Aide d'IBM Domino 9.0.1 Social Edition Administrator

SÉCURISATION

Présentation de la sécurité Domino
La configuration de la sécurité de votre organisation est une tâche essentielle. L'infrastructure de sécurité joue un rôle primordial dans la protection des ressources Domino de votre organisation. En tant qu'administrateur, vous devez analyser avec précision les exigences en matière de sécurité de votre organisation avant de configurer des serveurs Domino ou des utilisateurs Notes. Une planification efficace en amont prévient les risques générés par un système de sécurité défaillant.

Les points suivants vous aideront dans le processus de planification du système de sécurité :

Connaissance approfondie de l'organisation
Identification des ressources et des menaces (analyse des risques)
Développement de stratégies pour protéger l'environnement informatique
Développement de procédures de gestion des incidents
Planification et dispense d'une formation aux employés
Maintenance à jour des processus

Connaissance approfondie de l'organisation

Cette section aborde l'identification et la maîtrise des besoins de l'organisation et des niveaux de service requis. Identifiez tous les composants de l'entreprise, y compris ceux dont vous n'êtes pas directement responsable. Incluez dans votre analyse les nouvelles acquisitions et les produits dérivés. Dans le cadre de ce processus, identifiez les zones du réseau sécurisées et celles qui ne le sont pas. Dans certains cas, un extranet peut être le prolongement d'un réseau sécurisé.

Lorsque vous avez acquis une bonne connaissance des besoins de votre société, vous pouvez entamer l'identification des spécificités de votre infrastructure Domino Pour cela, réfléchissez aux questions suivantes :

Aurez-vous besoin de plusieurs domaines Domino ou le domaine interagira-t-il avec des domaines existants ?
Quelle est la méthode de publication des données Domino sur Internet la plus efficace ?
Quels niveaux de service sont nécessaires pour répondre aux besoins de l'entreprise ?
Qui devra disposer de quel type d'accès à l'annuaire Domino ?

Identification des ressources et des menaces (analyse des risques)

Evaluez la valeur des ressources à protéger. Les applications de votre organisation sont plus ou moins importantes. Par exemple, dans la plupart des organisations, la disponibilité de l'infrastructure de messagerie est essentielle à l'activité de l'entreprise ; en revanche, la disponibilité instantanée de tous les messages électroniques précédemment reçus est moins importante. Identifiez ensuite les menaces sous un angle interne et externe. Evaluez avec exactitude les pertes potentielles que l'organisation subirait si l'une de ces menaces venait à se concrétiser. Pour finir, déterminez la probabilité des différentes menaces. Par exemple, une attaque automatisée par un système compromis est très probable. Un dégât des eaux dans la salle des serveurs est une éventualité à envisager. En revanche, la violation du disque dur d'un serveur par le centre de traitement informatique est très improbable.

Il existe autant de types de menaces qu'il existe d'infrastructures informatiques :

Destruction de l'environnement
Attaques automatisées ou pirates informatiques sur Internet
Attaques automatisées par des systèmes compromis de votre intranet
Interfaces fondées sur des systèmes peu fiables
Erreurs commises par des utilisateurs ou des administrateurs peu ou pas formés
Interception ou altération des données à des fins criminelles
Activité malveillante d'anciens employés

Vous devez également maîtriser le modèle de sécurité Domino afin de mieux évaluer les ressources Domino à protéger et le mode de protection à appliquer.

Développement de stratégies pour protéger l'environnement informatique

Une fois que vous avez évalué les menaces potentielles pour votre environnement Domino, vous pouvez créer des politiques pour chaque élément de l'infrastructure informatique Domino. Vous pouvez par exemple développer des politiques pour assurer les protections suivantes :

Limites à l'accès physique aux serveurs
Protection de l'accès au réseau
Protection de l'infrastructure de messagerie via l'utilisation de listes de contrôle d'exécution et de logiciels anti-virus
Sécurisation des applications via le chiffrement et la gestion de liste de contrôle d'accès (LCA)
Gestion de clés de chiffrement, incluant la restauration d'ID
Contrôle des modifications via l'utilisation du Gestionnaire de modifications Domino (vous pouvez également créer votre propre gestionnaire)
Formation des utilisateurs à la technologie et aux règles de sécurité au sein d'une organisation
Rapports sur les incidents liés à la sécurité

Pour plus d'informations sur le contrôle des modifications, voir les rubriques connexes.

Développement de procédures de gestion des incidents

Un incident est un événement non planifié et imprévu requérant une intervention immédiate afin d'éviter toute baisse d'activité commerciale et toute perte de ressources ou de confiance du public. Tous les plans de sécurité doivent disposer d'un composant de gestion des incidents, ainsi que d'un composant de commentaires en retour précisant le mode de gestion des incidents. Le retour d'informations aide à maintenir à jour les plans et politiques de sécurité.

Remarque : Le manuel Contingency Planning Guide for Information Technology Systems est l'un des documents les plus complets sur l'importance de la gestion des incidents. Il a été publié par le National Institute of Standards and Technology (publication spéciale 800-34 du NIST).

La gestion des incidents inclut les éléments suivants :

Plans et méthodes de rapports d'incidents
Procédures de réponse pour chaque type d'incident
Tests des réponses aux incidents

Une fois les plans de gestion des incidents mis en oeuvre, vous serez plus à même de déterminer les exigences relatives aux éléments suivants :

Consignation Domino
Consignation HTTP Domino
Restauration et sauvegarde Domino
Paramètres de contrôle des événements Domino

Planification et dispense d'une formation aux employés

Insistez auprès des utilisateurs sur le fait que la sécurité relève de la responsabilité de chacun d'eux. Vous devez former les utilisateurs aux notions suivantes, en adaptant ces dernières aux besoins de l'entreprise :

Concepts de base de la sécurité de Domino
ID Notes et moyens de les protéger
Listes de contrôle d'exécution et alertes liées à la sécurité de l'exécution d'une action Notes
Utilisation du chiffrement et mode de chiffrement d'un message électronique
Qui appeler en cas de problème ou d'incident de sécurité

Remarque : Le National Institute of Standards and Technology a publié un document sur les relations entre l'information sur la sécurité, la formation et l'éducation, intitulé Information Technology Security Training Requirements: A Role- and Performance-Based Model (publication spéciale 800-16 du NIST).

Maintenance à jour des processus

Cette étape est généralement la plus difficile à exécuter mais elle est essentielle. Prenez du temps pour établir un programme qui contrôle régulièrement les processus et procédures de sécurité. Assurez-vous de synchroniser le contrôle et la formation des employés. Si des modifications sont apportées au système de contrôle, la formation des employés doit être mise à jour en conséquence.

Concepts associés
Modèle de sécurité Domino
Gestionnaire de modifications Domino
Fichier journal du serveur Domino (LOG.NSF)
Journal du serveur Web Domino (DOMLOG.NSF)
Contrôle des événements sur le système Domino

Tâches associées
Sauvegarde du serveur Domino

Information associée
Contingency Planning Guide for IT Systems sur csrc.nist.gov

Commentaires Aide ou Convivialité du produit ?

Aide sur l'aide

Tout le contenu de l'aide

Commentaires Aide ou Convivialité ?

Aide sur l'aide

Tout le contenu de l'aide