310 likes | 431 Views
Sécurité informatique : un enjeu vital pour l’entreprise. Cyril Voisin Chef de programme Sécurité Microsoft France Laurent Dobin Ready Office Business Manager HP France Laurent Signoret Responsable Conformité Licences Microsoft France. Sommaire.
E N D
Sécurité informatique : un enjeu vital pour l’entreprise Cyril Voisin Chef de programme Sécurité Microsoft France Laurent Dobin Ready Office Business Manager HP France Laurent Signoret Responsable Conformité Licences Microsoft France
Sommaire • Les nouveaux défis de l’entreprise connectée • Démarche de mise en place de protections : • État des lieux • Inventaire des biens à protéger, des menaces et des vulnérabilités • Définir sa politique de sécurité • Protections à mettre en place, autorisations d’accès aux ressources (dont Internet), formation / sensibilisation des employés • Mettre en œuvre des moyens minimaux de protection à différents niveaux • Machines : pare-feu personnel, antivirus, mises à jour de sécurité • Sécurité physique : verrouillage de session, mise sous clé des machines sensibles • Données : contrôle d’accès, sauvegarde / restauration • Réseau : pare-feu d’entreprise, accès à distance pour les utilisateurs mobiles, filtrage d’accès à Internet, mots de passe, réseaux sans fils • Gestion de la sécurité : maintenance de la sécurité • Les autres risques liés à la propriété intellectuelle • Conclusion
Les nouveaux défis de l’entreprise connectée • Accroître la valeur de l’entreprise • Connexion avec les consommateurs • Intégration avec des partenaires • Donner plus de moyens aux employés • Réduire les risques • Nouvelles menaces • Environnement en constante évolution • Complexité, vecteurs, volume, motivation et impact • Responsabilité
Restauration MOM Archivage Correctifs Windows 2000/XP/2003 Clusters Politiqued’accès ISA Sauvegarde Service Packs Installation Microsoft Operations Framework Gestion desévénements IPSEC Active Directory Détection d’intrusion Réparation PKI Gestion desperfs Antivirus Kerberos DFS Processus Évaluation de risques Technologies Gestion du Changement /de la Configuration SSL/TLS SMS GPO RMS EFS Personnes Réponse à Incident Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur La sécurité dans un monde complexe Architecturesécurisée
La démarche de sécurisation (1/3) • Faire l’état des lieux • Inventorier les biens que l’on souhaite protéger • Ex : liste de clients, plan marketing, projet d’investissement stratégique, système de facturation, site Web, … • Inventorier les menaces • Ex : espion mandaté par un concurrent, virus, ver, cheval de Troie, vandale,… • Inventorier les vulnérabilités • Ex : personnel non sensibilisé à la non divulgation d’informations confidentielles, machines sans antivirus, correctifs de sécurité manquants, absence de pare-feu pour protéger les connexions au réseau…
La démarche de sécurisation (2/3) • En déduire les risques = menaces x vulnérabilités x valeur des biens • On s’attachera à diminuer les plus importants • A transférer ceux qui sont inacceptables (assurance) • A prendre en charge soi-même les autres
La démarche de sécurisation (3/3) • Rédiger sa Politique de sécurité • Principes de base à respecter (nécessité de contrôler l’accès aux documents internes, protections techniques minimales par ex.) • Définition des autorisations d’accès aux ressources dont Internet (par ex : seul le personnel habilité aura accès à Internet) • Formation / sensibilisation des employés (ex : navigation sécurisée, utilisation de l’e-mail, prévention de l’ingénierie sociale…)
Moyens de protection • Ensuite, il faut mettre en œuvre de moyens de protection contre les risques identifiés selon une démarche de défense en profondeur • Machines • Sécurité physique • Données • Réseau • Gestion de la sécurité • Risques liés à la propriété intellectuelle
Machines • Les 3 grands moyens de protection • Pare-feu personnel • Antivirus à jour au niveau de ses signatures • Mises à jour de sécurité
Sécurité physique (1/2) • Verrouiller sa session pour qu’un « passant » ne puisse pas accéder à vos données, se faire passer pour vous • Enfermer les serveurs dans une pièce fermée à clé • Utiliser des outils de sécurité physique pour protéger les PC
Sécurité physique (2/2) • Sécurité physique des PC • Cache de protection des connecteurs • Verrouillage du châssis et des câbles • Verrous électromagnétique • Câble anti-vol pour les portables • Carte à puce pour accès • Etc.
Sécurité des données (1/5) • Identification / Authentification • Protéger les données contre des accès frauduleux ou malveillants aux ordinateurs de l’entreprise • Sauvegarde / Restauration • Conserver les données sensibles en sécurité afin de les restaurer en cas de sinistre (erreur humaine, incendie, virus, etc.)
Sécurité des données (2/5) • Identification / Authentification • Pour les informations sensibles, adopter une démarche d’interdiction d’accès par défaut avec attribution explicite de droits • Personne ne doit avoir le droit de modifier les machines, hormis l’administrateur • Utiliser plusieurs niveaux d’authentification • HP ProtectTools est au centre de la solution de sécurité de HP pour les PC, portables et Ipaq. Il garantit l’authentification et l’identification de utilisateur grâce au cryptage des données
Sécurité des données (3/5) • Carte à puce : Smart Card Security Manager • Apporte des mécanismes d’authentification sur plusieurs niveaux : Carte à puce + Code PIN • Protège contre les intrusions au moment du démarrage du PC • Accroît la sécurité en complétant le système de sécurité de Microsoft Windows • Protège contre les accès non autorisés au PC par blocage du système en cas de retrait non autorisé de la carte à puce
Sécurité des données (4/5) • Sauvegarde / Restauration • Pour les informations sensibles (informations commerciales, contractuelles, légales, etc.), adopter une démarche systématique de sauvegarde des données • La sauvegarde doit être régulière, sécurisée, rapidement accessible • La restauration doit être mise-en-oeuvre rapidement, simplement et avec une fiabilité totale
Sécurité des données (5/5) • Service de sauvegarde en ligne HP • Démarrage automatique des sauvegardes en fonction du paramétrage • Interface conviviale permettant à l’utilisateur d’effectuer les opérations de sauvegarde et de restauration • Chiffrement systématiquement toutes les données avant leur sortie du poste de travail • Compression des données pour limiter l’utilisation de la bande passante • Disponible prochainement dans le cadre du programme Ready Office
Sécurité du réseau (1/4) • Sécuriser le réseau est une course • Des menaces de plus en plus nombreuses • Des attaques de plus en plus rapide Incidents recensés Délai avant l’attaque
Sécurité du réseau (2/4) • Fonctionnalités de pare-feu (firewall) • Protection du réseau de l’entreprise contre les intrusions provenant des réseaux externes • Outil nécessaire mais insuffisant (effet ligne Maginot) • Fonctionnalités de réseau privé virtuel (VPN) • Amélioration de la productivité des utilisateurs nomades par l’accès au réseau d’entreprise • Liaison sécurisée entre le réseau de l’entreprise et l’utilisateur nomade (à travers Internet) • Vérification de la bonne santé des ordinateurs qui se connectent à distance avec le système de quarantaine de Windows Server 2003 • Gestion et contrôle des accès (proxy) • Accès Internet partagé avec contrôle des accès selon les utilisateurs • Restriction des accès aux sites Internet choisis par l’entreprise
Sécurité du réseau (3/4) • HP ProLiant Small Office Solution • Fonctionnalités complètes de sécurité réseau (firewall, VPN, proxy) • Microsoft Small Business Server 2003 • Solutions dédiées aux petites entreprises de moins de 25 utilisateurs • ProLiant DL320 / ISA Server 2004 • Fonctionnalités complètes de sécurité réseau (firewall, VPN, proxy) • Solutions dédiées aux petites entreprises de plus de 25 utilisateurs
Sécurité du réseau (4/4) • Mots de passe • Bonne pratique : pas de nom du dictionnaire, une bonne longueur, des majuscules / minuscules, des chiffres, des accents… • Exemple : Tc:1j,jr&àN-Yàt! (il y a un truc!) • Réseaux sans fils (Windows XP SP2) • Par défaut aucune sécurité • « WEP » est à proscrire • Exiger WPA (ou WPA2) • Problème lié aux points d’accès pirates (ouvrent votre réseau à n’importe qui)
Gestion de la sécurité (1/2) • Constats : • Tous les logiciels sont imparfaits et contiennent des erreurs (bugs), certains touchent à la sécurité (vulnérabilités) • Le temps entre la sortie d’une mise à jour de sécurité (corrigeant une vulnérabilité) et l’apparition d’un ver utilisant la vulnérabilité est en descente vertigineuse (6 mois pour Slammer, 25 j pour Blaster, 17 j pour Sasser) • La propagation d’un ver peut être fulgurante (ex :Slammer) • Application des correctifs de sécurité au fur et à mesure de leur sortie (après tests) • Si vous le souhaitez, Windows XP SP2 et Windows Server 2003 peuvent récupérer et installer automatiquement les mises à jour de sécurité depuis Internet • Update Services est un logiciel gratuit de Microsoft qui permet de centraliser la mise à jour des logiciels Microsoft (sortie dans les 5 mois)
Gestion de la sécurité (2/2) • De nouveaux outils logiciels qui permettent de vérifier simplement et rapidement la vulnérabilité de l’ infrastructure (ProLiant Essentials VPM, etc.) • Tests de vulnérabilité • Application des correctifs • Maintenance automatique • Etablissement de la politique de sécurité
Gestion des actifs logiciels, d’autres risques à maîtriser • Le logiciel est un outil de production important, un actif qui nécessite une gestion rigoureuse. • Un parc logiciel mal maîtrisé c’est la porte ouverte la copie illégale. • Le logiciel est protégé par le code de la propriété intellectuelle (droits d’auteur) article L.122-4. Un logiciel utilisé sans licence est une contrefaçon • Responsabilité du dirigeant : sur le fondement de l’article 1384 du Code Civil (responsabilité du commettant), la responsabilité du chef d’entreprise est mise en jeu lorsqu’un de ses employés commet un acte de piratage ou de contrefaçon sur un poste mis à disposition par l’entreprise. • Prévention : Mettre en place une infrastructure et des processus de gestion des actifs logiciels.
Logiciels sans licences : Les risques Risque technique et de sécurité • Logiciels de provenance inconnue = pas de maîtrise complète du parc logiciel • Risques de virus, parfois même intentionnels, sur les copies illégales commercialisées sur Internet ou copiées de poste à poste, ou dans les cracks de CD diffusés sur Internet. Risques d’intrusion. • Pas d’accès aux services automatiques de mises à jour et de correctifs de sécurité • Pas de support technique de la part de l’éditeur, pas d’interlocuteur revendeur ou service en cas de problème. Risque d’image et de réputation • Utiliser des copies illégales n’est pas «pro», c’est un défaut de gestion, un manque de sérieux, un manque de respect de la loi • La réputation et la pérennité de l’entreprise peut être entachée sur son marché, auprès des collaborateurs en interne d’abord, mais aussi auprès des clients, fournisseurs et concurrents qui pourraient l’apprendre (concurrence déloyale) Risque légal et financier • Procédures de contrôle : saisie descriptive par huissier de justice et expert informatique dans le cadre d’une ordonnance rendue par le président du Tribunal de Grande Instance, ou sommation interpellative de mise en demeure de déclaration de parc. • Procédures judiciaires coûteuses. Sanctions pénales (amendes prévues par la Loi) et civiles (dommages et intérêts). • Faibles économies dangereuses : le logiciel représente moins de 10% du coût total de possession de l’équipement informatique.
Quels avantages à bien gérer le parc logiciel ? Tirer le meilleur de son informatique en toute sérénité. Gestion des actifs logiciels : Mettre en oeuvre l’ensemble des infrastructures et processus nécessaires pour gérer, contrôler et protéger les actifs logiciels d’une organisation tout au long de leur cycle de vie. Avantages : • Stratégie logicielle : Connaître ses besoins logiciels réels. quels logiciels répondent le mieux aux besoins des utilisateurs (par service, par tache, par métier) et aux contraintes de l’entreprise. Établir ses choix logiciels. Évaluer les évolutions techniques utiles et les planifier. • Audit régulier du parc : mieux connaître et suivre dans le temps son existant logiciel et licences, et le comparer à ses besoins. • Rationalisation des achats : réaliser des économies d’échelle en groupant ses achats, annualiser ses dépenses. • Homogénéisation du parc : travailler plus efficacement et offrir un meilleur taux de service et de disponibilité aux utilisateurs
Quelles méthodes simples de gestion ? • Informer et partager la responsabilité du dirigeant avec les employés : clause de respect de la propriété intellectuelle sur les biens et contenus numériques dans les contrats de travail, règlement interne de l’entreprise et note interne de sensibilisation. • Réaliser un audit annuel des logiciels installés sur les ordinateurs • Rapprocher cet audit physique des licences effectivement possédées. Grouper et conserver les licences en lieu sur. • Établir la stratégie logicielle. Quels logiciels pour quels besoins ? Et la faire connaître. • Grouper les achats auprès d’un petit nombre de fournisseurs reconnus. Établir des procédures de fourniture de logiciels aux employés et nommer des personnes responsables. Réévaluer les besoins régulièrement • Planifier les évolutions techniques et les budgets correspondants • Sous-traiter certaines tâches aux revendeurs informatiques • S’équiper une solution logicielle de gestion de parc logiciel
Des ressources • Outils d’audit de parc logiciel et guides de la gestion de parc logiciel disponibles gratuitement sur : • www.microsoft.com/france/logicieloriginal • www.bsa.org/france
Politique de sécurité • Les problèmes de sécurité empêchent la création d’une infrastructure stable • Microsoft, HP et leur réseau de partenaires peuvent vous aider à mettre en œuvre une vraie politique de sécurité • Etude de l’architecture • Etudes des règles de sécurité • Test de pénétration des systèmes • Analyse des résultats, partage des meilleures pratiques et conseils • Etablissement de la politique de sécurité
Ressources • www.microsoft.com/france/securite • www.hp.com/fr/security • www.microsoft.com/france/logicieloriginal