NetBSD, un Unix portable et méconnu
Airline Tycoon Evolution
Les autoroutes Paris-Rhin-Rhône sécurisent leurs accès internes et externes
1 octobre 2002 à 00:00
La Société des autoroutes Paris-Rhin-Rhône a conduit un projet de sécurisation de son réseau informatique et de ses accès. Le but : protéger son système d’information en l’ouvrant, sous contrôle, à ses partenaires.
L’entreprise et sa problématique : Déterminer en concertation la politique de sécurité à adopter La SAPRR (Société des autoroutes Paris-Rhin-Rhône) exploite 1 811 km d’autoroute. Ses cent gares de péage représentent le point névralgique. Des serveurs HP UX (un par gare) remontent les informations relatives aux arrêts des véhicules et aux paiements encaissés vers six serveurs régionaux Bull Escala AIX, puis vers un serveur central, par une épine dorsale ATM-IP à 100 Mbit/s. Ces informations sont stockées dans des bases de données Oracle.
Gestion du trafic et conditions de circulation sont assurées par 200 panneaux à messages variables (PMV) et par plus de 300 stations de comptage des véhicules (rafraîchis toutes les 6 min), auxquels il faut ajouter 80 stations météo. Toutes ces données remontent, via un réseau X.25, vers 35 districts, où se trouve une centaine de serveurs Windows NT équipés de SQL Server. Ces derniers sont connectés à 6 serveurs régionaux sous AIX, eux-mêmes reliés à 2 bases de données Oracle (pour l’exploitation temps réel et les données historiques) hébergées sur des serveurs centraux. L’informatique de gestion regroupe un millier de PC Windows NT Workstation reliés à une demi-douzaine de serveurs Unix avec bases de données Oracle et à une cinquantaine de serveurs bureautiques ou de déploiement sous NT.
Le cahier des charges : Sécuriser le périmètre de l’entreprise vers l’extérieur Jusqu’à ce que soit votée une politique de sécurité globale, chaque entité de la SAPRR gérait sa propre sécurité. ” Il manquait une coordination globale, apte à fédérer les besoins et à les formuler en projets pour les défendre auprès de la direction générale “ , note Georges Acquaviva, responsable sécurité du système d’information de la SAPRR. Le but : disposer d’une politique de sécurité globale, reposant sur les préconisations de la direction centrale de la sécurité des systèmes d’information, en protégeant efficacement ceux-ci contre le monde extérieur. La SAPRR a établi des relations informatiques avec les banques, pour les paiements ; avec les organismes tiers de gestion du trafic (qui peuvent utiliser les PMV en cas d’urgence) ; et avec les autres sociétés d’autoroutes.
Les technologies choisies : Pare-feu, détection d’intrusions, logiciels antivirus et boîtier Intel-Shiva C’est sur une architecture classique et éprouvée de sécurité, fondée sur des pare-feu Cisco et Check Point et des logiciels de détection d’intrusions que repose la solution.
Le choix d’adopter des marques différentes a été privilégié, ” pour éviter de pâtir d’une même faille de sécurité chez un même constructeur “ , souligne Georges Acquaviva. De même, des logiciels antivirus de marques différentes ont été déployés sur le relais de messagerie et sur les postes de travail (McAfee).
Pour garantir la sécurité du système d’information, tout en permettant le télétravail pour certains salariés (cas des astreintes lors des périodes de fort trafic, par exemple), un boîtier Intel-Shiva avec mot de passe et liste de numéros autorisés, a été déployé chez chacun d’entre eux.
Les produits et les fournisseurs retenus : Alcatel, Cyber Networks et Telindus-CF6 comme intégrateurs La SAPRR s’est fait assister par plusieurs partenaires : un, pour l’assistance à maîtrise d’ouvrage concernant le projet de sécurisation réseau et la définition de la politique de sécurité globale (Telindus-CF6) ; et deux autres, pour la réalisation de ce même projet (Alcatel et Cyber Networks). Sur le plan technique, la SAPRR a placé ses trois pare-feu en cascade.
Le premier a été installé pour les flux Web et pour les flux de messagerie. Le deuxième a été mis en ?”uvre pour les accès réservés aux partenaires. Quant au troisième, il sert de point de concentration et pallie les éventuelles carences techniques des précédents. ” Les logiciels de détection d’intrusions et les logiciels antivirus sur les passerelles et postes de travail obéissent à la même logique , note Georges Acquaviva.
Ce projet s’inscrit dans le cadre de la politique de sécurité du système d’information, élaborée sous l’égide du comité directeur informatique, présidé par Jean Deterne, directeur général, et animé par Patrick François, responsable informatique. Elle se décline dans les domaines complémentaires que sont l’informatique, les réseaux et l’infrastructure, incluant la sécurité physique des locaux. “
Les projets à court terme : Élaborer un site d’e-commerce sécurisé Sur le site Web de la SAPRR, il est possible de consulter certaines informations concernant l’entreprise, de connaître en temps réel les conditions de circulation, et, au moyen de quatre webcams, de visualiser certaines barrières de péage avec un taux de rafraîchissement d’une seconde.
Lors du second semestre de cette année, ” nous vendrons des abonnements au télépéage, via notre site Web, de manière sécurisée. Ce site étant connecté à notre système d’information, il nous paraît vital de le protéger, ne serait-ce que par une forme d’authentification, afin que les clients puissent consulter l’état de leur abonnement (trajets et factures), voire par du chiffrement pour la transmission d’informations sensibles (numéro de carte bancaire). Pour l’heure, aucune méthode n’est privilégiée, l’étude de sécurité n’ayant pas encore livré ses conclusions “ , précise Georges Acquaviva.
À moyen terme, la SAPRR envisage de réaliser des tests intrusifs sur son réseau. Il s’agit, d’une part, de valider les choix techniques sous l’angle d’une attaque émanant d’un ou plusieurs pirates ; et, dautre part, de valider la robustesse de son architecture par des tests internes.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp .
