Auteur: Christophe BRIGUET - Exaprobe

Présentation au sujet: "Auteur: Christophe BRIGUET - Exaprobe"— Transcription de la présentation:

1 Auteur: Christophe BRIGUET - Exaprobe
Retour d’expérience Tableaux de bord en SSI Auteur: Christophe BRIGUET - Exaprobe

2 Contexte, besoins et constats Approche technique
Plan Contexte, besoins et constats Approche technique Exemple de tableaux de bord

3 Plus de 50 clients et ~ 200 dispositifs supervisés avec l’offre MSSP *
Contexte 1/2 Plus de 50 clients et ~ 200 dispositifs supervisés avec l’offre MSSP * Commerce électronique Collectivité locale PME/PMI Assurance / Finance Exaprotect est une offre de Télé administration de la sécurité dans le cadre d’un service MSSP commercialisé depuis 2001. infogérance de la sécurité L’infogérance peut être total (administration / supervision …) ou partiel (partage des résponsabilités dans les taches d’administration) * Managed Security Service Provider

4 Des technologies hétérogènes …
Contexte 2/2 Des technologies hétérogènes … Checkpoint Firewall-1 / VPN-1 Netfilter (pare-feu Linux) NetASQ Cisco PIX TrendMicro Interscan VirusWall Snort IDS Nessus Security Scanner Intrushield Windows 2000 Etc … Prise en charge totales des technologies« clients » Différents techno (plusieurs constructeurs) Différente fonction de sécurité (firewall, IDS, Antivirus, Système d’exploitation, scanner de vulnérabilité …)

5 Engagement de niveau de service (SLA)
Besoins Engagement de niveau de service (SLA) Administrer « Modifier sa configuration » Monitorer et scanner « Vérifier sa disponibilité  et son intégrité» Dispositif de sécurité (pare-feu, antivirus, IDS, scanner, OS …) Superviser « Surveiller ses alarmes » Rapporter « Fournir des tableaux de bord » Besoin de télé-administration « standard » le tous sans compromis et en toute transparences vis-à-vis du « client » Afin de maintenir, Faire évoluer et veiller à l’intégrité des systèmes. 2. Vérifier sa disponibilité et évaluer son niveau de sécurité 3. Collecter / détecter les anomalies (attaques, panne ...) et réagir 4. Rapporter l’activité de l’équipement

6 Il faut maîtriser le volume et la complexité des alarmes de sécurité
Constats Manque de visibilité Manque de pertinence des informations Il faut maîtriser le volume et la complexité des alarmes de sécurité

7 Approche technologique
Collecter toutes les données Normaliser les messages (IDMEF) Analyser chaque alarmes (Risque = Menace x Vulnérabilité x Valeur) Corréler les messages entre eux Technologie SIM (Security Information Management)

8 Déroulement d’un projet SIM
t0 + 45j Étude Implémentation Réglage VSR* Production Spécifications Installation du Serveur et des Agents Politique de traçabilité des sensors Tests et validation Service régulier Quatre étapes clés 20 jours de service (en moyenne) Implication de l’équipe technique et du management * Vérification de Service Régulier

9 Différents types d’indicateurs
Types tableaux de bord Différents types d’indicateurs Menace (activité malveillante) Niveau de sécurité Performance du niveau de protection Respect de l’engagement du niveau de service Deux types de tableaux de bord Technicien Management

10 Exemple de tableaux de bord
« Technique » (activité sécurité …) « Management » (activité du service lui même …) Le faite d’infogérer la sécurité d’une entreprise ne doit pas totalement pas totalement désimpliquer les utilisateurs du service, il nous avons choisies de leur fournir des tableaux de bord de deux types, les tableaux de bord