Sécuriser le Système d’Information
La sécurité du Système d’information (SI) est une tâche importante pour les experts Système et Réseau. En effet, le SI est de plus en plus exposé aux risques externes mais aussi internes à l’entreprise, et c’est pour cela que la sécurité devient un objectif prioritaire pour les DSI.
-
En tant qu’administrateur et architecte WEB, je dois sécuriser les serveurs d’applications WEB, en installant des certificats SSL, même lorsqu’il s’agit de site Intranet. Je dois aussi configurer le moteur d ‘application en exposant uniquement les ports TCP nécessaires, changer les paramètres d’authentification par défaut ou tout simplement désactiver les modules inutilisés. Par exemple, dans Apache, il ne sert à rien d’activer des modules tels que CGI, PHP ou PROXY si l’application ne les utilise pas.
-
De même, sur les serveurs de messagerie, l’installation d’un antivrus est fortement recommandée, et je dois donc veiller à ce que celui-ci soit mis à jour et installé correctement sur tous les nouveaux serveurs que nous gérons. Mon rôle est aussi de veiller à ce que les règles de sécurités édictées par l’entreprise, soient suivies et implémentées correctement. Par exemple, si un client veut activer des modules interdits par la charte de sécurité comme le module WEBDAV, je devrais informer le demandeur que l’installation ne se fera que s’il obtient une dérogation de l’équipe sécurité.
-
De même, lorsque deux serveurs WEB doivent discuter en SSL, les équipes de développement ont souvent des problèmes à comprendre tous les paramétrages à mettre en place. Il faut donc que je les conseille et les aide à implémenter la solution.
-
D’une manière générale, la sécurité du SI concerne tous les acteurs du SI, et dans le milieu de la banque et de la finance, c’est même une obligation légale. En effet, de nombreux audits réglementaires sont effectués sur nos infrastructures et c’est mon rôle de corriger les éventuelles failles remontées, puis d’adapter la sécurité de mes infrastructures en conséquence.