Equipe de la sécurité Domino®
Chaque organisation doit disposer d'une équipe de sécurité en charge de l'élaboration, de la mise en oeuvre et de la gestion de l'infrastructure de sécurité.
Pourquoi et quand exécuter cette tâche
Mise en route
Pourquoi et quand exécuter cette tâche
Vous devez développer un jeu de documentations relatives à la sécurité au sein de votre organisation. Il existe quatre types de documents de sécurité de base nécessaires à la mise en oeuvre d'un système de sécurité :
- Les politiques sont des documents essentiels pour l'entreprise. Il s'agit généralement d'instructions très importantes relatives aux besoins de sécurité de l'entreprise. Votre organisation dispose probablement déjà de documents de politiques globales pour toute l'entreprise. Basez-vous sur ces documents pour créer et développer (si nécessaire) des politiques de sécurité pour l'environnement Domino®.
- Les instructions vous guident dans la prise en charge et la gestion de la sécurité de l'entreprise.
- Les normes sont des règles établies qui régissent les événements qui vont se produire et ceux qui ne vont pas se produire au sein de l'entreprise. Des analyses peuvent couvrir les quatre types de documents mais en général, l'auteur de ces analyses se concentre surtout sur les normes définies par l'entreprise. Les normes concernent généralement les éléments suivants : le niveau minimal du mot de passe, l'intervalle d'expiration du mot de passe, les environnements physiques et les systèmes d'exploitation du serveur, les contrôles d'accès commutés et Internet, les bilans de compétence des administrateurs et l'analyse des besoins.
- Les procédures incluent généralement des étapes spécifiques décrivant la mise en oeuvre du système de sécurité de l'entreprise. Elles constituent le noyau de la documentation sur la sécurité Domino® et couvrent tous les domaines, du mode de contrôle des certificateurs Domino® et X.509 aux recommandations en cas d'oubli d'un mot de passe Notes® ou Internet, en passant par les étapes à suivre lorsqu'un employé quitte l'organisation. Les procédures sont créées une fois le cadre de sécurité mis en place.
L'équipe de sécurité Domino® est responsable de l'orientation initiale, des commentaires et de l'analyse de ces documents. L'équipe doit comprendre un représentant pour chaque service de l'entreprise. Cette approche garantit que les documents de sécurité créés satisfont aux besoins de toute l'entreprise. Elle possède également l'avantage d'impliquer réellement les différents services participant à sa mise en oeuvre.
La plupart des entreprises ont une matrice de responsabilité du type similaire à celles décrites dans le tableau suivant :
| Rôle |
Responsabilité |
|---|---|
| PDG |
Le PDG doit être un membre virtuel de l'équipe. La sécurité doit être gérée de haut en bas et de bas en haut. |
| Directeur informatique / Directeur technique |
Les directeurs doivent tous être membres de l'équipe. Nous recommandons à ces membres de déléguer leur rôle à une tierce personne en s'assurant que celle-ci est autorisée à prendre des décisions. |
| Directeur de la sécurité |
Cette personne sera responsable de tout le système de sécurité de l'organisation. |
| Représentants des différents services |
Ces représentants formulent les besoins et exigences de l'entreprise. Ils doivent être habilités à prendre des décisions. |
| Comptabilité |
Ce service fournit les informations nécessaires à l'analyse des risques. |
| Service informatique |
Les membres de cette équipe traduisent les besoins et exigences de l'entreprise en données technologiques. |
| Ressources humaines / Formation |
Le service des ressources humaines doit mettre en oeuvre une formation utilisateur. Ce service est également chargé de mettre en place les politiques et procédures de bilan de compétence professionnelle, de confidentialité des informations personnelles et de résiliation des contrats de travail. |
| Juridique |
Les membres de cette équipe fournissent des informations sur les implications juridiques de tout ce qui touche aux salariés, à la gestion des risques ou à la publication d'informations. |
| Documentalistes / Rédacteurs techniques |
Ce groupe crée et édite les documents. |
| Equipe de réponse aux incidents |
Cette équipe gère les incidents qui ne sont pas couverts par les procédures de sécurité mises en oeuvre. |
| Experts en communication |
La communication sur le thème de la sécurité à l'intention des utilisateurs finaux est essentielle. |
| Domino® administrateurs |
Ils fournissent des expertises sur l'environnement informatique Domino®. |
Utilisateurs finaux
Pourquoi et quand exécuter cette tâche
Les utilisateurs finaux jouent un rôle primordial dans la mise en oeuvre du système de sécurité. Vous devez leur faire prendre conscience de l'importance des efforts déployés pour planifier le système de sécurité, et leur communiquer les instructions et les normes que vous développez. A elle seule, la technologie ne suffit pas à assurer la sécurité de votre organisation. Les utilisateurs jouent un rôle tout aussi important que n'importe quel pare-feu ou autorité de certification dans le succès de votre infrastructure de sécurité.
Pour impliquer les utilisateurs dans la planification de la sécurité, réalisez une étude pour déterminer le niveau de sécurité attendu par les utilisateurs et les ressources dont ils souhaitent la protection. Une étude anonyme constitue une bonne méthode pour détecter les problèmes de sécurité que les utilisateurs ne souhaitent pas exprimer ouvertement.
Equipe centrale
Procédure
Administrateurs de serveur
Pourquoi et quand exécuter cette tâche
Les administrateurs de serveur sont responsables de la gestion des performances globales et du bon fonctionnement des serveurs Domino®. Parmi les principales tâches dévolues à l'administrateur figurent la définition et la gestion des listes d'accès au serveur et des restrictions d'accès au serveur, à la fois pour les clients Notes® et les utilisateurs du Web. Dans les grandes organisations, les tâches d'administration peuvent être déléguées à plusieurs administrateurs de serveur. Dans les petites structures, l'administrateur du serveur peut jouer le rôle d'administrateur de certification Domino® et de gestionnaire des bases système, telles que l'annuaire Domino® et le fichier journal (LOG.NSF). L'administrateur de serveur peut également être chargé de la création et de la maintenance des documents de protection des fichiers pour les accès HTTP, et de la mise en oeuvre d'autres mesures de sécurité Web.
Il est conseillé de séparer l'administration du serveur Domino® de celle du serveur du système d'exploitation, si toutefois la structure informatique de votre organisation le permet.
Vous pouvez définir plusieurs niveaux d'administrateur dans votre organisation, en fonction de l'accès requis pour les diverses ressources d'administration. Par exemple, vous pouvez configurer un administrateur pour qu'il accède à la console à distance ou à l'administration système uniquement. Ces niveaux d'accès d'administrateur sont définis dans le document Serveur du serveur Domino®.