LES ARCHITECTURES NUMERIQUES EN ENTREPRISE - Conférence DSI 24 Sur les enjeux de cyber sécurité Alexandre SEUNES
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Conférence DSI 24
Sur les enjeux de cyber sécurité
LES ARCHITECTURES NUMERIQUES EN ENTREPRISE
Alexandre SEUNES
a.seunes@gmail.com
www.linkedin.com/in/alexandre-seunes
Cybersécurité et architectures numériques en entreprise __
LES ARCHITECTURES NUMERIQUES EN ENTREPRISE
▪ Introduction : Le contexte du Département
▪ La transformation numérique des entreprises et des territoires
▪ Sujets abordés :
▪ Délivrer des services numériques disponibles, sécurisés et performants
▪ L'hybridation des SI : Cloud – On Premise – SAAS
▪ La gestion des identités : Présentation des annuaires, des mécanismes
d’authentifications
▪ L'impact du RGPD : Construire, développer « Protection by design et Security by
design »
▪ Enjeux de la méthode « Devops »
▪ Exemple du schéma Directeur du Numérique des Collèges
▪ Exemple avec le projet stratégique Lascaux 4
Cybersécurité et architectures numériques en entreprise __
Département de la Dordogne & Contexte CD24
Habitants : 415 000
Superficie : 9060 km²
Agents CD24 : 2750
agents
160 sites informatisés
38 collèges
14800 élèves
1700 enseignants
40 agents à la DSI
Cybersécurité et architectures numériques en entreprise __
CD24 – Contexte
• DÉMARCHE DE CERTIFICATION – COURS DES COMPTES (M52 > M57)
• DÉMATÉRIALISATION DE LA CHAÎNE COMPTABLE – 1 JANVIER 2019
• DÉMATÉRIALISATION DU COURRIER ET DES DOSSIERS
• PRISE EN CHARGE COMPÉTENCES COLLÈGES (ASSISTANCE ET MAINTENANCE INFORMATIQUE) :
LOI DE REFONDATION DE 2013
• MISE EN ŒUVRE D’UNE PLATEFORME NUMÉRIQUE TERRITORIALE
• SCHÉMA DÉPARTEMENTAL D’INCLUSION NUMÉRIQUE
• RENFORCER L’ATTRACTIVITÉ DU TERRITOIRE
Cybersécurité et architectures numériques en entreprise __ 4
▪ La transformation numérique des entreprises et des territoires ▪ Dossier expert réalisé avec : • Cédric Masera • Gérard Briard • Armelle Gilliard • Alexandre SEUNES Cybersécurité et architectures numériques en entreprise __
6 LA TRANSFORMATION NUMÉRIQUE (TN) DE LA COLLECTIVITÉ
▪ Vision d’ensemble un ensemble de changement qui concernent la fonction SI
Cybersécurité et architectures numériques en entreprise __ 6
Impact de la transformation numérique Cybersécurité et architectures numériques en entreprise __
Offre de service numérique départementale
Plateformes départementales Résiliences techniques (PRA)
Hôtel du Département – Bat E C.D.A.U.
SITE CENTRAL 1 2 rue Paul Louis Courrier - 24000 PERIGUEUX
SITE CENTRAL 2 3 route d Atur - 24750 BOULAZAC
BAIE VNX5400 FIBRES NOIRES 2 X 10 G BITS
BAIE UNITY300
Virtualisation stockage IP
Mobilité
Etangs
SERVEURS
SERVEURS 170 200 PHYSIQUES ET
PHYSIQUES ET
VIRTUELS
To To VIRTUELS
INTERNET
VPLEX 500 500
VPLEX
UTM
UTM
RTC OFFICE 365 DISTRIBUTION
BÂT B CENTREX IP BÂTIMENT
BÂT D Trunk SIP
120C
CŒUR DE
RESEAU CŒUR DE
VPN MPLS
10 GBITS OPERATEUR RESEAU
BÂT C 500
TRUNK SIP
500
10 GBITS
135 Sites
ROUTEUR ROUTEUR
MAN 5 MD /25 CE / 2 UT / 30 CMS / 5 UA / 30 Collèges / PS
MAN
COURS TOURNY
Réseau Très Haut Débit - N2 - Double attachement Gigabits
BDP
ANNEXE HD PLACE HOCHE
ATD CAUE
COLLÈGES CMS ARCHIVES UT PGX CENTRE CITÉ PARC COLLEGE COLLÈGE COLLÈGE 33 RSFT COLLÈGE A VENIR
33 RSFT TOURISME LDAR / PAYSAGE/DRPP
CLOS CHASSAING CHAMIERS 2 COM ADMIN DÉPART. BEAULIEU MONTAIGNE ANNE FRANK JEAN MOULIN CREAVALLEE
Autoroutes numériques
25000
Utilisateurs du SI
20000
Dépendance
au THD
15000
16360
14500
10000
6500
5000 1600 Autant que sur les enjeux d’hébergement des services
0
450 0
780 0
800 850 1300 1500 2000
2915 2950 2950 2930 2910 2890 2890 numériques il faut anticiper et valider la résilience des
0 réseaux opérateurs
2016 2017 2018 2019 2020 2021 2022
Les territoires sont souvent très dépendants des réseaux
__ opérateurs des métropoles (dans notre cas Bordeaux Lac)
Cybersécurité et architectures numériques en entreprise
Matrice Usages / Socles
DEPLOIEMENT D’USAGES
NUMERIQUES
Risque de rupture OFFRE
SERVICIELLE
PLATEFORME GRU
Laboratoire
des usages
Expérimentation
URBANISATION
DEMAT.
SOCLES
Cybersécurité et architectures numériques en entreprise __ 9
▪ Délivrer des services numériques disponibles, sécurisés et performants Cybersécurité et architectures numériques en entreprise __
Les architecture 3 tiers n’existent plus … (ou presque plus) Cybersécurité et architectures numériques en entreprise __
Les architectures sont désormais n-tiers, réparties
→ Complexes
→ Interopérés
→ Dépendantes
Flux WEB
INFRASTRUCTURE USINE A SITE TYPO 3
Flux Données
Flux Authentification
HTTPS
HTTPS
HTTPS
91.232.242.48
matomo.dordogne.fr/matomo.php*
CSW_UG_AAA.DORDOGNE.FR
172.16.1.110
mautic.dordogne.fr Système d'Informations CD 24
HTTPS HTTPS
HTTPS
Echanges externes
VS_CS_MATOMO.DORDOGNE.FR_SSL VS_CS_STRATIS.DORDOGNE.FR_SSL
VS_CS_MAUTIC.DORDOGNE.FR_SSL
HTTP HTTP Serveur:Apache v.x JAVA 8 LDAP : Active Directory Serveur messagerie: Exchange/POSTFIX
HTTP
LDAPS (TLS): Auth agents
80 80 HTTPS
solr.dordogne.fr/ HTTPS
Base de données : MySQL : v5.x
srv-mautic.dordogne.fr
srv-matomo.dordogne.fr srv-stratis.dordogne.fr 172.16.0.68
172.16.0.39 172.16.0.65 Plateforme indexation : Apache HTTPS:443
France Connect : Fournisseur d'ide
Solr
Serveur Web : NGNIX v... PHP v7.x HTTPS:OpenID Connect
/ /tika/
CSW_SOLR.DORDOGNE.FR
10.0.12.114
LDAP LDAP
PHP v7.x HTTPS:443
Serveur Web : NGNIX v...
SMTP
Base de données : MySQL : v5.x
VS_CS_SOLR.DORDOGNE.FR_SSL VS_CS_SOLR.DORDOGNE.FR-TIKA_SSL
HTTPS:443
10.0.12.12
HTTP HTTP
CMS : TYPO 3
HTTPS:443 (Authentification usagers - jeton SAML)
SMB
Base de données : MySQL : v5.x Plateforme GRU (Publik)
Plateforme marketing : Mautic
\\srv-nas\sig\site_institutionnel\ SSH/FTP
Vers Exchange Online
LDAP 25
8983 9998 SMTP
SMTPS
srv-solr.dordogne.fr srv-exch2016.dordogne.fr Génération auto Annuaires Outil de transformation : FME
10.0.14.1-4 srv-nas.dordogne.fr
10.0.14.230
10.0.10.72 10.0.14.101 Serveur Web : NGNIX v... PHP v7.x
Espace de documents partagés
\\srv-nas\sig\site_institutionnel\
SMB
Données issues des applications ASPIC, SIG, OpenData, Sirtaqui
Base de données : MySQL : v5.x
srv-fme.dordogne.fr
10.0.10.59
Annuaires SIG
Plateforme audience : Matomo
Cybersécurité et architectures numériques en entreprise __Aujourd’hui il faut penser des bâtiments connectés ….
… des objets connectés (iot)…
Cybersécurité et architectures numériques en entreprise __… à des multiples réseaux de plus en plus intelligents…
Les réseaux doivent prioriser en
fonction des usages :
• Voix / video
Temps réel • Streaming
Best effort
15%
• Transactionnel
25%
• Best effort …
Critique +
Gold
Silver 30%
30% CDAU_0-CAPI-01
VLAN 60 WAN2
VLAN 40 : 10.52.40.254 1/0/48 VLAN 90
MAN1 0/1
HD_C_1-CAPI-01 0/23 MAN2 Si
WAN1
VLAN 90
1/0/51
1/0/51 ACCES LAN USER
CŒUR
HD_D_0-CAPI-01
VLAN 90 Si DISTRIBUTION &
ACCES DATACENTER
De plus en plus résilient 1 2
et « intelligent » HD_E_0-DISTRI
VLAN 90
Si Si CDAU_0-DISTRI
VLAN 90
4
2/0/1
Si Si
Si
FW1 FW2
HD_E_0-ACCES-01 HD-E_0-ACCES-02 CDAU_0-ACCES
VLAN 90 VLAN 90
VLAN 90
Cybersécurité et architectures numériques en entreprise __… à des usines numériques
Hôtel du Département – Bat E C.D.A.U.
SITE CENTRAL 1 2 rue Paul Louis Courrier - 24000 PERIGUEUX
SITE CENTRAL 2 3 route d Atur - 24750 BOULAZAC
BAIE VNX5400 FIBRES NOIRES 2 X 10 GBITS
BAIE UNITY300
Virtualisation stockage IP
Mobilité
Etangs
SERVEURS
SERVEURS 170 200 PHYSIQUES ET
PHYSIQUES ET
VIRTUELS
To To VIRTUELS
INTERNET
VPLEX 500 500
VPLEX
UTM
UTM
RTC OFFICE 365 DISTRIBUTION
BÂT B CENTREX IP BÂTIMENT
BÂT D Trunk SIP
120C
CŒUR DE
RESEAU CŒUR DE
VPN MPLS
10 GBITS OPERATEUR RESEAU
BÂT C 500
TRUNK SIP
500
10 GBITS
135 Sites
ROUTEUR ROUTEUR
MAN 5 MD /25 CE / 2 UT / 30 CMS / 5 UA / 30 Collèges / PS
MAN
COURS TOURNY
Réseau Très Haut Débit - N2 - Double attachement Gigabits
BDP
ANNEXE HD PLACE HOCHE
ATD CAUE
COLLÈGES CMS ARCHIVES UT PGX CENTRE CITÉ PARC COLLEGE COLLÈGE COLLÈGE 33 RSFT COLLÈGE A VENIR LDAR / PAYSAGE/DRPP
33 RSFT TOURISME
CLOS CHASSAING CHAMIERS 2 COM ADMIN DÉPART. BEAULIEU MONTAIGNE ANNE FRANK JEAN MOULIN CREAVALLEE
Cybersécurité et architectures numériques en entreprise __Maitriser un SI : Il faut une vision de bout en bout
Performance Disponibilité Sécurité
Cybersécurité et architectures numériques en entreprise __Construire des plateformes de services numériques
Familles
Agents Citoyens Partenaires
territoriaux Elèves
Enseignants
PLATEFORME DE SERVICES NUMERIQUES
PLATEFORME DE SERVICES NUMÉRIQUES MUTUALISÉS :
PLATEFORME OUTILS
PORTAILS
GRU 2450
TELESERVICES Agents SOLUTIONS
APPLICATIONS
DECISIONNELS API
OPEN
CITOYENS METIERS METIERS COLLABORATIVES DATA
TERRITORIALE
14800 élèves et 1700 enseignants SIG
900 Agents communaux
Cloud Public
Cloud Privé
COLLABORATIF
AGENTS
IA CRM MESSAGERIE COLLEGES
GED SIG METIER ATD MUT
BIG DATA CD24
ANNUAIRE
CLOUD
ANNUAIRES BASES DE DONNEES
DECISIONNEL CENTRALISES
Applicatifs Données
SAAS
MARCHES EXTRACTEUR
SERVEURS SERVEURS DE FICHIERS
PUBLICS DONNEES LOGS
APPLICATIFS SECURISES
PORTAILS
SMS
CMS
Cybersécurité et architectures numériques en entreprise __Ces plateformes doivent s’appuyer sur différents hébergements de services
numériques
PLATEFORME DE SERVICES NUMERIQUES
PLATEFORME OUTILS
PORTAILS TELESERVICES APPLICATIONS SOLUTIONS OPEN
GRU DECISIONNELS API
CITOYENS METIERS METIERS COLLABORATIVES DATA
TERRITORIALE SIG
Cloud Public
Cloud Privé
COLLABORATIF
AGENTS
IA CRM MESSAGERIE COLLEGES
GED SIG METIER ATD MUT
BIG DATA CD24
ANNUAIRE
CLOUD
ANNUAIRES BASES DE DONNEES
DECISIONNEL CENTRALISES
SAAS
MARCHES
PUBLICS
EXTRACTEUR
DONNEES
SERVEURS LOGS
SERVEURS DE FICHIERS
SECURISES
L’utilisateur ne doit
APPLICATIFS
PORTAILS
CMS
SMS pas savoir et encore
moins avoir à
comprendre s’il
passe d’une
solution
d’hébergement à
IAAS / SAAS CLOUD ON PREMISE une autre.
HYBRIDATION Expérience
utilisateur
transparente
Cybersécurité et architectures numériques en entreprise __Modèle externalisation
Sur site = On IAAS : PAAS : SAAS :
Premise (en Infrastructure Plateforme As Software As As
anglais) As As Service As Service Service
Cybersécurité et architectures numériques en entreprise __Urbaniser et industrialiser son SI
L’urbanisation du système d’information est un
concept connu pour les DSI dont la
représentation la plus fréquente est celle
présentée ci-contre.
Elle consiste à faire évoluer le système
d’information en fonction de la stratégie de
l’entreprise et à chercher des optimisations à
toutes les échelles :
- Métiers
- Fonctionnelles
- Applicatives
- Infrastructures
Cybersécurité et architectures numériques en entreprise __ 20Urbaniser et industrialiser son SI /2
Le terme « urbanisation »
Qui ?
est utilisé par analogie avec
Pourquoi ?
les travaux d’architecture et
d’urbanisme dans une ville
en comparant l’organisation
d’une entreprise ou une
collectivité avec une ville et Comment ?
ses différents quartiers,
zones et blocs.
Pour urbaniser, un préalable indispensable est de créer un référentiel cartographique qui
centralisera par couches :
- la stratégie avec les missions et les objectifs ;
- les métiers avec la description des organisations et la rédaction des processus ;
- les enjeux fonctionnels ;
- et enfin les applications et les intégrations infrastructure. Complexe ! Mais de plus en
plus indispensable pour une
entreprise avec le RGPD
Cybersécurité et architectures numériques en entreprise __ Infographie reprise sur https://blog.xebia.fr/2008/04/10/urbanisation-pour-La gestion des accès au SI
Le terme « urbanisation » Controleur Domaine
Applications réseau Applications
W2003
est utilisé par analogie avec
Référentiel
les travaux d’architecture et utilisateurs
Référentiel
utilisateurs
d’urbanisme dans une ville Annuaire
Active Directory Serveurs Exchange
Ressources Humaines
ASTRE
Aide Sociale
ANIS
en comparant l’organisation
Référentiel
d’une entreprise ou une utilisateurs
collectivité avec une ville et Gestion des
finances
Coriolis
Authentification
ses différents quartiers, 1 dans le domaine
zones et blocs. Authentification par l’utilisateur sur
2 ses applications en client lourd
Applications Web
UTILISATEUR CG24
3
Intranet cg24
Authentification par Gestion du temps Oracle portal
l’utilisateur sur ses Chronos
applications en mode web
Gestion des identités Saisie d’un mot de passe Référentiel
utilisateurs
OID
par l’utilisateur
Multiplicité des accès
Risques
Cybersécurité et architectures numériques en entreprise __Annuaire d’entreprise Cybersécurité et architectures numériques en entreprise __
▪ Sécurité des Systèmes d’Information Comment faire ? Cybersécurité et architectures numériques en entreprise __
SSI : Le périmètre du SI : Cybersécurité et architectures numériques en entreprise __ 25
SSI – Etape 1 : Appréhender les risques Cybersécurité et architectures numériques en entreprise __
SSI - Analyse des risques – Quels dommages possibles ?
REFERENTIEL DE CONSEQUENCES / Critères de risque
PERIMETRE DES DOMMAGES
CLASSE DE
CONSEQUENCES DOMMAGES AU DOMMAGES AUX
ou DOMMAGES DOMMAGES DOMMAGES
FONCTIONNEMENT USAGERS,
NIVEAU DE GRAVITE JURIDIQUES A L'IMAGE FINANCIERS
DES SERVICES AUX TIERS
Campagne médiatique
Désorganisation durable
hostile Atteinte à la santé ou à la
Incidence réglementaire non-maîtrisée d'un ou
(journal de 20h,Twitter, Perte au-delà de 50 K€ vie de l'usager ou d'un
engageant les plusieurs processus
CRITIQUE Facebook, Radio ou citoyen (atteinte à la
responsables devant un engageant gravement la
nationale). Perte au-delà de 50 jh santé publique,...).
tribunal pénal responsabilité da
Perte de confiance
collectivité
durable.
Incidence réglementaire Perturbation de plusieurs Préjudice socio-
engageant les Perte de crédibilité processus économique collectif ,
responsables devant un temporaire de la Perte de 5K€ à 50 K€ remettant en cause le association, personne
TRES IMPORTANT tribunal administratif ou collectivité vis-à-vis des ou respect des échéances morale, ...(subvention non
civil, impliquant des frais partenaires, des médias Perte de 6 à 50 jh ou la conservation d'une versée, atteinte à la vie
de procédure et/ou de et des citoyens. accréditation ou d'un privée) entrainant des
dédommagement. contrat plaintes formalisées.
Préjudice socio-
Perturbation d'un
Perte de crédibilité économique individuel
Sanction d'une autorité Perte jusqu'à 5 K€ processus
partielle d'une direction entrainant une plainte
IMPORTANT administrative pour non ou ne remettant pas en
par rapport à des usagers formalisée d'une
respect de la loi. Perte de 2 à 5 jh cause le respect des
internes personne morale ou
échéances.
physique
Perte quelques milliers
Mise en demeure par une Perte de crédibilité d'un Mécontentement non Mécontentement non
d'€
FAIBLE autorité administrative agent par rapport à des formalisé d'un ou formalisé d'un ou
ou
pour non respect de la loi. usagers internes plusieurs utilisateurs plusieurs usagers.
Perte de 1jh
Cybersécurité et architectures numériques en entreprise __SSI - Analyse des risques – Exemples
Perte de Fraîcheur
COLLECTIVITE Indisponible jusqu'à Défaut Intégrité des
Confidentialité
données
Présence Données Paternité Fuite Interne Fuite externe
Nom de inexactes contestable
(RPO /
Descriptif de l'application 1h 4h 24 h 3 jours 14 jours d'un mode
l'application
dégradé
incomplètes PMDA)
IODAS Gestion aide sociale Fonctionnement Fonctionnement Fonctionnement Fonctionnement Juridique Doc simple Juridique Juridique Juridique Juridique 1 heure
CORIOLIS Gestion financière Financier Financier Financier Usagers/Tiers Système D Usagers/Tiers Juridique Juridique Juridique 24 heures
MESSAGERIE Mail, Calendriers ... Fonctionnement Fonctionnement Fonctionnement Fonctionnement Fonctionnement Doc simple Image Image Juridique Juridique 1 heure
PROGOS Gestion subventions Fonctionnement Image Image Fonctionnement Système D Image 24 heures
SITE CD24 site institutionnel Image Image Fonctionnement Système D Juridique Juridique 24 heures
ESST Analyse de la vache folle Usagers/Tiers Usagers/Tiers Usagers/Tiers Usagers/Tiers Usagers/Tiers Non Usagers/Tiers Usagers/Tiers Usagers/Tiers 4 heures
AWS Plateforme Gestion des marchés publics Fonctionnement Fonctionnement Juridique Juridique Juridique Non Juridique Juridique
Avec ce type de démarche, on repositionne le
métier au centre
Cybersécurité et architectures numériques en entreprise __Un SI > qui sont les clients ? Quels niveaux de service ?
Quels niveaux de service exigé en cas de sinistre majeur (incident électrique, incendie,
inondation, etc.) ?
Ci-dessous l’exemple d’une analyse : « Etat des lieux » → « Propositions »
Cybersécurité et architectures numériques en entreprise __SSI – Etape 2 : Mettre en œuvre des outils
▪ Politique de Sécurité des Systèmes d’Information
▪ Homologation Sécurité
S’appuyer sur des référentiels et des normes
- OWASP : https://www.owasp.org
- Référentiel Général de Sécurité par l’ANSSI :
https://www.ssi.gouv.fr/
- La norme ISO/CEI 27002 est une norme internationale concernant la
sécurité de l'information
Cybersécurité et architectures numériques en entreprise __ 30Sécurité des Systèmes d’Information – Ex Tableau de bord Cybersécurité et architectures numériques en entreprise __ 31
SSI – Les homologations SSI- Homologation __
Le principe – Homologation technique
POUR TOUS LES DÉVELOPPEMENTS Nous devons intégrer les enjeux de
INTERNES ET NOS CAHIERS DES CHARGES sécurité par défaut
Pour la mise en production, nous devons appliquer l’homologation technique ci-dessous :
J’utilise uniquement l’identité numérique centralisée et je limite au
groupe fonctionnel métier
Je chiffre entre les équipements utilisateurs et l’application
Je bloque tous les accès directs aux serveurs et bases de données
HOMOLOGATION
TECHNIQUE
Je supervise et assure la traçabilité
MINIMUM
J’applique une stratégie de sauvegarde adaptée (si
externalisation je vérifie le contrat de service)
Je limite les amplitudes horaires
J’active des sécurités renforcées
Je planifie des tests d’intrusion
SSI- Homologation __ 33Le principe en synthèse
HOMOLOGATION
TECHNIQUE
Gestion des identités et suivi des habilitations renforcées
CERTIFICATION
COURS DES COMPTES
J’applique des contrôles automatiques aux traitements financiers
Je fais une analyse des risques et si données sensibles une AIPD
J’applique des actions correctives pour arriver à risque résiduel
HOMOLOGATION tolérable
TÉLÉSERVICES
Un procès verbal est dressé pour autoriser le téléservices
SSI- Homologation __ 34Principe globale d’un point de vue architecture numérique
Administrateurs /
Prestataires Utilisateurs
Accès direct depuis
zone sécurisée IDS/ DDOS Filtrage réseau
classique (Fortinet)
https://app.dordogne.fr
:443 Ldap /OpenID/ SAML Citrix ADC - Filtrage
APP
CITRIX applicatif – Auth
Srv-web:80
Srv-app:9091
Serveurs
Webs Serveurs
Applicatifs
SGBD Annuaires
Fichiers centraux SIEM / LOGS
SSI- Homologation __ 35J’utilise uniquement l’identité numérique centralisée et je limite au groupe
fonctionnel métier
▪ L’application authentifie les utilisateurs avec les annuaires centraux
▪ Authentification LDAP
▪ Ldap.dordogne.fr port 389 ou préférable 686 en mode sécurisé
▪ Authentification SAML / OpenID
▪ L’utilisateur est renvoyé vers le portail https://aaa.dordogne.fr et est automatiquement
renvoyé vers l’application avec le jeton transmis pour le fournisseur d’identité (ici c’est la
solution Citrix ADC)
→Avantages :
→ SSO pour les utilisateurs
→ Permet de gérer dynamiquement le contexte de connexion de l’utilisateur et au cas par cas activer des sécurités
complémentaires (par exemple, exiger un deuxième facteur d’authentification)
▪ Authentification Kerberos
▪ Désormais, à éviter car moins évolutif et plus dépendant de l’environnement microsoft AD
▪ Pour chaque application en plus des habilitations gérées par la direction métier ou la
DSIN, l’accès à l’application et l’authentification seront limités aux utilisateurs
appartenant au groupe fonctionnel de l’application : exemple : GU_APP_[APPLICATIONS]
! Vigilance !
→ la connexion avec un compte utilisateur local ne doit plus être possible
Sinon :
→ La totalité des mots de passe locaux doivent être substitués par des mots de passe aléatoires
de minimum X caractères avec complexité (les utilisateurs ne devant jamais les connaitre)
Seuls quelques comptes d’administration sont conservés pour les missions de la DSIN (Mot de
passe sécurisé, complexe stocké sur KEEPASS)
SSI- Homologation __ 36Homologation technique
Je chiffre entre les équipements utilisateurs et l’application
Quelque soit le contexte utilisateur, connecté sur le réseau local, en wifi ou en VPN, la connexion
depuis son navigateur vers l’application est chiffré par Citrix ADC (SSL)
→ Ainsi les données transitant sur les réseaux ne seront plus affichées en claires
Je bloque tous les accès directs aux serveurs et bases de données
- Le pare-feu autorise la communication aux seules adresses ip et port sécurisé publié par Citrix ADC
- Les utilisateurs conservant des accès client lourd de type access, passeront désormais par une
application (ex Access) publiée sur un serveur Citrix
J’active des sécurités renforcées : En externe systématiquement, et en interne autant que possible
- Détection d’intrusion (IDS) et Déni de services
- Antivirus
- Blocage des URL d’administration
- Apprentissage avancée URL
Je supervise
- La totalité des services et processus critiques au fonctionnement d’un processus métier
et assure la traçabilité pour :
« Savoir qui se connecte à quoi, depuis où, avec quel équipement et quand »
- Récupération des évènements / logs sur la règle firewall vers l’application
- Récupération des évènements / logs sur citrix netscaler
- Je sauvegarde
SSI- Homologation __ 37Un mot sur les concepts de Centre Opérationnel de Sécurité Cybersécurité et architectures numériques en entreprise __ 38
DevOps , un peu comme ITIL … ce n’est pas une norme ! Cybersécurité et architectures numériques en entreprise __ 39
Améliorer une chaine de livraison
https://twitter.com/oxalide
Cybersécurité et architectures numériques en entreprise __ 40Vous pouvez aussi lire
