|
Frédéric Charpentier est consultant en sécurité
pour le cabinet d'audit indépendant Xmco Partners. Après
plusieurs expériences dans le domaine industriel et automobile,
il applique désormais la méthode 6-Sigma aux audits
de sécurité, notamment dans le domaine de la téléphonie
sur IP.
JDN Solutions : D'où vient l'idée
d'utiliser la méthode 6-Sigma pour contrôler la sécurité de
la téléphonie sur IP ?
 Frédéric
Charpentier. A force de soumettre des recommandations,
nous nous sommes aperçus que celles-ci n'étaient pas toujours
appliquées par la suite, souvent en raison d'une absence de
suivi de ces recommandations à travers l'entreprise. La méthode
6-Sigma est une méthode statistique issue de l'industrie où
elle sert par exemple à mesurer l'écart entre la finition
d'une pièce et son plan de fabrication. La règle consiste
à ne pas s'écarter de plus de 6 écarts types de la moyenne.
Cette
méthodologie se base sur cinq grands axes : définir, mesurer,
analyser, améliorer et contrôler. L'outil est classique et
centré sur les mesures, or dans l'informatique nous n'avions
pas de solution concrète à ce niveau. Nous avons donc choisi
des métriques sur lesquels l'entreprise pourra se reposer
et constater l'amélioration ou non du processus. C'est une
méthode d'audit qui va plus loin que l'audit seul. En effet,
nous formons au fil du temps les équipes à mesurer et améliorer
leurs processus internes elles-mêmes. La méthode va pondérer
les résultats en fonction des problèmes afin de rechercher
les plus grands leviers d'amélioration possibles.
Quels sont pour vous les principaux
enjeux de sécurité en téléphonie sur IP ?
Aujourd'hui, le problème principal de la téléphonie sur IP
réside dans son organisation. Jusqu'à présent, la voix était
un domaine géré par les services généraux, le service informatique
se plaçant à coté. Les services généraux ont vendu la voix
sur IP pour des questions de coûts pourtant les utilisateurs
ne demandaient pas spécialement quelque chose de nouveau.
Le mélange entre deux mondes, celui des télécoms et celui
de l'informatique, rend difficile l'analyse de l'origine des
problèmes.
| "La
première priorité des dirigeants se résume
bien souvent à la disponibilité du nouveau
réseau téléphonique" |
L'informatique accuse la partie télécoms et inversement.
Le client est lésé et personne ne reprend le contrôle total
du projet. Les failles, les problèmes de hacking sont bien
réels mais la première priorité des dirigeants se résume bien
souvent à la disponibilité du nouveau réseau
téléphonique ! Que ce soit des problèmes de
messagerie unifiée, de gestion de trafic Internet ou de gestion
du répondeur, les problèmes arrivent et personne n'y répond.
Demain, si les téléphones ne marchent pas, il faut savoir
gérer la qualité de service et les situations d'urgence. Cette
mesure est d'autant plus importante qu'un problème informatique
implique un problème sur la partie voix.
Quels écueils menacent les projets
d'audit de sécurité ?
Il y a deux erreurs à ne pas commettre dans la méthode d'analyse.
La première s'appelle la paralysie par analyse, c'est à dire
perdre le problème initial à force de trop chercher les autres
dysfonctionnements. Pour l'éviter, il faut se concentrer sur
chaque problème un à un et les résoudre en fonction de leur
intérêt stratégique. La deuxième erreur serait de sauter d'une
étape de découverte du problème à la mise en place de solutions,
cela sans avoir au préalable recherché les causes profondes
du dysfonctionnement. En suivant ce schéma, l'entreprise court
constamment derrière les problèmes et risque d'empirer le
système plutôt que de le corriger.
Il existe plusieurs méthodes industrielles de calcul, libre
à l'entreprise de choisir la sienne. La voix, par exemple,
est un élément mesurable. Il suffit pour cela de connaître
le nombre d'appels coupés, le nombre d'appels où la qualité
s'est dégradée ou le temps passé par l'utilisateur à joindre
le service informatique de dépannage. Dès lors, avant tout
audit de sécurité, il convient de mesurer la qualité de service
avec le système actuel puis de migrer seulement lorsque le
même niveau de disponibilité aura été atteint avec un pilote.
Une fois les métriques en place, il devient possible de communiquer
auprès de sa direction et des clients. Les grands chiffres
du type 99,9% de taux de disponibilité sont certes des atouts
marketing mais ne règlent pas les problèmes. Il faut déjà
choisir une métrique cohérente, par exemple le nombre d'appels
perdus par jour, et s'y tenir. Après, les solutions visant
à résoudre ses problèmes sont multiples : doubler l'architecture
réseau, séparer la voix et les données, définir des niveaux
de priorité pour les flux, mettre en place des clusters pour
la restauration d'information ou former des techniciens aux
exigences télécoms.
|
Dossier 