Étude de cas Un projet, un client, une solution

Case 1
Automatisation

Automatisation de la gestion du risque dans un environnement de cloud privé

Type de client : Entreprise

Enjeux : Gestion du risque dans un environnement Cloud Privé

Avec un objectif d’automatiser l'ouverture des flux ayant pour origine un développeur ou un client final, comment assurer entre les zones de sécurité du Cloud Privé et Legacy le suivi et le contrôle automatique de la conformité des flux d’intégration avec la PSSI ?

Moyens

Interactions utilisateurs

  • ServiceNow & Tufin

Interactions techniques

  • ServiceNow
  • VMware vRealize Automation
  • VMware vRealize Orchestrator
  • Tufin SecureChange Workflow – SecureTrack
  • VMware NSX
  • PaloAlto Networks & EfficientIP

Résultat

Time to Market accéléré avec l’ouverture et l'implémentation des ouvertures de flux en 10-20 minutes au lieu de jours voir semaines, notamment grâce à la validation automatique de la conformité.

Suivi

Évolution de la solution vers des environnements Cloud Hybride & Public tels qu'Amazon Web Services, Google Cloud Platform, et Microsoft Azure.


Case 1
Optimisation

Optimisation de la sécurité des sites d’une ONG internationale

Type de client : Organisation Non-Gouvernementale

Enjeux : Industrialiser le déploiement et le rapatriement d’environnement IT éphémères situés dans 71 pays

Comment déployer, opérer et assurer le support de ces sites parfois soumis à de très fortes contraintes telles que :

  • Contrainte environnementale
  • Instabilité des sources d’alimentation électrique
  • Transportable facilement, adapté à une voiture et résistant aux chocs
  • Risque de sécurité physique et logicielle
  • Bandes passantes limitées (satellite) ou de qualité variable

Moyens

Interactions utilisateurs

  • Filtrage URL et des accès pour contrer le “hacking” des accès internet par la population locale.

Interactions techniques

  • Fortinet
  • Microsoft Hyper-V
  • VEAM
  • SailPoint

Résultat

Une IT Box résistante aux contraintes de l’environnement, évolutive, avec une infrastructure logicielle embarquée hyper convergente bénéficiant d’un orchestrateur responsable de sa configuration, sa sécurisation et son déploiement automatique.

Suivi

Intégration IPAM et accompagnement du client dans le maintien en condition opérationnelle de l’infrastructure centrale et des sites déployés.


Case 1
Optimisation

Création d’une méthode d’audit automatisée dans un environnement industriel

Type de client : Grande Entreprise

Enjeux : Améliorer drastiquement la visibilité et le contrôle des politiques de sécurités des firewalls pour réduire l’exposition du SI et accélérer le troubleshooting de la connectivité applicative

Comment contrôler techniquement et humainement l’utilité d’environ 30 000 règles firewalls et décommissionner celles non utilisées, en shadow, etc. sans perturber la production ?

Moyens

Interactions utilisateurs

  • ServiceNow

Interactions techniques

  • Tufin & Développement uQuidIT.co
  • Tufin & IPAM Infoblox
  • Tufin & ITSM Service Now
  • PaloAlto Networks, Fortinet

Résultat

Mise en place de processus automatisés d’ouverture des flux, de re-certification des règles (rule usage, shadow rules, etc.) et de décommissionnement en aval des phases de contrôle de la conformité ;

Suivi

Mise en place d’un processus de contrôle continu de la qualité des règles et amélioration de la sécurité par l’utilisation de nouvelles fonctionnalités telles que le filtrage applicatif et les filtrages d’URL intégrés aux pare-feu.


Case 1
Audit

Audit

Type de client : PME

Enjeux : Identification des risques liés au système d’information de l’entreprise et à sa propriété intellectuelle.

Identifier la sensibilisation des utilisateurs aux risques, connaître le niveau d’exposition de l’infrastructure et les mesures de remédiation à appliquer pour diminuer la surface d’attaque.

Moyens

Interactions utilisateurs

  • Sensibilisation à la sécurité su SI (campagne de phishing, appels téléphoniques visant à obtenir des informations, etc.)

Interactions techniques

  • Outillage de tests d’intrusion, sites de phishing, etc.

Résultat

Identification des risques humains et techniques, définition du plan de sensibilisation et du plan de sécurisation du SI

Suivi

Mise en place d’une campagne interne et régulière de sensibilisation, mise à jour des infrastructures techniques de l’entreprise visant à limiter les risques.