigences supplémentaires qui sont en rapport avec, entre autres, les contrôles de sécurité techniques, les stratégies d accès et la conservation des données. Nous coençons par un domaine inhabituel des exigences sur la sécurité d un système : la sécurité physique. Mais, lorsque nous aurons terminé, vous comprendrez nos motivations.

4 94 La Sécurité dans le Cloud Sécurité physique En coençant par le bâtiment dans lequel le datacenter du Cloud est hébergé, la sécurité physique est aussi importante que tout autre contrôle qui vise à protéger la sécurité et l exploitation du Cloud. Les locaux font l objet de différentes menaces, y compris les dangers naturels, les actions humaines et les désastres. Construire le datacenter de votre Cloud dans une zone inondable est aussi imprudent qu accorder des accès privilégiés à tous les utilisateurs. L étendue des problèmes de sécurité physique est vaste et implique de nombreuses mesures pour éviter, empêcher, détecter et répondre aux accès non autorisés aux bâtiments, aux ressources ou aux informations présentes dans les locaux. La sécurité physique d un bâtiment doit être vue coe un système de protection, avec les éléments de sécurité individuels se complétant les uns les autres pour mettre en place une défense multifacette à plusieurs niveaux. Ces éléments comprennent une conception environnementale, des contrôles d accès (mécaniques, électroniques et procéduraux), une surveillance (capteurs vidéo, thermiques, de proximité), une identification du personnel avec un contrôle des accès, et une détection des intrusions associée à des systèmes de réponse (témoins, grilles, zones fermées). La sécurité physique d un bâtiment doit être constituée de couches dont chaque élément est associé à un contrôle général automatisé et à un centre de surveillance. La planification d une sécurité physique efficace implique une prise en compte approfondie des circonstances qui seront rencontrées, en incluant les activités normales et les situations imprévues. Les éléments de la sécurité physique doivent être soutenus par des procédures appropriées et mises en œuvre par un personnel professionnel expérimenté. Cette équipe de sécurité doit avoir pour mission exclusive la protection des biens et l application des procédures de sécurité physique, même en cas de désastre. Étant donné l étendue et la complexité d une planification de la sécurité physique, une bonne solution consiste à la confier à des experts expérimentés et reconnus. Nous l avons indiqué dans l introduction de cette section, il est possible que traiter des exigences de sécurité physique dans une section consacrée aux exigences de l architecture de sécurité fasse hausser quelques sourcils. Cependant, nous vivons dans un monde où la limite entre la sécurité physique et la sécurité virtuelle est de plus en plus floue. Il existe des raisons évidentes à prendre en compte la sécurité physique de notre Cloud, mais la sécurité virtuelle n en est pas moins importante. Nous le verrons à la section Surveillance de la sécurité du Chapitre 6, les capteurs environnementaux, les capteurs physiques et les images vidéo représentent des sources d information qui peuvent aider à comprendre des événements de sécurité et à éclairer des situations qui déclencheraient sinon les alarmes. Autrement dit, les données des capteurs physiques peuvent énormément profiter à la surveillance de la sécurité.

5 Chapitre 4 Exigences de sécurité pour l architecture 95 Échec mémorable En 2005, l auteur était impliqué dans la construction d un datacenter pour une grille informatique publique de taille importante. Le site se trouvait à Londres, dans une ancienne brasserie (murs très épais), avec pour voisins un bar très fréquenté et une discothèque. Les lundis matin, l équipe de construction arrivait sur le site en faisant attention aux nombreuses bouteilles de bière cassées à l entrée du bâtiment. La porte d entrée donnant sur la rue était en verre non renforcé avec un verrou automatique qui fonctionnait mal. Cet espace était gardé par une personne non armée assise derrière un bureau d accueil standard. Le garde devait appuyer sur deux boutons, le premier pour déverrouiller la porte d entrée, le second pour déverrouiller la porte intérieure du bâtiment. Sur le mur à côté du garde, un panneau à clés non fermé était accroché. Sur le bureau, un ordinateur servait à prograer les cartes d accès des locataires aux différents niveaux, pièces et bureaux du bâtiment. Les toilettes se trouvaient à l arrière, avec une fenêtre basculante au travers de laquelle un adulte pouvait facilement passer. Une échelle suffisaent haute pour atteindre la fenêtre des toilettes du premier étage était habituellement posée tout près. En résumé, ce bâtiment semblait disposer d une sécurité physique, mais elle était aussi fragile que du papier de soie et très mal structurée. En une occasion, la carte d accès de l auteur ne fonctionnait pas et interdisait l accès aux zones pourtant autorisées. Le garde en poste était nouveau. Après avoir constaté que le garde ne parvenait pas à utiliser l ordinateur pour accorder les privilèges d accès appropriés, l auteur lui a demandé s il pouvait utiliser le prograe. Étonnaent, il a répondu oui... La morale de cette histoire est qu en raison de contrôles de sécurité inadaptés au niveau des locaux la rédaction de SLA pour les locataires de ce lieu était pratiquement impossible. Normes et stratégies de sécurité du Cloud Certaines exigences de sécurité seront probablement uniques à l implémentation d un Cloud, mais il est important qu elles soient cohérentes avec les standards appropriés, coe l ISO et l ISO 27002, si vous voulez bénéficier de nombreuses expériences pratiques et de meilleures pratiques. Par ailleurs, tous les aspects de la sécurité doivent être intégrés à la stratégie de sécurité d un Cloud, qu il est préférable de concevoir sous forme d un document formel ayant reçu l approbation et la bénédiction totale de la direction. Une stratégie de sécurité sert de référence à partir de laquelle sont déduites les exigences de sécurité. Elle ne doit pas détailler les approches techniques ou architecturales, car elles risquent de changer plus fréqueent que la stratégie, mais doit présenter les exigences sousjacentes d un point de vue organisationnel ou métier. Par exemple, elle doit expliquer la nécessité d utiliser un chiffrement standard par l intermédiaire d un produit coercial qui aura été évalué, plutôt qu indiquer l utilisation de TLS (Transport Layer Security), de SSL (Secure Sockets Layer) ou de tout autre mécanisme de sécurisation des counications.

6 96 La Sécurité dans le Cloud La stratégie de sécurité doit également amener à la rédaction de plusieurs documents connexes : Un ensemble de directives pour mettre en place la sécurité dans le développement du logiciel d infrastructure, dans les procédures de gestion de l infrastructure et dans les procédures d exploitation. Une politique d utilisation acceptable pour chaque catégorie d utilisateurs, des opérations internes à l administration en passant par les locataires et les utilisateurs finaux. Ce document doit identifier les catégories d utilisations interdites, les raisons de cette interdiction et les conséquences de toute infraction. Un ensemble de normes de sécurité pour tous les aspects du Cloud, du développement à l exploitation. Vous devez y indiquer les éléments suivants : Contrôles d accès. Ils doivent être donnés à un niveau de granularité qui permet de guider la mise en œuvre des accès physiques aux bâtiments et les accès logiques aux systèmes et aux applications. Gestion et réponse aux incidents. Vous devez détailler les rôles et les responsabilités des différentes parties, ainsi que les procédures et la chronologie de la détection au rapport postmortem. Sauvegardes de la configuration du système et du réseau. Il est important de disposer d une copie actuelle et officielle de toutes les configurations, notaent des composants d infrastructure, des serveurs et des coutateurs, ainsi que de tous les systèmes hébergés. Tests de la sécurité. Le fournisseur du Cloud doit effectuer des tests initiaux et périodiques de la sécurité et documenter les résultats. Ce document doit comprendre les rôles et les responsabilités, et préciser à quel moment les tests et les comptes rendus des tiers doivent être réalisés. Chiffrement des données et des counications. Ce standard doit détailler les domaines fonctionnels (coe le trafic du serveur web), les algorithmes cryptographiques approuvés et la longueur requise pour les clés. Standards pour les mots de passe. Ce document doit préciser les caractéristiques des mots de passe acceptables, notaent leur longueur et leur forme, et la manière dont le fournisseur du Cloud en vérifiera la conformité. Surveillance en continu. Vous devez détailler la manière dont la gestion de la configuration et le contrôle des changements sont effectués de manière à garantir une sécurité permanente de la base de référence alors qu elle évolue et est mise à jour. Plusieurs autres aspects sous le contrôle du fournisseur de Cloud bénéficieront du développement de standards formels. Il s agit notaent de la fermeture des sessions inactives, de la définition des rôles et des responsabilités du personnel du Cloud, de la rotation des fonctions et de la planification des vacances, de la gestion des supports optiques et électroniques, y compris les procédures de destruction ga-

7 Chapitre 4 Exigences de sécurité pour l architecture 97 rantie pour les supports qui ne peuvent plus être effacés, du retrait ou de l utilisation hors site des équipements, de la suppression opportune des privilèges d utilisateurs, ainsi que de la reprise sur désastre et de la continuité de l activité. Exigences de sécurité du Cloud L architecture de sécurité du Cloud doit être cohérente avec les objectifs de la stratégie de sécurité. Par conséquent, la première exigence sera de développer une stratégie de sécurité pour le Cloud. La seconde sera de rédiger des formules provisoires pour chaque document et standard indiqués à la section précédente. À un certain stade, il faudra identifier les exigences préliminaires au développement de l architecture de sécurité du Cloud. Des exigences représentatives qui s appliqueront probablement à votre architecture sont données dans la suite de cette section. Synchronisation de l heure au niveau du Cloud Puisque le bon fonctionnement des systèmes et les journaux dépendent d une heure correcte, tous les systèmes doivent se synchroniser à partir de la même source de temps. En général, cela passe par la mise en place de NTP (Network Time Protocol), l un des plus anciens protocoles Internet mais toujours employé. Une heure correcte et synchronisée est extrêmement importante lorsque des ordinateurs counicants résident dans des lieux différents et que les estampilles temporelles des enregistrements et des événements doivent être synchronisées. En cas de dérive des horloges des périphériques réseau et/ou des ordinateurs, une infrastructure de Cloud est sujette à toutes sortes d erreurs difficiles à diagnostiquer. De façon générale, une information de temps exact est fournie par une autorité nationale de différentes manières, notaent par des transmissions radio, cellulaires, satellitaires ou câblées issues de serveurs de temps principaux. Elle est ensuite distribuée via des sous-réseaux NTP à des millions de serveurs secondaires et, à partir de là, aux clients finaux. NTP fournit un temps universel coordonné (UTC, Coordinated Universal Time), les informations de fuseaux horaires ou d heures d été devant être obtenues séparément. Attention Une infrastructure physique de Cloud doit disposer de sources de temps précises, fiables et vérifiables, coe WWV et GPS. Le système de gestion du temps doit se fonder sur au moins deux sources fiables pour une exploitation solide et sécurisée. Tous les ordinateurs et les périphériques réseau doivent obtenir leur information de temps pour une synchronisation parfaite et des opérations du Cloud fiables. Voici les meilleures pratiques pour la gestion de NTP : Configurer les client pour qu ils fassent référence à au moins deux serveurs de temps de manière à assurer la redondance. La synchronisation précise de l heure dépend de la fréquence à laquelle les clients actualisent leurs horloges à partir des serveurs de temps. Les sources doivent se limiter aux réseaux et aux signaux radio officiels et légaux.

8 98 La Sécurité dans le Cloud Gestion des identités Les identités constituent un élément clé de la sécurité. Ces informations doivent être correctes et disponibles à tous les éléments du Cloud qui ont des besoins de validation des accès. Voici les exigences de base : Des contrôles doivent être mis en œuvre pour protéger la confidentialité, l intégrité et la disponibilité des informations d identité. Un système de gestion des identités doit être mis en place pour prendre en charge les besoins d authentification du personnel du Cloud. Le système de gestion des identités doit pouvoir prendre en charge les besoins d authentification à grande échelle des locataires et des utilisateurs du Cloud. Il faut envisager l utilisation d un système d identités fédérées pour permettre la portabilité des identités des utilisateurs et proposer un seul mécanisme tant pour les accès internes que pour les accès des locataires et des utilisateurs. Un tel système permettra éventuellement l interopérabilité avec les fournisseurs ou les royaumes (realms) d identité de tiers et des clients. L identité des utilisateurs doit être vérifiée au moment de leur enregistrement conformément à la stratégie de sécurité et aux contraintes légales. Lorsque des identités sont supprimées, l historique des utilisateurs doit être conservé pour d éventuels besoins d enquête ultérieure. Lorsque des identités d utilisateurs sont retirées ou recyclées, vous devez vérifier que l accès accordé à un nouvel utilisateur ne concerne pas les données ou les environnements des anciens utilisateurs, ni d autres ressources d information privées. Pour cela, il faut qu au niveau approprié du système de gestion les identités des utilisateurs ne soient jamais réellement réutilisées, ce qui évitera tout conflit ou confusion. Des moyens doivent être mis en place pour que le personnel du fournisseur du Cloud puisse vérifier les déclarations d identité des clients. Gestion des accès Le contrôle des accès se fonde sur les informations d identité pour permettre et contraindre l accès à un Cloud en fonctionnement et à l infrastructure sous-jacente. Voici quelques exigences : De manière générale, le personnel du Cloud doit avoir un accès limité aux données des clients. Il peut avoir besoin d un accès à l hyperviseur d une machine allouée à un client ou aux périphériques de stockage qui héberge les machines virtuelles ou les données du client, mais un tel accès doit être sévèrement encadré et se limiter à des opérations précises parfaitement définies dans la politique de sécurité et les SLA. Vous devez mettre en place des procédures de besoin d en connaître pour le personnel du Cloud afin d éviter les opportunités inutiles d accès aux données des clients.

9 Chapitre 4 Exigences de sécurité pour l architecture 99 Les opérations qui demandent des privilèges élevés doivent faire l objet d une authentification multiple. Appliquez des contrôles de sécurité supplémentaires pour ces opérations. Vérifiez que les mécanismes d autorisation de gestion du Cloud sont restreints et qu ils n autorisent pas un accès à l ensemble du Cloud. Interdisez l usage de comptes partagés (coe celui de l administrateur) et favorisez l utilisation de sudo ou équivalent pour donner des privilèges consignés et uniquement aux membres du rôle approprié. Lors de l affectation des autorisations, le principe du moindre privilège doit être de mise. Optez pour des contrôles d accès fondés sur les rôles de manière à donner aux utilisateurs autorisés des accès qui dépendent de leurs fonctions. Mettez en place une liste blanche d adresses IP pour tous les contrôles ou les accès à distance du personnel d exploitation. Lorsqu une telle liste ne peut pas être établie, imposez un accès au travers de mécanismes supplémentaires, coe des passages renforcés au travers de proxies ou de passerelles. Astuce Dans des circonstances inhabituelles, le fournisseur du Cloud peut avoir besoin d un accès d urgence à certaines fonctions de contrôle du Cloud ou aux machines virtuelles des locataires. De manière à anticiper ces situations, vous devez envisager la mise en place d une procédure de type en cas d urgence, briser la vitre. Dans cette procédure d urgence, les contrôles de sécurité qui sont toujours en place peuvent être contournés. Une procédure brise-vitre doit être clairement définie et parfaitement comprise. Elle doit également être soigneusement documentée et testée. Une telle stratégie peut se fonder sur des comptes privilégiés prédéfinis qui doivent être employés uniquement dans des conditions précises. Toutefois, les conséquences d une telle approche peuvent être graves si les circonstances ne l exigeaient pas. Une partie de la procédure peut inclure la rédaction d un rapport formel sur les circonstances qui ont conduit à briser la vitre. Une phase de nettoyage doit également être prévue après usage de ces comptes ou procédures d urgence. Gestion des clés Dans un Cloud, le chiffrement constitue l un des principaux moyens de protéger les données lorsqu elles sont stockées et au cours des phases de stockage et de traitement. Voici les exigences quant à la gestion des clés : Des contrôles adaptés doivent être mis en place de manière à limiter l accès au système de génération des clés sur lequel le fournisseur du Cloud garde le contrôle. Vérifiez que le niveau racine et les clés de signature sont gérés de manière appropriée.

10 100 La Sécurité dans le Cloud Dans une infrastructure de Cloud multisite, la révocation des clés doit être effectuée sans effets secondaires ni délais excessifs. Des procédures doivent permettre le rétablissement lorsque des clés ont été compromises. Protégez et chiffrez les données des clients et les images des machines virtuelles à toutes les phases appropriées de leur cycle de vie. Audit du système et du réseau Les journaux d événements de sécurité du système et du réseau forment la pierre angulaire de la gestion de la sécurité courante de tout système. Dans un Cloud, des événements d audit seront générés dans des zones de confiance fondamentalement différentes. Cela va des réseaux hautement sécurisés et des composants de sécurité aux systèmes pour lesquels le prestataire de services en nuage cède un contrôle important aux locataires ou aux utilisateurs. Les événements de sécurité doivent donc être considérés avec différents degrés d intégrité. Les exigences suivantes sont essentielles à la génération et à la gestion des événements d audit : Un audit est obligatoire pour tous les systèmes en exploitation, depuis les composants système et réseau de l infrastructure jusqu aux, mais sans nécessairement les inclure, machines virtuelles des clients. Les accords de confidentialité et les contrats de service passés avec les locataires peuvent fixer la limite des données qui seront collectées dans leurs machines virtuelles et, dans de nombreux cas, sur leurs réseaux virtuels. Tous les événements de sécurité doivent être enregistrés et accompagnés des informations connexes qui permettent de les analyser. Cela doit inclure l heure exacte, un nom d hôte, des identifiants d utilisateurs, des codes d événements appropriés et les informations d aide. Les événements d audit générés doivent être consignés de manière quasi temps réel. Le bon fonctionnement de l audit et de la journalisation doit être vérifié de manière régulière à l aide de différents moyens coe heartbeat ou calland-respond. Tous les événements et les journaux d audit doivent faire l objet d une collecte permanente et centralisée de manière à garantir leur intégrité et à autoriser des alertes et une surveillance dans les délais. Tous les événements et les journaux d audit doivent être conservés et archivés de manière sécurisée pendant au moins la durée requise par la stratégie de sécurité. Cette durée doit être de préférence infinie de manière à permettre des analyses à long terme rétroactives, que ce soit dans le cadre d actions juridiques ou dans l objectif d améliorer la sécurité et sa surveillance. Pour répondre aux besoins légaux ou opérationnels confirmés des locataires ou des clients, les enregistrements d audit seront nettoyés de manière à autoriser

11 Chapitre 4 Exigences de sécurité pour l architecture 101 leur partage avec les locataires et les clients, que ce soit par l intermédiaire d un service de sécurité ou à la demande. Des contrôles doivent être mis en place pour protéger la confidentialité, l intégrité et la disponibilité des événements d audit, des journaux d audit, du système de centralisation des journaux, de l archivage, du traitement et des rapports. Surveillance de la sécurité La surveillance de la sécurité se fonde sur les journaux d audit, la surveillance de la sécurité réseau (par une inspection du trafic avec snort ou autres) et sur des données environnementales (voir la section Sécurité physique ). Voici certaines exigences pour la surveillance de la sécurité : La surveillance de la sécurité doit être un service durci et hautement disponible auquel il est possible d accéder en interne ou à distance de manière sécurisée. La surveillance de la sécurité doit comprendre les éléments suivants : La génération d alertes fondée sur la reconnaissance automatique de l existence ou de la détection d un événement de sécurité ou d une situation critique. L envoi d alertes critiques par différents moyens pour que l équipe de sécurité et la direction en soient informées promptement. Les moyens donnés au personnel de sécurité pour enquêter et suivre le déroulement d un incident ou simplement pour examiner les journaux de manière à améliorer les mécanismes d alerte ou à identifier manuellement des incidents de sécurité. Mettez en place un système de détection des intrusions ou d une anomalie au niveau du Cloud et envisagez de le fournir en tant que service pour les locataires ou les utilisateurs (la Figure 4.2 est une vue d ensemble de la gestion des événements de sécurité et de son lien avec la surveillance de la sécurité). Envisagez de fournir sous forme de PaaS (Platform-as-a-Service) ou d IaaS (Infrastructure-as-a-Service) une fonction qui permette aux clients d implémenter la détection des intrusions/anomalies et qui les autorise à envoyer des jeux d événements ou des alertes appropriés au système de surveillance de la sécurité mis en place par le fournisseur du Cloud (nous y reviendrons à la section Surveillance de la sécurité du Chapitre 6). Vérifiez que la surveillance de la sécurité est implémentée de manière fiable et correcte même en cas de dysfonctionnement dans le processus de génération des événements et de leur collecte. Les journaux de sécurité doivent être conservés de manière compatible avec la loi, la réglementation applicable et la stratégie de sécurité.

12 102 La Sécurité dans le Cloud Archivage, exploration de données, analyse des tendances Génération des événements de sécurité Collecte, filtrage et alertes Corrélation et analyse initiale Transformer un long flux d événements en un petit ensemble exploitable Connaissance de la situation Données d événements brutes Alertes simples Avertissements et indications Connaissance exploitable Portail de sécurité : interfaces de surveillance et de rapport? Résolution Surveillance Figure 4.2 Vue d ensemble de la gestion des événements de sécurité et de son rôle dans la surveillance. Gestion des incidents La gestion et la réponse aux incidents doivent être en phase avec les SLA et la politique de sécurité : Vérifiez que les incidents peuvent être gérés de manière fiable et leur impact, contenu. Une procédure formelle doit être mise en place pour détecter, identifier, confirmer et répondre aux incidents. Elle doit être détaillée de manière standard ou formelle et testée régulièrement. La gestion des incidents doit comprendre des moyens clairs et fiables qui permettent aux clients et aux locataires de signaler au fournisseur des situations ou des événements. La procédure de gestion des incidents doit comprendre des examens et des rapports périodiques. Tests de la sécurité et correction des vulnérabilités Des tests de sécurité doivent être menés sur tous les logiciels pour approbation de leur mise en production. Il est important de mettre en place des tests de vulnérabilité et d intrusion de manière quasi continue. Pour une plus grande efficacité, cette possibilité doit être coordonnée au changement de surveillance et de gestion de

13 Chapitre 4 Exigences de sécurité pour l architecture 103 configuration de manière à éviter les fausses alarmes et la réponse aux incidents. Voici quelques exigences précises : Des environnements distincts doivent être utilisés pour le développement, les tests, l activation et la mise en production de tous les logiciels et systèmes du fournisseur de Cloud, y compris la distribution des correctifs. Des procédures de gestion des correctifs doivent être définies pour tous les composants, les serveurs, les systèmes de stockage, les logiciels de virtualisation, les applications et les composants de sécurité de l infrastructure. Bien que l application des correctifs se fasse généralement sur des systèmes actifs, cette pratique est dangereuse et doit être évitée dans un Cloud en raison des mécanismes d allocation et de mise à disposition plus rapides exigés. Définissez une stratégie intégrée pour la correction des vulnérabilités ou les contrôles compensatoires qui peuvent être appliqués dans diverses circonstances, de la réponse aux menaces iédiates ou iinentes à l application de correctifs moins critiques en vue d améliorer la sécurité ou la fiabilité du Cloud. Certaines vulnérabilités viendront du logiciel d un fournisseur et demanderont des correctifs de sa part, une solution de contournement validée ou un développement maison de contrôles compensatoires. D autres vulnérabilités peuvent être apportées par le fournisseur du Cloud au travers d un logiciel personnalisé, d éléments de conception non sûrs qui ouvrent des brèches dans la sécurité ou de contrôles qui sont simplement mal configurés. La Figure 4.3 illustre une procédure que vous pouvez implémenter pour corriger les défauts de sécurité sous la responsabilité du fournisseur. Contrôles du système et du réseau Ces contrôles doivent être mis en œuvre sur les systèmes de l infrastructure, les systèmes qui hébergent les données et les applications des clients et tous les équipements réseau. Cela inclut tous les composants ou les services physiques ou virtuels. Voici quelques exigences spécifiques : Assurez l isolation, la configuration et la sécurité adaptées sur les composants de sécurité. Mettez en place une isolation réseau entre les différentes zones fonctionnelles de l infrastructure du Cloud, en coençant par implémenter des réseaux totalement distincts (y compris l utilisation d une séparation physique et une virtualisation du réseau) pour les composants accessibles publiquement (interfaces pour les hôtes de machines virtuelles et le stockage dans un Cloud public), les composants de gestion de l infrastructure et l administration du réseau et de la sécurité. Renforcez ce point en utilisant d autres contrôles réseau et des pare-feu logiciels sur les machines. Séparez les accès à la plateforme matérielle depuis le système d exploitation et depuis les machines virtuelles de manière à empêcher l utilisateur qui dispose d un accès de gestion au matériel d obtenir un accès à la machine virtuelle ou au côté accessible publiquement. L accès inverse, de la machine virtuelle à la plateforme, doit également être empêché.

14 104 La Sécurité dans le Cloud Figure 4.3 Procédure de correction de la sécurité. Découverte des vulnérabilités et/ou des exploits scans de sécurité ; tests ; examens de journaux, bogues, etc. Évaluation : impact ; gravité ; correctif, solution de contournement ; impact potentiel du correctif ; estimation de la durée ; identification des ressources. Ingénieurs du Cloud Équipe de sécurité Développement d un correctif Test du correctif Test de la sécurité Vérification du correctif Opérations Modification du contrôle Environnements de test et/ou d activation Approbation de la distribution du correctif Planification de la correction Production Les mêmes contrôles doivent également servir à renforcer l isolation des machines virtuelles actives qui appartiennent à des clients différents. Des contrôles appropriés seront implémentés de manière à garantir l intégrité des systèmes d exploitation, des images de machines virtuelles, des applications de l infrastructure, des configurations réseau et de tous les logiciels de plateforme et des données des clients. Le fournisseur du Cloud doit proposer des moyens pour examiner les mises à jour logicielles et système avant de les passer en production. Une vérification des vulnérabilités du code doit être mise en œuvre conjointement à des scanners de code malveillant et d autres outils.

15 Chapitre 4 Exigences de sécurité pour l architecture 105 Outils Entre autres usages répandus, les listes blanches sont employées dans les réseaux pour identifier les adresses IP source de confiance et dans les systèmes pour identifier les applications autorisées. En acceptant uniquement les adresses IP source qui se trouvent en liste blanche, vous pouvez effectivement rejeter tout le trafic non sûr qui provient des autres adresses IP. De manière comparable, vous pouvez circonscrire l ensemble des applications autorisées en ajoutant les produits sur liste blanche. Lorsqu une application est lancée par un utilisateur, le système consulte la liste et vérifie la validité de l exécution. Les applications peuvent être recensées avec leurs caractéristiques, coe leur taille ou leur emplacement, et toutes les autres seront explicitement refusées. Il existe plusieurs entreprises qui opèrent sur ce marché, notaent CoreTrace ( avec Bouncer et Bit9 ( avec Parity. L emploi d une liste blanche de produits présente toutefois un inconvénient : vous devez vous assurer que toutes les applications qui devront pouvoir s exécuter sur un système sont autorisées dans cette liste et elle doit être actualisée suite à la mise à niveau d une application. Notez que ces informations peuvent également être conservées dans une CMDB et ensuite vérifiées par un script ou une application. Ces deux dernières années ont vu une augmentation de l utilisation des listes blanches de produits. Elles doivent être considérées coe un outil potentiel pour le déploiement d une infrastructure de Cloud, en particulier si vous souhaitez minimiser le nombre de mises à niveau à réaliser de manière régulière. Informations de configuration Avec une infrastructure de Cloud hautement dynamique et la mise à disposition/ retrait de machines virtuelles, il est extrêmement important qu une liste de tous les actifs du Cloud soit maintenue à jour, en y incluant les matériels, les systèmes, les logiciels, les configurations, les allocations et tous les éléments du Cloud qui sont gérés ou surveillés en exploitation. Voici les exigences associées : Les meilleures pratiques conseillent d utiliser une CMDB, un sujet sur lequel nous reviendrons à la section Importance d une CMDB. Tous les actifs et les éléments du Cloud doivent être classifiés d après leur fonction, leur sensibilité, leur caractère critique et les autres caractéristiques qui ont un impact matériel sur la gestion de leur sécurité ou sur la compréhension de leur impact sur la sécurité s ils tombent en panne ou sont compromis. Exigences générales sur la sécurité de l infrastructure Outre les contraintes de sécurité du Cloud décrites précédeent dans cette section, il existe de nombreuses exigences plus générales pour la sécurité de l infrastructure : Cherchez à exploiter les meilleures pratiques des fournisseurs et de la counauté, car elles sont issues de l expérience. Même si une bonne pratique n est pas applicable, la connaître peut déjà se révéler bénéfique.

16 106 La Sécurité dans le Cloud Par défaut, les machines virtuelles doivent être endurcies et minimisées. Les ports ouverts doivent se limiter au strict minimum pour la mise à disposition et l allocation initiale pour un client. Lorsqu une procédure opérationnelle exige l ouverture d un port, elle doit se faire uniquement face au besoin et uniquement pour la durée requise. Mettez en œuvre les moyens qui permettent d assurer la continuité de l activité conformément aux accords de niveaux de service. Vérifiez périodiquement que la perte de données maximale admissible (PDMA) et que la durée maximale d interruption admissible (DMIA) sont satisfaites. Faites en sorte que la connectivité réseau soit assurée grâce à de multiples voies d accès aux services du Cloud. Garantissez l utilisation de connexions réseau physiques et logiques diverses et redondantes. Vérifiez que la connectivité redondante ne mène pas au même point physique ou logique qui a été simplement renoé par un second fournisseur. Dans la mesure du possible, vérifiez que les liens physiques qui entrent dans le bâtiment (et, à partir de là, dans l infrastructure du Cloud) ne sont pas sujets à un point de défaillance unique en cas d événement catastrophique. Vérifiez que le bâtiment dispose d une source d alimentation suffisante et que sa distribution permette à l infrastructure de secours d entrer en action lorsque l électricité est coupée dans une partie du bâtiment. Autrement dit, le fournisseur de Cloud doit disposer d une source d alimentation suffisante pour maintenir une fonctionnalité centrale de manière à assurer une continuité d activité à distance ou pour maintenir la sécurité du bâtiment en attendant de revenir dans un état opérationnel total. Vérifiez que les adresses IP retirées internes au Cloud, coe celles affectées aux machines virtuelles d un précédent locataire, soient suffisaent anciennes avant de les recycler chez un autre utilisateur. Cela permettra d éviter que ce nouvel utilisateur n accède aux ressources de l utilisateur précédent. Attendez-vous à une innovation et à des évolutions permanentes dans l informatique en nuage et dans les technologies sous-jacentes. Prévoyez de pouvoir modifier, adapter ou étendre l infrastructure d une manière que vous n aurez pas totalement anticipée. Modèles de sécurité et éléments architecturaux Cette section étudie plusieurs modèles et éléments qui sous-tendent ou contribuent à la sécurité du Cloud. Tous les efforts consacrés à ces modèles (pattern) seront récompensés au cours de la procédure de construction et de l exploitation, et ils permettront généralement une meilleure sécurité.

Conception d une infrastructure «Cloud» pertinente

Conception d une infrastructure «Cloud» pertinente Conception d une infrastructure «Cloud» pertinente Livre blanc d ENTERPRISE MANAGEMENT ASSOCIATES (EMA ) préparé pour Avocent Juillet 2010 RECHERCHE EN GESTION INFORMATIQUE, Sommaire Résumé........................................................

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008

Plus en détail

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie "étude de cas architecture et systèmes"

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie étude de cas architecture et systèmes Concours interne d ingénieur des systèmes d information et de communication «Session 2010» Meilleure copie "étude de cas architecture et systèmes" Note obtenue : 14,75/20 HEBERGE-TOUT Le 25 mars 2010 A

Plus en détail

Security Service de Services sécurité. Protocole de surveillance des alarmes de sécurité

Security Service de Services sécurité. Protocole de surveillance des alarmes de sécurité Security Service de Services sécurité Protocole de surveillance des alarmes de sécurité TABLE DES MATIÈRES 1.0 BUT... Page 1 2.0 PORTÉE.. Page 1 3.0 DÉFINITIONS Page 1 4.0 PROTOCOLE 4.1 Généralités.. Page

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

La situation du Cloud Computing se clarifie.

La situation du Cloud Computing se clarifie. Résumé La situation du Cloud Computing se clarifie. Depuis peu, le Cloud Computing est devenu un sujet brûlant, et à juste titre. Il permet aux entreprises de bénéficier d avantages compétitifs qui leur

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Planifier la migration des applications d entreprise dans le nuage

Planifier la migration des applications d entreprise dans le nuage TM Planifier la migration des applications d entreprise dans le nuage Guide de vos options de migration : nuage privé et public, critères d évaluation des applications et meilleures pratiques de migration

Plus en détail

La surveillance réseau des Clouds privés

La surveillance réseau des Clouds privés La surveillance réseau des Clouds privés Livre blanc Auteurs : Dirk Paessler, CEO de Paessler AG Gerald Schoch, Rédactrice technique de Paessler AG Publication : Mai 2011 Mise à jour : Février 2015 PAGE

Plus en détail

UserLock Quoi de neuf dans UserLock? Version 8.5

UserLock Quoi de neuf dans UserLock? Version 8.5 UserLock Quoi de neuf dans UserLock? Version 8.5 Table des Matières 1. UserLock Version 8... 3 1.1. Le Statut utilisateur, un nouvel indicateur de risque... 3 1.2. Des alertes en temps réel contre les

Plus en détail

L'infonuagique, les opportunités et les risques v.1

L'infonuagique, les opportunités et les risques v.1 L'infonuagique, les opportunités et les risques v.1 Avril 2014 Présenté au PMI 2014 Tactika inc. www.tactika.com @tactika http://ca.linkedin.com/in/tactika 1 Contenu de la conférence 1. Les concepts 2.

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014 ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing

Plus en détail

Unitt www.unitt.com. Zero Data Loss Service (ZDLS) La meilleure arme contre la perte de données

Unitt www.unitt.com. Zero Data Loss Service (ZDLS) La meilleure arme contre la perte de données Zero Data Loss Service (ZDLS) La meilleure arme contre la perte de données La meilleure protection pour les données vitales de votre entreprise Autrefois, protéger ses données de manière optimale coûtait

Plus en détail

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée

Plus en détail

Créer et partager des fichiers

Créer et partager des fichiers Créer et partager des fichiers Le rôle Services de fichiers... 246 Les autorisations de fichiers NTFS... 255 Recherche de comptes d utilisateurs et d ordinateurs dans Active Directory... 262 Délégation

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Solution de sauvegarde pour flotte nomade

Solution de sauvegarde pour flotte nomade Solution de sauvegarde pour flotte nomade > PRÉSENTATION D OODRIVE > Les enjeux LA SOLUTION > La solution AdBackup Laptop > Sécurité et options de protection > Monitoring et services > Hébergement (mode

Plus en détail

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1

Plus en détail

L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis

L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis ÉTUDE TECHNIQUE L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis Pour une entreprise, l informatique en nuage constitue une occasion majeure d améliorer

Plus en détail

Guide de l administrateur CorpoBack

Guide de l administrateur CorpoBack Table des matières Introduction...4 Infrastructure...4 Systèmes d exploitation... 4 Serveur de données SQL... 4 Infrastructure Microsoft Sync... 4 Infrastructure.NET... 5 Espace d entreposage des données

Plus en détail

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ 68503 GUEBWILLER Cedex. Fax.: 03 89 62 13 31 Tel.: 08.92.56.68.69 support@telmatweb.

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ 68503 GUEBWILLER Cedex. Fax.: 03 89 62 13 31 Tel.: 08.92.56.68.69 support@telmatweb. Educ@Box Configuration de base 6, Rue de l'industrie BP130 SOULTZ 68503 GUEBWILLER Cedex Fax.: 03 89 62 13 31 Tel.: 08.92.56.68.69 support@telmatweb.com Page: 1 Sommaire 1 CONTENU DE VOTRE PACKAGE EDUC@BOX...

Plus en détail

ITIL Gestion de la continuité des services informatiques

ITIL Gestion de la continuité des services informatiques ITIL Gestion de la continuité des services informatiques Sommaire 1 GENERALITES 3 2 PRESENTATION DE LA PRESTATION 3 3 MODALITES DE LA PRESTATION 6 Page 2 1 Généralités Nous utilisons les meilleures pratiques

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Mettre le nuage au service de votre organisation. Guide de l acheteur de solutions en nuage.

Mettre le nuage au service de votre organisation. Guide de l acheteur de solutions en nuage. Mettre le nuage au service de votre organisation. Guide de l acheteur de solutions en nuage. Comment ce guide peut vous être utile? Si vous songez à intégrer le nuage à votre entreprise sans savoir par

Plus en détail

Atteindre la flexibilité métier grâce au data center agile

Atteindre la flexibilité métier grâce au data center agile Atteindre la flexibilité métier grâce au data center agile Aperçu : Permettre l agilité du data-center La flexibilité métier est votre objectif primordial Dans le monde d aujourd hui, les clients attendent

Plus en détail

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP Vue d ensemble du basculement DHCP Dans Windows Server 2008 R2, il existe deux options à haute disponibilité dans le cadre du déploiement du serveur DHCP. Chacune de ces options est liée à certains défis.

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Garantir une meilleure prestation de services et une expérience utilisateur optimale

Garantir une meilleure prestation de services et une expérience utilisateur optimale LIVRE BLANC Garantir une meilleure prestation de services et une expérience utilisateur optimale Mai 2010 Garantir une meilleure prestation de services et une expérience utilisateur optimale CA Service

Plus en détail

Windows Internet Name Service (WINS)

Windows Internet Name Service (WINS) Windows Internet Name Service (WINS) WINDOWS INTERNET NAME SERVICE (WINS)...2 1.) Introduction au Service de nom Internet Windows (WINS)...2 1.1) Les Noms NetBIOS...2 1.2) Le processus de résolution WINS...2

Plus en détail

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg E-réputation : protection des données en ligne Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg CONTEXTE La cybersécurité est un facteur de productivité, de compétitivité et donc de croissance pour

Plus en détail

Virtual Data Center d Interoute. Prenez la main sur votre Cloud.

Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Faites évoluer vos ressources informatiques à la demande Choisissez la localisation d hébergement de vos données en Europe Le réseau européen

Plus en détail

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement COREYE CACHE Solution d absorption de charge pour une disponibilité et une performance optimales des applications Web En bref Architecture technique La plateforme Coreye Cache délivre la majeure partie

Plus en détail

Pourquoi OneSolutions a choisi SyselCloud

Pourquoi OneSolutions a choisi SyselCloud Pourquoi OneSolutions a choisi SyselCloud Créée en 1995, Syselcom est une société suisse à capitaux suisses. Syselcom est spécialisée dans les domaines de la conception, l intégration, l exploitation et

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

Gestion des sauvegardes

Gestion des sauvegardes Gestion des sauvegardes Penser qu un système nouvellement mis en place ou qui tourne depuis longtemps ne nécessite aucune attention est illusoire. En effet, nul ne peut se prémunir d événements inattendus

Plus en détail

Introduction à LDAP et à Active Directory... 15. Étude de cas... 37

Introduction à LDAP et à Active Directory... 15. Étude de cas... 37 Introduction à LDAP et à Active Directory... 15 Généralité sur l annuaire et LDAP... 16 Qu est-ce qu un annuaire?... 16 Un peu d histoire sur le protocole... 16 LDAP version 2 et version 3... 17 Le standard

Plus en détail

EVault Endpoint Protection en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité

EVault Endpoint Protection en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité Vue d ensemble des principaux avantages Permet au service informatique de gérer les données mobiles en définissant des règles

Plus en détail

LA SÉCURITÉ DE VOTRE ÉDIFICE S APPUIE DÉSORMAIS SUR UNE DORSALE RENFORCÉE

LA SÉCURITÉ DE VOTRE ÉDIFICE S APPUIE DÉSORMAIS SUR UNE DORSALE RENFORCÉE LA SÉCURITÉ DE VOTRE ÉDIFICE S APPUIE DÉSORMAIS SUR UNE DORSALE RENFORCÉE É T U D E DE C A S Voyez les obstacles se transformer en points de départ Besoin du locataire : Installer une caméra de sécurité

Plus en détail

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente Traçabilité des administrateurs internes et externes : une garantie pour la conformité Marc BALASKO Ingénieur Avant-vente Quelles normes? Sécurité des données des titulaires de cartes bancaires Régulation

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation

Plus en détail

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN. UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX PLAN 1 INTRODUCTION...3 1.1 OBJECTIF...3 1.2 FONCTIONNALITES...3 2 DESCRIPTION TECHNIQUE DE LA PLATE-FORME...4 2.1 ARCHITECTURE...4

Plus en détail

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS KASPERSKY SECURITY FOR BUSINESS IDENTIFIER. CONTRÔLER. PROTÉGER. Guide de migration RENOUVELLEMENTS ET MISES À NIVEAU DES LICENCES : Guide de migration PRÉSENTATION DE LA NOUVELLE GAMME ENDPOINT SECURITY

Plus en détail

Standard de contrôle de sécurité WLA

Standard de contrôle de sécurité WLA Standard de contrôle de sécurité WLA Standard de sécurité et d intégrité des activités de loterie et de jeu WLA-SCS:2012 Association mondiale des loteries (World Lottery Association) Édition Novembre 2014

Plus en détail

Guide d administration de Microsoft Exchange ActiveSync

Guide d administration de Microsoft Exchange ActiveSync Guide d administration de Microsoft Exchange ActiveSync Copyright 2005 palmone, Inc. Tous droits réservés. palmone, HotSync, Treo, VersaMail et Palm OS sont des marques commerciales ou déposées dont palmone,

Plus en détail

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences Premier ministre Agence nationale de la sécurité des systèmes d information Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Plus en détail

10 problèmes de réseau courants que PRTG Network Monitor vous aide à résoudre

10 problèmes de réseau courants que PRTG Network Monitor vous aide à résoudre 10 problèmes de réseau courants que PRTG Network Monitor vous aide à résoudre Livre Blanc Auteur : Gerald Schoch, Rédacteur technique, Paessler AG Publication : septembre 2013 PAGE 1 SUR 9 Sommaire Introduction...

Plus en détail

MATRICE DES FONCTIONNALITES

MATRICE DES FONCTIONNALITES Facilité d utilisation Nouveau! Convivialité d Outlook Nouveau! Smart Technician Client Assistant Installation Configuration instantanée et personnalisable Nouveau! Installation à distance de Technician

Plus en détail

Module 197 Développer et implanter un concept de gestion des versions et des configurations

Module 197 Développer et implanter un concept de gestion des versions et des configurations Module 197 Développer et implanter un concept de gestion des versions et des configurations Copyright IDEC 2002-2009. Reproduction interdite. Sommaire Introduction... 3 Délimitation du domaine... 3 Fonctions

Plus en détail

Mettre en place un accès sécurisé à travers Internet

Mettre en place un accès sécurisé à travers Internet Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer

Plus en détail

NAS 254 Sauvegarde cloud

NAS 254 Sauvegarde cloud NAS 254 Sauvegarde cloud Utiliser la sauvegarde cloud pour sauvegarder vos données sur Amazon S3 U N I V E R S I T E A S U S T O R OBJECTIFS DU COURS À la fin de ce cours, vous pourrez : 1. Avoir une compréhension

Plus en détail

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel 1 Sommaire 1) Présentation du contexte technique...3 1.1) Des

Plus en détail

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM BROCHURE SOLUTIONS Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM L IDENTITE AU COEUR DE VOTRE PERFORMANCE «En tant que responsable informatique,

Plus en détail

Cisco Unified Computing Migration and Transition Service (Migration et transition)

Cisco Unified Computing Migration and Transition Service (Migration et transition) Cisco Unified Computing Migration and Transition Service (Migration et transition) Le service Cisco Unified Computing Migration and Transition Service (Migration et transition) vous aide à migrer vos applications

Plus en détail

Mise à niveau du système informatique communal

Mise à niveau du système informatique communal AU CONSEIL COMMUNAL 1052 LE MONT Mise à niveau du système informatique communal Monsieur le Président, Mesdames les Conseillères, Messieurs les Conseillers, 1 Historique et contexte La première acquisition

Plus en détail

Notre expertise au cœur de vos projets

Notre expertise au cœur de vos projets Notre expertise au cœur de vos projets SOMMAIRE 1. Objet du présent document... 3 2. Documents applicables et de référence... 3 2.1. Documents applicables... 3 2.2. Documents de référence... 3 2.3. Guides

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive www.adbackup-corporatesolutions.com

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive www.adbackup-corporatesolutions.com AdBackup Laptop Solution de sauvegarde pour flotte nomade Société Oodrive www.adbackup-corporatesolutions.com Sommaire Présentation d Oodrive...3 Carte d identité...3 Références clients...3 Les enjeux...4

Plus en détail

La Continuité d Activité

La Continuité d Activité La virtualisation VMware vsphere au service de La Continuité d Activité La virtualisation VMware vsphere La virtualisation et la Continuité d Activité La virtualisation et le Plan de Secours Informatique

Plus en détail

Ministère de l intérieur --------

Ministère de l intérieur -------- Ministère de l intérieur -------- Examen professionnel d ingénieur principal des systèmes d information et de communication du ministère de l intérieur Session 2013 Meilleure copie Sujet n 1 - Réseaux

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France Sommaire Cloud Computing Retours sur quelques notions Quelques chiffres Offre e need e need Services e need Store

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le

Plus en détail

Vers une IT as a service

Vers une IT as a service Vers une IT as a service 1 L évolution du datacenter vers un centre de services P.2 2 La création d une offre de services P.3 3 La transformation en centre de services avec System Center 2012 P.4 L évolution

Plus en détail

État Réalisé En cours Planifié

État Réalisé En cours Planifié 1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture

Plus en détail

Guide d utilisation WEBPORTAL CPEM Portail d Applications Web CPEM

Guide d utilisation WEBPORTAL CPEM Portail d Applications Web CPEM Guide d utilisation WEBPORTAL CPEM Portail d Applications Web CPEM Ce guide vous aidera à installer et à mettre en place les modules nécessaires afin d accéder à vos Applications Web SOMMAIRE I. Pré requis...

Plus en détail

Palo Alto Networks Guide de l administrateur Panorama. Panorama 5.1

Palo Alto Networks Guide de l administrateur Panorama. Panorama 5.1 Palo Alto Networks Guide de l administrateur Panorama Panorama 5.1 Coordonnées de contact Siège social : Palo Alto Networks 3300 Olcott Street Santa Clara, CA 95054 http://www.paloaltonetworks.com/contact/contact/

Plus en détail

Options de déploiement de Seagate Instant Secure Erase

Options de déploiement de Seagate Instant Secure Erase Article technique Options de déploiement de Introduction Lorsqu un disque dur est extrait d un centre de données physiquement protégé et remis à des tiers, le risque est bien réel pour les données encore

Plus en détail

Mise en place d une politique de sécurité

Mise en place d une politique de sécurité Mise en place d une politique de sécurité Katell Cornec Gérald Petitgand Jean-Christophe Jaffry CNAM Versailles 1 Situation Sujet du projet Politique de sécurité Les Intervenants et leurs rôles : K. Cornec

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

Outils logiciels SPC - une façon simple d optimiser les performances et la protection

Outils logiciels SPC - une façon simple d optimiser les performances et la protection Outils logiciels SPC - une façon simple d optimiser les performances et la protection SPC - Étendre l art moderne de la détection d intrusion www.spc-intruder-detection.com Answers for infrastructure.

Plus en détail

Mes documents Sauvegardés

Mes documents Sauvegardés Mes documents Sauvegardés Guide d installation et Manuel d utilisation du logiciel Edition 13.12 Photos et illustrations : Copyright 2013 NordNet S.A. Tous droits réservés. Toutes les marques commerciales

Plus en détail

z Fiche d identité produit

z Fiche d identité produit z Fiche d identité produit Référence DFL-260 Désignation Firewall UTM NETDEFEND 260 pour petites entreprises et télétravailleurs Clientèle cible PME comptant jusqu à 50 utilisateurs Accroche marketing

Plus en détail

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Comment choisir la solution de gestion des vulnérabilités qui vous convient? Comment choisir la solution de gestion des vulnérabilités qui vous convient? Sommaire 1. Architecture 2. Sécurité 3. Evolutivité et convivialité 4. Précision/Performance 5. Découverte/Inventaire 6. Analyse

Plus en détail

SQL Data Export for PS/PSS

SQL Data Export for PS/PSS Version 2.3.5 MANUEL D INSTRUCTIONS (M98232701-02-13B) CIRCUTOR, SA SOMMAIRE 1.- INSTALLATION DU LOGICIEL SQL DATA EXPORT... 3 1.1.- ACTIVER CONNEXIONS A DISTANCE DU SERVEUR SQL SERVER... 14 1.2.- DESINSTALLER

Plus en détail

Cloud Computing et SaaS

Cloud Computing et SaaS Cloud Computing et SaaS On a vu fleurir ces derniers temps un grands nombre de sigles. L un des premiers est SaaS, Software as a Service, sur lequel nous aurons l occasion de revenir. Mais il y en a beaucoup

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetScout ngeniusone Unified Performance Management Platform V5.2.1 and ngenius InfiniStream V5.2.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme

Plus en détail

Système de vidéosurveillance Guide de configuration

Système de vidéosurveillance Guide de configuration Guide de configuration Introduction Les technologies de vidéosurveillance ne sont plus considérées comme «nouvelles» de nos jours, puisque l on enregistre et archive des vidéos depuis maintenant de nombreuses

Plus en détail

Administration de systèmes

Administration de systèmes Administration de systèmes Windows NT.2000.XP.2003 Copyright IDEC 2002-2004. Reproduction interdite. Sommaire... 2 Eléments logiques et physiques du réseau... 5 Annuaire et domaine... 6 Les utilisateurs

Plus en détail

Gestion des incidents

Gestion des incidents Gestion des incidents Jean-Marc Robert Génie logiciel et des TI Incidents Un incident de sécurité est une violation, ou l imminence d une violation, d une politique de sécurité p.ex., une politique de

Plus en détail

Guide utilisateur des services WASATIS (Manuel Version 1.1)

Guide utilisateur des services WASATIS (Manuel Version 1.1) Guide utilisateur des services WASATIS (Manuel Version 1.1) Bienvenue dans le monde de la vidéotranquillité de Wasatis, nous vous remercions de votre confiance. Préambule Wasatis est aujourd hui la société

Plus en détail

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes

Plus en détail

VIRTUALISATION DES FONCTIONS RÉSEAU. Les cinq erreurs majeures de la virtualisation

VIRTUALISATION DES FONCTIONS RÉSEAU. Les cinq erreurs majeures de la virtualisation LIVRE BLANC www.brocade.com VIRTUALISATION DES FONCTIONS RÉSEAU Les cinq erreurs majeures de la virtualisation La virtualisation prend littéralement d assaut le monde de l informatique. Après des années

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Créer un tableau de bord SSI

Créer un tableau de bord SSI Session n 16 Créer un tableau de bord SSI en 4 fois sans frais Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com Patrick CHAMBET Bouygues Telecom http://www.chambet.com

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

transformer en avantage compétitif en temps réel vos données Your business technologists. Powering progress

transformer en avantage compétitif en temps réel vos données Your business technologists. Powering progress transformer en temps réel vos données en avantage compétitif Your business technologists. Powering progress Transformer les données en savoir Les données sont au cœur de toute activité, mais seules elles

Plus en détail

Qu est ce que Visual Guard. Authentification Vérifier l identité d un utilisateur

Qu est ce que Visual Guard. Authentification Vérifier l identité d un utilisateur Qu est ce que Visual Guard Authentification Vérifier l identité d un utilisateur Autorisation Qu est-ce qu un utilisateur peut faire dans l application Audits et rapports Fonctionnalités d Audit et de

Plus en détail

ESPACE MULTIMEDIA DU CANTON DE ROCHESERVIERE

ESPACE MULTIMEDIA DU CANTON DE ROCHESERVIERE 1 Introduction ESPACE MULTIMEDIA DU CANTON DE ROCHESERVIERE Atelier «pour approfondir» Sauvegarder ses données à domicile ou sur Internet Qui n a jamais perdu des photos ou documents suite à une panne

Plus en détail