Réalisations Secteur Industries

Télé-administration d'un dispositif garde-barrière

Notre client, industriel de taille moyenne mais dans un des secteurs industriels les plus sensibles, avait la volonté et l'obligation de mettre en place et de maintenir un niveau de sécurité du plus haut niveau.

Une étude qualitative et économique a conduit ce client à préférer faire appel à une externalisation de l'administration de son dispositif garde-barrière Internet plutôt que d'avoir à recruter 3 personnes dont deux experts sécurité et réseau de haut niveau dont les compétences et la disponibilité sont nécessaires mais qui auraient été sous-employés.

Après un audit poussé de l'existant, prolongé par une prestation de "durcissement du dispositif" (évolution d'architecture, upgrade de produits, durcissement des OS, etc.), nous avons mis en place une liaison "non Internet" sécurisée et un ensemble d'outils d'analyse de flux et de traces avec un système de génération d'alerte permettant à nos experts d'avoir un accès aux composants du dispositif pour en assurer l'administration. EDELWEB prend ainsi en charge la surveillance de fonctionnement, la réaction aux incidents et anomalies, les modifications et évolutions de configuration du dispositif.

En raison des enjeux particulièrement importants, ce travail est complété par une analyse hebdomadaire en profondeur de toutes les traces générées par les équipements, qui permet de constater une moyenne de plusieurs dizaines d'attaques infructueuses par semaine. Ces attaques n'ont présenté aucun danger pour le client, mais il est important de les suivre très régulièrement pour être parfaitement avertis des provenances, des types d'attaques, des vulnérabilités recherchées par les pirates et donc à même d'anticiper.

Le travail d'administration est effectué par nous en coordination étroite avec le responsable sécurité du site qui transmet les demandes d'évolution, qui reçoit en temps réel l'ensemble des informations d'administration (automatique ou analyse par les experts) et donc conserve une maîtrise et une visibilité totale de son dispositif.

Un contrat d'abonnement forfaitaire pour cette téléadministration est complété par un contrat cadre qui permet au responsable sécurité du site de faire appel à nos experts à des conditions (délais, tarifs) prédéfinies pour des interventions ponctuelles sur site (exemple: ajout d'un composant, installation configuration d'une mise à jour majeure d'un logiciel, etc...)

Validation technique de la sécurité d'un garde-barrière

Le client, industriel majeur dans des technologies de pointe, a mis en place un dispositif garde-barrière très complet par une combinaison de ressources internes et ponctuellement en faisant appel à un intégrateur spécialisé; l'administration du dispositif est assurée par une équipe interne dédiée.

Afin de s'assurer d'une part de la compétence et de la vigilance de ses personnels et d'autre part de la qualité des résultats des prestations sous traitées, ce client a confié à EdelWeb une triple mission:

• Un contrat cadre de tests d'intrusion assure chaque année un test d'intrusion en profondeur, complété par une série de 5 tests plus légers de vérification et d'entretien. Si le test d'intrusion poussé est planifié et connu des administrateurs du dispositif, les tests périodiques sont en fait apériodiques (seul le responsable sécurité en connaît la date) et permettent ainsi de vérifier le comportement du dispositif et de l'équipe d'administration en situation réelle.

La souscription au service de veille technologique sécuritaire EdelWatch permet la communication au fil de l'eau, des avis de sécurité, des informations sur les vulnérabilités et sur les attaques par les experts d'EDELWEB, à l'équipe d'administration du site.

Enfin un contrat d'assistance forfaitaire de quelques heures mensuelles permet aux administrateurs du client de faire appel (messagerie ou téléphone) aux experts de EDELWEB pour une assistance qui couvre typiquement l'aide à l'interprétation des avis de sécurité, le conseil sur les projet d'évolution de la configuration, l'aide à l'interprétation d'éléments suspect dans les traces générées par le dispositif.

Réalisation d'un composant sécurité

Ce client, acteur majeur du secteur audiovisuel, a décidé de permettre l'accès à son intranet, depuis l'extérieur, pour quelques dizaines de responsables et dirigeants appelés à voyager fréquemment.

Le client ayant constaté que la passerelle Internet du logiciel de "groupware" utilisé ne présentait pas les garanties acceptables de sécurité avait décidé de renforcer la sécurité des accès depuis l'extérieur par une combinaison de

• l'emploi de SSL (offert en option par l'éditeur américain du produit) pour les communications,
• une authentification forte reposant sur l'utilisation d'une calculette spécialisée (de type SecureID, ActivCard ou Digipath) et un serveur d'authentification de type Radius.

Devant la difficulté de trouver sur le marché un logiciel standard ou d'obtenir de l'éditeur une solution à court ou moyen terme, le client nous a demandé une assistance pour identifier la meilleure solution et stratégie.

L'étude a conclu que la réalisation "ad-hoc" du chaînon manquant étant une chose relativement simple à réaliser pour des spécialistes, grâce à une architecture "astucieuse" ne nécessitant aucune modification du produit groupware, ainsi légère en coûts de spécifications, réalisation et test (une dizaine de jours).

Le client a décidé de confier cette prestation à nous et un mois plus tard le service "hautement sécurisé" était opérationnel.