deuxième étape d'un service managé : la gestion
Après la phase d’intégration (donc après que la solution est déployée) nous allons nous occuper de la phase la plus importante du projet (à mon sens). C'est celle qui va être la plus coûteuse mais ce sera aussi celle qui présentera la qualité du service. Il est indispensable de faire vivre cette solution au risque que :
- celle-ci soit obsolète le jour même où elle est considérée comme installée
- ou encore que celle-ci se rappelle à vous lorsqu’elle s’arrêtera de fonctionner faute d’avoir été bichonnée
- ou encore… (je vous laisse trouver d’autres raisons pour qu’une solution ne soit pas laissée en plan sans un service minimum quotidien)
La phase de gestion de la solution de sécurité va donc elle aussi nécessiter plusieurs actions régulières et même très régulières pour certaines...
la maintenance
La gestion du contrat de maintenance : sans contrat de maintenance,
- il n’y a pas de support du vendeur de technologie et sans support, il n’y aura pas d’accès à un service proposé par le vendeur de technologie pour la gestion de problème (comprendre résoudre un éventuel bug)
- il n’y a pas d’intervention du vendeur ou de son représentant lorsque l’équipement a décidé de faire des siennes au moment où un disque dur a considéré qu’il devait s’arrêter de tourner en rond ou encore que le bloc alimentation voulait lui aussi participer au feu de la Saint Jean
Dans tous ces cas, le contrat de maintenance permet de s’assurer de bonnes nuits et éviter de mauvaises surprises.
à propos des incidents et autres problèmes
Chez tout individu, il y a des petits bobos suite à des accidents et il faut alors les soigner. Les fameux bobos, les incidents, ont des conséquences plus ou moins graves sur l’individu entrainant des temps de rétablissement plus ou moins longs avant un retour à la normale.
Cependant, certains bobos sont récurrents et nécessitent des actions correctives, les problèmes, après un passage chez un médecin spécialiste ou après un changement de comportement de l’individu. De la même façon, un service de sécurité va nécessiter que les équipes opérationnelles gèrent elles aussi les bobos du service qu’ils soient récurrents ou ponctuels.
supervision proactive versus réactive
Pour refaire l’analogie avec l’individu, afin d’éviter les bobos, il est indispensable que l’individu aille chez le médecin régulièrement pour surveiller son état de santé et prendre les actions correctives nécessaires. C’est ce qu’on appellera la supervison proactive.
De même, afin d’identifier les bobos au plus tôt, et éviter qu’ils ne prennent des ampleurs trop importantes, il est indispensable que l’individu soit à l’écoute de son corps pour prendre les actions correctives nécessaires si les signes d’état de santé ne s’avéraient pas parfaits. C’est ce qu’on appellera la supervision réactive.
de la question des sauvegardes de vos installations
Que se passe-t-il lorsque le disque dur de votre équipement brûle ou que vous faites une mauvaise expérience en upgradant la version logicielle de votre équipement et que cette version logicielle n’atteint pas vos attentes ? Sauf si vous avez effectué une sauvegarde régulière de la configuration, je vous promets de bons moments… avec sans doute quelques regrets quant à votre process de sauvegarde qui n’est pas tout à fait opérationnel.
La régularité des sauvegardes devrait dépendre de la fréquence des changements de configuration sur les équipements. Cependant, parce que tous les équipements ne vont sans doute pas changer de configuration en même temps, il est raisonnable qu’une sauvegarde automatique et quotidienne soit réalisée : elle vous permettrait alors de revenir simplement à la configuration de la veille sans se poser la question de la date de la sauvegarde.
petit court d'histoire
Tout équipement de sécurité digne de ce nom doit générer des journaux pour tracer la vie de celui-ci. Les journaux vont non seulement permettre d’historiser les informations majeures concernant le trafic géré par l’équipement mais aussi historiser les opérations réalisées sur l’équipement lui-même (le chargement d’une nouvelle configuration, la détection d’un mauvais fonctionnement sur un élément du système, une mise à jour, etc.).
Vue la richesse des informations générées par ces journaux, il est indispensable de pouvoir y accéder pendant un certain temps voire un temps certain… oui, mais pour quoi faire ? Plusieurs raisons :
- les compiler pour en sortir des statistiques
- en extraire les traces permettant de rejouer une infiltration d’un invité surprise dans votre système d’information
- ou encore les livrer sur requêtes judiciaires.
Pour toutes ces raisons, l’archivage des logs est indispensable.
analyse des logs
Une fois les logs collectés, autant en profiter et donc les utiliser. Moyennant la moulinette adéquate, il est relativement simple d’utiliser ces logs et d’en extraire les statistiques qui pourraient vous intéresser.
Par contre, si la moulinette peut être relativement simple, la difficulté peut s’avérer être la taille des logs que la moulinette devra traiter. En effet, certains équipements (firewall par exemple) pourraient générer plusieurs millions de lignes par jour : autant dire que la fameuse moulinette devra être performante.
conclusion
Voilà, j’ai fait le tour d’un service managé. Cependant, il peut y avoir des services additionnels qui ne doivent pas être pris à la légère quand votre MSSP (Managed Security Service Provider) vous en propose plus :
- l’hébergement
- la supervision des évènements de sécurité
- des engagements de qualité de service
- un accompagnement d’expertise technique ou organisationnel
- la prise en charge des demandes de changement
- la mise à disposition des logs pour un éventuel traitement par une solution de SIEM plus globale
- la mise en évidence que les engagements sécurité du MSSP sont bien appliqués
- le financement des équipements
On reparlera de ces services additionnels dans un prochain article.
Seb
crédit photo : © rangizzz - Fotolia.com