Views
1 year ago

Qualité Références n° 50

  • Text
  • Novembre
  • Octobre
  • Processus
  • Risques
  • Sigma
  • Travail
  • Formation
  • Crise
  • Conseil
  • Gestion
LE GUIDE 2010 DES ORGANISMES DE CONSEIL ET DE FORMATION

SYSTÈMES

SYSTÈMES D’INFORMATION ET QUALITÉ Réseaux sociaux Les medias sociaux en toute sécurité L’usage des réseaux sociaux est en passe de dépasser les classiques emails. Le Gartner estime même qu’ils deviendront le principal moyen de communication d’environ 20 % des collaborateurs en entreprise. Pour satisfaire au besoin de sécurité, voici dix recommandations élaborées par Stonesoft pour une fréquentation sécurisée de ces réseaux sociaux. Sensibiliser les employés : les gens ne changeront leur façon de se comporter sur les réseaux sociaux que lorsqu’ils auront été sensibilisés aux risques de sécurité que ces derniers présentent. Les entreprises ont donc pour mission d’informer leurs employés quant aux risques que représentent les réseaux sociaux. Ils doivent également leur faire comprendre que même une information qui paraît sans importance risque d’en révéler déjà bien trop sur une société ou la vie privée d’un individu. Envoyer régulièrement des informations concernant les dernières menaces et établir une liste de règles à respecter permettront de sensibiliser encore davantage les utilisateurs. Il est, par ailleurs, utile d’engager en interne une personne en charge des réseaux sociaux qui sera un référent pour les employés. Mettre en place des process stricts : les administrateurs doivent être au courant des dernières menaces repérées sur le web. Il est ainsi conseillé de mettre en places des process stricts en phase avec les workflows quotidiens. Les administrateurs devront donc être particulièrement attentifs et s’assurer que les dernières mises à jour de sécurité sont bien téléchargées. Ces mécanismes, qui peuvent sembler quelque peu « simplistes », permettront aux responsables IT d’identifier instantanément les attaques réseaux ou même de les éviter proactivement. Définir des règles de sécurité solides : en établissant des règles internes, les administrateurs réseaux pourront définir des zones et applications réseaux qui seront accessibles par certaines personnes à certains moments. Il sera ainsi plus facile de contrôler, de superviser et de tracer l’accès aux données critiques en permanence. L’information ne risque donc pas de tomber entre de mauvaises mains par des moyens non autorisés. Les entreprises doivent également prendre la conformité en compte. Il est important de mettre les politiques à jour et de les adapter aux différents changements. Bloquer les sites infectés : une personne se connecte à un site infecté et télécharge un cheval de Troie. Ce genre de chose arrive souvent malgré des formations régulières dispensées aux employés. Les filtres URL permettent aux entreprises de bloquer l’accès aux malwares connus et aux sites de phishing. Cela s’applique également à l’ensemble des autres sites malveillants. La fonction de filtrage internet est constamment mise à jour grâce à la surveillance des listes noires et des listes blanches. Utiliser des firewalls de dernière génération : les entreprises doivent s’assurer que les technologies de sécurité en place sont toujours à jour. Par exemple, un firewall moderne offre une analyse complète de toutes les données concernant le trafic. Une inspection approfondie du trafic permet de surveiller tout type de données trafic (navigation web, applications peerto-peer, données trafic chiffrées dans un tunnel SSL). Lors de l’inspection SSL, le firewall déchiffre le flux de données SSL et le chiffre de nouveau avant de renvoyer les données vers le réseau. Ceci est un bon moyen de protéger efficacement les postes de travail, les réseaux internes, les hôtes et les serveurs contre les attaques ayant lieu à l’intérieur des tunnels SSL. Définir des accès aux applications métiers : les utilisateurs mobiles, les partenaires et les distributeurs ont souvent besoin d’accéder au réseau de l’entreprise de l’extérieur. Pour ces groupes d’utilisateurs, il est très difficile ou quasiment impossible de surveiller l’utilisation faite des réseaux sociaux. Il devient ainsi essentiel d’octroyer des droits d’accès réseau de façon centralisée, en utilisant par exemple un portail SSL/VPN. Parallèlement, le travail de l’administrateur est amplement facilité par une authentification forte via le SSO au niveau de l’utilisateur. Ainsi, un identifiant unique permet aux utilisateurs d’accéder uniquement aux zones réseau et aux services autorisés. Parer aux vulnérabilités : sur tous les réseaux, la gestion des vulnérabilités représente une mission essentielle puisque les attaques exploitant ces dernières, notamment via les réseaux sociaux, se multiplient. Installer un IPS (système de prévention des intrusions), comme StoneGate par exemple, représente un excellent moyen d’établir une barrière de défense. L’IPS permet d’arrêter les vers, les virus ou tout autre type de menaces et les empêche donc de se répandre sur le réseau. L’IPS permet également la mise à jour virtuelle des serveurs et des services en sécurisant les serveurs menacés, qui seront par la suite patchés lors de la session de maintenance suivante. Sécuriser l’intranet : l’intranet de chaque entreprise réunit généralement des informations extrêmement sensibles. Ces zones doivent être isolées du reste du réseau interne. Pour ce faire, il est nécessaire de segmenter l’intranet au moyen de pare-feu. Ceci permet à l’entreprise d’isoler des QUALITÉ RÉFÉRENCES ➤ OCTOBRE, NOVEMBRE, DÉCEMBRE 2010 ➤ PAGE 54

SYSTÈMES D’INFORMATION ET QUALITÉ services comme la comptabilité du reste de l’intranet et donc d’éviter que les infections n’atteignent ces zones sensibles du réseau d’entreprise. Intégrer les appareils mobiles dans les politiques de sécurité : de nombreux utilisateurs surfent sur les réseaux sociaux via des appareils mobiles (PC portable, PDA ou smartphones). Ces mêmes outils qu’ils utilisent également pour se connecter au réseau de l’entreprise. Il est important que les administrateurs appliquent également les politiques de sécurité aux appareils mobiles. Il est possible de le faire, par exemple, via la fonction d’évaluation, capable de vérifier si le dispositif qui se connecte au réseau est conforme aux politiques de l’entreprise et si les logiciels de sécurité nécessaires y sont bien installés. Cette fonctionnalité s’assure également qu’un hôte firewall adapté et mis à jour est bien installé et que le système d’exploitation, le logiciel anti-virus et l’ensemble des correctifs sont correctement updatés. Si l’une de ces conditions n’est pas remplie, l’appareil mobile voit son accès au réseau limité voire refusé. Le cas échéant, l’appareil mobile est redirigé vers un site web de confiance où il pourra télécharger les mises à jour requises. Administrer de façon centralisée : une gestion centralisée permet aux responsables informatiques d’administrer, de surveiller et de configurer l’ensemble du réseau et des appareils mobiles via une console unique. Ils ont également accès à des rapports leur permettant de voir qui a accédé à quelles données et quand. Il est ainsi plus aisé pour eux de se prémunir efficacement contre les attaques et de garantir une protection plus efficace aux applications vulnérables. Par ailleurs, une console d’administration centralisée aide à la bonne application et à la conservation des politiques de sécurité en vigueur sur l’ensemble du réseau d’entreprise. « La multiplication des réseaux sociaux accroît les risques pesant sur les réseaux d’entreprise », prévient Léonard Dahan, Country Manager Stonesoft France et Benelux, préconisant de combiner formations des utilisateurs et adaptation aux nouvelles technologies dans une stratégie de sécurité ■ Système d’information Gestion des logs Comprendre les enjeux des entreprises pour réussir un projet de collecte et de gestion de logs dans un environnement en pleine mutation. La mise en place d’une stratégie efficace de gestion des logs ne s’improvise pas. On assiste depuis ces cinq dernières années à une révolution majeure dans la prise de conscience des entreprises dans la mise en oeuvre de leur politique de sécurité. Il ne s’agit pas de l’apparition de super menaces, même si celles-ci existent toujours, mais de nouvelles réglementations et normes qui définissent certaines obligations vis-à-vis de la sécurité du système d’information (SI). Cette évolution a pour conséquences une répartition différente des budgets qui vont être orientés en priorité sur la mise en conformité réglementaire plutôt qu’à des exigences de sécurité traditionnelle. Les outils de collecte et d’analyse des logs font partie de ces nouveaux enjeux. La complexité de la collecte et de l’analyse de logs La multiplicité des sources d’informations et des modes de transfert de journaux (Syslog, SNMP…) font que la collecte devient une opération compliquée surtout si l’on prend en compte le fait que chaque composant dispose de son propre format de message. Il faut tenir compte également de la conservation des données qui demande des capacités de stockage extrêmement importantes. Ces données doivent par la suite être utilisées pour superviser la sécurité du SI en temps réel (corrélation d’informations qui génère des alertes automatiques) et fournir des tableaux de bord pour le pilotage du SI aux différents acteurs de l’entreprise (Auditeurs externes, RSSI, Directeurs Informatique, DAF, DG…) L’intégrité, la traçabilité et la conservation des données font donc partie des dispositions à mettre en place pour être en phase avec les différentes contraintes juridiques. Pour être synthétique, une entreprise a l’obligation de conserver ces logs pendant une durée qui varie en fonction de la nature des données (dans le cadre de la lutte anti-terroriste, la durée de conservation est de 1 an maximum). Ces projets seront souvent confiés à des sociétés de services extérieures car ils nécessitent une expertise très forte et parce qu’ils n’impactent pas directement le SI de l’entreprise (pas d’interaction forte avec le traitement des données). Débuter un projet de gestion de logs c’est d’abord définir précisément ce qu’il est possible de réaliser par rapport au service attendu et à l’environnement du client. Cette phase amont prendra en compte le périmètre technique (quelles sont les équipements collectés, leur localisation, l’évaluation de la volumétrie des données en fonction de la durée de rétention des logs) et le périmètre fonctionnel (stockage, troubleshooting, reporting en temps réel ou différés, alerting…). Une fois seulement ce travail effectué l’intégration et le développement d’outils propres à chaque client pourra être mis en place ■ Julien Hoppenot* *Julien Hoppenot est responsable marketing sécurité SPIE Communications QUALITÉ RÉFÉRENCES ➤ OCTOBRE, NOVEMBRE, DÉCEMBRE 2010 ➤ PAGE 55

Qualité Références - Découvrez la revue en version digitale

Pour vous abonner, joindre la rédaction, communiquer dans la revue ou simplement avoir plus d'informations sur votre métier, rendez-vous sur notre site internet :

www.qualite-references.com