Bloc Notes · Case study
Les aspects de sécurité informatique sont-ils uniquement du ressort des départements IT, ou bien doivent-ils entrer en ligne de compte dans la stratégie globale d’une entreprise?
«Le Vishing doit être pris en considération dans les stratégies de déploiement de VoIP».
Pierre-Marie MALLET Vice-president BeNeLux – SIT Group «C’est dans le cadre et le respect de la stratégie de l’entreprise que s’inscrivent les polices de sécurité informatique efficientes».
Benoit Merveille IT Consultant Simac Luxembourg
Le departement IT: essentiel et au service de l’entreprise «Pour répondre à la question, effectivement, ils doivent être pris en compte. Les conséquences de failles des systèmes informatisés ont le plus souvent une répercussion sur l’activité d’une entreprise et ce, avec des degrés d’impact divers, pouvant aller de la simple interruption de service à la perte de données. Celles-ci peuvent se traduire par une perte de revenu, pire encore, une perte de crédibilité. La gestion de la sécurité et des risques à un niveau global dans une entreprise, le risk management, permet aux différents acteurs de mieux communiquer et comprendre ceux-ci. Connaître les risques et les étudier de manière globale doit permettre d’apporter les moyens et les solu tions appropriées pour les éviter ou les dimi nuer considérablement. La sécurité informatique ne se limite pas à l’installation de firewalls ou de logiciels antivirus. Le security management est un processus global qui s’étend à tous les niveaux de l’entreprise. SIMAC adhère à la vision préconisée par ITIL car, structurées en processus, les différentes missions d’un département IT deviennent claires et précises. Bien compris et déployé, chaque processus contribue non seulement à un fonctionnement efficace de l’activité IT, mais aussi, augmente la sécurité du service délivré. A titre d’exemple, le IT Service Continuity Management implique clairement le service informatique et le reste de l’entreprise, car un plan de continuité (BCP) doit être établi avec des moyens adaptés, selon des critères dictés par le business et donc par les responsables de la stratégie globale».
La telephonie dans le monde informatique «La téléphonie a été épargnée jusqu’à présent de toutes les attaques courantes du monde informatique. Aujourd’hui, le réseau IP peut être attaqué facilement. La simple utilisation de renifleurs, d’outils d’analyse de flux, offre au pirate un accès aux communications de l’entreprise et à ses données, mettant en danger la sécurité de l’entreprise. L’installation de téléphones IP sur le réseau représente donc un point d’entrée supplémentaire, permettant de laisser passer des applications intrusives sans s’en rendre compte. Les constructeurs de solutions d’IP téléphonie apportent leur réponse à ce genre de situation, soit avec un système d’exploitation Linux retravaillé par leurs soins, soit en intégrant directement des firewalls dans les IP PBX afin de les protéger. Mais pour le moment, la lutte contre les spams n’a pas encore été intégrée à toutes les solutions. On baptise Vishing (contraction de Voice over IP et Phishing), ces techniques qui ont pour but de vous voler des identifiants et de vous inonder de messages publicitaires. Nous avons pris l’habitude de nous méfier des mails sans contenu et de n’ouvrir que les fichiers joints identifiés. Par contre, quand le téléphone sonne, nous décrochons instinctivement et lorsque notre messagerie annonce un message, nous l’écoutons. Aujourd’hui, des automates peuvent passer près de 1000 appels/sec. et laisser des messages sur nos boîtes vocales. IP Phone ou GSM, nous sommes devenus des cibles faciles pour les publicitaires. Des solutions existent. Le Vishing doit être pris en considération aujourd’hui dans les stratégies de déploiement de VoIP dans l’entreprise. Les gains réalisés sur les coûts de communica tions et ceux liés à la concentration des Datacenters serviront à compenser le prix des applicatifs qu’il convient de ne pas oublier. Une chose est sûre aujourd’hui, la téléphonie est entrée dans le monde informatique».
«L’approche systémique de Sun est la seule qui permet, en particulier, la corrélation et un audit sérieux des événements de sécurité».
Luc Wijns Chief Technologist, Security Ambassador & CISSP Sun Microsystems Belux
Sun Microsystems: une approche systemique de la securite «Dans cette ère de collaboration et de participation, la sécurité informatique prend une nouvelle dimension. En effet, loin est le temps où le firewall et l’anti-virus suffisaient à rassurer le CEO, CIO et CSO. La sécurité informatique, aujourd’hui, doit couvrir de nouveaux risques. Au-delà des pertes directes, indirectes et de crédibilité, les entreprises sont soumises à des contraintes légales, tout spécialement dans le domaine du respect de la vie privée et de la compliance. La réponse de Sun à cette évolution est de promouvoir une approche systémique, multi-dimensionnelle et proactive à la sécurité, couvrant la protection des données au moment de leur création, de leur transfert et de leur stockage. L’approche systémique de Sun est la seule qui permet, en particulier, la corrélation et un audit sérieux des événements de sécurité. Outre l’établissement des polices et du processus de sécurité, la compétence de Sun se traduit par une offre de produits de sécurité haut de gamme, et la présence de composants de sécurité dans tous ses autres produits. En effet, qu’il s’agisse d’accélération cryptographique dans les processeurs de dernière génération, de l’implémentation de zones de sécurité dans le système d’exploitation Solaris, du cryptage des cassettes de backup, toutes ces caractéristiques contribuent à construire une architecture de sécurité à la dimension de l’entreprise. Cette architecture repose aussi sur des produits tels que: Sun Identity and Access Management Suite, Sun Secure Global Desktop, Sun Ray, Sun Portal Server, Solaris Trusted Extensions, JavaCard. Enfin, l’approche systémique de Sun, con trairement à une implémentation à postériori et non concertée de composants de sécurité divers, conduit à une adéquation parfaite entre le risque et le coût ainsi qu’à la perception de la sécurité comme un atout majeur de l’entreprise».
196 PAPERJAM NOVEMBRE 2007
09_3_case study.indd 196
15/10/07 16:14:56