La téléphonie
Il y a passablement de temps que notre client s’interrogeait sur le fonctionnement du système téléphonique. Si celui-ci permettait de téléphoner sans grand problème la solution propriétaire héritée (un système Avaya) faisait la part belle aux interventions extérieures dès lors qu’il s’agissait de changer la moindre des configurations.
Et, en effet, les interviews menés nous ont montré que des manipulations de base, de celles qu’on attend de tout système téléphonique, ne semblaient pas, soit figurer dans les fonctionnalités du système, soit, si elles l’étaient, être connues des utilisateurs du système.
De plus, et c’est là également un autre élément important, le fournisseur du système Avaya n’avait plus la confiance des dirigeants de la société mandante.
Forts de ces considérations et en tenant compte également de l’âge du système existant nous avons estimé superflu de passer du temps à trouver une solution dans la solution actuelle pour nous concentrer sur l’idée de trouver un système téléphonique bien plus souple et ouvert de manière à ce que la société mandante devienne autonome vis-à-vis de son système de téléphonie. Nous avons donc proposé à notre client de l’équiper d’une solution à base de serveur Asterisk, un central téléphonique Open Source qui se décline dans de nombreuses distributions.
La téléphonie utilisée maintenant fait pleinement partie du système d’information. Elle utilise des protocoles communs au système informatique, le même câblage et se gère via un navigateur web.
La sécurité du système d’information
Il s’agit de préciser que le système d’information de notre client se composait de deux entités séparées :
Dans la norme, la sécurité du SI est étroitement liée à une gestion correcte du SI, une mise en œuvre de ces fameuses bonnes pratiques. Ce qui signifie qu’il n’y a pas véritablement de chapitre Sécurité isolé de tous les autres chapitres car la sécurité est un concept essentiel, fondamental qui est présent partout dans la norme.
Dans le cadre de cet audit, nous avons choisi de prendre le problème via la sécurité et non pas en comparant les directives avec la mise en œuvre pratique sur le site.
La démarche
La mise à disposition de services nécessite la mise en place et l’exploitation d’un cadre de travail rigoureux. Ce cadre de travail est régit par des normes, les principales et les plus utilisées étant, à l’époque :
Conclusions
Au terme de cette étude, nous avons voulu montrer deux aspects de la conduite d’un même audit de sécurité d’un système d’information.
En partant des bonnes pratiques de gestion d’un système informatique un certain nombre de problèmes sont apparus, nous les avons mentionnés au fur et à mesure et avons préconisé des mesures à prendre dans chaque cas. C’est une approche analytique à partir de règles de bonnes pratiques. Cette approche ne donne pas véritablement le niveau de gravité du risque comparé à des repères établis. Par contre elle est relativement simple, facilement compréhensible, débouche sur des mesures presque évidentes. C’est pourquoi nous avons privilégié cette approche.
Pour aller plus loin il aurait fallu conduire, dans le détail, une démarche complète MEHARI, à partir de ce qui est apparu avec ITIL et de comparer les résultats au terme de la démarche MEHARI.
Nous n’avons pas voulu conduire cette démarche jusqu’au bout des mesures et des différents projets qui en découlent. C’est un travail de titan pour l’auditeur et cela nécessite la participation active et motivée de tous les acteurs d’une entreprise sous la forme de groupe de projets. De plus la démarche est conçue pour tous types d’entreprises, mais il faut passablement l’adapter et ne choisir que certains tableaux pertinents si l’analyse se fait sur de plus petites structures.
Sans aller jusque-là, nous avons trouvé intéressant de compléter un certain nombre de tableaux MEHARI pour voir ce qui en ressort et pouvoir faire une comparaison avec ce qui a été dit en lien avec ITIL.
MEHARI a l’avantage de classifier les actifs, les objets, les événements, les causes, de quantifier la gravité des sinistres et d’en tirer des tableaux statistiques éloquents. La classification permet en outre d’adapter les mesures en fonction de l’impact d’un sinistre, de l’occurrence de celui-ci et d’en déterminer la gravité. S’ajoutent là-dessus les mesures déjà prises, l’organisation des différents secteurs dans le domaine de la sécurité, toutes choses qui viennent atténuer la gravité des risques décelés. En fin de compte cela donne une liste de mesures à prendre en fonction d’un facteur de gravité que l’on peut dire résiduel.
Le rapport final fournit à notre client contenait les divers éléments théoriques de base, l’étude réalisée, les conclusions selon ITIL mais également quelques tableaux issus de la méthode MEHARI appliquée à la société.