Management de la sécurité PAGE 7

Transcription

1 LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE Management de la sécurité PAGE 7 Microsoft Office SharePoint Serveur 2007 : les raisons-clés d un succès PAGE 31 Bimestriel - novembre/décembre n 70 Sécurité de la téléphonie sur IP PAGE 46 Les multiples facettes du contrôle d accès au réseau d entreprise PAGE 37 Comment lutter efficacement contre les intrusions informatiques? PAGE 20

2 ZOOM OUTSOURCING L AVIS DES DIRECTIONS INFORMATIQUES Ministère des Finances Direction Générale des Impôts Nadine Chauvière Sous-Directrice des SI de la DGI «Les solutions d Application Intelligence CAST nous aident à obtenir une meilleure visibilité de notre parc applicatif au travers de tableaux de bord composés d indicateurs techniques objectifs afin de faciliter le dialogue avec les équipes et avec nos maîtrises d ouvrage.» Groupe SFR Cegetel Eric Eteve Directeur Informatique Centre Ingénierie Mobilité «La solution CAST de gestion de la soustraitance est un élément clé dans le système de pilotage mis en place par SFR-Cegetel sur ses TMA. Nous avons constaté une attention plus particulière apportée par les SSII à la qualité des livrables et à la fiabilité des chiffrages depuis qu ils savent que nous pouvons facilement les auditer» Framatome - Groupe AREVA Michel Fondeviole DSI de Framatome-ANP «CAST fournit des critères objectifs d appréciation dans le dialogue parfois difficile avec le sous-traitant ainsi que des indicateurs nécessaires au suivi de l évolution des applications et constitue au sein de Framatome un outil de progrès partagé.» EN SAVOIR PLUS Demandez le Livre Blanc rédigé par le Gartner Group et CAST sur ce thème : «Information Series on Application Management» : Découvrez l expérience de plusieurs sociétés utilisatrices de solutions d Application Intelligence :

3 La maîtrise des applications et des prestataires dans une opération d outsourcing De la valeur ajoutée de l Application Intelligence pour piloter efficacement un parc applicatif sous-traité Les entreprises, devenues plus mûres vis-à-vis de l outsourcing, sont désormais capables d opérer des externalisations plus stratégiques. On l a récemment observé dans l automobile avec Renault ou dans la grande distribution avec Carrefour. Dans l externalisation des applications métier, c est surtout la volonté d accroître l efficacité opérationnelle de l informatique qui est motrice : pouvoir fournir plus rapidement un service à valeur ajoutée aux utilisateurs et aux clients dans un contexte en perpétuelle évolution. Comme dans n importe quelle opération d outsourcing, le contrat liant le fournisseur est capital, en particulier les SLAs. Néanmoins, les applications métier étant par nature soumises à de fréquents changements en cours de contrat, les seuls SLAs se révèlent vite insuffisants pour garantir la qualité de service et éviter les dérives de coûts. C est là que le bât blesse : l externalisation des applications métier occasionne un risque de perte rapide de savoir-faire technologique et par conséquent critique. Vigilance et suivi sont de mise pour garder le contrôle de la qualité de service et éviter les dépendances par nature dangereuses. L externalisation réussie d applications métier est donc le fruit d une vision anticipatrice partagée avec le prestataire. Sont ainsi apparues des solutions dites d Application Intelligence, basées sur une technologie avancée d analyse de code source. En fournissant des indicateurs techniques aux donneurs d ordre, ces solutions permettent de piloter un parc applicatif sous-traité en temps réel, tant en terme de qualité, que de maintenabilité et de coût. Résultat : le donneur d ordre conserve la maîtrise intellectuelle de ses applications métier et le contrôle de la relation avec son sous-traitant. La valeur ajoutée de ce type de solutions d Application Intelligence est visible à chaque étape d une opération d outsourcing, comme décrit ci-après. Recette technique Fin de contrat Cycle de vie d'une opération d'outsourcing Contrôle des coûts Appels d'offres Suivi de projet Audit de l existant et préparation des appels d offres Déterminer les caractéristiques techniques du portefeuille applicatif existant avant de le sous-traiter Disposer d informations de référence pour évaluer les propositions des sous-traitants Obtenir une image à l instant t des applications pour permettre un suivi dans le temps Transfert de connaissances Transfert vers le prestataire Réduire la phase d acquisition de la connaissance pour entreprendre plus vite des tâches productives Diminuer le coût lié à la production d une documentation exploitable et maintenable par le prestataire Contrôle de la qualité et des coûts en cours de projet Suivre l évolution de la maintenabilité et de la qualité pour éviter toute dérive Etre capable de valider la quantité et la qualité du travail facturé Etre en mesure de challenger le sous-traitant lors des négociations d avenants Industrialiser les recettes techniques Renouvellement de contrat, transfert ou ré-internalisation Déterminer et qualifier les écarts entre la prestation prévue et les livrables recettés Disposer des informations techniques caractéristiques du portefeuille applicatif en fin de prestation Le leader mondial de ce type de solutions est d ailleurs un éditeur français, CAST. Reconnu par les analystes informatiques comme précurseur du marché, CAST compte plus 500 comptes utilisateurs de sa plate-forme d Application Intelligence dans le monde. Publi-Reportage

4 Edito édito LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE Une fin d année en fanfare Après la consolidation applicative via le socle ERP, la même tendance sur les solutions décisionnelles a amené à s interroger sur la gestion de la performance. En parallèle, l économie oblige les entreprises à une meilleure gestion par la maîtrise de leurs dépenses et le suivi de leurs résultats financiers en temps réel. Résultat : le marché des logiciels EPM (Enterprise Performance Management) a connu une concentration sans précédent. Et qui a racheté ces spécialistes de la consolidation et de la planification financières? Les leaders du marché logiciel : Oracle avec Hyperion, SAP via le rachat de Business Objects (ayant racheté Cartesis), et IBM en reprenant Cognos. Et bien entendu, Microsoft lance sa solution PerformancePoint Server 2007 en décembre. Le virtuel se concrétise Si 2007 a été l année de la Business Intelligence, les dernières semaines annoncent une année 2008 sous le signe de la virtualisation. Citrix a racheté XenSource, Microsoft annonce sa solution Hyper-V pour Windows Server 2008 en février 2008, tandis que VMWare multiplie les annonces. En outre, Sun et IBM espèrent bien jouer un rôle sur ce segment prometteur. Car la virtualisation favorise la consolidation des machines et l utilisation optimale des ressources, étape fondamentale de la maîtrise des coûts informatiques, et plus encore alliée aux serveurs blades, autre évolution majeure. Les serveurs virtuels indépendants inspirent également d autres éditeurs qui y voient un excellent moyen de proposer un environnement optimisé et performant pour les applications d entreprise. En effet, la virtualisation permet de déployer des architectures à haute disponibilité (répartition de charge, mirroring ) à moindres frais. Parmi ces éditeurs, on trouve BEA ou encore Oracle. La clé passera par l administration La multiplication des machines virtuelles sur des serveurs physiques pose aussi la question du management de ces unités virtuelles et physiques, avec des possibilités de copier en quelques secondes un environnement vers un autre, qu ils soient virtuels ou physiques Bref, la prochaine bataille se déroulera aussi sur les solutions d administration, autre vedette de l année à venir. Une cuvée 2008 décidément très animée! Editeur Press & Communication France Une filiale du groupe CAST 3, rue Marcel Allégot Meudon - FRANCE Tél. : Fax. : http :// redaction@it-expertise.com Rédacteur en chef José Diz j.diz@it-expertise.com Directeur de publication Aurélie Magniez a.magniez@it-expertise.com Abonnements/Publicité abonnement@it-expertise.com Conception Graphique C. Grande c.grande@it-expertise.com Imprimeur Moutot Imprimeurs Parution IT-expert - (ISSN ) est un journal édité 6 fois par an, par P & C France, sarl de presse au capital de ,61. Avertissement Tous droits réservés. Toute reproduction intégrale ou partielle des pages publiées dans la présente publication sans l autorisation écrite de l éditeur est interdite, sauf dans les cas prévus par les articles 40 et 41 de la loi du 11 mars P&C France. Toutes les marques citées sont des marques déposées. Les vues et opinions présentées dans cette publication sont exprimées par les auteurs à titre personnel et sont sous leur entière et unique responsabilité. Toute opinion, conseil, autre renseignement ou contenu exprimés n engagent pas la responsabilité de Press & Communication. Abonnements Prix pour 6 numéros (1 an) France ; U.E. : 89 TTC Dom TOM, Autres Pays : 128 TTC Un bulletin d abonnement se trouve en pages 35/36 de ce numéro. Vous pouvez vous abonner sur Abonnements/Default.aspx ou nous écrire à abonnement@it-expertise.com José Diz Rédacteur en Chef 4 IT-expert n 70 - novembre/décembre 2007

5 IT-expert n 70 - novembre/décembre 2007 Sommaire Dossier Management de la sécurité La sécurisation d un système d information ne peut se contenter de firewalls et logiciels, aussi performants soient-ils. Les normes ISO définissent les étapes de mise en place d un système de management de la sécurité de l information (SMSI), et recommandent les meilleures pratiques. Technique Comment lutter efficacement contre les intrusions informatiques? Après une explication des concepts d IDS (Intrusion Detection System) et d IPS (Intrusion Prevention System), l auteur s appuie sur son expérience en entreprise pour apporter des conseils afin de rendre des outils efficaces dans le cadre d une politique globale de sécurité. Actualités Internationales Les informations marquantes d éditeurs, de marchés, d organisme de standardisation, de débats en cours et de tendances. Quoi de Neuf Docteur? Microsoft Office SharePoint Serveur 2007 : les raisons-clés d un succès Consultant et formateur, l auteur explique concrètement comment cette solution permet d automatiser simplement les processus de l entreprise, mais replace également l utilisateur au centre du système d information. Une approche métier proche des tendances actuelles en management d entreprise. Comment ça Marche? Les multiples facettes du contrôle d accès au réseau d entreprise Agent persistants ou non persistants, scanner de vulnérabilités, mise en quarantaine autant d éléments expliqués en détail dans cet article qui démontre schémas à l appui l intérêt du NAC (Network Access Control) et le rôle du chacun de ces éléments. Livres Microsoft Office SharePoint Server (MOSS) et Office 2007 par Pierre-Erol Giraudy et Sécurité Informatique Principes et méthode par Laurent Bloch et Christophe Wolfhugel Fenêtre sur cour Interview d Alain Bouillé, RSSI au sein du Groupe Caisse des Dépôts «Il me semble qu il est important qu une personne soit dédiée à la sécurité au sein d une entreprise afin de fédérer, diffuser et coordonner les actions de sécurité.» Alain Bouillé parle de son métier de responsable de la sécurité des systèmes d information (RSSI), et des appels d offres sur ce marché. Il évoque également les travaux du groupe de travail qu il pilote au CIGREF afin de constituer un tableau de bord sécurité, avec la définition de divers indicateurs-clés. Rubrique à brac Sécurité de la téléphonie sur IP Après avoir listé et expliqué les diverses menaces liées à la téléphonie sur IP, l auteur explique comment il est possible d y remédier. Un article indispensable pour comprendre les apports et les risques d une évolution incontournable. IT-expert n 70 - novembre/décembre

6

7 Dossier & Interviews Management de la sécurité A l heure où la dématérialisation des contenus s accélère, la protection de l information est plus que jamais déterminante pour la compétitivité et l image de marque des entreprises. Garantir la confidentialité et l intégrité des données, mais aussi la disponibilité des systèmes qui les manipulent et le respect des législations et réglementations, constitue un véritable enjeu stratégique. Ce dossier propose un balayage des stratégies actuelles de réponse à cet enjeu. IT-expert n 70 - novembre/décembre

8 L ISO 27001, ou comment construire un vrai système de management de la sécurité? Évolution de la menace : des Systèmes d Information sous pression! La place de plus en plus prépondérante des Systèmes d Information dans tous les processus métiers a sensiblement augmenté la dépendance des entreprises vis-à-vis de leur SI. Cette évolution est corrélée à une plus large ouverture de l entreprise au monde extérieur, qui implique directement une plus large ouverture des systèmes d information (nomadisme des collaborateurs, interconnexion avec des partenaires, accès des clients ). Les nouvelles stratégies de sourcing (externalisation, infogérance, off-shore) viennent encore renforcer les risques de perte de maîtrise de la sécurité. Enfin, de multiples lois et réglementation augmentent les exigences en matière de traçabilité, de protection des données personnelles, et de continuité d activité pour certains secteurs comme la banque et l assurance ou la santé. Et les autorités de régulation ou de contrôle, comme la CNIL par exemple, se font de plus en plus présentes. Cette augmentation de «l exposition» aux risques liés à la sécurité des SI se produit malheureusement dans un contexte où la menace informatique s accroît véritablement. Cette menace se professionnalise, avec une recherche ciblée de gains financiers ou d avantage concurrentiel. L usage généralisé de l informatique augmente aussi la tentation pour les attaques d origines interne. Globalement, toutes les enquêtes montrent une croissance de la sinistralité déclarée. Pour faire face à ces évolutions, les entreprises ont toutes augmenté sensiblement leurs budgets consacrés à la sécurité des SI, et ont pris des mesures conservatoires souvent centrées sur la mise en place de dispositifs techniques (firewall, anti-virus, centre de backup ). Mais ces mesures ont des limites, et ne peuvent répondre à tous les problèmes. Elles sont souvent mal comprises par les Directions Générales qui voient surtout les contraintes qu elles amènent sans identifier clairement les risques business auxquelles elles répondent. Pour sortir de ce dilemme, les Responsables de la Sécurité des SI (RSSI) doivent envisager de nouvelles réponses, plus globales, et plus compréhensibles par les responsables métiers et les Directions Générales. Avec l arrivée des normes de la famille ISO 27000, et surtout de sa «clé de voûte», l ISO 27001, les RSSI disposent maintenant d un outil pertinent pour concevoir une telle réponse. Examinons en détail les concepts et les apports de cette norme. ISO : les clefs du management de la sécurité La norme ISO décrit ce que doit être un système de management de la sécurité de l information (SMSI) pertinent. Un SMSI recouvre l ensemble des ressources mises en place pour organiser et gérer la sécurité au quotidien. Il englobe les différents documents formalisant les règles de sécurité, ainsi que l organisation associée (RSSI, correspondants sécurité, exploitants, instances de décision ). Le SMSI constitue donc un dispositif global de gouvernance de la sécurité de l information. Il est important de noter qu il est toujours défini pour un périmètre bien déterminé : toute l entreprise, un métier ou un processus particulier, une application, un centre de production Comme les systèmes de management de la qualité (ISO 9000) et de l environnement (ISO 14000), un SMSI ISO repose sur le cycle de progrès PDCA : Plan, Do, Check, Act, également appelé Roue de Deming. Ce cycle vise une amélioration continue reposant sur une logique simple : dire ce que l on fait, faire ce que l on a dit, puis contrôler et corriger ce qui ne va pas. DO PLAN CHECK ACT Le SMSI va également s appuyer sur d autres principes issus des normes ISO 9000 et notamment une approche par processus : la norme préconise en effet que toutes les activités liées au SMSI soient conçues et formalisées sous la forme de processus. Les porteurs et acteurs des différentes actions contribuant à la sécurité doivent donc être identifiés tout comme l enchaînement 8 IT-expert n 70 - novembre/décembre 2007

9 L ISO Une nouvelle famille de normes Issue des réflexions de groupes de travail internationaux dédiés au domaine de la sécurité de l information, la famille des normes ISO est progressivement publiée depuis Nous pouvons distinguer trois types de normes dans cette grande famille. Des normes certifiantes Elles décrivent les exigences devant être respectées si l on souhaite viser la certification et ainsi obtenir une reconnaissance externe. L ISO 27001, norme de définition et de mise en place du Système de Management de la Sécurité de l Information (SMSI), publiée en 2005, est le pilier du système. Elle s inspire largement des travaux de l organisme de normalisation British Standard et de sa norme BS qui était déjà «certifiante» et largement diffusée au Royaume-Uni et en Asie. L ISO 27006, qui définit les exigences s appliquant aux organismes accrédités pour prononcer eux-mêmes la certification, entre aussi dans cette catégorie. Des normes de recommandations Ces normes proposent des bonnes pratiques à suivre pour définir le système de management et sélectionner les mesures de sécurité. La plus connue est la norme ISO (ancienne ISO 17799) qui décrit les mesures de sécurité en 39 objectifs et 133 mesures. Les normes ISO (guide de mise en œuvre), ISO (mesure de l efficacité) et ISO (analyse de risques) actuellement en phase de conception apporteront des conseils sur la mise en œuvre du SMSI. Des normes sectorielles et techniques L ISO prépare aussi des «SMSI sectoriels» en sélectionnant et en adaptant les contrôles devant être mis en œuvre pour certains types d organismes. Un des secteurs les plus avancés est celui des télécommunications avec le projet de norme ISO La santé n est pas en reste avec le projet de norme ISO La liste des normes ISO est loin d être stabilisée, et les réflexions se poursuivent sur des thèmes comme la sécurité des réseaux ou la continuité d activité par exemple Exigences Mise en place du SMSI ISO Accréditation des organismes de certification ISO Recommandations génériques Code de bonnes pratiques ISO Terminologie ISO Implémentation du SMSI ISO Guide díaudits ISO Indicateurs et tableaux de bord ISO Recommandations sectorielles et techniques Gestion des risques ISO Normes métiers ISO 27xxx IT-expert n 70 - novembre/décembre

10 des actions à mener pour chaque processus de sécurité. Tout le cycle de vie du SMSI (PDCA) doit lui-même être vu comme un processus englobant l ensemble du dispositif. La norme ISO décrit grâce à ce processus les différentes étapes de la mise en place et du fonctionnement de la gouvernance de la sécurité de l information. Les politiques actuelles intègrent aussi très souvent des règles concernant la formalisation des procédures de sécurité, la réalisation de contrôles ou l enregistrement des journaux. Mais elles ne décrivent pas précisément les processus et moyens qui vont permettre de réaliser effectivement ces actions. La norme ISO propose en revanche d intégrer ces éléments comme des fondements incontournables de la démarche sécurité : 1) Des processus de sécurité bien identifiés et formalisés (analyse de risques, gestion des incidents, sensibilisation, contrôles ). 2) Le contrôle systématique des éléments mis en œuvre via le SMSI. 3) La gestion efficiente de la documentation (création et mises à jour). 4) La gestion stricte des enregistrements pour permettre le contrôle des mesures de sécurité mises en place (par exemple : traces de tous les accès à un local sécurisé). Notons que cet élément s avère de plus en plus incontournable du fait des nouvelles réglementations légales (Sarbanes-Oxley Act, LSF) ou sectorielles (Bâle II ou MiFID dans le milieu bancaire, Solvency II ). Mais la véritable spécificité de la norme ISO par rapport aux autres systèmes de management, c est qu elle centre toute la démarche sur l analyse et la maîtrise des risques que fait peser la sécurité de l information sur les activités «métiers» de l entreprise. La majorité des politiques de sécurité formalisées dans le passé énonce déjà le principe d une démarche sécurité alignée avec les risques encourus par l entreprise. Pourtant, rares sont encore les cas où le RSSI dispose d une vraie «cartographie des risques» globale et d un plan d actions justifié par ces risques. Souvent, les mesures de sécurité sont décidées et mises en œuvre directement par les équipes de la DSI ou sont choisies en fonction de «l état de l art» sans forcément sélectionner de manière objective les mesures réellement les plus pertinentes. Les analyses de risques, quand elles existent, sont limitées tant en périmètre (un projet, une infrastructure sensible), qu en terme de pertinence (faible implication des métiers). L ISO rend nécessaire la conduite d une analyse de risques dès la phase PLAN. La méthodologie d analyse n est pas imposée mais doit être définie au préalable et répondre à certaines contraintes : identification des processus et actifs critiques, identification des propriétaires, analyse des impacts, identification des menaces et des vulnérabilités, puis description et pondération des risques. Une telle démarche doit nécessairement impliquer les responsables métiers, seuls habilités à se prononcer sur les risques qui sont acceptables. Elle transforme donc les modes de gouvernances classiques, le RSSI se tournant d avantage vers les métiers et les utilisateurs que vers les informaticiens. Le RSSI devient un vrai «pivot» du dialogue entre les métiers et la DSI. Une norme qui insiste juste là où le bât blesse aujourd hui! La norme ISO met en avant des thèmes aujourd hui peu implémentés dans les entreprises : la systématisation de l analyse des risques et le contrôle d application de la politique de sécurité. Niveau de maturité des entreprises PLAN Analyse métier des risques SI 25% Politique de sécurité des SI 85% DO Plan díactions annuel 72% Procédures formalisées 63% Plan de sensibilisation 51% CHECK Plan de contrôle annuel 31% Tableaux de bord 50% ACT Revue régulière avec la DG 57% Source Solucom : enquête auprès de 50 grandes entreprises et administrations. 10 IT-expert n 70 - novembre/décembre 2007

11 Pourquoi adopter l ISO 27001? L ISO propose des principes pertinents qui amènent un plus réel aux démarches d amélioration de la sécurité. Elle apporte en effet : Une meilleure maîtrise des risques qui pèsent réellement sur les activités de l entreprise. La garantie de mieux dimensionner le budget sécurité et surtout de l affecter aux mesures les plus pertinentes. Une association plus systématique des acteurs métiers et du management aux décisions, et donc une meilleure acceptation des contraintes amenées par les mesures de sécurité. Un pilotage plus efficace des actions de traitement des risques. La facilitation d autres démarches liées à la sécurité de l information, comme par exemple la mise en conformité à Bâle II, à Sarbanes-Oxley ou aux lois informatique et libertés. La garantie de mieux répondre aux attentes des «auditeurs» qui vont maintenant utiliser cette norme comme référence. L utilisation de l ISO va par ailleurs renforcer la confiance du management dans la démarche entreprise par le RSSI et sa crédibilité. Elle offrira au RSSI un support plus efficace pour obtenir les moyens dont il a besoin pour mener ses actions. Plusieurs approches face aux normes : jusqu où aller? La norme ISO peut, comme tout guide, être utilisée comme un recueil de bonnes idées dans lequel on peut piocher. Mais elle ne donnera sa pleine efficacité que si les principes fondateurs qu elle propose sont effectivement mis en œuvre. La question qui se pose alors, est de savoir jusqu où aller dans la mise en œuvre de ces principes, avec deux grandes options possibles : 1. Construire un ou plusieurs SMSI avec une véritable démarche de progrès PDCA, mais sans chercher la certification à court terme. 2. Chercher à obtenir rapidement une certification officielle et tirer ainsi parti au maximum de ce que la norme peut apporter. Dans ce cas, comme nous le verrons plus loin, mieux vaut se fixer un périmètre raisonnable au départ. En tout état de cause, le projet d adoption de l ISO devra trouver sa place au cœur de la gouvernance SI de l entreprise. Il peut être porté par le RSSI, avec l aide des équipes Qualité et des Risk Managers, mais doit être sponsorisé par la Direction. Il associera systématiquement les métiers liés au périmètre concerné et bien entendu les acteurs de la DSI, qui sont concernés au premier chef. IT-expert n 70 - novembre/décembre

12 ISO : la mise en œuvre La norme ISO arrive alors que les entreprises et les administrations ont déjà pour la plupart mis en place des premiers éléments de gouvernance de la sécurité et ont engagé de nombreux chantiers d amélioration. La décision d appliquer les principes de l ISO remet-elle en cause tout l existant? Comment entamer ce projet ISO 27001? Par où commencer? Si l on prend l ISO au pied de la lettre, la première étape à mener est l analyse de risques. Pour conduire cette action, le choix du «niveau de granularité» est lourd de conséquences. Identifier tous les risques en analysant chaque micro processus de l entreprise est une tâche de longue haleine. Se placer à un niveau très macroscopique permet d aller beaucoup plus vite, mais donne des résultats beaucoup moins précis. Pour traiter ce dilemme et lancer la «boucle PDCA» dans un délai raisonnable, nous préconisons de mener en parallèle l identification macroscopique des besoins de sécurité, réalisée sur la base d interviews des principaux responsables métiers et de la Direction Générale, et une analyse des écarts entre les pratiques existantes et les principes et règles de la norme (i.e. les chapitres 4 à 8 de l ISO et les 133 mesures de sécurité de l ISO 27002), réalisée sur la base d interviews du RSSI et des responsables SI (exploitants, architectes, chefs de projets ), d une revue documentaire et de visites de sites. Ce travail initial permet d identifier les grandes familles de risques et les périmètres du SI sur lesquels les enjeux sont les plus forts. Il permet aussi de détecter les éléments manquants pour disposer d un SMSI opérationnel et efficient. Le travail ainsi mené permet de définir et de faire valider la «stratégie du SMSI» par la Direction Générale. La stratégie du SMSI consiste à : 1) Fixer le périmètre du SMSI. 2) Formaliser une politique de sécurité de l information et une organisation adéquate. 3) Définir un plan de maîtrise des risques argumenté identifiant les chantiers prioritaires. Le plan de maîtrise des risques comporte plusieurs volets : Des chantiers de conformité ISO pour décliner les exigences de la norme. Une approche par processus de sécurité sera évidemment très pertinente (gestion des incidents, contrôle ). Des chantiers «ISO 27002» comme par exemple le Plan de Continuité d Activité, la gestion des identités et des accès (IAM), la gestion contractuelle des tiers Le processus de gestion des risques, défini par l ISO 27005, est l un des processus clés à mettre en place dans le cadre de ce plan de maîtrise des risques. Ce processus permet de préciser et de mettre à jour progressivement la «cartographie des risques» globale. Il permet aussi d ajuster les contours et les priorités des chantiers de mise en conformité et de réorienter le SMSI dans la bonne direction si nécessaire. Le processus de gestion des risques prévoira dans la plupart des cas une alimentation régulière de la cartographie des risques sur la base des analyses de risques réalisées pour chaque projet SI et sur un travail progressif d analyse détaillée des risques pour chaque processus métier. Analyse d'écart de la norme Chantiers de mise en conformité ISO 27001/ISO DO Stratégie du SMSI Politique de sécurité Plan de maîtrise des risques Ajustement CHECK ACT L analyse de risques, point focal de la démarche Analyse de risques macro Processus de gestion des ISO L analyse de risques constitue le point de départ d une démarche ISO Pour autant, il s agit d un exercice complexe et sensible nécessitant un vrai appui de la direction ainsi qu une méthodologie et un plan de communication bien élaborés. Les difficultés à anticiper incluent : La définition des critères d acceptation des risques (à partir de quel niveau l entreprise ne peut accepter un risque). 12 IT-expert n 70 - novembre/décembre 2007

13 L ISO : Gestion des risques La norme ISO (en version projet actuellement) est un guide de mise en œuvre du processus de gestion des risques liés à la sécurité de l information. Elle propose une méthodologie d appréciation et de traitement des risques et complète ainsi les principes de la norme ISO qui établit le SMSI en s appuyant sur l analyse des risques. La norme ISO s inscrit dans la logique vertueuse du cycle PDCA initiée par la norme ISO tant par son objectif d amélioration de la sécurité que par le cycle de vie de la gestion des risques qu elle propose de mettre en place. Audelà des apports méthodologiques qu elle représente pour la gestion des risques, elle est enrichie d annexes qui forment un outillage conséquent pour leur appréciation et leur analyse. Pour autant, l ISO ne constitue pas aujourd hui une base de scénarios de risques suffisamment exhaustive pour être utilisée. L aide d une véritable méthodologie d analyse de risques (comme EBIOS ou MEHARI) et une expertise avancée restent nécessaires en complément. La définition d une grille d impacts, nécessaire pour avoir des résultats homogènes. Cette grille doit être indiscutable : il est toujours difficile de faire admettre à un responsable que le processus dont il a la charge n est pas le plus critique Les enjeux liés aux périmètres croisés lorsqu un risque ne concerne pas qu une seule équipe ou un seul processus métier. La norme ne donne par ailleurs aucun guide, ni pour le choix du niveau de granularité à adopter, ni pour la définition et la valorisation des types d impacts. Seuls le bon sens et l expertise peuvent permettre de faire des choix pertinents dans ce domaine. Les 12 travaux du RSSI, ou comment construire son SMSI Le travail de planification initial et de construction du SMSI ne va pas forcément remettre en cause tout l existant. Il est possible dans la plupart des cas de s appuyer sur les éléments pertinents déjà existants, notamment les politiques, les chartes, les directives, mais aussi les procédures opérationnelles. Le schéma suivant décrit les éléments apportés par l existant et les nouveaux éléments qui seront vraisemblablement à créer. Le corps de la norme ISO est consacré à la création et au maintien du SMSI. Si certains sujets sont mis fortement en avant comme la formation et la sensibilisation, l organisation, la gestion des ressources, la gestion des incidents ou les plans d audits, toutes les mesures de sécurité évoquées dans l ISO ne sont pas traitées en détail. Vu globalement, la mise en œuvre Existant Alignement sur les principes Certification PLAN Définition du périmètre Politique générale Directives & Chartes Processus du SMSI Analyses de risques Déclaration d'applicabilité (SoA) DO Procédure Approche contrôle / PDCA Gestion des actifs Systématisation Systématisation Gestion documentaire CHECK & ACT Plans de contrôles Mesures de l'efficacité Audits de conformité Gestion de preuves IT-expert n 70 - novembre/décembre

14 Les 12 travaux du RSSI 1/ Cartographie des risques et plan de maîtrise des risques 2/ Politique et gouvernance de la sécurité PLAN ACT Système de management de la sécurité de líinformation (SMSI) ISO DO CHECK 3/ Sensibilisation et formation 4/ Insertion de la sécurité dans les projets 5/ Gestion des tiers 6/ Mise en conformité (SOX, CNIL ) 7/ Gestion opérationnelle de la sécurité 8/ Plan de continuité d activité 9/ Gestion des identités et des accès 10/ Architectures de sécurité 11/ Plan de contrôle et d audit 12/ Tableaux de bord d un plan d action d amélioration de la sécurité s apparente tout de même aux «12 travaux d Hercule». Ce qu il est donc très important de noter, c est que l analyse des risques doit permettre de définir les bonnes priorités dans la sélection et dans la conduite de ces chantiers. L ISO n impose pas de structure documentaire. Le document de politique de sécurité de l information pourra ainsi très bien regrouper les principes de la politique du SMSI, son périmètre, l organisation du SMSI et les directives/procédures sur lesquelles la sécurité sera bâtie. Il pourra aussi être pertinent de consigner ces informations dans le manuel du SMSI, document maître du SMSI décrivant toute l organisation mise en œuvre. Dans la plupart des cas, les procédures de sécurité devront être complétées par une description des processus de sécurité. Ces processus précisent les règles applicables par une vision «organisationnelle» des rôles et responsabilités. L essentiel, c est que tous les éléments qui composent le SMSI sont clairement identifiés. Si certains documents ne s appliquent que partiellement au SMSI, cela doit être indiqué explicitement. C est notamment le rôle de la Déclaration d Applicabilité (SoA) qui, même si elle n est pas impérative en dehors d une certification officielle, constitue un document très pertinent pour bâtir le SMSI. La norme ISO devrait ensuite donner quelques guides pour aider à l implémentation des mesures de sécurité. Annoncée pour la fin 2008, cette norme sera un guide d aide à l implémentation du SMSI. Les premières versions de travail montrent une volonté forte de donner des conseils précis basés sur les meilleures pratiques rencontrées pour mettre en œuvre un SMSI. Le document sera structuré en fonction de chaque étape du processus PLAN, DO, CHECK, ACT mais détaillera également la notion même de processus et abordera également les phases amont (facteurs clés de succès, engagement du management ). La rédaction de cette norme est un travail important et complexe mais si le résultat est à la hauteur des espérances, elle pourrait devenir incontournable pour tous les RSSI. Mesurer l efficacité du SMSI : les tableaux de bord de sécurité Pour garantir l efficacité du SMSI, il faut se doter de moyens de mesure représentatifs et cohérents. A travers la publication de tableaux de bord de sécurité, les porteurs du SMSI vont pouvoir à la fois mesurer cette efficacité, et communiquer vers les acteurs impliqués. Un bon indicateur est un compromis entre pertinence, complexité et pérennité. Pour construire des tableaux de bord, il faut à la fois : Reprendre et consolider les éléments qui existent déjà (souvent de nombreux indicateurs techniques issus des équipes d exploitation). Mais aussi construire des éléments de haut niveau représentatifs du SMSI dans son ensemble. On retrouvera donc dans les indicateurs des éléments de mesure de chaque phase et notamment : De l analyse de risques (PLAN) et du plan de traitement des risques (DO). De suivi des chantiers ISO et ISO (DO). Des contrôles et audits (CHECK). De suivi des actions correctrices et des recommandations des audits (ACT). 14 IT-expert n 70 - novembre/décembre 2007

15 acteurs tels que le RSSI, ou encore des contrôles périodiques ou audits réalisés par des tiers indépendants, comme par exemple les équipes internes d inspection. Chaque mesure mise en œuvre doit en théorie faire l objet d un contrôle régulier. De manière plus pragmatique, c est l analyse des risques qui doit permettre de définir les points de contrôles prioritaires ainsi que l effort à consacrer pour chaque type de contrôle. L ISO et les indicateurs de sécurité Actuellement au stade final de normalisation, la norme ISO décrit les mécanismes de conception et de mesure des indicateurs de suivi du SMSI. Cette norme, très complète, contient beaucoup d informations sur ce qu est une mesure, comment les collecter et calculer les différents indicateurs issus de ces données. Suivant ensuite les différentes phases de la vie du SMSI (Plan, Do, Check, Act), la norme précise les actions qui devraient être conduites à chaque étape pour ce qui concerne les indicateurs. En annexe, la norme propose des fiches de description des indicateurs et également de nombreux exemples d indicateurs avec les modes de calcul associés. Trois pièges à éviter : Des indicateurs trop nombreux (au-delà d une vingtaine). Des indicateurs sans identification d objectifs à atteindre, donc difficiles à interpréter. Une industrialisation trop rapide : il vaut mieux valider que les indicateurs produits sont les bons avant d industrialiser complètement. COBIT, ITIL et ISO La plupart des DSI ont engagé des démarches de mise en application des référentiels de gouvernance des SI, les plus souvent cités étant COBIT, ITIL et CMMI. Se pose donc la question de la cohérence et de l articulation de ces démarches avec l ISO Sans entrer en concurrence, ces différentes normes peuvent se compléter et permettre des économies d échelle. Par exemple la mise en place de démarches CMMI et ITIL facilite la mise en œuvre des mesures de l ISO Le COBIT, avec son approche de gestion des risques, est également une aide pour viser l ISO Il envisage des types de risques plus larges que l ISO (risques affectant l efficacité, la fiabilité ou l efficience du SI, en plus des critères plus orientés vers la sécurité telle que la confidentialité, l intégrité, la disponibilité ou la conformité) mais les démarches restent fondamentalement proches. En règle générale, on peut considérer que les normes ISO constituent un approfondissement sur les thèmes de la sécurité de l information et de la gestion des risques, qui sont évoqués de manière plus succincte dans les autres référentiels. Il faut d ailleurs noter que la norme ISO 20000, issue d ITIL, «pointe» maintenant directement sur la norme ISO pour ce qui concerne le processus de gestion de la sécurité du SI. ISO et contrôle interne Objectifs La mise en œuvre des normes ISO implique un renforcement du contrôle interne. Ce renforcement est d ailleurs mis en avant par toutes les démarches de gestion des risques qui considèrent que seul un processus contrôlé régulièrement peut être considéré comme maîtrisé. La plupart des nouvelles réglementations ont pour conséquence un renforcement du contrôle interne. L une des tâches essentielles de la phase CHECK consiste donc à élaborer et à mettre en œuvre un plan de contrôle qui définit l ensemble des contrôles réalisés pour évaluer le niveau de maîtrise des processus de sécurité et l efficacité du SMSI. Il combine des contrôles de premier niveau, réalisés par les acteurs opérationnels, des contrôles de second niveau, réalisés par des SI ISO CMMI ITIL COBIT ISO27001 ISO27002 Moyens ISO9001 Métiers IT-expert n 70 - novembre/décembre

16 La certification ISO La certification du SMSI par un organisme externe apporte une reconnaissance publique et internationale. Cette certification nécessite cependant des efforts importants qui doivent donc être justifiés par un réel besoin métier. La certification garantit de manière indépendante que le SMSI est conforme aux exigences spécifiées, qu il est capable de réaliser de manière fiable les objectifs déclarés et qu il est mis en œuvre de manière efficace. Ses apports sont notamment : 1. Vis-à-vis des clients, des fournisseurs et des partenaires, la réponse à des demandes explicites des clients lors d émission d appels d offres requérant la certification, la maîtrise des coûts avec la réduction du nombre d audits mandatés par des tiers ou encore le renforcement de l image de marque de la société. 2. Pour l entreprise, la capacité de mobiliser ses équipes derrière un projet commun et visible, dans un objectif de planning déterminé, et d accélérer ainsi la démarche d amélioration de la sécurité. Mais viser la certification reste une cible ambitieuse nécessitant un bon niveau de maturité. C est un projet à part entière nécessitant un haut niveau de sponsoring. C est aussi un engagement dans la durée, aussi bien dans la fourniture de moyens que dans l amélioration continue. À la vue des efforts nécessaires, la certification doit répondre à une demande explicite des métiers et de la direction de la société. La certification dans le monde Aujourd hui, le niveau d adoption de la certification ISO est très hétérogène d un pays à l autre. Certains sont très en avance, en particulier le Japon. D autres (États-Unis, Inde ) sont en train de rattraper leur retard suite à la publication de l ISO comme norme internationale. Fin août 2007, certifications ISO ont été prononcées dans le monde. En France, quelques sociétés ont obtenu la certification. Agissant principalement sur le domaine des technologies de l information, ces sociétés ont certifié des processus particuliers proches de leur cœur de métier. La certification, une démarche encadrée et normalisée Pour obtenir la certification, il est nécessaire de faire auditer son SMSI par un organisme de certification externe. La certification du SMSI ISO suit le même processus que celle des autres systèmes de management tels que l ISO 9001 et l ISO (système de management environnemental). Les normes génériques d audit sont complétées par des textes spécifiques au SMSI, en particulier la norme ISO L organisation souhaitant se faire certifier va tout d abord contracter avec un organisme de certification. Ce contrat d une durée de 3 ans va encadrer l ensemble du cycle de la certification. L organisme de certification va mandater des auditeurs certifiés pour réaliser les contrôles. Plusieurs types d audits sont formellement identifiés : l audit initial couvrant la totalité du périmètre, des audits de surveillance sur un périmètre plus restreint et l audit de renouvellement. La durée de l audit est déterminée par la norme ISO et varie suivant le nombre et la taille des sites, le nombre de personnes dans le périmètre et la complexité du SI. À titre d exemple, il faut compter un peu moins de 30 jours d audit pour une société de employés. Suite à cette phase de contractualisation, l audit certifiant est initié. Une première phase de vérification documentaire est réalisée avant d enchaîner sur les visites de sites. Lors de cette opération, les auditeurs réalisent un ensemble de contrôles, techniques et organisationnels, pour vérifier que le SMSI «tourne», que les principes sélectionnés ont bien été mis en œuvre et que le système est pérenne. La majorité des contrôles organisationnels nécessite la fourniture de preuves concrètes (comptes rendus de réunion, documents approuvés, listes de personnes ayant suivi les formations ). Les contrôles plus techniques sont vérifiés par la réalisation d opérations sur les systèmes (affichage des habilitations, vérification des correctifs ). De plus, certains contrôles par des interviews spontanées d employés sont possibles. Suite à l audit, les auditeurs font parvenir leurs recommandations à l organisme de certification qui approuve les résultats et peut délivrer le certificat officiel. En cas de désaccord avec les résultats, il est possible de poser des recours. Les difficultés de la certification Au-delà des points clés inhérents à la mise en place du SMSI (périmètre, analyse de risques et mesure de l efficacité), les difficultés rencontrées couramment lors des audits certifiant sont les suivantes : La gestion des enregistrements et des preuves demande des efforts importants de formalisation et de communication. C est sur cette base que les contrôles seront réalisés. 16 IT-expert n 70 - novembre/décembre 2007

17 La connaissance, sur le périmètre concerné, des principes et des règles de sécurité. Les auditeurs ne manqueront pas d interroger aussi bien des responsables métiers que des employés, voire des prestataires, sur leur connaissance des pratiques de sécurité. Même si un problème sur ce point n entraînait qu une remarque de la part des auditeurs, il est difficile de garantir un sans-faute sur ce volet. La certification d un SMSI n ayant pas encore fait ses preuves. Même si cette pratique n est pas recommandée, la norme autorise la certification d un SMSI n ayant pas encore réalisé un cycle de la boucle PDCA. La certification sera alors plus facile à obtenir mais les audits de renouvellement ne manqueront pas de vérifier que les actions de type CHECK et ACT sont réalisées. Le relâchement «naturel» suite à l obtention de la certification pourrait alors être fatal. CONCLUSION : Adopter les principes dès aujourd hui, certifier sur opportunité! La norme ISO/IEC 27001, première brique d une grande famille de normes internationales consacrées à la sécurité des systèmes d information, constitue une avancée majeure dans le mouvement de professionnalisation progressive des démarches de sécurité. Elle formalise des principes essentiels qui vont permettre un alignement progressif de la sécurité de l information avec les meilleures pratiques de management : pilotage par les risques, formalisation des processus, contrôle, amélioration continue Appelée à s imposer, l ISO est aussi pour les RSSI et les DSI un outil de communication efficace permettant d asseoir la crédibilité et la cohérence des démarches d amélioration de la sécurité, et de conforter et valoriser ces démarches vis-à-vis du top management. Avec la certification officielle, cette crédibilité deviendra même dans certains secteurs d activité une reconnaissance externe incontournable. Il ne faut pourtant pas tout attendre de l ISO : en aucun cas les normes n aident à choisir le bon niveau de granularité et de détail pour conduire les analyses de risques. Elles n aident pas non plus à sélectionner les mesures de sécurité adaptées au contexte et ne garantissent pas que les processus que vous allez définir seront les plus efficaces pour maîtriser vos risques. Comme dans le domaine de la qualité, les normes fixent des objectifs, proposent une méthodologie, mais seuls le bon sens et l expertise assurent la pertinence des choix d implémentation. Le chemin à parcourir pour s aligner complètement avec la norme et atteindre la certification ISO s avérera souvent long, coûteux et ambitieux. La certification officielle doit donc être réservée pour le moment aux organisations qui peuvent y trouver un apport direct pour leur cœur de métier. Mais que cela n empêche pas chaque entreprise d appliquer dès maintenant les bons principes des normes, et d accélérer ainsi leur démarche d amélioration de la sécurité! C est en focalisant dans un premier temps l attention sur le traitement des risques majeurs que l on pourra pleinement tirer partie des enseignements des normes tout en se donnant un périmètre de travail raisonnable. Une fois ces risques majeurs maîtrisés, les cycles successifs de la boucle PDCA permettront d élargir progressivement le périmètre des risques traités pour couvrir à terme l ensemble du système d information. En résumé, appliquons dès aujourd hui les bons principes de l ISO 27000, mais visons la certification uniquement lorsque le jeu en vaut la chandelle! Laurent BELLEFIN Directeur des opérations sécurité du groupe Solucom. A propos de Solucom Solucom : Cabinet de conseil en gouvernance des SI et technologies, le groupe Solucom rassemble plus de 500 consultants. Dans le domaine de la sécurité, Solucom accompagne les grandes entreprises dans la mise en place de leur politique de maîtrise des risques SI et dans le design de leurs architectures de sécurité. Le pôle sécurité du Groupe Solucom est fort de plus de 120 consultants intervenant sur les aspects suivants : cartographie des risques et conduite d audits, formalisation des politiques et des organisations de management de la sécurité, élaboration de plans de continuité d activité, conception des processus et des solutions de gestion des identités et des habilitations. IT-expert n 70 - novembre/décembre

18 LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE Pour compléter votre bibliothèque de référence technique, commandez vite les anciens numéros* d IT-expert à tarif préférentiel! IT-expert n 58 Novembre/Décembre 2005 DOSSIER : L intégration de contenu, un problème bien réel Les JavaServer Faces face à Struts Sybase Adaptive Server Enterprise 15 Informatique et téléphonie : à quand la convergence? IT-expert n 60 Mars/Avril 2006 IT-expert n 61 Mai/Juin 2006 IT-expert n 62 Juillet/Août 2006 IT-expert n 63 Septembre/Octobre 2006 DOSSIER : La qualité des applications développées en technologies objet L industrialisation des développements au secours des échecs projets Environnements de Développement Intégrés Urbanisme des Systèmes d Information versus Architecture d Entreprise Contrôle d accès au réseau DOSSIER : Optimiser innovations et transformations en gérant le portefeuille de projets et d applications Subversion : le grand départ? L accessibilité numérique Wi-Fi DOSSIER : Panorama sur les techniques Agiles PHP5, une alternative à.net et J2EE? Eclipse : le Big Bang Callisto Test Driven Development Qui arrêtera Google? DOSSIER : La géolocalisation Géolocalisation, les techniques alternatives au GPS Le positionnement par GPS Géolocalisation, tout n est pas permis Recyclage des e-déchets * Dans la limite des stocks disponibles IT-expert n 65 Janvier/Février 2007 DOSSIER : Web 2.0 entreprise, quelles réalités? ITIL et ISO20000 Logiciel libre Les wikis : définitions fonctionnelles et techniques Une approche structurée de la certification du réseau : l audit automatique du réseau et la validation des changements des configurations IT-expert n 66 Mars/Avril 2007 DOSSIER : Sécurité : Les applications, le talon d Achille des entreprises RIA (Rich Internet Application) : définitions et panorama des solutions Gestion des droits numériques en entreprise avec RMS Un observatoire pour mesurer l urba Les DRM : une introduction IT-expert n 67 Mai/juin 2007 DOSSIER : SOA, l état de l art SOA :Architectures & outils Imprimez moins, maîtrisez vos coûts! Qualité interne de ses logiciels : mythes et réalités L univers étrange des unités d œuvre IT-expert n 68 Juillet/Août 2007 DOSSIER : Le décisionnel Du décisionnel à la gestion de la performance La visualisation de l information à des fins d aide à la décision Les grandes étapes d une chaîne d ETL ITIL : entre meilleures pratiques et référentiel holistique

19 Offre Spéciale Je souhaite acheter les numéros suivants Tarifs TTC (TVA : 5,5 %) 1 exemplaire : 8 10 exemplaires : 60 5 exemplaires : 35 Autre quantité : IT-expert n 59 Janvier/Février 2006 DOSSIER : Vers un standard pour le pilotage des coûts informatiques Contrôle des développements externalisés & solutions de gouvernance K9a : une nouvelle grille de lecture pour la conduite agile de projets de systèmes d information La guerre des processeurs aura-t-elle lieu? Année 2005 N 58 Année 2006 N 59 N 60 N 61 N 62 N 63 N 64 Année 2007 N 65 N 66 N 67 N 68 N 69 Pour commander les anciens numéros d IT-expert, il vous suffit de nous renvoyer ce document à l adresse suivante : IT-Expert 3, rue Marcel Allégot Meudon - France Tel : +33 (0) Fax : +33 (0) IT-expert n 64 Novembre/Décembre 2006 DOSSIER : Capital Immateriel Windows Vista : le nouveau système d exploitation de Microsoft Les curseurs sous SQL Server Wimax Adresse d expédition & de facturation Mme Mlle M. Nom Prénom Société Fonction Adresse CP Ville Tél Fax IT-expert n 69 Septembre/Octobre 2007 DOSSIER : Que peut-on offshorer dans une DSI? La qualité intrinsèque des applications dans les contrats de service Le «backsourcing» : lorsque l externalisation n est pas utilisée avec précaution Assurer le succès des projets avec la Tierce Recette Applicative Etat de l art de la convergence : lien entre informatique et téléphonie Chèque joint à l ordre de Press & Communication France Règlement à réception de facture Date : Signature obligatoire :

20 Technique Comment lutter efficacement contre les intrusions informatiques? Selon le Gartner, d ici 2010, les revenus des vendeurs de solutions de détection et/ou de prévention d intrusion vont augmenter d environ 30 %. Effet de mode ou réel intérêt des entreprises pour ces solutions? Les responsables informatiques doivent prendre conscience des problématiques associés à ces technologies, afin de ne pas investir sur une infrastructure sous exploitée (ou mal exploitée) du fait des difficultés inhérentes à ces solutions (nombre de fausses alertes trop importantes, complexité de mise en œuvre et de configuration, exigence de suivi régulier des alertes ). Après un bref rappel sur les concepts liés à ces technologies. Nous tenterons de comprendre quels sont les enjeux et les problématiques liés à l intégration de ce type de solution au sein d un système d information. 20 IT-expert n 70 - novembre/décembre 2007

21 Concepts Distinction IDS/IPS Afin d assurer la sécurité des données, de nombreux mécanismes de sécurité logique sont disponibles et implémentés au sein de ces systèmes d information. Parmi la pléthore de systèmes qui permettent de filtrer et/ou de contrôler les flux (les divers mécanismes d authentification, de filtrage au travers des pare-feu, etc.), des systèmes complémentaires ont été construits afin de pouvoir détecter les intrusions. Une intrusion est comme une action non autorisée (attaque ou action malicieuse) effectuée par des personnes internes ou externes aux systèmes d information surveillés. Ces systèmes ont évidemment évolué naturellement pour retrouver cette capacité de blocage ou de contrôle des flux au travers des mécanismes de prévention d intrusion. De manière générale, l architecture d un système de détection/prévention d intrusion repose sur les composants suivants : La sonde de détection/prévention d intrusion : elle est en charge de la capture, de l analyse du trafic, de la remontée des alertes. Plusieurs sondes peuvent être mises en place sur un environnement à surveiller afin de le contrôler plus efficacement. Le serveur de centralisation des événements : il assure la consolidation des alertes remontées par les différentes sondes placées sur l environnement surveillé. Un tel serveur est pertinent dans le cas où plusieurs sondes sont mises en œuvre. Ce serveur est lié à une base de données : celle-ci a pour objectif de stocker l ensemble des données traitées par les sondes. Une console de reporting : elle est en charge de la remontée des alertes auprès de l administrateur de la solution et doit permettre de les afficher de manière pertinente et rapide au sein d une interface graphique dédiée. Ces consoles sont généralement intégrées en natif au serveur de centralisation. Le schéma suivant représente l architecture globale d un système de détection/prévention d intrusion au sein d un réseau à surveiller. Ce schéma synthétique montre des sondes disposées sur l ensemble des quatre segments réseau du système : Le réseau utilisateur, La DMZ de serveurs, Le réseau d administration, La DMZ Internet. Le composant majeur de cette architecture correspond bien sûr à la sonde de détection/prévention d intrusion. En effet, son rôle est de détecter, voire prévenir, automatiquement les intrusions qui peuvent survenir au sein d un système d information. Les autres composants jouent plutôt des rôles «support» pour le stockage et l affichage. Les mécanismes de détection d intrusion reposent principalement sur deux méthodes d analyse du trafic : Serveurs Réseau utilisateurs Réseau d'administration Sondes Serveur de consolidation Console de reporting Web IT-expert n 70 - novembre/décembre

22 Analyse par signatures (Ce qui est interdit est connu) : les sondes possèdent une base de données d attaques, définies formellement sous la forme de signatures. Elles comparent ensuite le flux capturé à l ensemble de sa base de signature pour détecter une attaque connue. Analyse comportementale (Ce qui est interdit est inconnu) : les analyseurs disposent d un modèle de comportement normal ou autorisé du système surveillé. Ces analyseurs comparent le flux capturé à l ensemble de sa base de modèles pour détecter un flux inconnu, donc une attaque possible. En complément à la détection d intrusion, les nouveaux systèmes englobent des mécanismes qui permettent de répondre automatiquement à une attaque identifiée en essayant de la bloquer : cette fonctionnalité complémentaire correspond à la différence entre système de détection d intrusion et système de prévention d intrusion. Ces tentatives de blocage peuvent être effectuées de différentes manières : L IPS bloque l attaque, par exemple en fermant la connexion ou en filtrant tout accès à certains équipements, L IPS change l environnement surveillé au travers notamment de modification de configuration réseau, L IPS modifie le contenu de l attaque en remplaçant les paquets malicieux par des paquets sains. Malgré les algorithmes implémentés ainsi que la puissance de ces systèmes, les problèmes rencontrés en détection d intrusion depuis leur mise en œuvre sur le marché correspondent principalement aux trois points suivants : Le volume excessif d alertes générées par les sondes qui, souvent, correspondent en effet à des fausses alertes : l émission d alertes en l absence d attaque représente près de 90 % des alertes, L absence de surveillance régulière des alertes remontées par les sondes : étant donné le constat précédent, les organisations ne mettent pas ou ne peuvent pas mettre en place de structure suffisante pour analyser les événements remontés par ces systèmes, L augmentation des débits des réseaux comparée à la vitesse de traitement des équipements : l objectif est d analyser une quantité de trafic de plus en plus important et de la comparer à des bases de signatures de plus en plus détaillées. Des sondes affectées à la surveillance du réseau ou du système Indépendamment de la méthode d analyse du trafic, il existe par ailleurs deux types de sondes selon la nature des informations surveillées. Ces deux catégories ne surveillent pas directement les mêmes informations, mais la complémentarité de ces deux composants reste un élément majeur dans le cadre de la mise en place d un système global de détection d intrusion. Du réseau jusqu à l application Les sondes réseaux sont chargées de capturer et d analyser le trafic circulant sur un réseau déterminé et de détecter le trafic malveillant au sein de celui-ci. Le périmètre de détection des sondes réseaux permet actuellement de couvrir les flux applicatifs, transport et réseaux. En effet, les sondes réseau mettent à disposition des signatures qui permettent de rechercher des flux de ce type : L analyse des flux applicatifs permet de détecter des attaques au niveau des protocoles de niveau applicatifs, tels que HTTP, DNS voire même concernant des requêtes vers des bases de données. A titre d exemple, les règles listées ci-dessous sont des signatures utilisées par le logiciel de détection d intrusion Snort ( et correspondent à : - une signature relative à une attaque Oracle (exploitation d une vulnérabilité dans la base de données Oracle XML) : alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 2100 (msg :"ORACLE XDB FTP UNLOCK overflow attempt"; flow :to_server; content :"UNLOCK"; depth :6; pcre :"/^UNLOCK\s+\S+\s+\S{100}/sm"; reference :bugtraq,8375; reference :cve, ; classtype :attempted-admin; sid :3526; rev :3;) - une signature relative à une attaque SMTP (tentative de découverte de l alias root sur un serveur sendmail) alert tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25 (msg :"SMTP expn root"; flow :to_server,established; content :"expn"; nocase; content :"root"; nocase; pcre :"/^expn\s+root/smi"; reference :arachnids,31; reference :cve, ; reference :nessus,10249; classtype :attempted-recon; sid :660; rev :10;) L analyse des flux réseaux permet de détecter des attaques principalement au niveau des protocoles IP, ICMP ou IGMP. La règle suivante correspond à une signature relative à une tentative de ping généré par l outil de scan nmap : alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg :"ICMP PING NMAP"; dsize :0; itype :8; reference :arachnids,162; classtype :attempted-recon; sid :469; rev :3;) Des sondes dédiées au système Les sondes système sont chargées de capturer un ensemble d informations remontées par le système d exploitation d un équipement ainsi que par les applications installées sur cet équipement. De manière générale, les éléments analysés par ce type de sondes correspondent à : des logs systèmes (i.e. afin d identifier des tentatives d accès répétées), des processus en cours d exécution afin de détecter, par exemple, la présence possible de virus ou programmes malveillants, des accès à certains fichiers et ressources critiques (bases de registre, notamment), des flux réseaux circulant de et vers l équipement, et notamment au travers d une surveillance des flux concernant des ports critiques tels que les ports NETBIOS, Microsoft-DS ou les ports applicatifs. 22 IT-expert n 70 - novembre/décembre 2007

23 En complément à ces fonctionnalités de détection, les fonctionnalités de prévention reposent principalement sur des mesures de sécurité déjà existantes telles que le pare-feu personnel. L intérêt d un HI(D/P)S par rapport à ce type de mesures réside dans l automatisation de la réponse à une intrusion donnée : la règle de filtrage mise en œuvre au niveau du HI(D/P)S sera implémentée automatiquement alors que, dans le cas du firewall personnel, l intervention d un utilisateur sera nécessaire. Etant donné ces deux types de sondes, il est possible d envisager sur un réseau particulier l implémentation de ces deux types de sondes : un NID/PS pour surveiller le trafic réseau et un HID/PS pour surveiller l activité des systèmes. Vers l analyse comportementale et la corrélation d alertes Les évolutions actuelles des I(D/P)S ont pour objectif principal d améliorer les systèmes actuels en réduisant leurs inconvénients d utilisation majeurs, dont notamment la quantité de fausses alertes ainsi que la qualité des alertes remontées. L IDS/IPS joue-t-il en NBA? Parmi ces nouvelles évolutions, nous pouvons notamment citer les systèmes NBA (Network Behavior Analysis) qui ont pour fonction principale l analyse du trafic réseau afin d identifier du trafic inhabituel. A ce niveau, la différence entre NBA et I(D/P)S reste infime et on peut même être amené à considérer ces nouveaux équipements comme des I(D/P)S basés sur de l analyse comportementale. A y regarder de plus près, les composants de ces systèmes correspondent effectivement aux mêmes composants des I(D/P)S, c està-dire une sonde, une console de gestion et un serveur de centralisation. La différence principale avec leurs aînés repose sur la source d émission des informations : en effet, les sondes NBA peuvent, soit agir comme une sonde I(D/P)S, soit récupérer les informations des équipements réseau présents au sein de l environnement à surveiller, comme par exemple des routeurs. Par ailleurs, la fonctionnalité complémentaire des NBA correspond à leurs capacités de consolidation automatique d information liée aux équipements surveillés. Les principaux NBA sont en effet capables de récupérer et de mettre à jour automatiquement les informations suivantes, notamment au travers des techniques de passive fingerprinting : Liste d hôtes présents et communiquant sur le réseau à surveiller, Informations concernant ces hôtes, dont notamment leur système d exploitation leur adresse IP ou les services TCP/UDP ouverts. Etant donné qu ils fonctionnent en détectant des déviations de trafics normaux, ces équipements ne sont pas optimisés pour détecter des attaques ciblées sur des ports normalement utilisés à bon escient ou sur des attaques ciblées à un nombre réduit de machines. Le principal avantage de ces systèmes repose sur sa capacité à connaître l environnement qu il doit surveiller. Les inconvénients de ces systèmes sont tout de même multiples et ont parfois une origine équivalente à celle des I(D/P)S : La nécessité de protéger ces équipements afin de ne pas servir de cible privilégiée pour les attaquants potentiels, La nécessité d affiner la sensibilité de détection en fonction de l environnement à surveiller et de la mettre à jour selon les modifications lui étant apportée, La nécessité d avoir un processus régulier de contrôle des événements remontés par ces équipements et de réaction aux alertes. La corrélation d alertes limite le bruit Considérée comme une des clés de l évolution des systèmes de détection d intrusion, la corrélation d alertes résoud le problème d excès d alertes ou tout du moins améliore leur contenu. Elle est définie comme une interprétation conceptuelle d alertes multiples, tel qu une nouvelle signification est assignée à ces alertes. Ainsi, elle doit permettre à un administrateur de sécurité d établir des relations entre les alertes afin de réduire le flot d informations. Actuellement, des logiciels SIEM (Security Information & Events Management) de consolidation d événements provenant de différentes sources (firewalls, routeurs, antivirus, ID/PS) intègrent ce mécanisme de corrélation d alertes. Après avoir normalisé l ensemble des informations remontées de ces sources, cet outil se base sur un référentiel interne (i.e. base de vulnérabilités, cartographie du réseau) pour tenter de corréler ces alertes de manière à n afficher que les attaques réelles. Afin d obtenir des résultats intéressants et probants, le référentiel interne utilisé par ces outils doit être pertinent par rapport à l environnement à surveiller : il doit évidemment correspondre exactement à l état courant du système et toute information complémentaire n en est que superflue. A titre d exemple, si le SIEM se base sur une corrélation à base d informations cartographiques, ces informations relatives aux équipements surveillés doivent être à jour, notamment en termes de version de systèmes d exploitation et d applications. Cette forte exigence explique pourquoi les SIEM se trouvent face à la même nécessité de procéder à une démarche de tuning similaire à celle des I(D/P)S. Déployer un système de gestion des intrusions dans le SI Afin d éviter les écueils liés aux problèmes inhérents à la détection d intrusion, l intégration de ce type de composants au sein d un système d information existant nécessite la prise en compte de plusieurs facteurs de type techniques, organisationnels ou procéduraux : Une maîtrise parfaite de l environnement et des flux qui transitent au sein de ce système d information afin de permettre un paramétrage particulier (ou tuning) des sondes, Une organisation qui permette la supervision des alertes remontées et, de manière sous-jacente, la réaction à des alertes réelles, IT-expert n 70 - novembre/décembre

24 Une politique de sécurité définie et appliquée qui permet d avoir un niveau de maturité suffisant du processus lié à la sécurité du système d information. Vers une maîtrise parfaite des flux et de l environnement IT La connaissance détaillée du système d information de l organisation est un élément primordial à toute implémentation de système de détection/prévention d intrusion. Etant donné que la problématique principale de ces systèmes réside dans le nombre trop important d alertes émises, il est important de savoir réduire ce nombre d alertes. Afin d atteindre cet objectif, les systèmes de détection/prévention d intrusion doivent s adapter à l environnement dans lequel ils sont implémentés : en effet, les sondes de détection doivent être configurées de manière à remonter des alertes uniquement pertinentes pour l environnement surveillé. La pertinence de cette configuration, qui consiste à sélectionner au travers d une démarche de tuning les bases de signatures adéquates, repose donc sur une connaissance détaillée de l environnement à surveiller et des flux qui y transitent. A titre d exemple, la configuration d une sonde située dans une DMZ frontal à Internet hébergeant des serveurs Web Windows ne doit pas être identique à celle d une sonde située dans une zone back-end d un datacenter hébergeant les serveurs qui supportent des bases de données Oracle critiques à une activité métier d une organisation. En effet, pour ces deux exemples, les signatures à activer seront : Pour notre DMZ, des signatures relatives à des attaques Web sur des équipements Windows, Pour notre zone back-end, des signatures relatives à des attaques Oracle. Le schéma ci-dessous représente cet exemple. Cette étape de tuning se base bien sûr, au préalable, sur une connaissance détaillée de l environnement à surveiller, qui repose sur la cartographie réseau de l organisation ainsi que sur l inventaire des équipements présents dans cet environnement ainsi que sur les flux qui transitent au sein de l organisation, formalisés au travers d une cartographie des flux (applicatifs, d administration, etc.). Les deux éléments mentionnés précédemment ne sont pas associés uniquement à un processus d implémentation de systèmes de détection/prévention d intrusion. En effet, ces éléments font normalement partie intégrante des processus déjà mis en place au sein d une DSI, notamment au travers du processus de gestion des configurations et de l urbanisation des systèmes. Sonde configurée avec des signatures spécifiques Bases de Données Sonde configurée avec des signatures spécifiques Serveurss Web DMZ Back End DMZ Serveurs Réseau d'administration Réseau utilisateurs DMZ Serveurs Web Web 24 IT-expert n 70 - novembre/décembre 2007

25 Une politique de sécurité déclinée au niveau du réseau Une politique de sécurité définit l ensemble des exigences qui doivent être mises en œuvre afin d assurer la sécurité de l information de l organisation, notamment en termes de confidentialité, de disponibilité, d intégrité et de traçabilité. Cette politique se base notamment sur les exigences réglementaires, légales et sur la stratégie de l entreprise. En pratique, l application d une politique de sécurité s effectue en déclinant celle-ci en différents domaines concernés : à partir des exigences générales définies dans la politique de sécurité, des exigences spécifiques à chaque environnement technique et/ou organisationnel seront identifiées. Dans ce cadre, une politique d accès réseau peut être définie afin de décliner ces exigences en termes d accès au réseau, de filtrage d accès, de règles de routage et aussi de détection d intrusion. Au sein de cette politique déclinée, les orientations concernant la détection d intrusion peuvent permettre d identifier les mesures techniques à mettre en œuvre afin de couvrir les risques identifiés précédemment. Des exemples d exigences associées à ce domaine spécifique pourraient être les suivantes : L ensemble des flux circulant de et vers les DMZ critiques de l organisation doivent être contrôlés afin de détecter, et si possible, prévenir les attaques, L ensemble des flux sur le réseau des utilisateurs de l organisation doit être surveillé afin d identifier les possibles attaques internes, De fait, la formalisation de ces exigences peut et doit permettre aux opérationnels de mettre en place des systèmes de détection et de prévention qui ont des objectifs définis et clairs. L absence de formalisation de politique de sécurité déclinée dans le domaine des réseaux peut entraîner la mise en place de systèmes de détection/prévention sans réels objectifs. Une organisation adaptée à la supervision et à la réaction La mise en place d un système de détection/prévention d intrusion est inutile si l organisation en charge de ce système ne permet pas une supervision régulière ainsi qu une réaction rapide à toute intrusion identifiée. L utilisation de ce type de systèmes repose tout d abord sur l implémentation de ces systèmes au sein d un environnement à surveiller (en mode projet) et ensuite, sur l exploitation de ces systèmes et la surveillance des alertes remontées. La première étape correspondant au projet de mise en œuvre nécessite une quantité de ressources à un instant donné, mais ne nécessite pas de réutiliser ces ressources de manière régulière : une fois installée, le système est en exploitation. La deuxième étape nécessite, de la même manière que pour le processus d exploitation d un système d information, la présence et l utilisation régulière de ressources. Cette exigence est liée à la gestion des incidents : en cas d incident, des ressources techniques (outil de gestion d incident et/ou monitoring) et organisa- Métiers Stratégies Métiers Exigences Légales Exigences Métiers Menaces et Vulnérabilité Niveau Stratégique Exigences Mot de Passe Exigences de Sécurité Exigences Accès Réseau Exigences Ecran de Veille Implications Implications Implications Niveau Opérationnel Implémenter les mesures de sécurité IT-expert n 70 - novembre/décembre

26 Souvent mis en œuvre à la demande des opérationnels, les systèmes de détection/prévention d intrusion apportent rarement les bénéfices escomptés, ceci étant dû à une organisation inadaptée ou à une exploitation inadéquate de ces outils. Pour cette raison et compte tenu des difficultés inhérentes à ces systèmes, la mise en place de tels systèmes ne doit pas être effectuée uniquement pour rajouter un équipement de sécurité au sein de son système d information. En effet, il apparaît trop clairement, notamment au travers de nos expériences, que de tels systèmes soient implémentés pour des raisons «de mode», mais restent inexploités ou sous-exploités pour les raisons évoquées précédemment. C est pourquoi, l implémentation de tels outils au sein d un système d information nécessite les facteurs clés de succès suivants : Une exigence forte, notamment au travers d une politique de sécurité déclinée définissant clairement les orientations en termes de détection d intrusion, Un paramétrage spécifique des sondes selon l environnement à surveiller, ce qui correspond à mettre en place une démarche projet lors de la mise en place de ces systèmes, L existence de processus rôdés concernant la connaissance de l environnement à surveiller (au travers d une cartographie réseau et d un inventaire logiciel et matériel) qui permet, en cas de modification du système d information, de mettre à jour les paramètres des sondes, Une organisation formellement définie et mettant en œuvre des processus formalisés de contrôle des événements remontés par les sondes ainsi que de réaction aux intrusions. tionnelles (équipe d exploitation, service desk) sont mises en œuvre pour gérer et résoudre l incident. De la même manière, l utilisation régulière de ressources techniques (sondes, serveur de corrélation d alertes) et humaines (équipe sécurité, RSSI) pour la détection d intrusion est nécessaire : en cas d intrusion, ces ressources doivent être utilisées pour détecter cette intrusion et pour répondre de manière efficace à cette intrusion. Le processus est similaire pour le domaine de la sécurité physique : imaginons un instant que des systèmes de détection d intrusion physique sophistiqués soient mis en œuvre au sein des locaux d une entreprise afin de repérer toute intrusion. Que diraient ses dirigeants si les alertes remontées par ces systèmes n étaient pas contrôlées par les gardes de sécurité? Que diraient-ils en plus si ces systèmes prenaient l initiative de fermer et de verrouiller l ensemble des portes de ces locaux? En bref, l absence de ressources pour la gestion des I(D/P)S peut entraîner une utilisation inefficace et/ou inutile de ces systèmes. Bien que les technologies et produits de détection/prévention d intrusion actuellement proposée sur le marché soient de plus en plus pointues techniquement et proposent de plus en plus de fonctionnalités, l utilité et l efficacité de ces outils n apparaîtront qu en prenant en compte clairement ces différents facteurs clés de succès. Thomas ROETYNCK Senior Consultant, effectue des missions liées à la sécurité des systèmes d information dans le cadre de l activité «Security & Privacy Services» au sein du Cabinet Deloitte. Une politique de sécurité globale adaptée à l environnement informatique A propos de Deloitte Avec collaborateurs et associés, Deloitte est un cabinet d envergure mondiale, présent dans près de 150 pays, sur les métiers de l audit, du conseil, de l expertise comptable et de la finance. En France, Deloitte Conseil regroupe 350 collaborateurs au sein d un réseau mondial constitué de consultants. Ils interviennent dans des domaines recouvrant les Systèmes d Information, l Externalisation, l Efficacité Commerciale, la Fonction Finance, le Management des Risques, les Ressources Humaines, la Stratégie et les Opérations. Deloitte accompagne les organisations publiques et privées dans leurs projets de transformation et leur recherche de la performance. A partir de la compréhension des enjeux stratégiques et des métiers de ses clients, Deloitte les aide à concevoir et à mettre en œuvre les organisations, les processus et les systèmes d information au service de leur stratégie. 26 IT-expert n 70 - novembre/décembre 2007

27 Et retrouvez de nouveaux services : un moteur de recherche pour trouver les informations techniques qui vous intéressent une nouvelle offre d abonnement qui vous permet d accéder aux anciens numéros d IT-expert en format pdf les livres blancs techniques d éditeurs de logiciels, de SSII, de nos partenaires dans une rubrique «téléchargements» ouverte à tous! Et toujours des informations sur nos partenaires, sur les sommaires des numéros d IT-expert : un complément d informations à la version papier que vous recevez tous les 2 mois! LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE

28 Actualités internationales Actualités internationales Oracle VM : appliance virtuelle griffée Oracle A l occasion de l Oracle OpenWorld à San Francisco, le leader des bases de données a annoncé Oracle VM, une solution de virtualisation destinée aux applications maison, mais aussi à celles d autres éditeurs. Un moyen de proposer une appliance (serveur + logiciel dédiés) virtuelle affichant des performances accrues et simplifiant la haute disponibilité (entre deux machines virtuelles par exemple). Oracle VM repose sur l hyperviseur Xen (société proposant sa solution en Open Source, rachetée par Citrix) et peut s exécuter sous Oracle Enterprise Linux 4 et 5, RedHat Enterprise Linux versions 3,4, et 5 ; Windows Server 2003 et Wwindows XP. Autre avantage, ce type de solution libère l utilisateur des contraintes liées aux serveurs physiques, et permet une installation limitée d autres logiciels que ceux réellement nécessaires. Enfin, cela contribue à la consolidation, car les machines virtuelles peuvent cohabiter sur un même serveur et n utilisent que les ressources nécessaires. Oracle VM est disponible gratuitement en téléchargement ( et l administration s effectue depuis un navigateur sur des serveurs x86 (32 ou 64 bits). Le prix du support : à partir de 499 dollars par an et par instance jusqu à 2 processeurs, et 799 dollars pour une machine virtuelle avec un nombre de processeurs illimité. VMWare n est pas effrayé par la virtualisation Microsoft Au cours du TechEd 2007 à Barcelone, Richard Garsthagen, responsable produit EMEA chez VMWare a confié à : «Bien au-delà de la couche de virtualisation, notre entreprise se concentre sur la résolution des problèmes avec des applications conçues au-dessus de la couche de virtualisation.». Puis, il a cité les solutions VMotion et Site Recovery Manager comme exemples phares de cette stratégie. Selon lui, les clients préfèrent l idée d un logiciel de virtualisation indépendant du système d exploitation, et se posent des questions quant au support d autres environnements que les siens par Microsoft. (source : vnunet.com). Le feuilleton Oracle BEA est-il terminé? Le 15 octobre, Oracle faisait sensation en proposant de racheter BEA pour 6,66 milliards de dollars. Toutefois, les dirigeants de BEA ont rejeté l offre pas assez intéressante le 23 octobre, et estimé sa valorisation à 21 dollars l'action, soit 8,2 milliards de dollars. Et la situation n a pas évolué à la date butoir fixée par Oracle le 28 octobre à 15 heures (heure de New York). Pendant ce temps, le principal actionnaire de BEA Carl Icahn menaçait le conseil d'administration de l éditeur de poursuites judiciaires, s il empêchait les actionnaires de décider du sort de l entreprise. Les dirigeants de BEA ont rétorqué que la vente était toujours d actualité, mais pas moins de 21 dollars l action, soit un montant total de 8,2 milliards de dollars et une prime de 80 % sur le titre en bourse! Oracle a décliné cette offre jugée excessive. Le 16 novembre, BEA a publié un chiffre d'affaires pour le troisième trimestre de 384,4 millions de dollars, en hausse de 11 %, tandis que les analystes attendaient 375,4 millions. Le bénéfice net de 56 millions de dollars, soit une croissance de 59 %! Si la vente de licences a reculé de 1 % (134,8 millions de dollars), les services ont progressé à 249,6 millions de dollars. Un argument supplémentaire pour la position de BEA qui s estime sous-évaluée IBM apporte la virtualisation à AIX Décidément, novembre 2007 est le mois du virtuel! IBM annonce à son tour des solutions de virtualisation. En effet, si sous environnement x86, VMWare propose la migration en temps réel des machines virtuelles d un serveur physique à un autre, elle reste limitée aux architectures AMD et Intel. Bref, rien pour les utilisateurs d AIX, HP-UX, ou Solaris sous Sparc. Afin de dominer un monde Unix, qui fond chaque année, IBM enrichit son environnement AIX. En juin 2005, Big Blue avait racheté Meiosys, le spécialiste français de la haute disponibilité et de la virtualisation (en juin 2005), dont il a développé la technologie Live Partition Migration. Elle est désormais intégrée aux applications Live Partition Mobility et Lie Application Mobility. 28 IT-expert n 70 - novembre/décembre 2007

29 Actualités internationales Une pluie d annonces sur Microsoft TechEd 2008 Lors du TechEd 2007 du 5 au 15 novembre à Barcelone, Microsoft a annoncé de nombreuses nouveautés concernant sa vision «Dynamic IT». Outre la virtualisation Hyper-V, l éditeur a présenté les versions de Windows Server 2008 disponibles dès février : WS 2008 Standard (64 bits) + 5 licences client, une machine virtuelle et une machine physique : 971 dollars WS 2008 Web : 469 dollars WS 2008 Enterprise + 25 licences client, 5 machines virtuelles et une machine physique : dollars WS 2008 Datacenter (machines virtuelles illimitées) : dollars par CPU WS 2008 Itanium : dollars par CPU L' hyperviseur HyperServer-V (inclus dans les versions Standard, Entreprise et Datacenter) coûtera 28 dollars en version autonome, y compris pour les machines sans Windows, et quel que soit le nombre de processeurs. En effet, hypersiseur rime avec vente de licences, car chaque instance virtuelle actionne un système d exploitation. Et Microsoft parie que le client optera plutôt pour Windows. L administration à l honneur Trois nouveaux produits débarquent dans Microsoft System Center, la gamme d administration informatique de l éditeur : Configuration Manager 2007, Data Protection Manager 2007, et Virtual Machine Manager Objectif : automatiser divers scénarios, comme le déploiement de serveurs et de logiciels, la gestion de la conformité et des configurations, la sauvegarde et la restauration, ou la gestion de la virtualisation. Côté administration des postes clients, le Microsoft Desktop Optimization Pack (MDOP - plus de 3 millions de licences vendues) sera complétée de Microsoft Application Virtualization 4.5 (issu du rachat de SoftGrid). L an prochain DaRT (Diagnostics and Recovery Toolset) tournera sous Vista et Windows Server Enfin, Asset Inventory Service 1.0 automatisera l inventaire des logiciels sous MDOP. Microsoft n oublie pas les développeurs Le nouveau Visual Studio 2008 devient compatible avec Office 2007 (client riche de la stratégie Microsoft), et avec Silverlight, concurrent de Flash. Côté ouverture, le langage Linq (Language Integrated Query) intégré manipule les données d environnements hétérogènes via des requêtes universelles. Bonne nouvelle : la licence de Visual Studio 2008 et de son SDK évolue, et Microsoft élargit les partenariats au-delà de ses plates-formes. Enfin, la bibliothèque d applications.net Framework 3.5 ouvre son code source aux développeurs, mais uniquement en consultation. L éditeur de Redmond confirme l arrivée de Popfly, son outil de création d applications composites sans écriture de code ( et de Sync framework (synchronisation de données) déjà en bêta. Autre confirmation du TechEd de juin à Orlando, Microsoft SQL Server 2008, sera compatible avec Vista et Windows Server Par ailleurs, il s enrichit de Resource Governor, Backup Compression et Transparent Data Encryption, et d améliorations pour la veille économique DesignAlerts, le Block Computation ou l Enhanced Report Designer, de nouvelles visualisations et une intégration à Microsoft Office De nouveaux types de données apparaissent comme FileStream pour l information non structurée, les données spatiales pour la géolocalisation. Hyper-V la virtualisation à prix cassé de Microsoft Avec une sortie maintenue fin du premier semestre 2008, l hyperviseur Viridian, de Microsoft rebaptisé Hyper-V et fonctionnera avec les processeurs x64 d AMD et Intel. Proche du fonctionnement de Xen, et contrairement à VMWare, Hyper-V s allège de la gestion des pilotes confiée à chaque machine virtuelle. Clairement positionné en frontal d EXV de VMWare, Hyper-V sera proposé aussi en produit autonome au prix canon de 28 dollars, et pourra exécuter des instances sous Windows Server 2003 et 2008, les Linux de Red Hat et de Novell/Suse, et Solaris. L éditeur assure sa solution d administration System Center intégrera des fonctions évoluées pour gérer des environnements virtuels et gérer les copies physique-virtuel et réciproquement. Toutefois, elle sera disponible après le premier semestre. Sun aussi virtualise sous Solaris Confirmant les préannonces de fin octobre, Jonathan Schwartz, PDG de Sun Microsystems a profité de l'oracle Open World à San Francisco pour dévoiler totalement deux produits de virtualisation. xvm Server est un hyperviseur destiné au serveur de virtualisation de Sun fondé sur Xen (open source et racheté par Citrix). Disponible au printemps 2008, il utilisera Solaris comme système hôte et acceptera les instances virtuelles les OS x86 (Windows et Linux) et Solaris. Ces systèmes bénéficieront des ressources du gestionnaire de fichiers 128 bits ZFS (Zetta File System), de l'outil d'optimisation DTrace (Dynamic Tracing) et de l isolation de ressources défaillantes sans interruption de FMA (Fault Management architecture). Dans l esprit Open Source, Sun a aussi inauguré le site openxvm.org pour faciliter le téléchargement et le dialogue avec les techniciens du monde entier. Si Jonathan Schwartz a mentionné un investissement de deux milliards de dollars dans la virtualisation, il a aussi rappelé que Sun était «le premier éditeur commercial Open Source». Eh oui! IT-expert n 70 - novembre/décembre

30 Actualités internationales Tomtom absorbe Tele Atlas contre Garmin Le néerlandais Tomtom remporte la lutte contre l américain Garmin dans le monde des GPS. Les deux spécialistes se sont disputés pendant deux semaines pour racheter l éditeur de cartes numériques Tele Atlas. Tomtom avait lancé l attaque en juillet 2007, via une OPA amicale de 1,8 milliard d euros, soit 21,25 euros par action. Puis, Garmin contre-attaquait avec une offre de 2,3 milliards d euros à 24,50 euros par action. TomTom s est donc vu dans l obligation de surenchérir, en proposant 2,9 milliards d euros (30 euros l action) le 7 novembre. Tele Atlas affichant publiquement sa préférence pour TomTom, acceptera sans doute la transaction, mais à 1,1 milliard d euros de plus que l offre initiale. Une acquisition majeure avec une logique industrielle incontestable qui a permis au titre Tomtom de grimper jusqu à + 8 % à la bourse d Amsterdam. Le Wall Street Journal en ligne gratuit Contrairement à ce qu affirment certains analystes mal avisés, le modèle gratuit revient en force, au détriment des sites payants. En septembre 2007, le New York Times a abandonné l abonnement payant en ligne pour passer au site Web d information gratuit. Aujourd hui, le non moins prestigieux Wall Street Journal, du groupe News Corp, envisage de prendre le même virage. Son propriétaire, l homme d affaires Rupert Murdoch a indiqué : «Nous étudions la possibilité de passer sur le modèle gratuit, car au lieu de n avoir qu un million d abonnés en ligne nous allons toucher beaucoup plus de lecteurs. L objectif étant de faire du site une référence, consultable gratuitement partout dans le monde.» Si les abonnements ont dégagé plus de 50 millions de revenus en 2006, il semblerait que la publicité soit plus rentable. De plus, en passant au modèle gratuit, les sites Web améliorent leur visibilité auprès des internautes, mais aussi auprès des moteurs de recherche et autres flux RSS. Or, en la matière, la réputation d une marque reconnue est un atout différenciant. De plus, le titre sera bien plus influent sur la Toile. Un modèle vertueux, puisque plus de trafic amène aussi plus de publicité. IBM s offre Cognos Le 12 novembre, IBM annonçait son désir d acquérir Cognos, spécialiste canadien de la Business Intelligence créé en 1969, pour 58 dollars par action, soit près de 4,9 milliards de dollars en cash. Société cotée en bourse, Cognos devrait réaliser 1,1 milliard de dollars de chiffre d affaires en 2008, hors Applix qu elle vient d acquérir (voir dernier numéro d IT-expert). Bien qu IBM s en défende, cette acquisition est forcément motivée en partie par la concentration actuelle du marché des solutions de consolidation et de planification budgétaires (pou EPM, ou gestion de la performance), dont Cognos souvent est considéré comme l un des leaders. En effet, les poids lourds du secteur ont déjà joué cette pièce : Oracle en rachetant Hyperion, et SAP en reprenant Busines Objects (qui avait racheté Cartesis). Un rachat qui confirme la tendance à investir plus lourdement d IBM dans le logiciel, plutôt que sur son activité historique de constructeur. Logique, puisque le matériel devenant de plus en plus standard dégage moins de marge. D ailleurs, au 3e trimestre 2007, le service et les logiciels ont généré les trois quarts du chiffre d affaires du groupe, avec des croissances entre 7 et 16 %, tandis que le matériel a reculé de 10 %, pour un chiffre d affaires en hausse de 7 % à 24,1 milliards de dollars. Le BlackBerry n aime pas les imitateurs La société canadienne RIM (Research in motion), créatrice du Blackberry inspire forcément la concurrence, dans un secteur où les modèles de revenus récurrents se multiplient. Le coréen LG Electronics (Lucy Goldstar) a créé des terminaux baptisés avec des noms du genre «Black Label», «Strawberry» et «Black Cherry». Il est vrai que les consommateurs pourraient s y tromper, même si les modèles sont différents. Le Canadien a donc attaqué le coréen en justice, comme il l avait déjà fait contre Samsung. Ce conflit avait d ailleurs été réglé par entente à l amiable. RIM réclame à LG des dommages et intérêts ainsi que la destruction de tous les terminaux incriminés. Peutêtre un brin excessif? 30 IT-expert n 70 - novembre/décembre 2007

31 Quoi de neuf Docteur? Microsoft Office SharePoint Serveur 2007 : les raisons-clés d un succès Microsoft SharePoint Serveur 2007 est la nouvelle étape de l évolution de la plate-forme de gestion de contenu et de travail collaboratif de l éditeur américain. En tant que fondation d Office System 2007, cette nouvelle plate-forme fournit un ensemble d applications, de fonctionnalités et de services ayant pour principal objectif d améliorer, de façon significative, la productivité des collaborateurs et des équipes dans leur travail au quotidien, et ceci grâce à des échanges et partages d informations plus performants et des processus visant à renforcer la prise de décision et le pilotage. Une année s est presque écoulée depuis la sortie de cette nouvelle version de produit. Depuis de nombreuses entreprises ont fait le choix de l utiliser pour concevoir et développer leurs nouveaux portails d entreprise. Analysons les principaux axes qui ont motivé leurs décisions et décrire les avantages induits par leur mise en œuvre. IT-expert n 70 - novembre/décembre

32 travail complet pour la gestion des documents, des réunions ou des processus métiers classiques comme la gestion des congés payés ou du remboursement des notes de frais. Naturellement, cet ensemble de composants reste limité au travail collaboratif. Pour tirer pleinement parti de toutes les nouvelles fonctionnalités apportées par la plate-forme, il est indispensable de passer à la version complète en installant les composants de MOSS 2007, ayant quant à eux un coût de licence, contrairement à la couche WSS 3.0. Ceux-ci vont permettre de compléter largement les éléments de WSS 3.0 et d élargir le champ des possibles en matière de portail Web. Consolider l accès de tous les collaborateurs aux données de l entreprise Les axes principaux de la plate-forme Microsoft Office SharePoint Serveur 2007 Renforcer le travail collaboratif des équipes Microsoft Office SharePoint Serveur 2007 est avant tout une plate-forme centralisée de travail collaboratif et de partage d informations. Cette plate-forme est composée de deux principaux produits ; Windows SharePoint Services, version 3.0 (WSS 3.0) et Microsoft Office SharePoint Serveur 2007 (MOSS 2007). La première partie, WSS 3.0, est constituée d un ensemble de composants et de services fonctionnant sous Windows Serveur Une fois cette couche de composants installée, WSS 3.0 offre la possibilité de travailler, de façon collaborative, au sein de sites web sécurisés. WSS 3.0 est étroitement intégré aux applications bureautiques clients, à la messagerie électronique et aux navigateurs Web familiers aux utilisateurs. Au travers de cet environnement homogène, les utilisateurs peuvent très facilement interagir avec le contenu, les processus ainsi que les données métiers. L adoption de WSS 3.0 est beaucoup plus importante que sa version antérieure puisqu elle apporte, de façon native, tous les éléments permettant de construire des sites d équipes complets, sécurisés. Elle intègre également les outils d indexation et de recherche de Microsoft, indispensables pour un accès rapide à l information contenu dans chacun des sites. De plus, WSS 3.0 s appuie sur le moteur de flux de travaux, Microsoft Workflow Foundation, pour permettre le développement de véritables processus d entreprise. Il est donc assez aisé, sans surcoût de développement complémentaire, d assembler un ensemble de briques élémentaires afin de fournir aux utilisateurs un socle de Au-delà des fonctionnalités dites collaboratives, une réelle volonté de centralisation de l information est de plus en plus palpable au sein des Directions des Systèmes d Information. Ainsi, il apparaît clairement aujourd hui qu une même information peut être stockée à divers endroits du système d information, dans des systèmes de fichiers, des dossiers publics Exchange, ou tout simplement dans les éléments personnels d un collaborateur sur son poste de travail. Deux problématiques émanent donc de cet état de fait : d une part, l information est disséminée à de nombreux endroits, rendant la sauvegarde de celle-ci complexe, d autre part, une même information peut être dupliquée un certain nombre de fois au sein du système d Information. La meilleure solution consiste à centraliser l ensemble des informations de l entreprise au sein du portail MOSS 2007, permettant de gérer efficacement à la fois la sécurité d accès aux données, mais également la sauvegarde régulière de ces données. Afin de faciliter la recherche de documents, la plate-forme MOSS 2007 s appuie sur les composants d indexation et de recherche de Microsoft afin de fournir aux utilisateurs un moteur de recherche le plus rapide et efficient possible. De plus, il est très simple de mettre en œuvre une indexation de sources de données externes (systèmes de fichiers, autres sites Web ) permettant ainsi de migrer, au fur à mesure de la vie de l espace Web, les données vers la base MOSS. Refaire de l utilisateur l acteur principal du SI Au-delà du simple travail collaboratif, force est de constater que, depuis plusieurs années, les Directions Informatiques souhaitent fournir à l ensemble des collaborateurs les outils les plus proches de leurs besoins métiers. Une réelle volonté d impliquer les collaborateurs de l entreprise au sein du Système d Information est visible, afin qu ils adhèrent, de façon naturelle, aux nouveaux projets mis en œuvre et qu il soit acteur principal de l utilisation des outils au quotidien. 32 IT-expert n 70 - novembre/décembre 2007

33 les utilisateurs, permettant ainsi d éviter le phénomène de latence dû à une surcharge de travail de l équipe informatique. Mais surtout, on constate une réelle implication des collaborateurs à tous les niveaux de l entreprise. Ainsi, ils deviennent à leur niveau les acteurs de Système d Information, et participent de fait à sa constante évolution. Naturellement, pour que tout ceci se mette en place, un accompagnement des collaborateurs est indispensable afin de les aider durant la phase d acquisition de ce nouvel outil. Une fois encore, la forte intégration de la plate-forme MOSS 2007 avec les outils bureautiques d Office permet une réelle prise en main rapide et simple pour les utilisateurs. Mettre en œuvre de véritables processus métier au sein du SI C est pour cela que la plate-forme MOSS 2007 propose une fonctionnalité complète de gestion de contenu Web, ayant pour principal objectif de déporter la gestion des informations de l entreprise au niveau des collaborateurs. En effet, il y a quelques années, pour diffuser une simple mise à jour d information sur le site Intranet de l entreprise, il était indispensable de s adresser aux informaticiens, seuls à même de réaliser cette évolution du site. Aujourd hui, il est tout à fait envisageable qu une responsable de Ressources Humaines par exemple puisse, au travers d un portail Web, saisir les informations décrivant un nouveau poste dans l entreprise. Naturellement, ces informations seront soumises à validation de son Directeur avant d être publiées pour l ensemble des collaborateurs. Cette nouvelle façon de travailler à plusieurs avantages. Tout d abord, une augmentation de la réactivité en terme de diffusion d information : les données métiers sont directement gérées par Comme nous l avons déjà cité lors de la section consacrée au travail collaboratif, la présence de Windows Workflow Foundation apporte une véritable dimension métier à la plate-forme MOSS Tout d abord, il est possible de tirer directement parti des flux de travail directement intégrés et prêts à l emploi afin de mettre en place des activités de gestion courantes comme l approbation ou la révision de documents, la collecte de signatures digitales par exemple. En associant ces flux de travail avec une solution de formulaires électroniques pour recueillir les informations métiers importantes auprès des clients ou des fournisseurs par exemple, il est facile de construire des solutions métiers personnalisées avec un minimum de code à développer. De plus, des règles intégrées de validations de données vont permettre d assurer la parfaite cohérence des données prélevées avant leur traitement automatisé. Elles pourront donc être immédiatement intégrées au sein du Système d Information, en évitant de fait le travail de ressaisi ainsi que les éventuelles erreurs qui y sont associées. Exemple de processus de gestion des demandes de congés IT-expert n 70 - novembre/décembre

34 Disposer d outils de pilotage performants et efficaces Afin de fournir aux responsables de l entreprise des outils intégrés leur permettant de prendre efficacement des décisions stratégiques, la plate-forme MOSS 2007 propose des fonctionnalités de Business Intelligence permettant de consolider des informations et des données de l entreprise au sein d un site web centralisé et sécurisé. Plusieurs types de composants sont fournis en standard, comme par exemple : les indicateurs de performance clé fournissant une vision en temps réelle de l état des éléments surveillés (niveau des ventes pour un responsable commercial, niveau de performance des serveurs d entreprise pour la DSI ), les tableaux de bords paramétrables fournissant une vision consolidée des données stratégiques de l entreprise, pouvant provenir de sources de données diverses (bases de données, des ERP comme SAP par exemple, des informations fournies par les équipes au sein du portail ). En se basant sur les services Excel, nouvellement présents dans la plate-forme MOSS 2007, l ensemble des collaborateurs autorisés peuvent facilement accéder aux données contenues dans des fichiers Excel, et ceci au travers du navigateur Web. Cette nouvelle fonctionnalité permet ainsi de conserver l ensemble des fichiers Excel construit depuis des années par les managers et de partager efficacement une version centralisée tout en protégeant les informations s y trouvant. En effet, le nombre de projets ne cesse d augmenter depuis ces douze derniers mois, montrant ainsi une réelle adoption du produit par les Directions Informatiques. Une récente étude réalisée par Microsoft montre que les vecteurs ayant motivé cette adhésion à la plate-forme MOSS 2007 sont, par ordre d importance : les fonctionnalités de portails d entreprise visant à uniformiser l accès aux données de l entreprise, les fonctionnalités de travail collaboratif au sein des équipes, la gestion documentaire et les processus métiers, la gestion de contenus web fournissant une réelle autonomie aux utilisateurs. De plus, ce système entièrement construit sur la technologie.net 2.0 de Microsoft, est de fait ouvert à toute évolution et personnalisation de l environnement. Il n y a donc pas de limites à l expansion des portails d entreprises pour qu ils s adaptent toujours mieux aux processus de l entreprise ainsi qu aux besoins exprimés par les collaborateurs. Il paraît donc évident que cette plate-forme, déjà très complète aujourd hui, va s enrichir de nouveaux éléments au fil des mois, soit au travers de développements spécifiques, soit par l ajout de composants tiers, pour fournir toujours plus de fonctionnalités aux utilisateurs et accroître leur productivité au quotidien. Répondre aux impératifs de mise en conformité des données de l entreprise La plate-forme MOSS 2007 offre aux Directions Informatiques la possibilité de spécifier des paramètres de sécurité, des stratégies de stockage des données, ainsi que des stratégies d audit et des actions devant être automatiquement déclenchées lors de l expiration des enregistrements de l entreprise. Régis MASSÉ Consultant Ce nouveau point répond ici pleinement à la volonté des Directions Informatiques de pouvoir assurer le contrôle des données tout en respectant scrupuleusement les réglementations de mise en conformité. Ceci permet donc de s assurer que les informations sensibles sont contrôlées et gérées efficacement. De plus, ce contrôle, bâti sur un ensemble de règles précises, réduit mécaniquement les risques potentiels de litiges pour l entreprise. Conclusion Les fonctionnalités proposées par la plate-forme Microsoft Office SharePoint Serveur 2007 permettent de bâtir de réelles solutions de portails d entreprises qui répondent aux problématiques actuelles des celles-ci. Créée en 1985 et filiale du groupe Cegos depuis 1999, ib - groupe Cegos est aujourd hui un acteur majeur du marché de la formation informatique. A travers son offre de solutions de formation sur les champs des métiers de l informatique, du développement d applications, des infrastructures et de la Business Intelligence, la société forme chaque année plus de personnes. Depuis plusieurs années, ib a également développé une expertise sur le champ du Conseil. ib Conseil, son entité dédiée à cette activité, réalise ainsi des missions d accompagnement des entreprises dans la conduite de leurs projets informatiques : analyse des problématiques, audit technique, assistance à maîtrise d ouvrage Implantée à La Défense, Lyon, Toulouse, Nantes, Rennes et Strasbourg, ib - groupe Cegos emploie 110 collaborateurs. Pour en savoir plus, visitez le site 34 IT-expert n 70 - novembre/décembre 2007

35 IT-expert, soudain tout est clair IT-expert, la référence technique des professionnels de l informatique Bimestriel de conseil et d expertise technique, IT-expert vous offre l information essentielle pour vous former et décider. LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE Pour tous renseignements : IT-expert - 3, rue Marcel Allégot MEUDON - FRANCE Tél. : +33 (0) abonnement@it-expertise.com

36 Abonnez-vous à IT-expert Je m abonne 1 an au bimestriel IT-expert. Je recevrai 6 numéros pour 89 TTC Je m abonne 1 an à IT-expert version papier + accès au pdf en ligne* pour 120 TTC Mme Mlle M. Nom Prénom Société Fonction Adresse CP Ville Tél Bon d abonnement à faxer au +33 (0) ou renvoyer au Service Abonnements 3, rue Marcel Allégot Meudon France Fax Chèque joint à l ordre de Press & Communication France Règlement à réception de facture LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE Date : Signature obligatoire : * Vous recevez dès sa parution un exemplaire d IT-expert par la poste à l adresse de votre choix et vous aurez accès à l ensemble des anciens numéros d IT-expert en version PDF sur le site web d IT-expert : Abonnez-vous sur

37 Comment ça marche? Les multiples facettes du contrôle d accès au réseau d entreprise La capacité d une organisation à administrer les différents terminaux et postes de travail (fixe, portable, PDA, smartphone, terminaux linux, Mac ) qui accèdent à son réseau joue désormais un rôle critique dans la sécurité et la disponibilité de son infrastructure informatique. La nouvelle cybercriminalité qui cible maintenant des entreprises précises, vise spécifiquement les postes de travail en tant que points d entrée possibles vers les ressources internes. Pour se prémunir de ces menaces ciblées, les entreprises doivent pouvoir garantir que chaque terminal est en permanence conforme aux politiques de sécurité édictées. Sans cette garantie, les organisations sont exposées à une large gamme de menaces, comme la prolifération de programmes malveillants dans l entreprise, l interruption de processus critiques au bon fonctionnement des affaires, l augmentation des coûts de reprises, l exposition d informations confidentielles, des atteintes à l image de marque de l entreprise et même des amendes dues au nonrespect des réglementations en vigueur. Un système de contrôle d accès au réseau (Network Access Control NAC) permet aux organisations de s assurer de l identité de la machine ou de l utilisateur, de la bonne configuration et de l état des terminaux avant qu ils ne soient autorisés à accéder aux ressources du réseau de l entreprise, qu il s agisse de collaborateurs sur site, à distance, d invités, ou de sous-traitants. Ce système va identifier et évaluer la conformité, ouvrir les accès réseaux appropriés et proposer éventuellement des moyens de correction pour s assurer du respect des standards et des politiques de sécurité de l entreprise. IT-expert n 70 - novembre/décembre

38 Un système de contrôle d accès réseau (NAC) reste indépendant du système d exploitation réseau, doit s intégrer dans n importe quelle infrastructure réseau, et être transparent pour l utilisateur. En permettant aux entreprises de contrôler la conformité et l application des politiques de sécurité, le NAC doit participer à : La réduction de la propagation de maliciels tels que virus, vers, logiciels espions, chevaux de Troie, et autres formes de risques de sécurité, L abaissement des profils de risques par un contrôle accru des terminaux accédant au réseau de l entreprise, administrés ou non, Une meilleure disponibilité du réseau et la réduction des interruptions de service pour les utilisateurs, La fourniture d informations de conformité vérifiables en quasi-temps réel, La garantie que les investissements réalisés en matière de sécurité, tels que l antivirus et le pare-feu, sont déployés et configurés correctement, La réduction des coûts de support utilisateur par remise à jour automatique, La protection des données confidentielles de l entreprise. l entreprise. Avant qu une machine ne puisse accéder au réseau de production et à ses ressources, elle devra être en totale conformité avec les politiques établies par l entreprise, comme posséder le dernier niveau de correctifs de sécurité, un anti-virus avec définitions à jour On peut noter cependant qu en dépit de leur faculté à empêcher la connexion de terminaux non-conformes ou inconnus au réseau de l entreprise, ces solutions de contrôle d accès au réseau ne sont pas encore déployées de manière systématique dans les entreprises. Les raisons sont variées, particulièrement parce que certaines solutions peinent à offrir une remise à jour efficace, font croître le nombre d agents à installer sur les postes, introduisent trop de complexité et trop de perturbations dans l infrastructure, manquent de flexibilité quant aux besoins des organisations, tels que la gestion des invités ou travailleurs temporaires ou encore ne s intègrent pas correctement à la gestion de la sécurité globale des postes de travail. Une architecture à trois niveaux Un système de contrôle des accès réseau doit comprendre les composants suivants : Des technologies d évaluation de l état des terminaux tentant de se connecter au réseau (vérification de la conformité) Des systèmes de mise en quarantaine (enforcers) qui agissent comme le gardien qui autorise ou non l accès au réseau Un gestionnaire de politiques, qui créé, édite et maintient les règles d accès au réseau via une console centralisée. Gestionnaire de politiques Maintenir un environnement sécurisé et administré Les administrateurs font en sorte que les postes de travail nouvellement déployés soient configurés conformément aux politiques de l entreprise, c est-à-dire après validation de la liste des applications installées, installation de toutes les mises à jour de sécurité applicables, antivirus et définitions à jour Pourtant, dès le passage en production de ces machines, ceuxci en perdent le contrôle. Les utilisateurs installent de nouveaux logiciels, bloquent les installations de correctifs, stoppent les pare-feu, ou font d autres changements qui génèrent des risques de sécurité pour leur poste de travail, pouvant potentiellement impacter l infrastructure informatique dans son ensemble. Les utilisateurs distants et/ou mobiles sont généralement plus exposés lorsqu ils utilisent leurs portables depuis des cybercafés, des chambres d hôtel, ou tout autre endroit non sécurisé. Les solutions de contrôle d accès au réseau permettent d empêcher ces événements d affecter l infrastructure informatique de Technologies d évaluation des postes Enforcers Réseaux Figure 1 : Architecture d un système de contrôle d accès au réseau Les technologies de mise en quarantaine («enforcement») reçoivent les politiques de configuration de la console d administration, vers laquelle, en retour, convergent les événements à signaler. L «enforcer» bloque l accès de cette machine au réseau si la technologie d évaluation détermine que tel poste de travail n est pas conforme à la politique de sécurité. Basé sur les politiques définies par l administrateur (et en fonction du type d «enforcement» déployé), l «enforcer» doit permettre la remise en conformité automatique des postes rejetés. Ceci doit s accomplir à travers des tâches de correction comme l appel à un outil de télédistribution pour l installation de mises à jour. 38 IT-expert n 70 - novembre/décembre 2007

39 Conformité Politique Endpoint Security Antivirus actif Signatures Antivirus à jour Firewall Personnel Actif Service Pack à jour Patchs à jour Vérifications personnalisables Syntaxe IF THEN ELSE Remise à jour - Mettre une entrée dans la registry - Exécuter un Script ou un programme - Télécharger et exécuter un exécutable - Dialoguer avec l utilisateur - Etc Figure 2 : Tests de conformité Statut Les composants du système de NAC valident et appliquent les politiques de conformité pour tous types de terminaux sur tous types de réseaux. Ce processus de validation et d application commence avant la connexion au réseau et se poursuit tout au long de la session, à partir des politiques servant de base à toutes les évaluations et actions. Ce processus de NAC est illustré dans la figure Identification et évaluation des terminaux Les machines sont identifiées lorsqu elles se connectent au réseau, avant qu elles n accèdent aux ressources. A travers l intégration aux infrastructures en place et l utilisation d agents intelligents, les administrateurs sont assurés qu au moment de la connexion, les nouveaux terminaux sont évalués en regard des politiques définies. 2. Fourniture des accès au réseau L accès complet au réseau n est ouvert que lorsque les postes de travail ont été évalués et que l on a pu valider le respect des politiques. Les systèmes non-conformes sont envoyés en quarantaine avec un accès limité au réseau de d entreprise et les systèmes inconnus sont soit rejetés soit acceptés dans des zones «invité». 3. Mise à niveau des terminaux non-conformes La correction automatique des terminaux non-conformes permet aux administrateurs d assurer une mise en conformité rapide ainsi que l ouverture des accès réseaux associés. Ils doivent également pouvoir automatiser complètement le processus de correction, et le rendre totalement transparent pour l utilisateur final. Etape 1 Le PC se connecte physiquement au réseau Etape 4 Surveillance du poste en continu pour vérifier la conformité DISCOVER MONITOR NAC ENFORCE Etape 2 vérification de la conformité du poste à la politique de sécurité REMEDIATE Etape 3 Décision prise en fonction du résultat des vérifications Patch Quarantaine Virtual Desktop Figure 3 : Processus de contrôle d accès au réseau IT-expert n 70 - novembre/décembre

40 4. Gestion proactive de la conformité L adhésion aux politiques doit être totale et continue. Un système de NAC doit permettre de surveiller activement, sur une période définie par l administrateur, le niveau de conformité de tous les terminaux. Si l état d un terminal change, ses accès réseaux doivent être adaptés en conséquence. Technologies d évaluation du terminal Un système de NAC complet et flexible doit protéger le réseau des programmes malveillants provenant des postes inconnus (ou non-autorisés) en vérifiant qu ils sont configurés correctement lors de la connexion. Les contrôles effectués sont typiquement : la présence d un antivirus, d un anti-spyware et l installation des derniers correctifs. Cependant la plupart des organisations souhaitent rapidement aller plus loin. Quel qu en soit le but, le processus commence toujours par l évaluation du terminal. Compte tenu de la diversité des terminaux qui se connectent au réseau (postes fournis par l entreprise ou non, ordinateurs personnels de collaborateurs en télétravail, intérimaires, partenaires qui peuvent avoir besoin de leur propre portable ), un système de NAC doit offrir plusieurs technologies d évaluation, telles que les agents persistants, les agents nonpersistants, un scanner de vulnérabilité à distance. Les agents persistants habilités pour veiller sur les registres Un agent peut être installé par les administrateurs sur les postes de l entreprise pour en déterminer le niveau de conformité. L agent doit pouvoir effectuer des vérifications simples comme la présence de l antivirus, la date des dernières signatures, l installation de correctifs, ainsi que l état de caractéristiques plus complexes comme la présence d entrées dans la base de registres, les processus actifs, des attributs de fichiers Agents persistants: pour les postes administrés Agents temporaires: pour les postes non administrés Scanner de vulnérabilités à distance: pour les postes non administrables Figure 4 : Technologies des agents 40 IT-expert n 70 - novembre/décembre 2007

41 Les agents persistants permettent d obtenir les informations de conformités les plus fiables et les plus détaillées tout en offrant les meilleures options de correction, gage d un déploiement réussi. Ils sont surtout la garantie d une totale transparence pour l utilisateur final. Compte tenu de la façon dont fonctionnent les systèmes d exploitation, l examen et la correction efficace des différents logiciels installés nécessitent de la part du client NAC la possibilité d accéder à la liste des processus, ainsi qu à la base de registres, quitte à même devoir modifier certaines entrées. Le meilleur moyen d y parvenir est par le biais d un agent avec privilèges systèmes, qui a été installé sur le poste de travail lors du déploiement initial. Les solutions strictement «sans-agent» ne peuvent donner à l administrateur les permissions suffisantes pour examiner de manière satisfaisante la totale conformité du poste de travail. De la même manière, ces agents ne disposeront pas des droits nécessaires pour apporter les modifications requises à une remise en conformité. Les agents non persistants prennent en charge les invités Un des plus grands défis de la gestion des accès réseaux est la prise en compte des invités. Une solution de contrôle d accès au réseau efficace doit avoir la possibilité et la souplesse de pouvoir vérifier si un terminal inconnu n est pas une menace pour l entreprise et déterminer le niveau d accès adéquat. Bien que la meilleure solution reste de déployer un agent sur le poste de travail, ceci est généralement impossible lorsque la machine n appartient pas à l organisation. Il est donc nécessaire, dans ce cas, de pouvoir disposer d un agent non-persistant, de type Java ou ActiveX, qui sera téléchargé à la demande sur un poste pour en évaluer le niveau de conformité. Ces agents seront supprimés automatiquement à la fin de la session. Par exemple, lorsqu un invité tente de se connecter au réseau, une solution d enforcement réseau reconnaîtra qu il s agit d un poste inconnu et le redirigera vers un serveur web sur lequel il pourra télécharger l agent non-persistant. Cet agent va exécuter les tests de conformité appropriés, basés sur les politiques que l administrateur a définie pour les invités. S ils sont concluants, le poste se verra ouvrir l accès à une partie du réseau de production. A la fin de la session réseau, l agent s autodétruira. Le scanner de vulnérabilités à distance : peut mieux faire! Une autre méthode de validation de conformité nécessaire lorsque les entreprises ne peuvent déployer un agent persistant peut être l utilisation d un scanner de vulnérabilités à distance. Lorsque la machine se connectera au réseau, le scanner effectuera un test de vulnérabilité de la machine et autorisera/rejettera l accès de la machine en fonction du résultat. Il est à noter que cette solution, tout en étant la plus simple à mettre en œuvre, est la moins fiable. Le scan de vulnérabilité est une méthode post-connexion, non continue et peut être bloqué par le pare-feu personnel des machines connectées. Enforcers : systèmes de mise en quarantaine Chaque environnement réseau est unique, et de ce fait un seul système d enforcement ne peut efficacement contrôler tous les points d accès au réseau. Une solution NAC doit être suffisamment souple pour permettre la mise en place conjointe de plusieurs types d enforcement différents, sans pour autant surcharger l administration. Ces «enforcers» installés au niveau réseau, passerelle, ou DHCP sont généralement disponibles sous forme d appliances, mais parfois purement logiciels (DHCP plug-in). A noter également l existence d enforcement basé sur le poste lui-même et dénommée «self-enforcement». L avantage de cette méthode qui utilise le pare-feu local pour autoriser ou non l accès, est qu il n est pas nécessaire dans ce cas de déployer d enforcers au niveau réseau. Cette méthode ne fonctionne cependant que pour des postes gérés par l entreprise ; elle ne peut adresser le cas des postes invités, à prendre en compte via une autre technique. Host-based Network-based Self-Enforcement - Quarantaine locale autonome - Utilisation du firewall personnel Enforcer Gateway - VPN, WAN Enforcer DHCP - Quelque soit l'iinfrastructure Enforcer-802.1x - Quarantaine par VLAN Figure 5 : Options de mise en quarantaine Les enforcers réseaux sont des composants nécessaires au contrôle des postes connus ou non, se connectant au réseau. Le Gateway Enforcer refoule les indésirables Les enforcers de type Gateway sont des passerelles installées en segmentation du réseau. Ces passerelles autorisent uniquement le trafic venant des terminaux précédemment vérifiés. Si le poste de travail est conforme, il pourra communiquer avec toute machine située derrière la passerelle. Si le poste de travail n est pas conforme, il ne pourra communiquer qu avec les serveurs IT-expert n 70 - novembre/décembre

42 nécessaires à la remise à jour du poste. Ces passerelles sont généralement utilisées en coupure derrières les points d accès distants (VPN, SSL VPN, Borne WiFi ) LAN Enforcer x réclame des papiers authentifiés Le protocole IEEE 802.1x est un protocole d authentification des terminaux avec le point d accès réseau (switch). Lors de la connexion du terminal au réseau, le switch demande une authentification au terminal et la relaie à un serveur Radius pour vérification de l identité de la machine ou de l utilisateur. Le serveur Radius affecte alors la machine à un VLAN (Virtual LAN), en fonction du profil de la machine et le transmet au switch. Un système NAC va généralement introduire la notion de contrôle de conformité de la machine dans la chaîne de vérification. Le Lan Enforcer est alors un proxy Radius chargé de confirmer la réponse du serveur Radius ou de la modifier en fonction du résultat du contrôle de conformité. En conséquence, une machine conforme pourra être connectée au VLAN de production, une machine non conforme pourra être connectée au VLAN de quarantaine et une machine inconnue pourra l être à un VLAN «invite» ou rejetée. Le DHCP Enforcer met les indésirables en quarantaine Un système NAC basé sur une méthode d enforcement de type DHCP va intervenir sur l affectation de l adresse IP offerte par le serveur DHCP. Si la machine est conforme, elle reçoit une adresse IP de production. Dans le cas contraire, elle recevra une adresse IP de quarantaine. Un enforcer DHCP peut se présenter sous différentes formes : un plug-in présent sur le serveur DHCP lui-même ou une passerelle située devant le serveur DHCP. Une console unique pour gérer toutes ces politiques Un des éléments clé de la gestion des politiques est de pouvoir créer, déployer, maintenir ces politiques depuis une console unique, vers laquelle, en retour, tous les événements convergeront. Le tout, à la fois pour les technologies d évaluation au niveau des postes de travail et des «enforcers» au niveau réseau. Une architecture de gestion à la taille de l entreprise doit être applicable à un environnement large et complexe mais doit pouvoir offrir une granularité importante dans le contrôle des tâches d administration, en simplifiant la gestion de la sécurité des postes de travail et réduisant le coût total de possession. La mise en place d une solution de contrôle d accès au réseau : Permet l application des politiques de conformité et les corrections nécessaires, Fourni un reporting complet et temps réel de l état des postes de travail connectés et des éléments de non-conformité éventuels, Evite la multiplication du nombre d agents sur les postes de travail, Prend en compte la totalité des besoins réseau, invités et collaborateurs temporaires inclus, S intègre de manière simple avec l infrastructure globale de gestion de la sécurité des postes dans l entreprise, Elimine les perturbations tant au niveau de l infrastructure informatique qu au niveau des processus business. Assurer une conformité de bout en bout Dans le paysage actuel de menaces toujours plus sophistiquées, les responsables informatiques doivent protéger leur organisation, non seulement des attaques les plus classiques, mais également de toutes les tentatives qui visent à utiliser les postes de travail comme autant de points d entrée vers leurs ressources opérationnelles. Pour assurer l intégrité de l infrastructure informatique globale, les entreprises ne peuvent plus laisser libre accès au réseau. Devant la croissance rapide du nombre et des types de terminaux accédant au réseau, les organisations doivent être en mesure d en vérifier l état avant toute connexion, ainsi que durant toute la session de communication vers les ressources informationnelles de l entreprise. De la mise en place d un système de contrôle d accès au réseau doit résulter une baisse significative des incidents de sécurité, un meilleur niveau de conformité aux politiques de sécurité de l entreprise et l assurance que les mécanismes de protection des terminaux sont opérationnels. Hervé Doreau Endpoint Security SE Specialist Symantec Southern Europe Laurent Heslault Chief Technology Officer, Security Symantec Southern Europe Cédric Pottier Senior PreSales Specialist Symantec France A propos de Symantec Symantec est le leader mondial des logiciels d infrastructure qui permettent aux particuliers et aux entreprises d évoluer en toute confiance dans un monde connecté. Symantec aide ses clients à protéger leur infrastructure, leurs informations et leurs transactions en proposant des logiciels et des services qui gèrent la sécurité, la disponibilité, la conformité et la performance. Basée à Cupertino (Californie), la société Symantec est présente dans plus de 42 pays. Des informations supplémentaires sont disponibles à l adresse 42 IT-expert n 70 - novembre/décembre 2007

43 Livres Microsoft Office SharePoint Server (MOSS) et Office 2007 Avec SharePoint 2003, Microsoft pénétrait les univers de la gestion documentaire et du workflow. MOSS 2007 apporte ses solutions aux portails et à la collaboration. Ce dernier thème, un des fers de lance de la stratégie Microsoft, s articule autour d Office 2007, que l éditeur positionne comme client riche de référence. Il est donc fort judicieux d associer ces deux produits. Après un rappel historique indispensable, l auteur passe en revue les technologies associées à MOSS : le framework.net 2.0, ASP.net, les Web parts 2.0, IIS Puis, Pierre-Erol aborde les services de MOSS comme l administration, le workflow, les RSS-blogs-wiki avant d attaquer la gestion de contenu en lien avec la messagerie, Office 2007, ou XML. L exposé se termine avec la gestion des utilisateurs et de la sécurité. Bref, un ouvrage de référence à conserver, et à garder sous le coude. Microsoft Office SharePoint Server (MOSS) et Office 2007 par Pierre-Erol Giraudy Éditions Hermès-Lavoisier 370 pages prix public : 85 euros Sécurité Informatique Principes et méthode Laurent Bloch, spécialiste de la sécurité (dont le site Web fait référence), est responsable de la sécurité informatique à l Inserm. Quant à Christophe Wolfhugel, il exerce aujourd hui chez Orange Business Services sur les réseaux IP, Internet, et les services associés. Les coauteurs ont mis à contribution leurs camarades, non moins illustres : Hervé Schauer, Nat Makarévitch et Christian Queinnec. «Sécurité Informatique Principes et méthode» expose simplement les multiples risques, et condamne, sans langue de bois, les fausses solutions (pourtant répandues). En illustrant les explications d exemples techniques détaillés, les auteurs donnent à ce livre une dimension très pédagogique. Loin d une simple énumération des pratiques, l exposé propose une réelle démarche de sécurisation. Un recueil professionnel écrit par des experts : indispensable! Sécurité Informatique Principes et méthode par Laurent Bloch et Christophe Wolfhugel Éditions Eyrolles 262 pages prix public : 35 euros. IT-expert n 70 - novembre/décembre

44 Fenêtre sur cour Interview d Alain Bouillé, RSSI au sein du Groupe Caisse des Dépôts La Caisse des Dépôts est une institution financière publique au service de l intérêt général et du développement économique : protection et transformation de l épargne réglementée des Français pour financer principalement le logement social, banquier du service public de la Justice et de la Sécurité sociale, gestionnaire de régimes de retraite, investisseur aux côtés des collectivités territoriales dans des projets locaux de développement. Grand investisseur institutionnel de long terme, la Caisse des Dépôts est également actionnaire de filiales qui exercent des activités concurrentielles et d intérêt général : L assurance de personnes : CNP Assurances, L immobilier : groupe SNI, Icade, Le développement des PME : CDC Entreprises, CDC Capital Investissement, Les services : Transdev, Egis, Compagnie des Alpes et VVF Vacances. La Caisse des Dépôts emploie salariés et ses filiales personnes. Dans le cadre de sa contribution aux travaux du CIGREF, Monsieur Bouillé, RSSI du groupe Caisse des Dépôts a piloté un groupe de travail sur la constitution d un tableau de bord sécurité. Il a accepté de nous décrire celuici et de nous parler de son métier de responsable de la sécurité des systèmes d information (RSSI). Vous avez constitué, dans le cadre de vos travaux au sein du CIGREF, un tableau de bord sécurité. Quels en sont les objectifs? Alain Bouillé : Tout d abord, produire un premier tableau de bord est relativement simple, la difficulté est de réaliser le suivant et de suivre l évolution. Les principaux obstacles à la constitution d un tableau de bord sont de choisir les bons indicateurs, les bonnes fréquences de parution ainsi que l auditoire. L idée était de mettre en commun les points de vue et réflexions de plusieurs RSSI sur ce qu ils avaient pu expérimenter jusqu alors. Ce guide est une compilation des meilleures pratiques qui va s enrichir au fur et à mesure du temps et des retours d expériences de chacun. L objectif du document que nous avons produit est de constituer une boîte à outils avec des indicateurs qui permettront ensuite à chaque RSSI de se constituer son propre tableau de bord. Dans les prochaines versions nous exclurons certains indicateurs car peut-être trop difficiles à produire tandis que d autres seront ajoutés Par la suite nous développerons sans doute le conseil autour de la construction du tableau de bord pour préciser comment faire les bons choix en terme de mesure et être capable d analyser l évolution des indicateurs. A qui sont destinés les tableaux de bord? Alain Bouillé : L auditoire est assez varié. Il peut être utilisé à destination de la direction générale, de la DSI, des directions métiers, voire des fonctions plus opérationnelles. C est une boîte à outils qui va permettre de construire un, deux ou trois tableaux de bord différents. Vous disiez que les indicateurs étaient un élément important, lesquels avez-vous retenu? Alain Bouillé : Nous avons retenu deux types d indicateurs, les «stratégiques» pour un reporting vers la DSI et la direction générale et les «opérationnels» pour le pilotage de la sécurité au quotidien. Les indicateurs ont été retenus en fonction de deux critères : leur pertinence et leur mesurabilité. A titre d exemples, nous avons l analyse de risque, l image de l entreprise, la continuité, le taux de prestataires externes comme indicateurs stratégiques et le nombre de vols et pertes de PC, les attaques en environnement de messagerie, la bonne installation des patches, la protection de l information comme indicateurs opérationnels. 44 IT-expert n 70 - novembre/décembre 2007

45 Au-delà de votre rôle de coordinateur de ces travaux sur le tableau de bord, vous êtes avant tout RSSI au sein de la Caisse des Dépôts, pourriez-vous nous parler de votre métier? Alain Bouillé : Le RSSI est au carrefour de plusieurs thématiques avec des problématiques bien évidemment SI mais aussi juridiques, de ressources humaines, de sensibilisation des utilisateurs, de risques physiques et environnementaux voire pour certains d intelligence économique Le RSSI peut être rattaché à la direction générale, à la DSI En fonction des cas, le modèle organisationnel à créer est différent. Par exemple, si le RSSI n appartient pas à la DSI il est nécessaire d établir des liens étroits avec cette direction ou bien s il est au sein de la DSI il devra «sortir» et se mettre en relation avec les directions opérationnelles. Le poste de RSSI nécessite un bon sens de la communication et des relations humaines. Comment analysez-vous le marché de la sécurité, trouvezvous les outils nécessaires? Protection de l information Analyse de risque Classification de líinformation Archivage Analyse de risque dans les nouveaux projets Gestion des accès Axes stratégiques Conformité Audit - Taux de contrôle Audit - Taux de conformité Audit - Taux de correction Efficacité de la politique Fréquence et réussite du PCA Taux de personnes sensibilisées Taux de prestataires externes sur postes sensibles Nombre de sites web parodiés Nombre de noms de domaines usurpés Plaintes internes et externes Image de líentreprise Axes opérationnels Source : CIGREF Alain Bouillé : Il est difficile de s y retrouver avec tous ces acteurs qui fusionnent, se rachètent, disparaissent Au sein de la Caisse des Dépôts j effectue des demandes fonctionnelles à la DSI qui ensuite lance les appels d offres vers les fournisseurs en solutions techniques. Dans l ensemble nous trouvons des outils qui répondent à nos besoins. Par contre je rencontre plus de problèmes au niveau du consulting. Il devient difficile de trouver des experts en mesure d élaborer des stratégies à plus ou moins long terme. Des petites structures pertinentes se font racheter et de ce fait les réponses à appel d offres sont de moins en moins nombreuses sur certains sujets pointus tels que la dématérialisation et les problématiques de signature électronique, la gestion des identités, la supervision de sécurité Quels conseils en terme de sécurité pourriez-vous donner à nos lecteurs? Protection de l information Evolution du nombre d identifiants génériques Perte de mots de passe Traçabilité Vols Nombre de vols et pertes PC fixes Nombre de vols et pertes terminaux mobiles Efficacité de la politique Disponibilité des applications critiques Sites physiques audités Mise à jour des antivirus Révision périodique des habilitations Attaques en environnement messagerie Attaques en environnement intranet Attaques en environnement internet Attaques et sinistralités Source : CIGREF Alain Bouillé : Il me semble qu il est important qu une personne soit dédiée à la sécurité au sein d une entreprise afin de fédérer, diffuser et coordonner les actions de sécurité. Quels sont les enjeux de demain pour vous? Alain Bouillé : L ouverture des SI nous conduit à grands pas vers des problématiques liées à des dématérialisations à outrance avec à la clé des mises en œuvre de solutions de sécurité qui permettent de réaliser ces dématérialisations dans un monde de risques maîtrisés Nous devons reconnaître nos utilisateurs, les authentifier et aussi sécuriser de bout en bout les transactions qui vont se démultiplier dans les années à venir. Aujourd hui nous faisons beaucoup de sur-mesure en fonction des métiers. Compte tenu d une ouverture des SI de plus en plus importante, nous allons avoir besoin de solutions génériques pour permettre aux métiers de rester concurrentiels mais satisfaisantes en terme de gestion des risques. Pour consulter le tableau de bord édité par le CIGREF : Alain BOUILLÉ IT-expert n 70 - novembre/décembre

46 Rubrique à brac Sécurité de la téléphonie sur IP Après un démarrage frileux, la téléphonie sur IP (ou ToIP) s impose progressivement en entreprise. Le marché se montre extrêmement dynamique, notamment chez les moyennes et grandes entreprises. Plus de 50 % sont en cours d étude ou ont déjà entamé la migration de leur téléphonie classique. La principale motivation reste l optimisation des coûts à travers la mutualisation des accès télécoms et, dans une moindre mesure, la fourniture aux utilisateurs de nouveaux services issus de la convergence voix données. Comme toute nouvelle technologie, la ToIP apporte son lot d opportunités, mais elle fait aussi planer de nouveaux risques. De part son fonctionnement très différent de la téléphonie classique, apparaissent en effet de nouveaux problèmes de sécurité qu il est nécessaire de bien prendre en compte en préalable à tout déploiement. 46 IT-expert n 70 - novembre/décembre 2007

47 Comment fonctionne la ToIP? Une architecture ToIP d entreprise fait intervenir trois principaux types de composants : les terminaux téléphoniques, les serveurs d appels et enfin la ou les passerelles de communication vers l extérieur. les sites et hébergés de façon centralisée dans un datacenter. Le troisième type de composant est la passerelle de communication, qui assure l interface entre le monde ToIP et la téléphonie classique, interne ou externe. A l instar des serveurs d appels, les passerelles sont mutualisables et centralisables. Les points d accès au réseau téléphonique public peuvent donc être supprimés 2 L'intelligence du PABX est reprise par le serveur d'appels ; la passerelle fait l'interface avec la téléphonie traditionnelle Réseau Téléphonique Commuté 1 Une seule infrastructure réseau (IP) pour les flux voix et données Appel Externe Réseau IP Appel Interne 5 Terminaux, serveurs d appels et passerelles sont administrables à distance, comme tout composant IP 3 Le serveur d appels gère la signalisation, le flux voix circule directement entre les terminaux Passerelle 4 Serveur d'appels Les serveurs ToIP peuvent se situer hors des sites utilisateurs ; le point d accès au RTC public peut être supprimé sur certains sites Trafic voix Signalisation La ToIP introduit une rupture technologique profonde par rapport à la téléphonie traditionnelle Une rupture technologique profonde Le type de terminal le plus utilisé aujourd hui reste le téléphone dédié, qui se raccorde directement au réseau IP. Il intègre généralement un micro-switch et un deuxième port Ethernet pour permettre la connexion du PC via le téléphone, ceci afin d éviter le câblage de prises supplémentaires. A noter également que le téléphone peut être alimenté électriquement à travers le câblage réseau (norme PoE, Power over Ethernet). Il existe aussi des téléphones purement logiciels, les softphones, fonctionnant sur tout poste de travail équipé d une sortie son et d un microphone. Leur déploiement en entreprise reste aujourd hui très marginal : outre l utilisation qui n est pas toujours pratique - il n est pas facile de répondre rapidement quand l écran de veille de l ordinateur est protégé par un mot de passe - ils sont aussi plus difficiles à sécuriser. Second type de composant intervenant dans une architecture ToIP, le serveur d appels, ou IPBX gère la signalisation associée à la communication (décroché, raccroché), et de fournir les services évolués (renvoi, transfert, audioconférence, routage d appel ). Contrairement à la téléphonie classique, où le PABX agit comme un nœud de commutation pour le flux voix, l IPBX ne traite que la partie signalisation, la voix numérisée transitant directement entre terminaux téléphoniques. A noter qu en ToIP, il n est pas nécessaire de déployer des IPBX sur tous les sites. Comme les autres serveurs d applications informatiques, ceux-ci peuvent être mutualisés entre sur tout ou partie des sites utilisateurs. A noter que certains opérateurs proposent depuis peu des offres d interconnexion avec la téléphonie externe en IP natif, par exemple Business Talk IP d Orange. Dans une telle configuration, c est l opérateur qui gère l interface avec le réseau téléphonique public, à travers des équipements de type firewall et proxy H.323. Des risques à tous les niveaux Quels sont donc les nouveaux risques qui pèsent sur les architectures ToIP? Aux vulnérabilités de la téléphonie classique déjà exploitées par les phreakers comme par exemple les appels automatiques sur des numéros surtaxés viennent s ajouter les nombreuses menaces du monde IP. Elles portent à la fois sur les terminaux téléphoniques, le réseau de transport et les serveurs dédiés à la ToIP. En tête des dangers, on retrouve les attaques en déni de service qui impactent la disponibilité, l écoute illicite des communications, l usurpation d identité et, dans une moindre mesure, le spam vocal ou «SPIT» (Spam over IP Telephony). IT-expert n 70 - novembre/décembre

48 Déni de service SPIT (spam vocal) Vol d'information (annuaire) Écoute illicite Usurpation d'identité, appel illicite Entreprise qui ont implémenté la ToIP Entreprise qui n'ont pas encore lancé d'étude de ToIP Les principaux risques associés à la ToIP perçus par les entreprises (source : enquête Solucom, 2006) résiduel de déni de service résultant d une attaque logique et notamment virale sur le réseau IP. Quelles en seraient les conséquences pour le service de téléphonie? Dans le cas le moins défavorable, une difficulté à établir les appels et une dégradation de la qualité voix par manque de bande passante, pouvant aller jusqu à une indisponibilité complète du service. D un autre côté, les vulnérabilités spécifiques aux protocoles de signalisation utilisés en ToIP peuvent aussi être exploitées dans le cadre d attaques ciblées sur le service de téléphonie. Par exemple, le protocole SIP (Session Initiation Protocol) ne prévoit pas d authentification entre le terminal téléphonique et le serveur d appel. Un attaquant peut donc exploiter cette faille pour générer de façon aléatoire des messages «INVITE» qui feront sonner tous les téléphones en continu, ou bien envoyer des messages «CAN- CEL» afin de raccrocher toutes les communications en cours. La disponibilité au cœur des préoccupations Dans tous les projets de migration vers la ToIP, la disponibilité est au cœur des préoccupations. Au cours des dernières décennies, les utilisateurs se sont en effet habitués à l excellente qualité de service de la téléphonie fixe traditionnelle, aussi bien en entreprise qu à domicile. Bien qu il soit tout à fait possible aujourd hui de construire des architectures IP résilientes, garantissant la continuité de fonctionnement en cas de panne (doublement des points d accès, redondance des serveurs ), subsiste le risque L écoute illicite à la portée de tous En téléphonie classique, l écoute d une communication nécessite l accès physique au PABX, au local de brassage ou au téléphone de la victime afin de pouvoir installer un dispositif espion. Les utilisateurs ont donc conscience que, même si le trafic voix circule en clair, il est peu probable que les communications soient écoutées à leur insu. Ce qui change radicalement en ToIP, c est la facilité avec laquelle le flux voix peut être intercepté à distance depuis le PC d un utilisateur indélicat, d autant plus que de nombreux outils disponibles sur l Internet facilitent le travail. Le principe est le suivant : dans un premier temps, l attaquant met en 1 Les utilisateurs A et B sont en communication téléphonique sur un LAN cloisonné par VLAN 2 Découverte des caractéristiques de l infrastructure et insertion dans le VLAN voix Wireshark A B 6 L attaquant peut également : - interrompre la conversation - insérer et modifier le flux voix 3 Mise en place d une attaque de type ARP spoofing / man-in-the-middle RTPInsertSound, RTPMixsound, SiVus 4 Ettercap Cain & Abel L attaquant enregistre les paquets de transport de la voix (RTP) 5 L attaquant convertit les paquets de données en fichier son D autres outils spécifiques à la ToIP PROTOS H.323 Fuzzer - PROTOS SIPOreka - PSIPDump - SIPomatic - SIPv6 Analyzer SIP-Scan - SIPcrack - SIPSCAN - SiVuS - SMAP - VLANping - VLANPing VoIPAudit IAXFlooder - INVITE Flooder - kphone-ddos - RTP Flooder Wireshark Wireshark Lorsque le flux voix n est pas chiffré, il est relativement facile d écouter les conversations 48 IT-expert n 70 - novembre/décembre 2007

49 place une attaque «man-in-the middle» en envoyant des broadcasts ARP notifiant de fausses associations entre les adresses MAC et IP de ses victimes. Ceci a pour effet de rediriger tout le trafic IP ultérieur vers son PC, en particulier les paquets voix. A l aide d un analyseur réseau tel que Wireshark, l attaquant peut alors réassembler le flux voix, en vue d une écoute illicite ou d un enregistrement. La principale contrainte pour l attaquant est que celui-ci doit être connecté sur le même sous réseau IP que les participants légitimes à la communication. Du «phishing» au «vishing» Après la messagerie électronique, la voix sur IP est elle aussi mise à contribution par les pirates dans le cadre de tentatives de récupération d informations diverses, notamment bancaires, auprès de victimes trop crédules. Le «vishing» (voice over IP phishing) est l une des conséquences du développement de la téléphonie sur Internet et de la baisse des coûts qui en résulte. Mais ce risque d usurpation d identité concerne aussi la téléphonie d entreprise. Dans ce contexte, la fonction de présentation du nom de l appelant peut faciliter la récupération d informations confidentielles, comme par exemple un mot de passe. En effet, la victime sera par nature moins méfiante vis-à-vis de son interlocuteur si elle voit s afficher «support informatique» sur l écran de son téléphone. D autant plus qu en ToIP, il est relativement facile pour un attaquant d envoyer de faux paquets de signalisation, afin de faire afficher un nom erroné. La téléphonie menacée par le spam Le spam téléphonique, ou SPIT (Spam over IP Telephony), reste aujourd hui marginal, mais risque de se développer rapidement et de devenir un problème majeur pour les entreprises. Du point de vue de l utilisateur, les principales conséquences sont d une part la perte de temps et d autre part la saturation des boîtes vocales, pouvant rendre le service complètement indisponible. Sachant qu aujourd hui, il n existe pas encore de solution efficace pour filtrer ces messages indésirables, qui peuvent être jusqu à dix fois plus volumineux que les spams traditionnels. Le cloisonnement du réseau : un pré requis indispensable Dans le cadre du déploiement d une infrastructure de téléphonie sur IP, l une des principales mesures de sécurité à mettre en place est le cloisonnement du réseau voix par rapport au réseau données. Il est généralement réalisé en définissant sur chaque site un VLAN dédié aux équipements de téléphonie sur IP. Du point de vue de la sécurité, ce cloisonnement local devrait idéalement être prolongé sur le réseau étendu jusqu au datacenter, à travers un VPN MPLS par exemple. Mais force est de constater que peu d entreprises se sont aujourd hui lancées dans cette voie, pour des raisons principalement économiques. Avec une infrastructure WAN totalement mutualisée, l accès au VLAN téléphonie doit donc être contrôlé au niveau de chaque site, au minimum par un équipement de filtrage IP routeur avec ACL ou pare-feu et si possible par un dispositif de type IPS (Intrusion Prevention System). Les règles de filtrage sont assez simples, puisqu elles consistent à n autoriser que les flux avec les VLAN ToIP des autres sites et les serveurs en datacenter. En général, on définit des règles de filtrage sur les adresses IP seules, car les protocoles de transport de la voix type RTP (Real-time Transport Protocol) utilisent l allocation dynamique des ports lors de l établissement de la communication, ce qui n est pas sans poser problème à la traversée d un pare-feu. Il faut dans ce cas soit autoriser tous les numéros de port au-dessus de 1024, soit mettre en place des mécanismes pour ouvrir dynamiquement des ports sur le pare-feu. A noter également qu il est nécessaire de prévoir un plan d adressage IP spécifique pour la ToIP, afin d éviter la multiplication du nombre de règles de filtrage sur les équipements de sécurité. Enfin, au niveau du point de raccordement WAN, il est recommandé de mettre en place une classe de service temps réel pour les flux voix, afin de garantir la qualité audio et de limiter le risque d indisponibilité résultant d une saturation sur la partie «données». Sécuriser les serveurs et les terminaux Comme pour n importe quelle autre application informatique, il est par ailleurs nécessaire de «durcir» la configuration sécurité Câblage Energie Mise en conformité du câblage existant Ajout éventuel de nouveaux points LAN Architecture redondante Adressage IP et DHCP Sécurité Cloisonnement réseau (VLAN) Durcissement des serveurs et terminaux ToIP Authentification des terminaux Chiffrement optionnel Alimentation secourue des éléments actifs Télé-alimentation des téléphones WAN Augmentation des débits Amélioration de la disponibilité Mise en œuvre de classes de service Afin d assurer la disponibilité et la confidentialité du service de téléphonie sur IP, des adaptations sont nécessaires dans plusieurs domaines IT-expert n 70 - novembre/décembre

50 des composants ToIP. Au niveau des serveurs tout d abord, cela passe notamment par l arrêt de tous les services réseau inutiles, la désactivation des comptes inutilisés ou sans mot de passe, le changement des mots de passe par défaut, la mise en place de droits d accès limités sur les fichiers sensibles, l activation des fonctions de journalisation, la synchronisation horaire, ainsi qu éventuellement, la mise en place d un antivirus. Sur les serveurs de messagerie vocale, il est également possible de définir des quotas par boîte vocale afin d éviter la saturation. Sur les passerelles de communication, il faut veiller à la désactivation des fonctions de routage et s assurer qu il n y a pas de terminaison possible de tunnel IP/PPP et de conversion du canal RNIS en paquets IP. Par rapport aux terminaux téléphoniques, le point important concerne le contrôle de la signature du firmware lors des opérations de mise à jour à distance. Cette possibilité doit absolument être activée afin d éviter le déploiement involontaire ou malveillant de firmwares non conformes. Enfin, ce qui concerne l administration, il faut privilégier l utilisation de protocoles sécurisés comme HTTP-S ou SSH. Prendre en compte les enjeux métiers La migration vers la téléphonie sur IP est en marche et aujourd hui, mieux vaut pour un responsable sécurité anticiper le mouvement, en définissant les règles de sécurité à prendre en compte dans les futurs projets. Au final, la décision de mise en œuvre des différentes mesures doit se faire au regard d une analyse de risques prenant en compte les enjeux métiers et identifiant les risques résiduels, pré requis nécessaire à tout déploiement ToIP. Chiffrer les flux? Actuellement, rares sont les entreprises qui ont opté pour le chiffrement des flux inter-sites réalisé par des boîtiers réseau au niveau du point d interconnexion WAN et encore plus rares sont celles qui ont activé le chiffrement de bout en bout entre terminaux téléphoniques. En effet, le chiffrement ne peut aujourd hui être envisagé que dans le cadre de communications internes et non pas pour les appels externes. D autre part, les implémentations permettant le chiffrement de bout en bout reposent souvent sur l utilisation de protocoles et d outils propriétaires ce qui limite l interopérabilité, bien que des passerelles de conversion soient envisageables. Enfin, le cloisonnement réseau de l environnement ToIP constitue déjà un premier rempart contre les tentatives d écoute illicite en interne. Ce qui fait qu aujourd hui, le chiffrement doit plutôt être considéré comme un service de sécurité optionnel, activable entre certaines populations internes d utilisateurs «sensibles». Michel BERNARD consultant senior A propos de Solucom Solucom : Cabinet de conseil en gouvernance des SI et technologies, le groupe Solucom rassemble plus de 500 consultants. Dans le domaine de la sécurité, Solucom accompagne les grandes entreprises dans la mise en place de leur politique de maîtrise des risques SI et dans le design de leurs architectures de sécurité. Le pôle sécurité du Groupe Solucom est fort de plus de 120 consultants intervenant sur les aspects suivants : cartographie des risques et conduite d audits, formalisation des politiques et des organisations de management de la sécurité, élaboration de plans de continuité d activité, conception des processus et des solutions de gestion des identités et des habilitations. 50 IT-expert n 70 - novembre/décembre 2007

51