Vous êtes sur la page 1sur 20

Les 3mes rencontres annuelles des RSSIs

La scurit en tant que service

2me sance plnire

Quels services externaliser


Scurit du site Web en mode SAAS Security as a service Mohamed BEN YAHIA Ing ATI

Introduction. Terminologie SAAS. SAAS & SAAS ? Les dfis. Historique de la scurit web .TN Rglementation et cadre juridique. Chiffres & Statistiques. La plateforme web et son volution. Acteurs SAAS et projet web. Droulement d un projet web SAAS. Modles d hbergement Stratgie de Migration. Lexistants un niveau International. Conclusion.

Introduction

Pendant les annes 90 , la scurit des sites web tait une composante quasiment inaperue dans l industrie web: Partant du dveloppement jusqu l exploitation sans oublier de passer par le hosting La scurit des systmes informatiques et les sites web n a pas cess d voluer tenant en considrant l avancement technologique et le dploiement des nouveaux techniques dans un monde trs dynamique, tenant compte des changements radicaux des architectures html, web1.0, web2.0, web3.0 , cms, crs , LAMP, DOT NET, FW , IDS , IPS , Cashing , Authentification, clef public/clef priv , certificats, SSL, cluster, virtualisation, redondance, mirroring etc . Suite la rvolution de l exploitation de la plateforme web , qui a transform ce service en un lment vital dans le nouveau modle de l conomie immatriel , l environnement s est transform d un simple outil de communication en un outil trs puissant de partage et de collaboration etc essentiel pour la production. C est pour cette raison qu aujourdhui nous sommes entrain de parler d un hosting web scuris . Maintenant ; chaque propritaire d un site web moderne, devient de plus en plus exigent de point de vue scurit et Qos de l exploitation de son environnement de production, le domaine de la scurit a atteint aussi une maturit assez importantes, les attaques les vulnrabilits et les sources des malwares sont devenus aussi assez intelligents et complexes ; C est pour cette ensemble des raisons, qu une collaboration troite entre tout les acteurs de la scurit est devenue de plus en plus obligatoire , une intgration des donnes et processus de gestion des systmes d informations multiples sera indispensable afin de transformer la scurit existante en un service parfaitement maitrisable et commercialisable, dont le modle SAAS qui fera l objet d un choix normalis et probablement incontournable pour assurer la bonne exploitation d un site web .

Terminologie SAAS
02 Abrviations homonymes mais ne sont pas des synonymes: Security as a service SAAS Software as a service SAAS Le dnominateur commun entre les 02 est : web + hosting + scurit.

SAAS & SAAS ?


Aujourdhui Tous les fournisseurs d applications d inspections , d administration et de gestion de la scurit informatique sont entrain de migrer vers des solutions de service via le web . D ici quelques annes, on ne s attend plus aux installations des logiciels de scurit chez les clients . Tout est sur le net en mode web. Des services de scurit la demande, varis et comptitives existeront dans le cloud. C est le Software as a service dont il offre actuellement entre autre un service de scurit tel que exp: Antivirus, Antimalware, inspection des registres, inspection des updates, valuation des risques , conseils , alertes etc .Ce service est gouvern par l diteur de l application. SAAS pour le hosting web : C est d offrir un nouveau service d hbergement moderne pour les sites web de nouvelle gnration web 2.0 et 3.0 etc accompagn par des mthodes modernes de la scurit de plus en plus performantes, intelligentes, intgres, transparentes vis vis la demande du client Ce service est gouvern par l hbergeur en collaboration avec tout les partenaires , permet de satisfaire la demande et le besoin collaboratif du client en matire de scurit en temps rel accs et authentification, anti attaques , inspection des protocoles etc . La mise en uvre de Ce Dernier service important a permis aux diteurs des applications de migrer du modle de commercialisation de leurs solutions applicatives software sous licences en un modle centralis web par suite offrir un service payant .

Les dfis
Travailler pour Mettre fin aux : Vol de donnes, rupture de service, usurpation d identit, Fraudes, utilisation illicite de vos serveurs... Attaques web causantes des pertes financires; Ces attaques ayant des consquences juridiques et un impact sur l image de marque. La solution SaaS permet de rejeter tout le trafic anormal sur votre site web. Elle vous protge contre le vol de donnes, les ruptures de service, l usurpation d identit et de nombreuses attaques provenant du net.

Historique de la scurit informatique et web .TN


1999- Lancement d'une "Unit de gestion par Objectifs pour la ralisation du dveloppement de la scurit informatique", au sein du Secrtariat d'tat en Informatique, dont le rle tait de suivre de prs les derniers dveloppements en matire de scurit informatique et de veiller l'amlioration de la scurit des applications et infrastructures nationales critiques (dcret n99-2768 du 6 dcembre 1999). LANCE a t cre par la Loi n2000-83 du 9 Aot 2000 rgissant les changes et le commerce lectronique. A travers les services qu elle propose l ANCE a pour but de favoriser un environnement de confiance et de scurit des changes sur internet 2002- Modification du rle et de la structure de l'unit : Direction Gnrale, en charge (en plus des anciennes fonctions) de dvelopper une stratgie nationale et un Plan National dans le domaine de la scurit informatique et de dfinir des instruments excutifs pour une mise en ouvre efficace. 2003- Conseil Ministriel Restreint, prsid par son excellence, Monsieur le Prsident Zine El Abidine Ben Ali, ddi l informatique et la scurit des SI, qui a dcid : - La cration d une Agence Nationale, spcialise dans la scurit des SI (l outil excutif de la stratgie et du plan national). - L introduction d un audit obligatoire et priodique dans le domaine de la scurit informatique. - La Cration d un corps d auditeurs certifis en scurit des SI 2004- Cration de l'Agence Nationale de la Scurit Informatique (Extrait de la Loi N 2004-5).

Rglementation et cadre juridique



Loi n 99-89 du 2 aout 1999, modifiant et compltant certaines dispositions du code pnal relative au Cybercriminalit, Articles : 199 bis et 199 ter. Loi n 2000-83 du 9 aot 2000, relative aux changes et au commerce lectroniques (J.O.R.T. N64 du 11 aot 2000). Dcret n 2000-2331 du 10 octobre 2000, fixant l'organisation administrative et financire et les modalits de fonctionnement de l'Agence Nationale de Certification Electronique (J.O.R.T n85 du24 octobre 2000). Arrt1 du 19 juillet 2001 (J.O.R.T n60): relatif aux certificats lectroniques et leurs fiabilits. Arrt 2 du 19 juillet 2001 (J.O.R.T n60): relatif au dispositif de cration de la signature lectronique. Circulaire n 19 du 18 juillet 2003, relatif aux mesures de scurit et de prvention des btiments des ministres et des collectivits locales et des entreprises publiques. Arrt du 26 dcembre 2003 (JORT n2 du 6 Janvier 2004, p48): fixant les listes des produits soumis contrle technique l'importation et l'exportation. Loi n 5 - 2004 du 3 fvrier 2004, relative a la scurit informatique et portant sur l organisation du domaine de la scurit informatique et fixant les rgles gnrales de protection des systmes informatiques et des rseaux. Circulaire n 22 - 2004, portant sur la suret des locaux appartenant aux ministres et aux entreprises publiques Dcret n 1248 - 2004 du 25 mai 2004, fixant l'organisation administrative et financire et les modalits de fonctionnement de l' A.N.S.I. Dcret n 1249 - 2004 du 25 mai 2004, fixant les conditions et les procdures de certification des experts dans le domaine de la scurit informatique. Dcret n 1250 - 2004 du 25 mai 2004, fixant les systmes informatiques et les rseaux des organismes soumis a l'audit obligatoire priodique de la scurit informatique et les critres relatifs a la nature de l'audit et a sa priodicit et aux procdures de suivi de l'application des recommandations contenues dans le rapport d'audit. Loi organique n 63 - 2004 du 27 juillet 2004, portant sur la protection des donnes a caractre personnel. Circulaire n 19 - du 11 avril 2007, relatif au renforcement des mesures de scurit informatique dans les tablissements publiques (Cration d une Cellule Technique de Scurit, nomination d un Responsable de la Scurit des Systmes d'Information RSSI ; et mise en place d un Comit de pilotage). Dcret N 2008-2639 2008-2639 du 21 juillet 2008, fixant les conditions et les procdures d importation et decommercialisation des moyens ou des services de cryptage travers les rseaux de tlcommunications. (J.O.R.T n 61 du 09 juillet 2008).

Quelques Chiffres & Statistiques en relation avec www.siteweb.tn


source Mincom, ATI, Mincommerce

Anne

Abon Internet

Site www.$.t n

dom

BP en Gb/s

Auditeurs scurit

Fournisseurs Hbergeurs

Dv web pro

Intgrateurs et Fournisseurs Solutions de scurit

1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 76711 91787 121000 150220 179440 253149 281257 413958 447009

200 304 599 898 1622 1775 4028 4930 5796 6467 10079 10395 1037 1550 1950 2520 5249 6406 10031 11501 12703 13330 1.28 3.1 11.25 27.5 37.5 31 103 128 160 202 221 13 Des dizaines Des dizaines 0.07

La plateforme de scurit web et son volution. Organisation et Positionnement du SAAS vis vis l existant. Cas de .TN
Rgulateur et arbitrage Assurances Fournisseurs de solutions et de services d intgrations Site web en mode SAAS Audit et Expertise

Polices et cadre Juridiqu e

ANCE

ANSI

FSI et hosting www

Dveloppeurs web

Acteurs et Rles
Intervenants
Propritaire Dveloppeur

Site web scuris en mode SAAS


Cherche la Qos et veut avoir une certaine garantie pour mesurer les risques. Doit respecter les normes de dveloppement. Code source correcte et des mthodes de dev tenant compte de la scurit Offrir un service de scurit avec des valeurs ajoutes Garant et Accompagnateur Autorit de certification du site Veille offrir le meilleur service normalis et avoir l esprit de partenariat avec les clients Intervenir en cas de dsaccord Ncessaire pour mettre des primtres de responsabilit. Pour rembourser les clients lors des dgts.

Hbergeur ANSI ANCE Fournisseurs de solutions et services d intgrations Rgulateur et Arbitrage Police et cadre Juridique Assurances

Situation chronologique de la manifestation du besoin SAAS dans la vie du projet d un site web
Question ? Quand est ce qu on pense a la SAAS pour assurer une trs bonne Qos de notre site web ? Rponse1: Lors de son hbergement . C est le cas prventif: Besoin d un service de scurit exigeant et avanc, offrant une garantie importante ainsi qu un maximum de la transparence entre le fournisseur du service et son client. Rponse2: Gnralement Suite plusieurs attaques envers un site en exploitation , ce qui engendre une diminution remarquable de production et par suite une perte importante pour l entreprise. A ce moment on commence sentir le besoin d un service de scurit meilleur.

Externalisations des services pour un site web scuris en mode SAAS

Caractristiques des Modles d hbergement


Modele1: Hbergement scuris www Intgration Corrlation et prise de dcision automatique en stade avanc Acclration Fluidit d accs Collaboration du client N est pas assez importante Manuelle ou semi automatique , dpend plutt de l intelligence humaine que des automates Pas toujours Moyenne ou bonne NON, seul l administrateur du service hosting et le staff scurit peuvent le faire la demande ou bien inexistante Modele2: Hbergement web scuris en mode SAAS Oui trs forte Oui trs Forte Degr d Automatisation et prise de dcision en temps relle avanc + suivi et intelligence humaine OUI Trs fluide, excellente Possibilit d auto administration du site web concernant les fonctionnalits quotidiennes de la gestion de la scurit. OUI Obligatoire.

Notification automatique du client + alerte, possibilit de lui donner l accs la supervision Monitoring Architecture redondante

Seul l administrateur et les agents helpdesk ou bien de supervision Oui mais vrifier, dpend de la crdibilit de Fournisseur du service et de la capacit financiere Oui, A la demande Important mais sans retour sur l investissement Pas toujours et peu tre partielle Indirecte inclut dans les frais de hosting, parfois trs mal calcul

OUI avec un tableau de bord en ligne. OUI, Obligatoire

Statistiques d acces Budget Normalisation Administratif et Techniques Modle de Commercialisation

Oui, En ligne Tres Important, tenir compte du retour sur l investissement Obligatoire et totale Directe. Le hosting devient le produit indirecte .

Comment passer un modle SAAS

Changement du modle commerciale. Renforcement du modle technique.

Modele2

Modele1

Renforcer le modle de gestion technicoadministratif , de suivi et dcisionnel. Appliquer davantage les normes de la scurit .

web

Web en mode SAAS

Stratgie de dveloppement

Assurer un passage au model de scurit web en mode SAAS


Lignes stratgiques Changement du modle commerciale. Exemples Espace disque , service d hbergement tel que mise jours et administration gratuite , service de monitoring et suivi en ligne et autoadministration systme et scurit payant etc . Suivant le cas : Migration , Achat de nouveau produit High tech, Rvision de la Configuration, Changement d Architecture, Introduire des nouveaux mthodes de gestion techniques etc Exp: Mise en uvre d un SMSI intgr.

Renforcement du modle technique.

Renforcer le modle de gestion technicoadministratif , de suivi et dcisionnel Appliquer d avantage les normes pour assurer la scurit .

ISO 2700$ , ITIL, CMMI etc .

L existant un niveau International.


Exemple d abonnement mensuel SAAS comprenant:
Possibilit de Configuration de la scurit de votre site sur nos plate-forme Pr-apprentissage du trafic normal Scurisation des fux Web (HTTP et HTTPS) Acclration de 10% plus de 200% Supervision quotidienne du trafic de votre site Accs notre interface pour visualiser le trafic et les statistiques en temps rel. Rapport mensuel d activit incluant les statistiques dtailles Alerte par mail et SMS en cas d indisponibilit du site Appel tlphonique En option : rpartition de charge et fail over sur une ferme de serveurs

Conclusion.
  La scurit d un site web en mode SAAS est un levier pour le dmarrage de l exploitation des solutions softwares as a service. La solution software as a service peut tre une composante intgre dans le modle de scurit d un site web en mode SAAS. Exp: cas de monitoring, tableau de bord en ligne des activits d un site web, suivi SLA et des alertes , statistiques en ligne etc . Le mtier et le business du hosting des sites web n a pas le choix sauf de migrer vers l offre d un service de scurit web en mode SAAS. L volution du web a touch le moment ou le client final , le propritaire du site et leurs partenaires exigent un niveau de scurit trs lev ,transparent, normalis et mis dans un cadre rglementaire et juridique clair accompagn d outils SLA . La scurit se transforme en un bouquet de services. Pour avancer ! Le web doit tre un outil de confiance; aujourd'hui les nouvelles technologies de dploiement de la politique de scurit ainsi que les techniques sa mise en uvre permettent la naissance d un nouveau service SAAS. Les responsables de la scurit des sites web doivent rflchir propos du choix de leurs fournisseurs SAAS. Le degr de russite de ce projet est en fonction du niveau de la collaboration , d intgration et de partenariat entre tout les acteurs .

 

 

Merci Pour votre Attention


Questions ? Mohamed.benyahia@ati.tn