CAHIER DES CHARGES - SÉCURITÉ DE LA SUPPLY CHAIN - enjeuxlogistiques.com
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
SÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
SÉCURITÉ DE LA SUPPLY CHAIN
Appliances de sécurité : réseau, firewall, prévention des intrusions…
Ce guide vous assistera tout au long du cycle de réalisation de
votre projet : Assistance à maîtrise d’ouvrage, rédaction de cahier
des charges, évaluation des technologies, aide au choix, vérification
des fonctionnalités nécessaires…
CAHIER DES CHARGES
1/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
A PROPOS DE CE GUIDE
Appliances de sécurité : réseau, firewall, prévention des intrusions…
1 UTILISER CE GUIDE 2 DROITS D’USAGE 3 COMMUNAUTÉ
La structure et le contenu de guidescomparatifs.com Partagez votre expertise,
ces guides constituent une autorise toute personne échangez autour de vos
excellente base pour préparer physique ou morale à utiliser projets IT et faites-nous part
un cahier des charges ou un et reproduire ce document de vos retours d’expérience
comparatif. pour son propre usage à sur l’utilisation des modèles
condition d’en citer la source. de cahiers des charges.
4 INFOGRAPHIES 5 INTERVIEWS 6 FORMATIONS
Des statistiques, comptes Les responsables Une gamme de sessions
rendus d’étude, éléments de informatiques s’expriment d’une journée destinées à
réflexion sur une cinquantaine sur la mise en œuvre approfondir un sujet et à
de sujets IT. Téléchargez opérationnelle de leurs matérialiser la démarche de
librement ces infographies sur projets : conseils, anecdotes préparation d’un projet.
guidescomparatifs.com. pratiques, pièges à éviter…
ENJEUX LOGISTIQUES
2/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
INTRODUCTION
Contexte technologique, méthodologie et éléments de cadrage
Les menaces sur les systèmes informatiques ne cessent de se multiplier,
suivant en cela la complexité et l’ouverture des SI, le rythmed’évolution
des technologies… et l’erreur ou la négligence humaines, première source
de menace.
Le succès grandissant des « appliances » de sécurité depuis 2004 repose
sur un traitement des différents aspects de la sécurité à partir d’une seule
et même plateforme mutualisant et homogénéisant les traitements.
Une « appliance » de sécurité se compose d’éléments matériels et
logiciels, qui peuvent être mis en oeuvre et administrés à partir d’une
console unique et/ou centralisée.
Couverture fonctionnelle
Leur couverture fonctionnelle diffère d’une « appliance » à l’autre :
• Passerelle VPN
• Firewall
• Analyse des flux réseau
• Chiffrement des flux
• Filtrage d’url
• Prévention d’intrusion
• Détection des vulnérabilités
• Authentification des utilisateurs
• Antivirus
• Antispam et antiphishing
• Analyse de logs…
L’atout central des « appliances » est d’éviter l’assemblage de briques
technologiques, la simplification des infrastructures de sécurité,
l’allègement des charges de mises à jour, du pilotage du système de
sécurité et de l’acquisition des compétences. La gestion des sites distants
est par exemple particulièrement sen- sible aux bénéfices apportés
par les « appliances » et les perspectives d’une gestion centralisée des
réseaux distribués. En contrepartie, on peut noter les risques attachés à
ces « appliances », risque du ralentissement du trafic et centralisation des
risques de défaillance ou de vulnérabilité.
3/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
Les enjeux de la sécurisation des systèmes
logistiques
À l’heure où les entreprises échangent de plus en plus de données et où
la migration vers le cloud se généralise, la supply chain devient une cible
de choix pour les cybercriminels. Au sein des entrepôts, les applications
et appareils mobiles sont de plus en plus utilisés pour réaliser l’inventaire
ou la logistique. Ces appareils et services dans le cloud sont autant de
portes d’entrée pour les logiciels malveillants. Alors que 80% des données
nécessaires à la prise de décision sont en dehors de l’entreprise, dans
d’autres sytèmes d’information, établir une cartographie des risques pour
sécuriser l’ensemble de la supply chain apparaît donc nécessaire. Cette
cartographie des risques est un préalable à l’établissement d’une stratégie
de gestion des risques efficaces, impliquant notamment le recours à des
appliances de sécurité.
Critères de choix
Les critères de choix d’une « appliance » de sécurité prendront donc en
compte plus particulièrement certaines caractéristiques :
• La couverture fonctionnelle et les capacités d’intégration ou d’interface
avec l’ensemble du SI et de l’infrastructure de gestion de la sécurité.
• La performance : la mise à jour continue doit permettre de disposer
de versions toujours actualisées garantissant la plus grande efficacité
possible. La performance passe par la puissance de traitement mais
aussi par les différentes méthodes mises en oeuvre et leur combinaison.
• La simplicité de configuration, de mises à jour et de reporting, éléments
clés de la maîtrise des coûts d’infrastructures.
Enfin, domaine fréquemment sous-estimé, la certification des
« appliances » :
Des certifications sont éditées, relevant de règles de conformité
réglementaires, et recouvrent différents niveaux de sécurité en
France ou en Europe.
Il est important d’étudier et de sélectionner les « appliances »
capables d’assurer la conformité aux certificats que l’entreprise doit
ou peut devoir appliquer.
4/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
SOMMAIRE
Appliances de sécurité : réseau, firewall, prévention des intru-
sions…
1 DESCRIPTIF DU PROJET
1.1. Etude de l’existant
1.1.1. Schéma d’architecture
1.1.2. Eléments de volumétrie
1.1.3. Equipements actuels en matière de sécurité
1.2. Evolutions souhaitées
1.2.1. Architecture cible
1.2.2. Utilisation de nouvelles fonctionnalités
2 GESTION
SÉCURITÉ
DES CONFIGURATIONS DE L’APPLIANCE DE
2.1. Configuration réseau
2.2. Translation d’adresses
2.3. Gestion VPN
2.3.1. VPN IPSEC
2.3.2. VPN SSL
2.4. Serveur/relais DHCP
2.5. Serveur/cache DNS
3 PRÉVENTION DES INTRUSIONS
3.1. Filtrage - Politique de sécurité
3.2. Prévention d’intrusion (IPS)
3.3. Analyse des vulnérabilités
3.4. Authentification des utilisateurs
4 FONCTIONNALITÉS UTM INTÉGRÉES – FIREWALL MULTI-
FONCTIONS
4.1. Filtrages URLs
4.2. Antivirus
4.3. Antispam
4.4. Analyse des flux chiffrés (SSL)
5/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
5 PERFORMANCES DE L’APPLIANCE DE SÉCURITÉ
5.1. Performances IPS
5.2. Performances IMIX
6 MAINTENANCE DE L’APPLIANCE DE SÉCURITÉ
6.1. Mises à jour
6.2. Backup/restauration
7 DIMENSIONNEMENT HARDWARE ET GESTION DE LA
DISPONIBILITÉ
7.1. Interfaces souhaitées
7.1.1. Nombre d’interfaces
7.1.2. Type d’interfaces (cuivre, fibre 1Gbps, fibre 10Gbps…)
7.2. Options Hardware
7.2.1. Redondance alimentation
7.2.2. Redondance disques durs (RAID1)
7.2.3. Carte 3G/USB
7.3. Haute Disponibilité (HA)
8 ADMINISTRATION, SUPERVISION ET REPORTING
8.1. Administration du Firewall
8.2. Supervision :
8.2.1. Supervision Appliance
8.2.2. Supervision SNMP
8.3. Analyse des logs
8.4. Génération automatique de rapports
8.5. Administration centralisée (pour projet multi-sites)
9 CERTIFICATIONS EN MATIÈRE DE SÉCURITÉ DES
SYSTÈMES D’INFORMATION
6/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
MODÈLE DE CAHIER DES CHARGES
Sélectionnez et pondérez les critères suivants en fonction de votre
projet pour orienter vos choix technologiques
1. Descriptif du projet
1.1. Etude de l’existant
1.1.1. Schéma architecture
Décrivez l’organisation générale de l’infrastructure IT :
.............................................................................................................
.............................................................................................................
Combien de sites seront concernés par ce projet de sécurisation
réseau ?
.............................................................................................................
.............................................................................................................
Combien de postes de travail sont connectés au(x) réseau(x) ?
Hébergez-vous des serveurs applicatifs ?
□ Oui
□ Non
Si oui, combien ?
Quel est le parc informatique nomade ? Combien y a-t-il de
connexions simultanées ?
.............................................................................................................
.............................................................................................................
Quels sont les paramètres de débit des connexions ?
.............................................................................................................
.............................................................................................................
7/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
1.1.3. Equipements actuels en matière de sécurité
Décrivez l’architecture du système de sécurité informatique
en place :
.............................................................................................................
.............................................................................................................
Quels sont les équipements et les fonctionnalités en oeuvre
actuellement, destinés à assurer la sécurité du système
d’information ?
.............................................................................................................
.............................................................................................................
1.2. Evolutions souhaitées
1.2.1. Architecture cible
Quelles évolutions de l’architecture sécurité sont prévues ? Quelles
autres évolutions sont prévues ?
.............................................................................................................
.............................................................................................................
1.2.2. Utilisation de nouvelles fonctionnalités :
Quelles nouvelles fonctionnalités souhaitez-vous mettre en place ?
□ Solutions de Sécurité Unifiées (UTM)
□ Filtrage URLs
□ Pare-feu / Firewall IPS
□ Réseau Privé Virtuel (VPN)
□ Anti-virus
□ Logiciel anti-espion / Antispyware
□ Logiciel anti-pourriel / Antispam
□ Anti-rootkit
□ Phishing
□ Spam image
□ Proxy
□ Cryptage
□ Protocole SSL (Secure Sockets Layers)
□ Chiffrement/Certificats
□ Autre(s):
8/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
2. Gestion des configurations de l’appliance
de sécurité
2.1. Configuration réseau
La solution est-elle en mesure de gérer la répartition de charge sur
plusieurs liens opérateurs ?
□ Oui
□ Non
La solution peut-elle gérer le backup sur plusieurs liens opérateurs ?
□ Oui
□ Non
Le mode de gestion de réseau « Policy Based Routing » (PBR) est-il
supporté par la solution ?
□ Oui
□ Non
Si oui, selon quels critères :
□ IP source
□ IP destination
□ Interface
□ Protocole
□ Interface d’entrée
□ Application et du tag DSCP
Les interfaces peuvent-elles être configurées en mode :
□ Routées
□ Bridge
□ Mixtes (association du mode routage et du mode bridge)
La solution gère-t-elle les « VLANs » (Virtual LAN) ?
□ Oui
□ Non
Si oui supporte-t-elle le mode bridge avec les « VLANs » ?
□ Oui
□ Non
Le DynDNS peut-il être configuré sur une interface (publication de
son IP sur des serveurs DynDNS - dynamic dns) ?
□ Oui
□ Non
9/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
2.2. Translation d’adresses
La solution supporte-t-elle :
□ Les translations dynamiques (N -> 1) ?
□ Les translations statiques (N -> N) ?
□ Les redirections en fonction des ports ?
□ Autre (s), préciser :
La solution offre-t-elle la possibilité de translater source et
destination d’un paquet en une seule règle de translation ?
□ Oui
□ Non
La solution permet-elle de créer des règles de NAT en fonction :
□ De l’interface d’entrée et de sortie ?
□ Du tag DSCP ?
□ Autre(s), préciser:
2.3. Gestion VPN
2.3.1. VPN IPSEC
Est-il possible de créer des tunnels site à site et nomades ?
□ Oui
□ Non
La solution permet-elle de monter des tunnels avec des produits
concurrents (respect normes IPsec) ?
□ Oui
□ Non
Les architectures maillées sont-elles supportées par la solution ?
□ Oui
□ Non
La solution supporte-t-elle les architectures Hub’n Spoke (étoile
avec rebond sur site central pour communiquer entre les sites
distants) ?
□ Oui
□ Non
La solution permet-elle d’activer le DPD (détection de chute de
tunnels VPN IPsec) ?
□ Oui
□ Non
10/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
L’analyse des flux déchiffrés par l’IPS et le module de filtrage est-elle
gérée par la solution ?
□ Oui
□ Non
Les protocoles de chiffrement suivants sont-ils supportés par la
solution :
□ 3DES
□ AES256
□ Autre (s), préciser
La solution fonctionne-t-elle avec :
□ Des clefs pré partagées
□ Des certificats
□ Autre (s), préciser :
La redondance de tunnels VPN automatique avec la configuration
d’un tunnel de Backup est-elle gérée par la solution ?
□ Oui
□ Non
2.3.2. VPN SSL
La solution possède-t-elle un VPN SSL intégré ?
□ Oui
□ Non
L’accès au système d’information de façon sécurisée via un portail
https d’authentification est-il possible ?
□ Oui
□ Non
La solution offre-t-elle à chaque utilisateur (ou groupe d’utilisateurs)
la possibilité d’avoir un profil spécifique donnant droit à l’accès à
certaines applications ?
□ Oui
□ Non
Les liens de redirection vers les applications web seront-ils
directement accessibles depuis le portail ?
□ Oui
□ Non
11/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
Pour les autres applications, sera-t-il possible de lancer
directement l’application via un simple « click » sur un bouton
(ex : lancement d’un telnet, du client TSE…) ?
□ Oui
□ Non
La solution offre-t-elle la possibilité de lancer des scripts à
l’ouverture et à la fermeture du tunnel (ex : purge des traces dans
le navigateur…) ?
□ Oui
□ Non
2.4. Serveur/relais DHCP
Le firewall peut-il être utilisé comme serveur DHCP ?
□ Oui
□ Non
Si oui, que peut récupérer le client auprès du serveur DHCP ?
□ La passerelle par défaut
□ Le serveur DNS
□ Le serveur WINS
□ L’IPbx
□ Le serveur de News
□ Autre (s), préciser
Un fichier de configuration de proxy peut-il être récupéré sur le
navigateur (.pac) ?
□ Oui
□ Non
Relais DHCP : Les requêtes reçues par le firewall peuvent-elles
être relayées vers un serveur DHCP tiers ?
□ Oui
□ Non
2.5. Serveur/cache DNS
La solution possède-t-elle une fonction serveur DNS ?
□ Oui
□ Non
Si oui, ce serveur est-il :
□ Transparent
□ Explicite
12/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
Est-il possible d’optimiser l’utilisation grâce à un cache DNS ?
□ Oui
□ Non
3. Prévention des intrusions
3.1. Filtrage - Politique de sécurité
La solution permet-elle un filtrage en fonction de :
□ L’adresse source
□ L’adresse destination
□ L’utilisateur
□ Le service
□ Le protocole
□ L’interface d’entrée
□ L’interface de sortie
□ Les tags DSCP
□ Autre (s), préciser :
La solution permet-elle de gérer :
□ Des plages d’adresses
□ Des groupes d’IPs (machines, réseaux, plages d’adresses)
□ Des groupes d’utilisateurs
□ Des groupes de services
□ Autre(s), préciser:
La qualité de service peut-elle être associée à une règle de filtrage ?
□ Oui
□ Non
La solution permet-elle de gérer :
□ Une politique de filtrage à deux niveaux « politique globale »
□ Une « politique locale »
□ Autre (s), préciser:
Est-ce que chacune de ces politiques peut-être associée à :
□ Une base d’objets globale et une base d’objets locale
□ Un administrateur global et un administrateur local
□ Autre (s), préciser:
La solution possède-t-elle une fonction de filtrage bloquant
par défaut tout ce qui n’est pas autorisé est interdit ?
□ Oui
□ Non
13/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
La solution possède-t-elle un outil de test de cohérence des règles
(pour vérifier que des règles identiques ou contradictoires ne
cohabitent dans la politique) ?
□ Oui
□ Non
Est-il possible de donner un nom à une règle (l’objectif est de
faciliter son suivi dans les logs sur des longues périodes) ?
□ Oui
□ Non
La solution permet-elle de choisir le mode d’analyse (filtrage, IDS,
IPS) dans les règles de filtrage (donc en fonction de la source, de la
destination, du protocole, du service…) ?
□ Oui
□ Non
Des fonctionnalités applicatives (filtrage URLs, Antivirus…) peuvent
elles être activées directement dans la politique de sécurité ?
□ Oui
□ Non
3.2. Prévention d’intrusion (IPS)
La solution possède-t-elle un équipement IPS (sonde de
prévention d’intrusion) : système de prévention/protection contre
les intrusions ?
□ Oui
□ Non
Quels types d’analyses la solution permet-elle de réaliser :
□ Une analyse comportementale : analyse statistique du trafic qui
détermine si le comportement peut être considéré comme
« normal » (ex : détection de scans de ports, identification de
machines infectées par un cheval de Troie…) ?
□ Une analyse protocolaire avec attachement automatique de
l’analyse des protocoles (pas nécessaire d’affecter manuellement
une analyse à un service)
□ Une analyse par signatures : analyse complémentaire qui permet
de détecter le détournement d’utilisation de protocole
(ex : encapsulation dans le http des peer-to-peer, messageries
instantanées, des flux multimédias…), les scanners de vulnérabilités
(Nessus, Qualys…), les injections SQL, les vulnérabilités de certaines
applications…
14/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
Pour chaque événement, est-il possible de :
□ Laisser passer ou bloquer
□ Envoyer une alarme
□ Envoyer un mail
□ Faire une mise en quarantaine automatique (IP totalement
bloquée pendant un temps donné)
□ Autre(s), préciser:
Des flux applicatifs tels que Peer to peer, messagerie instantanée
peuvent-ils être identifiés avec la possibilité de les bloquer ?
□ Oui
□ Non
Les flux HTTPS non chiffrés sont-ils détectés avec possibilité de les
interdire ?
□ Oui
□ Non
La détection d’applications (MSN, Yahoo Messenger,
TeamViewer, LogMeIn) avec possibilité de bloquer/passer et de
remonter des alarmes est-elle gérée par la solution ?
□ Oui
□ Non
La solution permet-elle de gérer des profils IPS avec association à
certains trafics dans la politique de filtrage ?
□ Oui
□ Non
Si oui, pour quelles politiques de filtrage :
□ IP source
□ IP destination
□ Service
□ Protocole
□ Réseau
□ Autre (s), préciser:
La détection du Javascript à la volée (sans proxy) et l’analyse
(décodage tel que le fait le navigateur) sont-ils possibles ?
□ Oui
□ Non
La solution offre-t-elle la possibilité :
□ De bloquer la page
□ De supprimer la fonction Javascript suspecte (par la mise en
commentaire dans le code).
15/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
3.3. Analyse des vulnérabilités
L’équipement permet-il :
□ La détection et l’affichage des machines
□ La détection et l’affichage des serveurs du réseau avec l’OS
□ La détection et l’affichage des services activés
□ Autre (s), préciser :
En cas de détection de l’activation d’un nouveau service (nouveau
serveur SMTP, http…), un mail d’alerte est-il envoyé ?
□ Oui
□ Non
Les vulnérabilités associées aux machines sont-elles remontées
automatiquement avec un niveau de criticité plus ou moins élevé ?
□ Oui
□ Non
Un rapport par mail est-il envoyé en fonction de la criticité des
alarmes ?
□ Oui
□ Non
3.4. Authentification des utilisateurs
La solution permet-elle d’authentifier des utilisateurs sur une base
interne au produit (annuaire LDAP)
□ Oui
□ Non
La solution offre-t-elle la possibilité de s’interconnecter avec un
annuaire externe (LDAP « classique » ou AD) avec récupération des
utilisateurs ainsi que des groupes ?
□ Oui
□ Non
L’authentification est-elle possible pour l’ensemble des protocoles
(demande d’authentification intégrée à la règle de filtrage) ?
□ Oui
□ Non
Les droits spécifiques aux administrateurs (accès à tels ou tels
modules de la configuration en lecture ou en écriture) sont-ils gérés
dans la solution ?
□ Oui
□ Non
16/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
L’équipement est-il capable de générer :
□ Des certificats (être Autorité de Certification dans le cadre d’une
PKI)
□ Une liste de révocation
Ces certificats respectent-ils le standard X509 pour être utilisés avec
tous types d’applications (notamment VPN, authentification des
utilisateurs…) ?
□ Oui
□ Non
L’équipement est-il capable de gérer plusieurs niveaux de CA ?
□ Oui
□ Non
La solution permet-elle l’authentification transparente des
utilisateurs de l’Active Directory par utilisation du protocole
SPNEGO ?
□ Oui
□ Non
Les droits spécifiques aux utilisateurs (droits d’administration,
droits VPN…) peuvent-ils être gérés sans modification du schéma de
l’annuaire externe ?
□ Oui
□ Non
4. Fonctionnalités UTM intégrées – Firewall
multi- fonctions
4.1. Filtrages URLs
Le proxy http peut-il être activé en mode :
□ Transparent
□ Explicite
Les URLs peuvent-elles être filtrées par catégories (pornographie,
loisirs, multimédia…) ?
□ Oui
□ Non
Des catégories de filtrage sont-elles disponibles par défaut ?
□ Oui, combien ?
□ Non
17/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
Est-il possible de disposer de catégories d’un éditeur spécialisé dans
le filtrage d’URLs ?
□ Oui, lesquelles ? (exemple Optenet)
□ Non
Est-il possible d’ajouter ses propres catégories ?
□ Oui
□ Non
Est-il possible de donner des droits en fonction des utilisateurs
(après authentification sur un portail captif) ?
□ Oui
□ Non
Le blocage des pages interdites est-il accompagné de
l’affichage d’une page d’informations personnalisable ?
□ Oui
□ Non
4.2. Antivirus
La solution dispose-t-elle d’un antivirus pour les protocoles
suivants :
□ HTTP
□ FTP
□ SMTP
□ POP3
□ HTTPs après déchiffrement
□ FTPs après déchiffrement
□ SMTPs après déchiffrement
□ POP3s après déchiffrement
□ Autre (s), préciser:
La solution dispose-t-elle d’un antivirus du « monde libre »
(OpenSource) disponible par défaut ?
□ Oui
□ Non
Si oui, cet antivirus peut-il évoluer vers un standard du marché ?
□ Oui
□ Non
Est-il possible d’analyser des fichiers compressés ?
□ Oui
□ Non
Si oui, lesquels :
□ Zip
18/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
□ RAR
□ Tar
□ Gzip
□ Bzip2
□ OLE2
□ Cabinet
□ CHM
□ BinHex
□ UPX
□ FSG
□ Petite
□ NsPack
□ wwpack32
□ MEW
□ Autre(s), préciser :
Les fichiers chiffrés ou protégés par un mot de passe peuvent-ils être
refusés ?
□ Oui
□ Non
4.3. Antispam
La solution permet-elle l’utilisation d’un Antispam pour les protocoles
suivants:
□ SMTP
□ POP3
□ Autre (s), préciser :
La solution permet-elle :
□ L’analyse par listes noires DNS
□ L’analyse heuristique
Est-il possible de déterminer plusieurs niveaux de SPAM (probabilité
qu’un mail soit un SPAM suite à l’analyse) ?
□ Oui
□ Non
En fonction du niveau de SPAM : Le sujet du mail peut-il être « taggé » ?
□ Oui
□ Non
L’email peut-il être supprimé ?
□ Oui
□ Non
19/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
4.4. Analyse des flux chiffrés (SSL)
Les flux SSL (peuvent-ils être déchiffrés (méthode « man in the middle»
sur tous les protocoles (IMAPs, POP3s, HTTPs, SMTPs…) ?
□ Oui
□ Non
La solution permet-elle de gérer une liste blanche des domaines
qu’on ne veut pas déchiffrer ?
□ Oui
□ Non
Est-il possible d’activer les analyses applicatives ?
□ Oui
□ Non
L’antivirus peut-il être activé sur les flux déchiffrés ?
□ Oui
□ Non
Les applications peuvent-elles être détectées dans les flux HTTPs
déchiffrés (détection de SKYPE, Facebook…) ?
□ Oui
□ Non
5. Performances de l’appliance de sécurité
5.1. Performances Firewall/IPS
L’appliance permet-elle d’obtenir les performances suivantes avec la
fonctionnalité IPS (sonde de prévention d’intrusion) activée ?
□ 0,5 Gbps
□ 1 Gbps
□ 5 Gbps
□ 10 Gbps
□ Autre performance maximale :
5.2. Performances Firewall/IPS avec traffic IMIX
L’appliance permet-elle d’obtenir les performances suivantes en
mode Firewall/IPS en flux IMIX (flux mixte qui correspond à une
utilisation classique de l’Internet) ?
□ 0,5 Gbps
□ 1 Gbps
20/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
□ 5 Gbps
□ 10 Gbps
□ Autre performance maximale :
6. Maintenance de l’appliance de sécurité
6.1. Mises à jour
La mise à jour du firmware du boitier se fait-elle par l’envoi d’un
fichier unique depuis l’interface graphique ?
□ Oui
□ Non
Les mises à jour de sécurité (Antivirus, Antispam, Analyse
Vulnérabilités, IPS…) peuvent-elles être programmées (pendant la
nuit par exemple) à une fréquence donnée ?
□ Oui
□ Non
Si oui, à quelle fréquence ?
6.2. Backup/restauration
La sauvegarde de la configuration peut-elle être récupérée dans un
fichier de façon simple avec les outils d’administration graphique ?
□ Oui
□ Non
La restauration peut-elle se faire sur tout produit de la même
version majeure ?
□ Oui
□ Non
La restauration peut-elle être :
□ Totale
□ Partielle
La solution possède-t-elle deux partitions « système » ?
□ Oui
□ Non
La solution peut-elle être bootée sur l’une ou l’autre des partitions ?
□ Oui
□ Non
21/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
La partition de backup peut-elle permettre de :
□ Conserver une configuration après modification
□ Permettre un retour en arrière en cas de mise à jour du produit
□ Autre (s), préciser:
7. Dimensionnement hardware et gestion de
la disponibilité
7.1. Interfaces
7.1.1. Nombre d’interfaces
Quel est le nombre d’interfaces physiques minimum gérées par la
solution ?
...............................................................................................................
...............................................................................................................
7.1.2. Type d’interfaces (cuivre, fibre 1Gbps, fibre10Gbps…)
Quels types d’interfaces sont gérés par la solution ?
□ 1 Gbps cuivre
□ 1 Gbps FO
□ 10 Gbps FO
□ Autre (s), préciser :
7.2. Options Hardware
7.2.1. Redondance alimentation
La solution possède-t-elle des alimentations redondantes ?
□ Oui
□ Non
7.2.2. Redondance disques durs (RAID1)
La solution gère-t-elle la redondance des disques durs (en RAID1) ?
□ Oui
□ Non
7.2.3. Carte 3G/USB
Est-il possible d’ajouter à la solution un modem 3G connecté à une
interface USB ?
□ Oui
□ Non
22/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
Le modem 3G peut-il être utilisé, pour pallier l’indisponibilité d’une
connexion à haut débit, comme :
□ Lien primaire
□ Lien secondaire
□ Autre(s), préciser :
7.3. Haute Disponibilité (HA)
Est-ce que les équipements peuvent être mis en Haute
Disponibilité ?
□ Oui
□ Non
La solution propose-t-elle une synchronisation de la configuration
des deux équipements dès qu’une modification est réalisée ?
□ Oui
□ Non
En cas de basculement : Les connexions sont-elles conservées ?
□ Oui
□ Non
Les translations sont-elles conservées ?
□ Oui
□ Non
Les utilisateurs authentifiés sont-ils conservés ?
□ Oui
□ Non
Est-ce que chaque firewall analyse son propre état et vérifie celui de
l’autre équipement ?
□ Oui
□ Non
Le lien de Haute Disponibilité peut-il être affecté à :
□ Une interface physique
□ Un Vlan
□ Autre (s), préciser :
La solution offre-t-elle la possibilité de doubler le lien de Haute
Disponibilité ?
□ Oui
□ Non
23/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
La solution permet-elle de mettre des poids à chacune des
interfaces (cette valeur sera prise en compte pour déterminer si une
bascule automatique doit avoir lieu ou non) ?
□ Oui
□ Non
Le seuil de déclenchement (nombre d’échecs, temps entre chaque
tentative…) de la bascule est-il paramétrable dans l’interface
graphique ?
□ Oui
□ Non
8. Administration, supervision et reporting
8.1. Administration du Firewall
La solution dispose-t-elle d’un outil d’administration du firewall en
français ?
□ Oui
□ Non
La solution dispose-t-elle d’une interface graphique HTTPs simple et
ergonomique (possibilité de faire des Drag and drop depuis la base
d’objets, recherche simple dans la politique de filtrage…) ?
□ Oui
□ Non
Les différentes politiques et les différents modules peuvent-ils
être configurés en mode « objet » (machines, réseaux, services,
protocoles…) avec possibilité de faire des groupes ?
□ Oui
□ Non
8.2. Supervision :
8.2.1. Supervision Appliance
La solution possède-t-elle un outil de monitoring permettant de
suivre l’activité de plusieurs Firewalls simultanément ?
□ Oui
□ Non
24/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
La solution offre-t-elle la possibilité de faire des filtres sur des mots-
clefs afin de faciliter la lecture des nouvelles informations
(exemple : voir uniquement les alarmes bloquantes par un filtre sur
l’action de l’alarme) ?
□ Oui
□ Non
La solution dispose-t-elle d’un tableau de bord général présentant
de façon globale l’état de l’équipement ?
□ Oui
□ Non
Le tableau de bord permet-il de visionner en temps réel :
□ Les remontées d’alarmes
□ Les vulnérabilités
□ Le débit sur chacune des interfaces
□ Les utilisateurs authentifiés
□ L’état des tunnels VPN
□ La charge CPU
□ Les sessions actives
□ L’état de la quarantaine,
□ Le suivi des mises à jour des différentes bases (IPS, Antivirus,
Antispam…)
8.2.2. Supervision SNMP
La solution supporte-t-elle le protocole SNMP ?
□ Oui
□ Non
En quelles versions ?
□1
□2
□3
La solution supporte-t-elle la MIB II et une MIB du constructeur qui
permet de remonter des informations comme les alarmes « IPS » et
« système » ?
□ Oui
□ Non
8.3. Analyse des logs
Les traces de l’activité peuvent-elles être exportées ?
□ Oui
□ Non
25/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
Si oui:
□ Vers un serveur syslog
□ Dans une base SQL externe aux boitiers Firewalls
□ Autre (s), préciser :
La solution met-elle à disposition différents types de logs ?
□ Oui
□ Non
Si oui, lesquels :
□ Alarmes
□ Vulnérabilités
□ Connexions
□ Sites web visités
□ Actions de l’antivirus
□ Actions de l’antispam
□ Autre(s), préciser :
La solution offre-t-elle la possibilité de visualiser différents logs sur
une période donnée ?
□ Oui
□ Non
La solution permet-elle de créer des filtres sur chacune des
informations de la ligne de logs ?
□ Oui
□ Non
Est-il possible de réaliser un filtre croisé dynamique par un copier /
coller d’une colonne de la ligne de logs ?
□ Oui
□ Non
La charge CPU, le débit sur les interfaces, le niveau de sécurité…,
peuvent-ils être visualisés sous forme graphique ?
□ Oui
□ Non
Les logs d’administration sont-ils disponibles afin de savoir quel
administrateur a fait quoi et quand ?
□ Oui
□ Non
Les logs de suivi des tunnels VPN sont-ils disponibles afin de pouvoir
savoir si un tunnel est « tombé » et pour quelle raison ?
□ Oui
□ Non
26/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
8.4. Génération automatique de rapports
La solution permet-elle de générer des rapports graphiques de façon
automatique (à une fréquence donnée et sur une période d’analyse
donnée) et sous forme de fichiers PDF ?
□ Oui
□ Non
La solution propose-t-elle une agrégation automatique des logs ?
□ Oui
□ Non
Si oui, à quelle fréquence (afin de pouvoir faire des rapports/
analyses sur de longues périodes) ?
□ Journalière
□ Hebdomadaire
□ Mensuelle
Ces rapports synthétisent-ils les données de :
□ L’IPS
□ Du Firewall
□ De l’Antivirus
□ Du Filtrage d’URLs
□ Autre (s), préciser :
Tous les rapports peuvent-ils être pré-configurés ?
□ Oui
□ Non
8.5. Administration centralisée (pour projet multi-sites)
La solution offre-t-elle la possibilité d’administrer plusieurs
équipements à partir du même outil d’administration ?
□ Oui
□ Non
La solution permet-elle la représentation graphique de l’architecture
dans des maps (possibilité de représenter les boîtiers Firewall ainsi
que d’autres équipements : switchs, routeurs…) ?
□ Oui
□ Non
La solution propose-t-elle une supervision des équipements (avec
indicateur visuel rouge/vert) et suivi des niveaux d’alarmes ?
□ Oui
□ Non
27/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
Est-il possible de réaliser de façon centralisée :
□ La sauvegarde
□ La mise à jour
□ Le backup
□ Le déploiement de politique
□ L’envoi de scripts de configuration
9. Certifications en matière de sécurité des
systèmes d’information
La solution est-elle certifiée par l’ANSSI (Agence nationale de la
sécurité des systèmes d’information) au niveau EAL4+ sur le coeur de
la technologie (firewall/IPS) ?
□ Oui
□ Non
La solution est-elle certifiée par l’ANSSI au niveau EAL3+ sur les
fonctionnalités VPN, authentification et administration ?
□ Oui
□ Non
La solution est-elle certifiée RESTREINT UE, niveau « Diffusion
Restreinte » ?
□ Oui
□ Non
28/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
Utiliser les guides
Les guides proposés en téléchargement sont des introductions aux
principales fonctionnalités des solutions technologiques. La structure
et le contenu de ces guides constituent une excellente base pour la
prise en main de ce sujet et pour disposer d’une base solide pour
préparer un cahier des charges ou un comparatif.
Ce guide a pour principale vocation de faciliter l’appropriation d’une
telle démarche par les acteurs du projet. Il représente le meilleur
compromis entre une démarche standardisée et une démarche
personnalisée de choix.Un projet de choix et de mise en œuvre d’une
solution s’appuie sur une démarche d’analyse, de compréhension et
de modélisation des besoins. Chaque critère présenté se doit d’être
qualifié, personnalisé et soumis à une évaluation comparative, au plus
près des spécificités de l’entreprise.
En fonction de ces analyses, il sera possible de sélectionner et pondérer
les critères du guide pour bâtir une grille d’évaluation personnalisée
dont le remplissage et la lecture conduiront aux choix technologiques.
En résumé, un projet de choix et de mise en œuvre d’une application
de gestion intégrée s’appuie sur une démarche d’analyse, de
compréhension et de modélisation des métiers de l’entreprise et de
leurs interactions: ce guide a pour principale vocation de faciliter
l’appropriation d’une telle démarche.
Notations et classements d’offres
Les guides n’intègrent pas de notation, classement ou jugement de
valeur sur les offres.
En matière de projet d’entreprise, tout classement universel est
inadapté et faux : une offre est parfois plus adaptée que d’autres au
contexte d’un projet ou d’une entreprise. Cette même offre sera peut-
être moins adaptée que les autres pour un projet différent.
C’est en ce sens que les guides ont été conçus. Sélectionner et pondérer
les critères du guide en fonction de chaque projet permet de bâtir
une grille d’évaluation personnalisée dont le remplissage et la lecture
orienteront les choix technologiques.
Il n’y a donc volontairement aucune note ni classement dans les
documents, comme on peut en trouver dans les comparateurs
d’appareils numériques, caméscopes, matériels électroménagers…
29/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMSÉCURITÉ DE LA SUPPLY CHAIN - APPLIANCES DE SÉCURITÉ : RÉSEAU, FIREWALL, PRÉVENTION DES INTRUSIONS…
Reprendre les textes des documents
La société enjeuxlogistiques.com autorise toute personne physique
ou morale, à utiliser et reproduire lesdits documents pour son propre
usage.
Nous vous invitons à citer les sources utilisées en faisant mention du
nom enjeuxlogistiques.com.
La société enjeuxlogistiques.com est titulaire de droits d’auteur sur
lesdits documents en application des articles L.111-1 et suivants du
Code la Propriété intellectuelle.
La société enjeuxlogistiques.com se réserve néanmoins la possibilité
de poursuivre sur le fondement de la contrefaçon de ses droits
d’auteur toute personne physique ou morale utilisant ces documents
dans le cadre de son activité à des fins commerciales (facturation de
prestations de conseil sur la base des documents, vente de la réalisation
d’un cahier des charges reprenant les documents enjeuxlogistiques.
com...).
30/30 PAGES | WWW.ENJEUXLOGISTIQUES.COMVous pouvez aussi lire
