Présentation de la sécurité Domino

La configuration de la sécurité de votre organisation est une tâche essentielle. L'infrastructure de sécurité joue un rôle primordial dans la protection des ressources Domino de votre organisation. En tant qu'administrateur, vous devez analyser avec précision les exigences en matière de sécurité de votre organisation avant de configurer des serveurs Domino ou des utilisateurs Notes. Une planification efficace en amont prévient les risques générés par un système de sécurité défaillant.

Les points suivants vous aideront dans le processus de planification du système de sécurité :

  • Connaissance approfondie de l'organisation
  • Identification des ressources et des menaces (analyse des risques)
  • Développement de stratégies pour protéger l'environnement informatique
  • Développement de procédures de gestion des incidents
  • Planification et dispense d'une formation aux employés
  • Maintenance à jour des processus

Connaissance approfondie de l'organisation

Cette section aborde l'identification et la maîtrise des besoins de l'organisation et des niveaux de service requis. Identifiez tous les composants de l'entreprise, y compris ceux dont vous n'êtes pas directement responsable. Incluez dans votre analyse les nouvelles acquisitions et les produits dérivés. Dans le cadre de ce processus, identifiez les zones du réseau sécurisées et celles qui ne le sont pas. Dans certains cas, un extranet peut être le prolongement d'un réseau sécurisé.

Lorsque vous avez acquis une bonne connaissance des besoins de votre société, vous pouvez entamer l'identification des spécificités de votre infrastructure Domino®. Pour cela, réfléchissez aux questions suivantes :

  • Aurez-vous besoin de plusieurs domaines Domino® ou le domaine interagira-t-il avec des domaines existants ?
  • Quelle est la méthode de publication des données Domino® sur Internet la plus efficace ?
  • Quels niveaux de service sont nécessaires pour répondre aux besoins de l'entreprise ?
  • Qui devra disposer de quel type d'accès à l'annuaire Domino® ?

Identification des ressources et des menaces (analyse des risques)

Evaluez la valeur des ressources à protéger. Les applications de votre organisation sont plus ou moins importantes. Par exemple, dans la plupart des organisations, la disponibilité de l'infrastructure de messagerie est essentielle à l'activité de l'entreprise ; en revanche, la disponibilité instantanée de tous les messages électroniques précédemment reçus est moins importante. Identifiez ensuite les menaces sous un angle interne et externe. Evaluez avec exactitude les pertes potentielles que l'organisation subirait si l'une de ces menaces venait à se concrétiser. Pour finir, déterminez la probabilité des différentes menaces. Par exemple, une attaque automatisée par un système compromis est très probable. Un dégât des eaux dans la salle des serveurs est une éventualité à envisager. En revanche, la violation du disque dur d'un serveur par le centre de traitement informatique est très improbable.

Il existe autant de types de menaces qu'il existe d'infrastructures informatiques :

  • Destruction de l'environnement
  • Attaques automatisées ou pirates informatiques sur Internet
  • Attaques automatisées par des systèmes compromis de votre intranet
  • Interfaces fondées sur des systèmes peu fiables
  • Erreurs commises par des utilisateurs ou des administrateurs peu ou pas formés
  • Interception ou altération des données à des fins criminelles
  • Activité malveillante d'anciens employés

Vous devez également maîtriser le modèle de sécurité Domino® afin de mieux évaluer les ressources Domino® à protéger et le mode de protection à appliquer.

Développement de stratégies pour protéger l'environnement informatique

Une fois que vous avez évalué les menaces potentielles pour votre environnement Domino®, vous pouvez créer des politiques pour chaque élément de l'infrastructure informatique Domino®. Vous pouvez par exemple développer des politiques pour assurer les protections suivantes :

  • Limites à l'accès physique aux serveurs
  • Protection de l'accès au réseau
  • Protection de l'infrastructure de messagerie via l'utilisation de listes de contrôle d'exécution et de logiciels anti-virus
  • Sécurisation des applications via le chiffrement et la gestion de liste de contrôle d'accès (LCA)
  • Gestion de clés de chiffrement, incluant la restauration d'ID
  • Contrôle des modifications via l'utilisation du Gestionnaire de modifications Domino® (vous pouvez également créer votre propre gestionnaire)
  • Formation des utilisateurs à la technologie et aux règles de sécurité au sein d'une organisation
  • Rapports sur les incidents liés à la sécurité

Pour plus d'informations sur le contrôle des modifications, voir les rubriques connexes.

Développement de procédures de gestion des incidents

Un incident est un événement non planifié et imprévu requérant une intervention immédiate afin d'éviter toute baisse d'activité commerciale et toute perte de ressources ou de confiance du public. Tous les plans de sécurité doivent disposer d'un composant de gestion des incidents, ainsi que d'un composant de commentaires en retour précisant le mode de gestion des incidents. Le retour d'informations aide à maintenir à jour les plans et politiques de sécurité.

Remarque : Le manuel Contingency Planning Guide for Information Technology Systems est l'un des documents les plus complets sur l'importance de la gestion des incidents. Il a été publié par le National Institute of Standards and Technology (publication spéciale 800-34 du NIST).

La gestion des incidents inclut les éléments suivants :

  • Plans et méthodes de rapports d'incidents
  • Procédures de réponse pour chaque type d'incident
  • Tests des réponses aux incidents

Une fois les plans de gestion des incidents mis en oeuvre, vous serez plus à même de déterminer les exigences relatives aux éléments suivants :

  • Domino® consignation
  • Domino® Consignation HTTP
  • Domino® Restauration et sauvegarde
  • Paramètres de contrôle des événements Domino®

Planification et dispense d'une formation aux employés

Insistez auprès des utilisateurs sur le fait que la sécurité relève de la responsabilité de chacun d'eux. Vous devez former les utilisateurs aux notions suivantes, en adaptant ces dernières aux besoins de l'entreprise :

  • Domino® Concepts de base de la sécurité
  • Notes® ID et moyens de les protéger
  • Notes® Listes de contrôle d'exécution et alertes liées à la sécurité de l'exécution d'une action
  • Utilisation du chiffrement et mode de chiffrement d'un message électronique
  • Qui appeler en cas de problème ou d'incident de sécurité
Remarque : Le National Institute of Standards and Technology a publié un document sur les relations entre l'information sur la sécurité, la formation et l'éducation, intitulé Information Technology Security Training Requirements: A Role- and Performance-Based Model (publication spéciale 800-16 du NIST).

Maintenance à jour des processus

Cette étape est généralement la plus difficile à exécuter mais elle est essentielle. Prenez du temps pour établir un programme qui contrôle régulièrement les processus et procédures de sécurité. Assurez-vous de synchroniser le contrôle et la formation des employés. Si des modifications sont apportées au système de contrôle, la formation des employés doit être mise à jour en conséquence.