|
"Nous nous appuyons énormément sur des partenaires pour le choix et le maintien des solutions"
Pour Ondeo Industrial Solutions, filiale de Suez, le boîtier tout en un reste l'un des axes de simplification des systèmes de sécurité et d'optimisation des ressources.
|
11/07/2005 JDN Solutions. Comment s'organise la direction informatique à Ondeo Industrial Solutions ?
Daryoush Mikaili. Ondeo Industrial Solutions est une filiale du groupe Suez. Elle a été créée en 2002 pour adresser les industriels du traitement de l'eau. Elle possède un parc informatique de 800 postes réparti sur 60 sites dont 50 en France et 10 à l'international. L'équipe informatique regroupe 10 personnes dont 6 internes.
Toutes les décisions sont prises à Vaucresson, dans le siège social de la société. L'informatique n'étant pas notre métier de base, nous nous appuyons énormément avec des partenaires pour le choix et la maintien de nos applications.
Quels outils avez-vous déjà déployés sur votre réseau informatique ?
En matière de solutions de sécurité, nous disposons de deux systèmes de pare-feu différents : l'un de Fortinet et l'autre de Netscreen. Nous utilisons plutôt le système de Fortinet pour tout ce qui a trait à l'antivirus, l'antispam, le VPN ou le pare-feu. Sur la partie VPN SSL, nous nous appuyons sur une solution d'Aventail.
Au niveau des serveurs de fichiers, le contrôle s'effectue via un outil Symantec et à travers Scan Mail sur le logiciel de messagerie. Tous les patchs Microsoft que nous souhaitons déployer sont centralisés sur un serveur avant d'être diffusés le soir sur l'ensemble du réseau. Une procédure identique a été appliquée pour la mise à jour des antivirus. Enfin, nous testons également des outils de PKI / SSO mais rien n'est encore en place pour l'instant.
 | |  Il n'y a pas d'enveloppe fixe récurrente pour le budget sécurité" | | Qui prend les décisions en matière de sécurité informatique ?
En raison de la taille de l'équipe, nous ne disposons pas de personnes attitrées sur la prise de décisions. Généralement, deux personnes se chargent de la stratégie, moi-même et le DSI d'Ondeo Industrial Solutions, et une personne de l'administration du coté mise en place.
Comment justifiez-vous vos investissements en sécurité à la direction générale ?
Nous avons deux approches au niveau de l'étude de solutions : d'une part il y a les problèmes que nous avons identifié en interne, d'autre part le travail fait par le groupe Suez dans le cadre du projet ISSF (Information Services Security Forum) qui spécifie un niveau minimum de maturité à atteindre sur tous les aspects liés à la sécurité informatique. Nous effectuons le rapprochement des deux parties pour justifier les investissements sur les lignes communes. Cela facilite la négociation avec notre direction générale lors de l'étude de solutions.
Nous avons des réunions communes avec la direction informatique du groupe Suez au cours de laquelle nous définissons les grandes priorités en matière de sécurité. A partir de ces réunions, il nous faut définir ce qui nous manque et donc une idée de budget. Il n'y a pas d'enveloppe fixe récurrente pour l'aspect sécurité informatique, c'est un compromis annuel entre les contraintes budgétaires de la société d'une part et les objectifs du groupe d'autre part. La validation des projets est faite par la direction générale qui peut bloquer un programme faute de budget.
| | Les efforts ont d'abord porté sur la sécurisation des connexions Internet" | | Quelles ont été vos premières priorités en matière de sécurité ?
La première chose à faire consistait à maîtriser notre budget télécoms. Tous les sites internationaux se connectaient à Internet par la même entrée. Au cours de cette recherche, nous avons envisagé une solution pour harmoniser et contrôler la sécurité de ces connexions, cela afin d'éviter le piratage de sites du groupe. Après, il a fallu sécuriser les connexions nomades à Internet. Nous sommes d'abord passés par une solution France Telecom appuyée en complément par du VPN SSL.
Les efforts ont donc d'abord porté sur la sécurisation des connexions Internet. Aujourd'hui, nous sommes en train de regarder des outils de supervision réseau proactifs afin de vérifier les surcharges de trafic, la perte de paquets ou des sites qui pourraient être temporairement coupés du réseau.
Comment choisissez-vous vos prestations de services ?
Aujourd'hui, Groupe Suez fonctionne sur la base d'un accord regroupant une quarantaine de sociétés reconnues sur leurs marchés respectifs. Nous consultons en priorité cette liste, mais parfois il nous arrive de faire appel à d'autres sociétés pour de la prestation de service. Notre choix est d'abord guidé par l'aspect économique. Sur tout ce qui touche à la sécurité et d'une manière générale à une intervention ponctuelle, je préfère travailler avec des petites sociétés car elles sont plus disponibles. Dans 90% des cas, nous travaillons avec des petites sociétés.
| | Les choix que nous avons réalisé au niveau du VPN nous ont permis de réduire de 50% nos communications" | | Avez-vous une préférence particulière pour un mode d'organisation ou un type de solution ?
Pour notre organisation, la possibilité de faire passer le maximum de choses sur un boîtier unique représente un atout majeur. Nous ne pouvons pas maîtriser plusieurs systèmes différents, il faut donc composer avec les effectifs existants. Les choix que nous avons réalisé au niveau du VPN nous ont ainsi permis de réduire le coût de nos communications internationales de près de 50%.
Tout ce que nous achetons est forfaitisé car il est impossible pour nous de maîtriser l'ensemble des outils de sécurité. La maintenance, le transfert de compétences sont réalisés par le revendeur ou le constructeur.
Envisagez-vous de recourir davantage à l'externalisation, voire à l'externalisation globale de votre sécurité ?
Confier une partie de la sécurité à un prestataire ne serait a priori pas trop gênant, mais la totalité… Je préfère avoir un œil de notre coté pour en vérifier le bon fonctionnement. Par contre, nous pourrions parfaitement externaliser certaines tâches car l'informatique n'est pas notre métier principal. Nous l'avons déjà fait pour des projets de type paie ou sur des applications financières. L'open source est très intéressant mais demande une compétence et un suivi qu'il est difficile de trouver rapidement. Cela exige de plus un effort en interne. Yves DROTHIER, JDN Solutions ...
|
| Copyright
2006 Benchmark Group - 69-71 avenue Pierre Grenier, 92517 Boulogne Billancourt Cedex, FRANCE |
|
Sécurité dans les PME