Le GIE Agirc-Arrco regroupe depuis 2002 les services de l'Agirc,
qui fédère les caisses de retraite complémentaire des cadres,
et ceux de l'Arrco,
qui fédère celles des salariés (non-cadres et cadres pour leur
salaire jusqu'au plafond de la sécurité sociale). Le groupement
emploie 450 personnes sur Bordeaux et Paris. 120 sont directement
rattachées au service informatique, dont 2 au pôle sécurité
créé lors de la fédération des deux entités.
Dans le cadre de ses attributions, le pôle sécurité s'intéresse rapidement à l'épineuse question de la gestion des patchs. Des tâches qui, pour le personnel en charge de l'exploitation informatique, représentent une importante charge de travail, tout en posant des contraintes organisationnelles fortes. De plus, le GIE ne bénéficie d'aucune visibilité sur l'état de ses 90 serveurs sous AIX, Windows XP et 2000, pas plus que sur leur exposition au risque.
"Nos demandes auprès de l'exploitation pour mettre en uvre une stratégie de gestion des patchs ne débouchant pas, nous avons décidé de nous munir d'une sonde de détection des vulnérabilités. Une décision qui nous permettait de réaliser des tableaux de bord, puis de les remonter à la direction afin de la sensibiliser aux dangers", explique William Morichon, responsable sécurité du GIE Agirc-Arrco.
Deux solutions d'audit des vulnérabilités sont examinées, dont l'une rapidement écartée en raison des données d'analyse expédiées sur Internet et stockées par l'éditeur. Le pôle sécurité opte finalement pour la sonde Precision Vulnerability Management de Criston. Déployée sur le réseau local, celle-ci permet d'auditer mensuellement la trentaine de serveurs définis par le GIE comme étant les plus sensibles. En outre, chaque nouveau serveur est impérativement soumis à un audit avant sa mise en production.
La base de vulnérabilité de la sonde est mise à jour avant chaque scan. L'opération est réalisée manuellement et toute connexion à Internet a été proscrite pour cette dernière dans le but de prévenir tout vol ou perte de données de sécurité sensibles (adresse IP des serveurs, vulnérabilités par serveur, etc.). Une caractéristique qui a motivé le choix de la solution, tout comme la facilité de son déploiement.
| Une équipe de production impliquée dans le choix des indicateurs du reporting |
Quant aux rapports édités grâce à la sonde, ils offrent une visibilité de l'état des vulnérabilités et de leur évolution au cours du temps, leur niveau de dangerosité, les services exposés ou mal configurés, et les mesures correctives à appliquer pour chacune d'entre elles. L'ensemble des informations est agrégé dans des tableaux de bord, analysés ensuite mensuellement lors d'une réunion entre les responsables sécurité, la production et le DSI.
Toutefois, convaincre la direction informatique n'aura pas été une mince affaire. En effet dans un premier temps, durant plus d'un an, William Morichon fait parvenir les rapports de vulnérabilités. Aucune réunion n'est organisée. Ce sont finalement les rendez-vous mensuels sous l'autorité du DSI qui permettront la mise en place d'une véritable politique de gestion des correctifs.
"La démarche a finalement été bien reçue par la production qui nous sollicite de plus en plus pour ajouter des indicateurs supplémentaires. Les tableaux de bord évoluent vers des rapports de production. Il y a un besoin fort d'établir des comptes-rendus mensuels. Nous avons donc commencé à déployer des outils pour automatiser tout le processus", note William Morichon.
Les différents administrateurs peuvent ainsi accéder en HTTP à la sonde et aux serveurs dont ils ont la charge pour visualiser les différentes vulnérabilités. Une fois par trimestre, ces derniers sont d'astreinte le week-end pour appliquer les patchs et réaliser l'ensemble des interventions correctives.
"Il est très délicat de trouver une organisation de patch management. Au mieux, il faudrait disposer de tout un réseau de test et d'utilisateurs effectuant leurs tâches habituelles pour valider que tout fonctionne normalement, sans effets de bord. Il a donc fallu faire des compromis. Une fois la sauvegarde de l'ensemble des serveurs réalisée et vérifiée, les patchs validés sont appliqués. En cas de problème constaté le lundi, la sauvegarde est restaurée", conclut le responsable sécurité.
|
Le
projet en bref
|
|
Entreprise
|
GIE Agirc-Arrco
|
|
Secteur
d'activité
|
Caisses de retraite
|
|
Type
de projet
|
Audit de vulnérabilité
|
|
Editeur
retenu
|
Criston
|
|
En
production depuis
|
2005
|
|
Dossier 