Vers un nouveau modèle de sécurité

1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr

Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et système d information Coté sur NYSE Euronext Pure player du conseil Nos clients sont dans le top 200 des grandes entreprises et administrations Dont 2/3 des entreprises du CAC 40 Pour eux, nous savons mobiliser les compétences de près d un millier de collaborateurs Croissance 2008/09 : 40% Nos 10 premiers clients GDF SUEZ EDF 11% 7% LA POSTE 7% SNCF 5% ORANGE 5% SOCIETE GENERALE 3% CREDIT AGRICOLE 3% BANQUE DE FRANCE 3% BNP PARIBAS 3% TOTAL 2% Trajectoire : devenir un des tous premiers cabinets de conseil du marché 1er décembre 2009 - Propriété de Solucom, reproduction interdite 2

Six practices focalisées sur la performance de nos clients Directions métiers Directions SI Stratégie & management Mobiliser l entreprise sur ses clients et son développement Transformation SI Aligner le SI sur la stratégie d entreprise et les besoins métiers Gouvernance SI Améliorer la performance économique et opérationnelle Télécoms & innovation Apporter de la valeur grâce aux nouveaux services de communication Architecture SI Rendre le SI agile et efficace par une approche orientée services Sécurité & risk management Manager les risques et mettre le SI en conformité réglementaire 1er décembre 2009 - Propriété de Solucom, reproduction interdite 3

Solucom et le management des risques Une offre complète dans le domaine de la Sécurité Analyse / cartographie des risques Mesure de maturité ISO 27001 Politique et gouvernance de la sécurité Plan de maîtrise des risques Centres de compétence sécurité Appui aux projets SI Animation Sensibilisation PLAN ACT Système de management de la sécurité de l information (SMSI) ISO 27001 Plus de 150 consultants dédiés DO CHECK Sensibilisation et formation Insertion de la sécurité dans les projets Mise en conformité (SOX, CNIL ) Plan de contrôle Gestion opérationnelle de la sécurité Tableaux de bord Sécurité Architectures de sécurité Plan de Continuité d Activité Identity Management Audits et tests d intrusion 1er décembre 2009 - Propriété de Solucom, reproduction interdite 4

Un modèle de sécurité actuellement basé sur le concept de protection périmétrique Un réseau "anyto-any" Des serveurs centraux Une politique de filtrage explicite et de translation d'adresse Partenaire Agences Réseau d'interconnexion Internet Sites Des partenaires connectés de multiples manières différentes Des accès locaux aux ressources serveurs Des nomades connectés de manière hétérogène 1er décembre 2009 - Propriété de Solucom, reproduction interdite 5

Aujourd hui une approche technologique et unitaire de la sécurité qui atteint ses limites Une accumulation de contraintes pour l utilisateur Authentifications multiples Mises à jour du poste et des applications Un niveau de sécurité hétérogène et redéfini pour chaque projet Des périmètres sur et sous protégés Des processus sécurité long et complexe Un suivi de l efficacité difficile et une administration complexe Multiples consoles d administration Indicateurs peu pertinents Vue partielle des journaux Une sécurité encore mise à défaut malgré les efforts consentis Fuite d informations Fraudes Indisponibilités 1er décembre 2009 - Propriété de Solucom, reproduction interdite 6

La nécessité de répondre à des nouveaux besoins concrets Accueil des tiers sur les réseaux de l entreprise Mutualisation et virtualisation au sein du datacenter Ouverture de plus en plus large des réseaux vers les partenaires Infogérance Offshore SOA Cloud Comp. Partenaire Joint-venture Sites Internet Agences Usages collaboratifs entraînant des communications directes entre tous les utilisateurs du SI à grande échelle Mobilité interne et externe des collaborateurs Wifi Mobilité Poste banalisé 1er décembre 2009 - Propriété de Solucom, reproduction interdite 7

Adopter une nouvelle approche mieux adaptée aux enjeux actuels du SI Ouvrir son système d information pour répondre aux nouveaux besoins Augmenter le niveau de sécurité pour couvrir les risques internes en pleine évolution Pour répondre à ces enjeux, il faut adopter un nouveau principe : centrer la protection au plus proche de l information 1er décembre 2009 - Propriété de Solucom, reproduction interdite 8

Des chantiers ambitieux pour répondre aux enjeux d ouverture et de protection Définir son modèle de sécurité en regroupant les périmètre cohérents vis-à-vis des risques Protéger l information en fonction des enjeux métier pour permettre un accès plus large et différencié Partenaire Sites industriels Joint-venture Internet Agences Augmenter la sécurité des infrastructures maitrisées pour créer un niveau minimum de sécurité cohérent Rationaliser la gestion de la sécurité pour en diminuer la complexité Simplifier et standardiser la protection périmétrique en place pour faciliter les échanges 1er décembre 2009 - Propriété de Solucom, reproduction interdite 9

Définir son modèle de sécurité en regroupant les périmètres de manière cohérente vis-à-vis des risques Informations accédées Mesure de sécurité Internet Identifier des périmètres cohérents en fonction des risques et des enjeux métiers En limitant la segmentation au maximum Positionner les mesures de sécurité En fonction de la maturité des technologies et de l organisation Aller au-delà d un simple filtrage «réseau» Population accédante Méthode d'accès Internet Protéger les ressources en fonction de leurs usages Zc1 Protéger les activités métiers particulières : R&D, agences, sites industriels, joint venture Privilégier un réseau ouvert mais disposant de point de contrôle pour agir en cas d incident Zc Agences Isoler les entités ne pouvant pas ou ne voulant pas respecter les règles de sécurité 1er décembre 2009 - Propriété de Solucom, reproduction interdite 10

Le modèle de sécurité : un outil de communication centré sur les usages Réseaux externes (partenaires / publics) Accès partenaires privilégiés Contrôle de flux Filtrage Authentification Contrôle de conformité Accès employés MI Télé maintenance Accès partenaires Accès B2C Réseau interne ouvert et disponible Serveurs de fichiers Infra. clés (DNS ) Héb. serveur C1 Héb. serveur C2 Réseau d agences Protection métier 1er décembre 2009 - Propriété de Solucom, reproduction interdite 11

Augmenter la sécurité des infrastructures maitrisées pour créer un niveau minimum de sécurité cohérent Augmenter le niveau de sécurité par défaut des ressources Durcissement, détection et correction des vulnérabilités Datacenter Contrôler la connexion au SI d équipements non autorisés ou non conformes NAC, NAP WAN Contrôler le trafic pour détecter et stopper les attaques et les comportements suspicieux NIPS (Network IPS) Agence Maitriser le poste de travail et le protéger contre les infections virales et les tentatives d intrusion internes et externes Agent de sécurité unique Chiffrement des disques durs des portables Des chantiers demandant une mobilisation transverse mais nécessaires pour ne pas craindre l arrivée de tiers sur son réseau 1er décembre 2009 - Propriété de Solucom, reproduction interdite 12

Protéger l information en fonction des enjeux métier pour permettre un accès plus large et différencié Protéger les informations en fonction de la sensibilité Chiffrement DRM Protéger les applications et bloquer les éventuelles attaques/rebonds en définissant des classes de services d hébergement Pare-feu authentifiant IPS Mécanismes additionnels Limiter la fuite d information DLP (Data Leak Prevention) Un pré-requis : disposer d une méthode de classification des informations et des applications Des projets clés pour permettre l accès aux applications à tous et réduire les risques de fuite et d attaques internes 1er décembre 2009 - Propriété de Solucom, reproduction interdite 13

Simplifier et rationaliser la protection périmétrique en place pour faciliter les échanges Ouvrir l accès à distance, en terme d usages et de flux, en qualifiant le poste de travail Disposer d un catalogue de services d interconnexions sécurisées Accès poste banalisé Accès distant sécurisé Internet Réseau interne Moyens d interconnexion Mécanismes de protection Gestion des identités Aspects contractuels Un pré-requis : la capacité à s engager sur des délais de mise en œuvre Partenaire B2B Partenaire IT Les projets phares de l ouverture avec les effets plus visibles pour les métiers et les utilisateurs! 1er décembre 2009 - Propriété de Solucom, reproduction interdite 14

Organiser la gestion de la sécurité pour en diminuer la complexité Disposer d un socle commun de services de sécurité assurant la cohérence des contrôles et des autorisations Identification, authentification et droits d accès Annuaire, IAM, PKI, SSO, référentiel de conformité Centraliser et outiller la fonction administration, rationaliser les référencements produits/services Organisation et outillage de la sécurité distribuée Virtualisation, SIM, traçabilité, détection de vulnérabilités Gouvernance de la protection des infrastructures Référencement, pilotage, indicateurs, ISO 27001 1er décembre 2009 - Propriété de Solucom, reproduction interdite 15

Adopter une stratégie de sourcing diversifié, même pour la sécurité Intégrateurs MSSP Solutions opérateurs Acteurs spécialisés (Security As a Service) Solutions personnalisées Solutions clé en main Systèmes sensibles Sécurité applicative Référentiel d identification/ authentification Analyse des journaux Supervision sécurité Gestion des incidents Accès distant Nettoyage du trafic WAN (IPS) Authentification forte Antispam/anti virus de messagerie Tests de vulnérabilités La solution historique toujours intéressante Des retours d expérience qui deviennent significatifs Des nouveaux entrants avec de fortes ambitions Des solutions utilisables et efficaces 1er décembre 2009 - Propriété de Solucom, reproduction interdite 16

Centrer la protection sur l information pour allier ouverture et sécurité Le poste de travail est protégé quelque soit sa localisation et accède au SI sans limitations Les ressources sont protégées en fonction de l'information qu'elles contiennent et qu elles manipulent Réseau maitrisé Internet Des services communs de sécurité assurent la cohérence et le suivi des mécanismes de protection Le réseau est globalement «ouvert» mais «contrôlé» pour assurer un niveau commun de protection L accès au système d information est simplifié pour les partenaires et les clients sans oublier «la transparence pour l utilisateur» et «la simplicité d'administration» 1er décembre 2009 - Propriété de Solucom, reproduction interdite 17

Allier ouverture et sécurité Une obligation pour accompagner l évolution des besoins métiers un mouvement déjà anticipé par les principaux acteurs du marché et des premières mises en œuvre concrètes! Un pas vers l ouverture et la souplesse, éléments clés pour convaincre les métiers d adopter les réflexes sécurité! 1er décembre 2009 - Propriété de Solucom, reproduction interdite 18

www.solucom.fr Contact Gérôme BILLOIS Responsable de département Tel : +33 (0)1 49 03 27 45 Mail : gerome.billois@solucom.fr