Les trois séances Maitriser son système d’information Quoi? Qui? Comment? Administration des réseaux Technologie SNMP Les gestions des réseaux des « Service providers  », Introduction outils Opensource (Nagios, cacti)

Maitriser son système d’information Pour répondre aux besoins et challenge de l’entreprise

La problématique Les visions Maîtriser son SI La problématique Les visions

Au fait!! Enterprise Portal Internet BRICKS CLICKS

Le challenge Gérer les niveaux de service Accroître l’utilisation des ressources Réduire les coûts des technologies de d’information Etre flexible et répondre aux besoins de changement rapide des affaires Gère l’accroissement des risques pesant sur les systèmes d’information

Lier entreprise et SI, les + Les besoins business La mise en place Delivrer et opèrer services du SI La stratégie business Architecture de l’entreprise Architecture des opérations With the deepening relationship between IT and the business process,IT architectures have a big impact on the ability of the business to compete and change.Most organizations find it difficult to implement new outward-facing business processes.They may find their business logic is hidden in legacy applications that are needed to sustain established operations.An architected approach to IT operations is needed in order to balance the requirement for a stable IT infrastructure with the agility needed to move the business ahead in a rapidly changing,virtual and dynamic environment.Operations architecture will not just enable and stabilize the business transformation,but will be a key part of the enterprise architecture. This will enable enterprises to lower their cost of operation and improve the availability and performance of a business process in a rapidly changing,virtual and dynamic environment. Defining operations architecture can help break down the walls that exist between enterprise architects,developers and operations.An IT operations architecture can minimize complexity,and improve manageability.Adopting a sound operations architecture will help an overall enterprise architecture to be sustainable and agile.The business benefits are agility,stability and an improved ROI on IT.IT operations ’ benefits are in a more strategic position within the enterprise,providing improved staff retention and monetary support for IT infrastructure projects. Un ocean de changement, de globalisation , dynanisme, très fortement couplé à l’entreprise et à sa réactivité.

Gérer le SI, Quelles briques? One of the primary goals of an IT operations architecture is to automate management. Automated management can reduce manual labor which can reduce costs and increase the scale of possible IT infrastructure deployments.Automation also can improve the availability and agility of IT infrastructure.The early NSM market focused on element management — instrumenting infrastructure components for monitoring and simple configuration tasks.The stated goal was to make IT operations more efficient.The next generation of tools provided for operations management,which extends basic monitoring with auto discovery and topology mapping,as well as intelligent correlation of events for problem resolution.All of this helps IT manage the technology,but does nothing to ensure that the technology is delivering what the business needs.Service management focuses on reporting and management more at the application layer,for services that are meaningful to the business customer.Business management extends service management to include management that is driven by business impact analysis.Most of what is new in NSM is focused on attempts to develop service-and business-level management.Most of what is missing in NSM is also related to service-and business-level management. Action Item:Implementing lower-layer element and operations management is required to build a strong foundation for the higher-layer service and business management.

Une autre vision ? Déployer ces applications La sécurié Internet L’exploitation Sécurisé les applicatifs Asset management SLA & Politique de sécurité Sécurité au niveau utilisateur

Plusieurs catègories « d’outils » Les unitaires Par exemple : Panneaux de configuration sous windows MMC windows Les commandes lignes sous UNIX/LINUX Les outils graphiques LINUX Dédiés a un type de ressources Par exemple : Outils SNMP, CiscoWork pour les équipements Cisco, Une intégration au niveau de l’ensemble du système d’information Par exemple: Tivoli (IBM), Openview, BMC patrol, CA, Nagios

Les « Bigs four » hp OpenView Mais aussi l’opensource http://www-3.ibm.com/software/tivoli/ http://www.bmc.com                  Each of the Big Four has various strengths.From a product perspective,BMC has the most advanced application and database management product line.CA is the only vendor that can offer so-called “one-stop ”shopping with a range of products from monitoring tools to help desk systems.HP has tremendous strength in network management,and among the Big Four,it also has the most “pure ” Windows offering ((i.e.,built using Windows-based technology).IBM Tivoli has an advanced storage management capability,and as the in-house team for IBM,offers potential in delivering the most-advanced products for IBM ’s Software organization.There also are weaknesses.BMC is viewed as a conservative firm that rarely is first to market.CA has struggled to overcome issues regarding its industry reputation.HP suffers from what appears to be a lack of visibility within its own company.Tivoli overpromised and underdelivered with its technical architecture,which,while having substantial capability,suffers from overcomplexity.Although not currently one of the Big Four,Microsoft may soon be.Microsoft ’s primary struggle is to decide where to place and how to price management functionality.It can add functionality to the base OS,to a product running on an OS (Exchange)or to a stand-alone management product,such as Microsoft Operations Manager (MOM).Microsoft must create a model that not only provides a road map with which to address this internal challenge,but one that also can be shared with customers and development partners so that the former understands what to expect and the latter knows what to produce. hp OpenView http://www.cai.com http://www.openview.hp.com Mais aussi l’opensource

Mais à côté….. Une liste impressionnnate d’outils Souvent très performant. Elément à prendre en compte: LE BESOINS

Par exemple Microsoft

Applications web services Une autre vision ASSURANCE Service management MISE EN PLACE USAGE Gestion des fautes Gestion des performances Services réseaux Systèmes serveurs Applications web services Data Storage

Maîtriser son SI Gérer les incidents

Gestion des incidents Une gestion proactive –Des alarmes et évènements Une vue intégrée et corrèlee de tout le système d’information Une reconnaissance automatiser des fautes et évenement Activation d’actions spécifiques ou de règle de corrélation Une vue “intelligente des problèmes”Intelligent problem determination, -uniquement les bonnes alarmes au bon opérateur- Améliore la pertinance et réduire la charge des operations

Gestion des incidents Un workflow automisé Distribué les fonctions entre plusieurs consoles d’administration Notion de profil d’administrateur avec droits d’accès Des fonctions de configuration efficaces pour faciliter les changement dans “staff duty” L’inititalisation automatique de tickets d’incident avec une database d’expérience Jose Réduire les coûts d’opération

Pertinance des incidents remontés Pas d’alarme dupliquées Une analyse temporelle et un filtrage sophistiqué des incidents qui remontes Une language pour définier les règes Des règles qui permettent de faire de la corrélation Possibilité de groupés les règles par scenarii Donner seulement l’information pertinance aux opérateurs

Maîtriser son SI Mesurer la Qos

La gestion des performances Une gestion en temps réel et “capacity planning” des performance du système Une vue dynamique de toute l’infrastructure du système d’information Des indicateurs temps réel de performance Une gestion automatisée de la collecte et du traitement pour générer des rapports de performance pertinent Assurer et donner un vue d’ensemble du niveau de service

Gérer la qualité de service Exemple de Reporting Distribution des alarmes en fonction du temps, des éléments managés. Une mesure du temps entre le temps d’apparition et de résolution des incidents, avec rapports journalier, mensuel, annuel Des publication synthétique et historique des élément clés administrés. Un suivi des indicateurs QoS indicators Gérer la QoS au travers de rapport

Maîtriser son SI Gérer le logiciel……

Gestion logicielle C’est : Mais pas uniquement…. Les RPMs, lesDEB Linux, La procédure d’install de windows Les serveurs logiciel (ex: yum) Les updates Mais pas uniquement….

Gestion des configs logicielles

Gestion et configuration logicielle Reduire TCO (Coût de possesion) Améliorer la qualité de service Réduire le risque d’entreprise

Maîtriser son SI Le déploiement, la gestion des biens

Total Cost of Ownership (TC0) Asset Management Le concept d’infrastructure s’inscrit dans un cadre plus large que les notions d’actifs, de patrimoine et d’immobilisations L'infrastructure de l'entreprise est composée de tous les équipements, moyens et services dont elle a besoin pour fonctionner et exercer son activité économique. Elle comprend l’ensemble des biens et des capacités de services, depuis les centres informatiques jusqu'aux bâtiments et aux flottes de véhicules, en passant par une multitude d’équipements opérationnels ou spécifiques à un métier. Infrastructure Le cycle de vie débute dès sa conception (élaboration d’un budget) jusqu’à sa fin de vie (mise au rebut) en passant par ses différents changements d’état (amélioration, rénovation,…). Le cycle de vie est géré par une ou plusieurs ressources de l’entreprise. Cycle de vie Le Total Cost of Ownership représente l’ensemble des coûts directs et indirects impactant l’ensemble du cycle de vie d’une infrastructure. Total Cost of Ownership (TC0)

Le cycle de vie des infrastructures Planifier Retirer Acquérir Utiliser Budget/demande Retrait et/ou Re-déploiement Négociation Gestion des Contrats Achats Cycle de vie des infrastructures Gestion des Garanties Locations Mesure SLA Installation Gestion du Changement Gestion des incidents Résolution des Problèmes Gestion des Ressources

Gestion du déploiement - Asset Demandeur Utilisateur effectue une demande Get-Resources Vérification de la disponibilité Si indisponible, début d’un process d’achat Envoi de la commande au fournisseur choisi Retour Status de la demande Process de MAJ ERP Asset Center Fournisseur Systèmes internes SAP… Mise à jour Asset Center du bien commandé Finance Dept Interaction avec les autres systèmes pour la création d’une commande

Gestion du déploiement -Asset Livraison Réception des équipements Installation des biens Utilisateur satisfait Get-Resources Envoi de la notification de paiement au fournisseur Process de MAJ ERP Création des biens Asset Center Fournisseur Création d’une intervention d’installation Mise à jour Asset Center N° d’immo Finance Dept Systèmes internes SAP… Planification Assignation intervention à un technicien Service Center Ajout du bien dans la base inventaire du système de gestion des incidents Mise à jour GL, Clôture PO, création d’une immo, gestion du paiement Clôture de l’intervention

Gestion des localisations

C’est aussi Gerer les données

C’est à dire Objectifs de la sauvegarde des données: point de reprise (RPO), temps de reprise (RTO) Types de sauvegarde et restauration Politiques de sauvegarde et restauration Architectures des solutions de sauvegarde LAN, hors LAN, hors serveur, sauvegarde des NAS Techniques de copie temps réel

Définition de la sauvegarde Objets à sauvegarder Environnement d ’exploitation Données sauvegardées Environnement de sauvegarde Quels objets? Comment? Quand? Où? According to the Hurwitz Group, by the year 2003, the average large company will store over 150 terabytes of data – which is equivalent to the storage capacity of approximately 240,000 compact discs. Fichiers (arborescences) BD (ou parties) Données non structurées.. Stratégies / règles (full, incremental… online/offline …) Fréquence sauvegarde (quotidien, hebdomadaire…) Pools de drives/cartouches Politique de rétention Gestion des cycles de vie

Objectifs ? Protection des données (police d’assurance) Persistance des données même après incident majeur (matériel, logiciel, erreur humaine) Restauration des données qui ne peuvent pas être régénérés facilement Restitution des accès aux données selon les besoins applicatifs Maintien des données à long terme (besoins d’historiques non opérationnels) Données figées, pas de contraintes sur le temps de restauration (faible probabilité de restauration) Déplacements de données Utilisation des medias pour des opérations de transfert de données (ex: absence de bande passante suffisante sur le réseau)

Types de restauration Totale = toutes les données d’un volume Image la totalité des block disque Fichier/objets : la totalité du volume ou du système de fichiers ATTENTION si sauvegardes incrémentales: Toutes les bandes nécessaires pour la restauration Des systèmes de fichiers peuvent déborder pendant la restauration séquentielle Partielle Fichier/objet : fichiers ou arborescences sélectionné

Politiques de sauvegarde Sauvegarde totale – sauvegarde tous les fichiers sélectionnées Sauvegarde incrémentale– sauvegarde les fichiers qui ont changé depuis la dernière sauvegarde Sauvegarde différentielle – sauvegarde les fichiers qui ont changé depuis la dernière sauvegarde totale Full backup Every file on a given computer or file system is copied whether or not it has changed since the last backup Large amounts of data are regularly moved. Generally not feasible in a networked environment Full + incremental backup Full backups are done on a regular basis, for example, weekly In between Full backups, regular Incremental backups copy only files that have changed since the last backup Less data is regularly moved than in a Full backup, but restoring data can require retrieving multiple Incremental backup copies as well as the Full backup to recreate current file state Full + differential backup In between Full backups, Differential backups copy only files that have changed since last Full backup Better restore performance than in a Full + Incremental backup, because only two copies of data are required (the Full backup and the current Differential backup), but more data is regularly moved Définir le scénario qui répond le mieux aux besoins !

SAN et NAS Partage de ressources Partage de données FC SAN LAN IP/Network NAS LAN IP/Network Storage Area Network Accès « block level » Optimisé pour BD, Haute disponibilité Solutions « sur mesure » Network Attached Storage Accès « file level » Optimisé pour service fichier Solutions « sur étagère »

Les sauvegardes, obligatoires mais… Le service attendu est la restauration des données Peut faire l’objet d’un contrat de qualité de service Impose la sauvegarde comme contrainte opérationnelle Les sauvegardes ont un coût: Matériel et logiciel, effort, temps, formation du personnel Les sauvegardes ne sont pas une activité critique pour le déroulement des opérations la fenêtre de sauvegarde est un élément critique Les sauvegardes sont nécessaires mais pas suffisantes pour la reprise des activités après sinistre informatique

C’est aussi Gérer les sinistres

Temps et Point Restauration (RTO/RPO) Incident Reprise Restauration Point de restauration (RPO) Temps de restauration (RTO) Données restaurées Données Données perdues

De la protection de l’information à la reprise des activités RTO/RPO Coût Protection de l’information Incident infrastructure (crash disque, virus, bug…) Erreur humaine (effacement…) Reprise des opérations Incident au niveau site (crash serveur, indisponibilité de l’application…) Disponibilité des données Reprise de l’activité après sinistre

Disaster Recovery Architecture Strategic Planning Assumption: Data replication for disaster recovery will increase in large enterprises from 25 percent today to 75 percent by 2006 (0.7 probability). Geographic Load Balancer Geographic Load Balancer Site Load Balancer Web Server Clusters Application Database Disk PIT Image, Tape B/U Transaction Replication DB Replication Remote Copy Secondary Site LAN and PC Tape Backup How are technologies and service providers evolving to meet BC’s needs? For application services with Class 1 or 2 (short RTO/RPO), multisite architectures are used. Often, a new RTE application service starts with a single-site architecture and migrates to multiple sites as its risks grow. Multiple sites complicate applications architecture design (e.g., load balancing, database partitioning, database replication and site synchronization must be designed into the architecture). For nontransaction processing applications, multiple sites run concurrently, connecting users to the closest or least-used site. To reduce complexity, most transaction processing (TP) applications replicate databases (or disks) to an alternative site, but the alternative databases are idle unless a disaster occurs. Then a switch to the alternative site can be accomplished in typically 15 to 30 minutes. Some enterprises prefer to partition databases and split the TP load between sites, and consolidate data later for decision support and reporting. This reduces the impact of a site outage, affecting only a portion of the user base. Others prefer more-complex architectures with bidirectional replication between sites to maintain a single database image. All application services require end-to-end data backup and offsite storage as a component of the DR strategy. Often, the DR architecture will implement point-in-time (PIT) replicas to enable synchronized backup and recovery (across many systems). Class 3 and 4 application services typically recover via tape in an alternative site. Copyright © 2002

Technologies to Reduce RTO/RPO Key Issue: How are technologies and service providers evolving to meet BC’s needs? Cost Assumes mirroring or shadowing plus a complete application environment Hot Standby or Load-Balanced Database and/or file and/or object replication Mirroring Log/journal transfer (continuous or periodic) Shadowing net $$$+ host $$$+ disk $$$$+ app. $+ Database and/or file and/or object backup Electronic Journaling Elec. Vaulting Standard Recovery net $$$+ host $$+ disk $$$$+ net $-$$+ host $$+ disk $$$$+ net $ host $ disk $ tape $ net $ tape $ 72 hours 48 hours 24 hours 12 hours minutes Disaster Recovery Time Traditional BC plans provide 24- to 72-hour application/business process recoverability. With technology more intrinsic and outage costs escalating, many enterprises need shorter recovery times for critical applications. High-availability techniques are escalating (especially for RTE applications), enabling enterprises to achieve RTOs and RPOs in minutes, rather than days. With RTE, hot standby (an idle standby application environment that waits for a disaster affecting the primary physical site) often isn’t good enough, and many design applications architectures cross several active physical sites. Thus, if one data center has an outage, the others continue processing requests. Load balancing across several physical sites is common for nontransactional applications. Often, transactional applications are located in a single site, with hot standby elsewhere. This reduces complexity and chances for conflict resolution. For hot standby and load-balanced sites, data is often replicated between sites via mirroring or shadowing (at the transaction or data level). Shadowing builds a replica of databases or file systems by capturing changes and applying them at the recovery site. Mirroring builds a replica of databases or file systems by applying changes at the alternative location in lock step with the primary site. Action Item: Although rapid RTE recovery is expensive, the alternative (recovery in three or more days) could jeopardize an enterprise’s survival. A BIA will help assess the recovery ROI. Copyright © 2002

C’est aussi Securiser….

Sécuriser Disponibilité Intégrité Confidentialité

Le système d’information doit: Pouvoir être utilisé : Disponibilité Effectuer des actions de manière fiable et sans interruption : Fiabilité, Continuité de service Permettre l'accès qu’aux entités autorisées : Confidentialité, Intégrité Prouver des actions : Non-Répudiation

Des menaces diversifiées Agression physique (effraction, destruction...) Malveillance Espionnage économique Manque de maîtrise de la complexité des systèmes entraînant des dysfonctionnements Perte de confidentialité Mise à profit de l’ouverture des systèmes pour nuire Perte d’intégrité des données Détournement de fond

Evolution des intrusions/attaques 1988 : Attaques sur mots de passe Exploitation manuelle de vulnérabilités Aujourd’hui : Attaques sur mots de passe Exploitation de vulnérabilités sous forme automatique Trous dans les protocoles Examen des sources Attaques http, ftp, mail Installation de sniffers Falsification d’adresse IP Refus de service Scanning à grande échelle Attaques distribuées LA JUNGLE

Eh oui! Niveau Connaissances Attaques 1990 2004

Les attaques versus les intrus Techniques d’exploration « furtives » et évoluées Outils Élevé Usurpation Déni de service Attaques par saturation Renifleurs de paquet Connaissances des intrus Attaques par le Web Analyseurs Sondes et explorations automatisées Portes dérobées Invalidation des vérifications Diagnostics de gestion de réseau Session de piratage Vols Sophistication des attaques Exploitation des vulnérabilités connues Piratage de mot de passe Autoréplication du code Attaquants Faible Percage de mot de passe 1980 1985 1990 1995 2000 Source - Computer Security Institute/FBI

Quelques chiffres Le nombre d’intrus potentiel Source: www.cert.org

Cependant Selon le CERT( is a center of Internet security expertise www.cert.org) : ”Plus de 95% des intrusions résultent de l’exploitation de vulnérabilités connues ou d’erreurs de configuration, contre lesquelles des mesures sont disponibles”

Exemples d’attaques Sur Machine en libre service Démontable Attaquable par les lecteurs (disquette, CD-ROM) accès fichiers / modifications mots de passe / etc. Portes dérobées dans les BIOS Sur Installations par défaut, standard=danger Installent également les vulnérabilités par défaut Installent trop de choses

Exemple attaque: mots de passe Le management des Password Sécurité compromise Post it Reset nombreux Fatigue des utilisateurs inflation des Password changements fréquents synchronisation du système Augmentation des coûts 20-40% des appels support sont liés au PW reset $20-$60 par appel Lost productivité faible 18Livingstonecircle Winter1682kill quoio87lwni902ls

Exemple d’attaques: les virus Signature virale Les virus se reproduisent en infectant des "applications hôtes", c'est-à-dire en copiant une portion de code exécutable au sein d'un programme existant. Or, afin de ne pas avoir un fonctionnement chaotique, les virus sont programmés pour ne pas infecter plusieurs fois un même fichier. Ils intègrent ainsi dans l'application infectée une suite d'octets leur permettant de vérifier si le programme a préalablement été infecté : il s'agit de la signature virale. Types virus de boot virus sur exécutable virus polymorphiques Cheval de troie Etc… La lutte Les antivirus s'appuient ainsi sur cette signature propre à chaque virus pour les détecter. Il s'agit de la méthode de recherche de signature (scanning), la plus ancienne méthode utilisée par les antivirus. Les produits: Norton antivirus, Trendmicro, Mcafee, Titanium antivirus (panda software), Softwin (bitdefender), Kaspersky. Quelques uns gratuite par exemple Antivir Personnal edition de H+B EDV (http://www.free-av.com/) Possible aussi de teste sa machine en ligne Trendmicro http://fr.trendmicro-europe.com/enterprise/products/housecall_launch.php. Intrus Virus

Exemple d’attaques: spywares Un espiogiciel est un programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé. Les récoltes d'informations peuvent ainsi être : la traçabilité des URL des sites visités, le traquage des mots-clés saisis dans les moteurs de recherche, l'analyse des achats réalisés via internet, voire les informations de paiement bancaire (numéro de carte bleue / VISA) ou bien des informations personnelles. Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du temps des freewares ou sharewares). En effet, cela permet aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d'informations statistiques, et ainsi permettre de distribuer leur logiciel gratuitement. Il s'agit donc d'un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel.

Exemple d’attaques: spywares Les types de spyware: Les spywares internes (ou spywares internes ou spywares intégrés) comportant directement des lignes de codes dédiées aux fonctions de collecte de données. Les spywares externes, programmes de collectes autonomes installés Voici une liste non exhaustive de spywares non intégrés : Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin, Conducent Timesink, Cydoor, Comet Cursor, Doubleclick, DSSAgent, EverAd, eZula/KaZaa Toptext, Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar, ISTbar, Lop, NewDotNet, Realplayer, SaveNow, Songspy, Xupiter, Web3000 et WebHancer La lutte: La principale difficulté avec les spywares est de les détecter. La meilleure façon de se protéger est encore de ne pas installer de logiciels dont on n'est pas sûr à 100% de la provenance et de la fiabilité (notamment les freewares, les sharewares et plus particulièrement les logiciels d'échange de fichiers en peer-to-peer). Voici quelques exemples (e liste non exhaustive) de logiciels connus pour embarquer un ou plusieurs spywares : Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou encore iMesh. Installer un anti-spyware Parmi les anti-spywares les plus connus ou efficaces citons notamment : Ad-Aware de Lavasoft.de Spybot Search&Destroy Microsoftantispyware en test

Exemple d’attaques: Keylogger Les keyloggers (littéralement enregistreur de touches) est un dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage. Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité de l'ordinateur Dans la mesure où les keyloggers enregistrent toutes les frappes de clavier, ils peuvent servir à des personnes malintentionnées pour récupérer les mots de passe des utilisateurs du poste de travail ! Cela signifie donc qu'il faut être particulièrement vigilant lorsque vous utilisez un ordinateur en lequel vous ne pouvez pas avoir confiance (poste en libre accès dans une entreprise, une école ou un lieu public tel qu'un cybercafé). Se protéger des keyloggers La meilleure façon de se protéger est la vigilance : N'installez pas de logiciels dont la provenance est douteuse, Soyez prudent lorsque vous vous connectez sur un ordinateur qui ne vous appartient pas ! S'il s'agit d'un ordinateur en accès libre, examinez rapidement la configuration, avant de vous connecter à des sites demandant votre mot de passe, pour voir si des utilisateurs sont passés avant vous et s'il est possible ou non pour un utilisateur lambda d'installer un logiciel. En cas de doute ne vous connectez pas à des sites sécurisés pour lesquels un enjeu existe (banque en ligne, ...) Les antispyware testent la présence de keylogger

Les vols d’ordinateurs Des milliers d’ordinateurs et de portables qui se font quotidiennement voler contiennent de l’information sur : Sur l’entreprise; L’accès au réseau; Les employés; Les clients.

SI et Conformité (législation) Droits de propriété intellectuelle (droits d’auteurs, copyright des logiciels, etc…) Protection de la pérennité des information de l’organisation Protection des données et confidentialité des renseignements personnels Prévention de l’utilisation abusive des infrastructures Réglementation des mesures cryptographique

Investigations, éthique Collecte d’éléments de preuve Admissibilité en tant qu’élément de preuve Qualité et exhaustivité des éléments de preuve Éthique « Ce n’est pas parce que quelque chose n’est pas illégal que c’est correct … » Peut être je peux utiliser le mot de passe de pierre?

Vu IT (Information technologie) Stratégies, procédures, sensibilisation Sécurité physique Données ACL, cryptage, sauvegarde Application Renforcement de la sécurité des applications, antivirus Hôte Sécurité du système d'exploitation, gestion des correctifs, authentification, disponibilité, HIDS, La stratégie de sécurité d'une organisation est plus efficace lorsque les données sont protégées par plusieurs couches de sécurité. Une stratégie de sécurité avec défense en profondeur utilise plusieurs couches de défense, de sorte que si une couche est compromise, cela n'affectera pas nécessairement l'organisation tout entière. Une stratégie de défense en profondeur augmente le risque de détection d'un intrus et réduit les chances de succès de celui-ci. Afin de limiter les risques d'attaque réussie contre les serveurs de votre organisation, vous devez implémenter le niveau de défense approprié pour chaque couche. Il existe de nombreuses façons de protéger chaque couche en utilisant des outils, des technologies, des stratégies et des méthodes conseillées. Par exemple : Couche Stratégies, procédures et sensibilisation – Programmes d'éducation sur la sécurité pour les utilisateurs Couche Sécurité physique – Protections, verrous et dispositifs de suivi Couche Périmètre – Pare-feu matériel et/ou logiciel et réseaux privés virtuels avec des procédures de quarantaine Couche Réseau interne – Segmentation réseau, sécurité IP (IPSec) et systèmes de détection d'intrusion réseau Couche Hôte – Renforcement de la sécurité serveur et client, outils de gestion des correctifs, méthodes d'authentification fortes et systèmes de détection d'intrusion hôte Couche Application – Renforcement de la sécurité des applications et logiciel antivirus Couche Données – Listes de contrôle d'accès et cryptage Cette session met l'accent sur la sécurisation de vos serveurs Windows. Les méthodes de sécurité abordées au cours de cette session concernent principalement les couches Application, Hôte et Réseau interne. Il est toutefois essentiel de garder à l'esprit que la sécurité des serveurs ne représente qu'une partie de la stratégie de sécurité globale de votre organisation. Réseau interne Disponibilité segments réseau, IPSec, systèmes de détection d'intrusion réseau Périmètre Pare-feu, quarantaine VPN, ACL Protections, verrous, dispositifs de suivi Éducation des utilisateurs, politique de sécurité, gestion globale de la sécurité

Détection d’intrusion La surface Détection d’intrusion Antivirus Coupe feu

Plus en profondeur ! Détection d’intrusion Antivirus Coupe feu Politique de sécurité Gestion des communications et des opérations Organisation de la sécurité Contrôle des accès Classification de l’information Développement et maintenance des systèmes Sécurité du personnel Gestion de la continuité des activités de l’entreprise Sécurité physique de l’environnement Conformité

Elements sur la sécurisation de la partie infrastructure

Anti-virus architecture Serveurs de messagerie Anti-virus Anti-virus Réseau Externe (Internet, Extranet) Firewall ou relais DMZ équipé d’une protection anti-virus de messagerie Flux infecté Flux purgé

Firewall - Parefeu Système protégeant les frontières du SI vis à vis de l’extérieur ( Internet ) Un firewall, système plus ou moins complexe, peut être composé de plusieurs machines et intégrer plusieurs techniques ou logiciels

Que peut faire un firewall Analyse du trafic analyse du trafic entrant et sortant s’il est autorisé, il est routé sinon, il est bloqué Relais de connexion depuis l’extérieur ou l’intérieur filtrage par informations du paquet bases de données locales applications “maison” Relais applicatif application gateway / proxy / serveur mandataire contrôles au niveau de la couche application (http get, post, ftp put, telnet rm, etc.) Dissimulation du réseau local topologie, adresses, OS, services, etc. Enregistrement des activités

Exemple d’architecture Serveur accèder depuis Internet (Web, Ftp, Serveur/Relais MAIL) Lan DMZ Internet Serveur accèdant Internet (Relais SMTP, Proxy) Lan DMZ Relais (1) Pare-feux (2) Routeur ou Commutateur VLAN ou Commutateur LAN ou le tout On peut aussi ajouter branche firewall pour Extranet LAN Entreprise QQ fois deux en un (2) Sans oublier fonctions NAT (1)

Exemple 1

Exemple 2

Exemple 3 @ @ Firewall Mutualisé Chez l’opérateur VPN IP MPLS SITE A Exemple 3 Serveur fichier image eRoom DMZ PIX 515E SDSL 256Kbits/s Burst 2048/2048 Kbits LAN Cisco 1700 Applications Metiers @ Firewall Internet Cisco 1700 ADSL 256Kbits/s Burst 320/2048 Kbits Firewall Mutualisé Chez l’opérateur @ VPN IP MPLS Opérateur Internet Accés webmail Accés remote au VPN LS 256Kbits/s Accès Internet 256 K 120 BAL + Anti Virus 1 Nom de domaine LAN ADSL 256Kbits/s Burst 320/2048 Kbits Site B Exemples couts approximatifs LS 256Kbits 1000€ ADSL 256Kbits 350€ SDSL 256Kbits 500€ LAN Applications Metiers Site C

Sécurité des télécoms/échanges Niveau 2 WAN, couche liaison/Transport VPN basés sur LS, Frame relay, ATM Niveau 2, les commutateurs encore mieux les VLANs Niveau IP IP VPN: IPsec, PPTP Niveau transport SSL Secure Socket Layer SSH Secure Shell Niveau applicatif Courrier electronique securisé (S/MIME, PGP) Couche Application Cryptage Couche Liaison Couche Transport Couche Réseau SSH S/MIME Application Couches (5-7) Réseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) SSL IPSec

QQ solutions Firewall logiciel Firewall Hardware Check Point Firewall-1 Microsoft Internet Security and Acceleration (ISA) Server Linux IPTABLES Firewall Hardware Cisco ( PIX Firewall 501, 506E, 515E, 525, 535 ) WatchGuard NetScreen SonicWALL

Les organisations internationales ISO (International Organization for Standardization) Norme de sécurité ISO 17 799 ISACA : Information System Audit and Control Association (http://www.isaca.org) UIT (Union Internationale des Télécommunications)

Les organismes américains NCSC (National Computer Security Center) centre de sécurité informatique de la NSA (National Security Agency) CERT (Computer Emergency Response Team) : Organisation créé en 1988 publiant des bulletins d ’informations et des statistiques sur les failles de sécurité http://www.cert.org PCCIP (President ’s Commission on Critical Infrastructure) créé par Clinton en 1996 http://www.pccip.gov.

Les organismes français Direction Centrale de la Sécurité des Systèmes d ’Information (DCSSI ex SCSSI) : rattachée au premier ministre http://www.ssi.gouv.fr/fr/dcssi/ CLUSIF : Club de la Sécurité des Systèmes d ’Information Français http://www.clusif.asso.fr AFAI : Association Française d ’Audit des Systèmes d ’Information affiliée à l ’ISACA http://www.afai.asso.fr CNIL Commission Nationale Informatique et Liberté http://www.cnil.fr

Les clés du succès Une volonté et une implication forte au niveau de la Direction Générale Bonne imprégnation de la culture sécurité Une politique de sécurité simple, compréhensible, et applicable La publication en interne de la politique de sécurité Une gestion centralisée de la sécurité et une certaine automatisation des processus de sécurité Un niveau de confiance déterminé des personnes, des systèmes et des outils Des procédures de surveillance, d’enregistrement et d’audit L’expression des besoins sécuritaires au niveau des contrats

QQ principes Un système parfaitement sûr n'existe pas Plus l’entreprise a de notoriété et plus elle peut être attaquée Le maillon faible de la sécurité c’est l’homme Pas de sécurité par l'obscurité La technologie ne résout pas à elle seule le problème de la sécurité La sécurité est l’affaire de tous La sécurité a un coût, ce coût doit être mis en balance par rapport aux coûts liés aux risques La sécurité n’est jamais acquise définitivement, elle doit être ré-évaluée en permanence La qualité des outils utilisés dépend essentiellement de la politique qu’ils servent Donner à chaque utilisateur les privilèges juste nécessaires à l'accomplissement d'une opération autorisée, ni plus, ni moins Minimiser le nombre, l'importance et la complexité de composants du système dans lesquels il faut être « aveuglément » confiants Un système parfaitement sûr n'existe pas

Un centre de gestion: Process, Allons un peu plus loin Un centre de gestion: Process, Organisation

Gestion du SI, Quelle Org? Centre d'appel et assistance aux utilisateurs, Hébergement, administration et exploitation des réseaux, systèmes et applications, Administration et exploitation de la sécurité

Le processus de mise en place

Les acteurs? Client : C’est l’interface entre le Centre de Services et le bénéficiaire des prestations fournies. Cela peut être le chef de projet (hors Centre de Services) dans le cas où celui-ci assurerait la gestion du compte, cela peut être la maîtrise d’ouvrage du client d’Answare dans le cas où le Centre de Coordination gérerait directement le projet. Assistance niveau 1 Ce niveau d’assistance regroupe l’ensemble des prestations de support bureautique qui sont offertes en ligne directement par le Centre de Contact. Assistance niveau 2 Correspond aux prestations de support nécessitant une escalade vers un centre d’expertise.

Quelle organisation? Des gain de productivité, Une couverture de service étendue, La capitalisation des expériences, Une réduction des coûts.

Centre de contact Centre d'appels, gestion et suivi des appels utilisateurs, Assistance aux utilisateurs concernant l’ensemble des services bureautiques, Escalade des demandes non résolues par le Centre de Contact vers d'autres groupes compétents (Centre de Support,…), la gestion des demandes et du changement, Fourniture périodique d’une information (reporting) sur le volume d’activité et sur la qualité des services rendus par le Centre de Contact, Fourniture d’un support complémentaire avec une couverture horaire étendue. Les horaires de couverture étendue sont définis dans les conventions de service (par exemple 6H – 20H).

Centre de contrôle L'exploitation et l'administration Des réseaux, Des systèmes, Ses applications, De la sécurité (firewall, durcissement de système, antivirus, état de l'art).

Qui fait quoi?

Les appels au centre de contact La prise d’appels des utilisateurs Assurer la logistique nécessaire pour offrir aux utilisateurs un numéro de téléphone à appeler en cas de problème, La résolution des incidents Fournir aux utilisateurs les compétences nécessaires à la résolution des incidents qu'ils rencontrent Le conseil à l’utilisation Les prestations du Centre de Contact ne se limitent pas au traitement des incidents, Le télédiagnostic et la télé-action par exemple utilisation de Landesk Les équipes du Centre de Contact peuvent être amenées à prendre la main sur les stations des utilisateurs, moyennant l'autorisation de ces derniers, pour effectuer des diagnostics plus poussés et éventuellement procéder à des dépannages.

Les prestations

Exemple de description de service

Exemple d’engagement de Qos