Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Transcription

1 Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

2 TABLE OF C0NTENTS INTRODUCTION Sécurité des données... 1 Sauvegardes sécurisées... 2 Accès administrateurs... 3 Processus d application des correctifs... 3 Certifi cations de sécurité... 3 Tests d intrusion... 4 Reprise après sinistre/continuité des activités... 4 Notifi cation des failles de sécurité... 5 RÉCAPITULATIF ÉTAPES SUIVANTES

3 INTRODUCTION Face au nombre croissant des exigences réglementaires, des entreprises et de l industrie, les sociétés doivent être absolument certaines que leurs applications et données importantes sont sécurisées lorsqu elles les déploient à l aide du modèle SaaS (Software-as-a-Service). Ce principe vaut pour la gestion des services informatiques autant que toute autre application. En effet, l équipe en charge de cette tâche essentielle doit s assurer que les services, périphériques et applications informatiques sont à même de répondre aux exigences métier. Il est déjà suffi samment diffi cile de jongler entre les différentes tâches de gestion des services informatiques, que ce soient les appels au support technique, les demandes de nouveaux serveurs ou les changements de droits d accès et mises à jour de sécurité requises. Or, pour certaines sociétés, la gestion du matériel, des logiciels et des dispositifs de stockage nécessaires à l exécution de la solution de gestion des services informatiques se traduit aussi par un gaspillage de temps, d argent et de personnel. Grâce à une solution SaaS, elles peuvent diminuer leurs coûts de gestion. Par ailleurs, elles peuvent se concentrer sur leurs tâches essentielles, telles que l exécution de leurs applications, la mise à jour des mots de passe, l application de correctifs sur les serveurs et l optimisation de la productivité de leur personnel, plutôt que sur le déploiement de l infrastructure de gestion des services informatiques. Cependant, les applications de gestion des services informatiques peuvent contenir des données sensibles sur les utilisateurs et l entreprise (noms des serveurs, modifi cations du statut des employés, etc.). Avec la solution BMC Remedy OnDemand, BMC propose les processus et outils de sécurité requis pour apporter une protection des données la plus élevée possible. Ainsi, les entreprises bénéfi cient d une baisse du coût total de possession de leurs applications de gestion des services informatiques tout en sécurisant leurs informations sensibles relatives à l organisation et aux utilisateurs. Ce livre blanc présente les principaux problèmes de sécurité que les sociétés rencontrent et la manière dont BMC Remedy OnDemand peut les résoudre. SÉCURITÉ DES DONNÉES Les systèmes de gestion des services informatiques contiennent diverses données, notamment les structures des dossiers d incident, les dossiers d incident eux-mêmes et les rapports d utilisation. Les sociétés doivent donc s assurer de la sécurisation de leurs données lors de leur migration initiale depuis le système de gestion des services informatiques vers le centre de données de BMC et à chaque fois qu elles les récupèrent à des fi ns de journalisation ou autre. Connexion via Internet (HTTPS) ou VPN Équilibreur de charge Serveur Web d'applications Serveur Base de données Architecture à trois niveaux de BMC Remedy OnDemand avec le système BMC Remedy et les données en sécurité dans la zone interne 1 1

4 BMC garantit la sécurité de l infrastructure réseau à l aide d une architecture à trois niveaux comprenant une zone externe, une zone démilitarisée DMZ et une zone interne. Tous ces niveaux sont protégés par des pare-feu, des périphériques de surveillance du réseau et des systèmes de prévention des intrusions contrôlés 24 heures sur 24 et 7 jours sur 7 par un centre des opérations de sécurité. Tous les serveurs qui ont accès aux données ou les stockent sont protégés par un logiciel antivirus et renforcés à différents niveaux (système d exploitation, base de données et applications) pour faire face aux éventuelles attaques, conformément à une série de politiques et procédures spécifiques. Toutes les modifi cations apportées aux confi gurations du système d exploitation, de la base données ou des applications sont contrôlées par des processus de gestion des changements afi n de garantir leur conformité à une base de référence appropriée. Des correctifs de sécurité et autres seront appliqués au moins tous les mois. Par ailleurs, les correctifs de sécurité fondamentaux seront mis en place dès qu ils seront disponibles. Tous les correctifs sont testés au sein d un environnement de pré-production avant d être déployés sur les serveurs de production. Toutes les données saisies dans le cloud computing de BMC sont cryptées par IPSec ou un cryptage AES 256 bits minimum. BMC peut se conformer à toutes les politiques d authentifi cation établies par les sociétés pour leurs employés. Connexion via Internet (HTTPS) ou VPN Équilibreur de charge Web Server d'applications Serveur Database - IP SEC - Cryptage AES 256 bits Serveur d applications hébergeant des données protégées1 SAUVEGARDES SÉCURISÉES Les données sensibles, notamment celles stockées sur les systèmes de gestion des services informatiques, doivent être protégées lorsqu elles sont au repos sur les serveurs ou dans les matrices de stockage mais aussi à chaque transfert, notamment lors des sauvegardes. Les sauvegardes effectuées au sein du centre de données de BMC sont sécurisées par des politiques de protection de réseau et des serveurs, ainsi que par des pare-feu. Les centres de données de BMC sont protégés par des pare-feu ainsi que par des politiques de protection de réseau et de serveurs. Lorsque les sociétés le demandent, les sauvegardes vers un emplacement distant sont cryptées à l aide d un VPN doté d un cryptage AES de 256 bits minimum. 2

5 Les données sensibles doivent être protégées lorsqu elles sont au repos sur les serveurs ou dans les matrices de stockage mais aussi à chacun de leurs transferts. Si une société doit utiliser des signatures numériques pour assurer l authenticité des périphériques émetteurs ou récepteurs, BMC est capable d adopter tout modèle d infrastructure à clé publique (PKI) requis par les entreprises. ACCÈS ADMINISTRATEURS Étant donné que de nombreuses attaques visant les données d entreprise proviennent de personnes internes aux sociétés, il est essentiel que ces dernières puissent restreindre le nombre d utilisateurs dotés de droits administrateurs leur permettant d accéder au système de gestion des services informatiques (et par la même occasion de consulter tous les dossiers d incidents en cours et même de modifi er l apparence du système en lui-même). En outre, les sociétés doivent pouvoir décider des utilisateurs ayant le droit d accéder uniquement aux dossiers d incident qu ils ont soumis. Les administrateurs de BMC doivent se soumettre à un système d authentifi cation à deux facteurs avant de pouvoir accéder à des serveurs et périphériques réseau via un VPN. Par défaut, tous les administrateurs se voient attribuer un accès minimum nécessaire à l accomplissement de leurs tâches et ne bénéfi cient d autorisations plus étendues que si besoin. Le système d authentifi cation enregistre toutes les transactions et l activité des utilisateurs. Il peut ainsi être utilisé comme outil de sécurité mais aussi comme outil d audit, de comptabilité et de conformité. PROCESSUS D APPLICATION DES CORRECTIFS Lorsque de nouvelles vulnérabilités sont identifi ées, les fournisseurs de logiciels mettent à disposition des correctifs permettant d y remédier et de protéger les données sensibles. Il est donc essentiel d appliquer régulièrement des correctifs afi n de renforcer la sécurité. Or, au sein d un environnement SaaS, cette tâche relève du fournisseur. Les sociétés ayant recours au service SaaS doivent également faire appel à ce dernier pour tester les correctifs et ainsi s assurer qu ils n endommageront pas les applications mais aussi pour mettre des processus en place afi n d annuler l installation de correctifs, le cas échéant. BMC applique tous les correctifs requis à son environnement BMC Remedy OnDemand au moins une fois par mois. En outre, les correctifs essentiels sont mis en place dès qu ils sont disponibles et qu ils ont été testés. Tous les correctifs sont testés dans un environnement de pré-production avant d être déployés afi n d assurer les performances et la stabilité du système. Alors que les pirates lancent fréquemment de nouvelles attaques, il est fondamental d appliquer régulièrement des correctifs afin de renforcer la sécurité. CERTIFICATIONS DE SÉCURITÉ Les certifi cations de sécurité constituent un indicateur essentiel du niveau de compétences et d engagement offert par un fournisseur SaaS afi n d assurer la protection de données. Les centres de données de BMC ont obtenu la certifi cation SAS 70 de type II qui atteste de la conformité de leurs processus aux normes ISO relatives à la sécurité physique, au contrôle des zones à accès limité, à la gestion des ressources humaines, à la sécurité et à la confi dentialité des données, à la continuité des activités, au contrôle d accès logique mais aussi à d autres exigences. 3

6 TESTS D INTRUSION Les tests d intrusion périodiques sont fondamentaux pour garantir la mise en place des processus et outils de sécurité appropriés et capables de contrer les menaces de sécurité en perpétuelle évolution. Un fournisseur SaaS doit effectuer de tels tests de manière rigoureuse. BMC gère une équipe interne chargée de repérer les intrusions de sécurité par des pirates «white hat». Par ailleurs, elle teste régulièrement les dispositifs de sécurité au sein de son environnement BMC Remedy OnDemand. Les équipes qui surveillent les applications Web de BMC contrôlent en permanence les résultats de ces tests et résolvent toutes les vulnérabilités détectées. En outre, BMC conduit un audit hebdomadaire des paramètres critiques et passe en revue les opérations tous les mois. Un fournisseur extérieur procède à un audit ISO externe et à un test d intrusion tous les six mois ainsi qu à un audit SAS 70 annuel. Connexion via Internet (HTTPS) ou VPN Équilibreur de charge Serveur Web d'applications Serveur Base de données BMC emploie une protection appropriée pour contrer les attaques extérieures et assurer la sécurisation du centre de données.1 REPRISE APRÈS SINISTRE/CONTINUITÉ DES ACTIVITÉS À l heure d une économie en continu, il est essentiel de remettre rapidement les activités en marche après une catastrophe naturelle ou des dommages engendrés par l homme. Lorsque les sociétés exploitent leurs propres centres de données, elles peuvent contrôler la nature, l étendue et la qualité de leurs efforts de reprise après sinistre/continuité des activités. Lors du déploiement d applications dans un modèle SaaS, elles doivent en revanche obtenir des assurances de la part du fournisseur que les étapes appropriées sont mises en place afi n d optimiser le temps de service des applications. L environnement BMC Remedy OnDemand utilise des serveurs haute capacité conformes aux normes du secteur et une infrastructure de réseau employant des commutateurs et des réseaux redondants afi n d éviter la moindre défaillance. En outre, l exploitation de systèmes de sauvegarde et de serveurs en grappe permet de garantir un accès permanent aux fonctions du centre de services, même en cas de défaillance. Par ailleurs, BMC mène régulièrement des tests et des exercices de simulation et possède ses propres politiques en matière de reprise après sinistre et de continuité des activités. Ces dernières sont en permanence mises à jour et modifi ées afi n de refléter les modifi cations apportées aux environnements métier et techniques. 4

7 NOTIFICATION DES FAILLES DE SÉCURITÉ Les sociétés confiant leurs données à un fournisseur SaaS doivent êtes informées de toute faille de sécurité rencontrée par ce dernier, afi n de mettre en œuvre les mesures adéquates en interne pour sauvegarder leurs données et procéder à toutes les notifi cations réglementaires. BMC dispose d une procédure formelle de réponse et de rapport consécutive à un incident, qui est testée régulièrement. RÉCAPITULATIF Lors de la conception de son environnement BMC Remedy OnDemand, BMC a pris en compte le caractère sensible des informations contenues dans les systèmes de gestion des services informatiques des entreprises. BMC fournit un environnement de sécurité rigoureux et certifi é ISO qui comprend une surveillance 24 heures sur 24 et 7 jours sur 7 des systèmes logiques et physiques, le cryptage de toutes les données sensibles, le contrôle permanent des applications Web, une authentifi cation de pointe, le contrôle des accès et la gestion des mots de passe. Outre ses propres protections rigoureuses, BMC permet aux sociétés de spécifi er des exigences personnalisées dans différents domaines, tels que la prévision des sinistres, la continuité des activités et la visibilité des résultats des tests de sécurité en cours. Grâce à BMC Remedy OnDemand, les entreprises peuvent être assurées que leurs données de gestion des services informatiques sont protégées, tout en tirant parti des avantages offerts par le modèle SaaS en termes de coût et de flexibilité. ÉTAPES SUIVANTES Pour obtenir des informations supplémentaires ou s inscrire afi n de recevoir une démonstration, veuillez consulter le site Web 1 Tous les schémas sont utilisés à des fi ns illustratives générales uniquement. VOTRE ACTIVITÉ REPOSE SUR L INFORMATIQUE. L INFORMATIQUE REPOSE SUR BMC SOFTWARE. Intelligence, rapidité, fiabilité sont autant de caractéristiques garantes d une croissance et d une prospérité pérennisées. C est pourquoi les sociétés informatiques les plus exigeantes de la planète font confiance à BMC Software aussi bien pour leurs environnements distribués que mainframe. Leader incontesté de la gestion des services métiers, BMC propose une plate-forme intégrale et unifi ée qui permet aux sociétés informatiques de réduire leurs coûts, de limiter les risques et d accroître leurs bénéfi ces. Sur l ensemble de l exercice qui s est achevé au 31 décembre 2009, BMC a réalisé un chiffre d affaires d environ 1,90 milliard de dollars. BMC, BMC Software et le logo de BMC Software sont la propriété exclusive de BMC Software, Inc., sont enregistrés auprès de l U.S. Patent and Trademark Offi ce (Offi ce américain des brevets) et peuvent être déposés ou en attente de l être dans d autres pays. Les autres marques commerciales, marques de service et logos BMC peuvent être déposés ou en attente de l être aux États-Unis ou dans d autres pays. UNIX est la marque déposée de The Open Group aux États-Unis et dans d autres pays. Tivoli et IBM sont des marques commerciales ou des marques déposées d International son autorisation. Toutes les autres marques ou marques déposées sont la propriété de leurs détenteurs respectifs BMC Software, Inc. Tous droits réservés. *142557*