Présentation de la sécurité Domino

La configuration de la sécurité de votre organisation est une tâche critique. Votre infrastructure de sécurité est essentielle pour protéger les ressources et les actifs informatiques de votre organisation. En tant qu'administrateur, vous devez examiner attentivement les exigences de sécurité de votre organisation avant de configurer des serveurs ou des utilisateurs. La planification initiale s'avère payante plus tard en minimisant les risques de sécurité compromise.

Utilisez les tâches suivantes pour vous guider dans votre planification de sécurité :

  • Connaître le métier.
  • Identifier les actifs et les menaces (analyse des risques).
  • Développez des stratégies pour protéger votre environnement informatique.
  • Développer des procédures de gestion des incidents.
  • Planifier et dispenser la formation des employés.
  • Gardez les processus à jour.

Connaître l'entreprise

Il s'agit du processus de compréhension des exigences commerciales de votre organisation et des niveaux de service qui doivent être respectés. Identifiez toutes les composantes de l’entreprise, y compris celles qui ne relèvent pas de votre responsabilité directe. Incluez les nouvelles acquisitions et toutes les retombées récentes. Dans le cadre de ce processus, identifiez le réseau approuvé et le réseau non approuvé. Dans certains cas, un extranet peut être une extension d'un réseau de confiance.

Une fois que vous avez compris les exigences de votre entreprise, vous pouvez commencer à planifier les spécificités de votre infrastructure Domino ® , notamment :

  • Faudra-t-il plusieurs domaines Domino ® ou le nouveau domaine devra-t-il interagir avec les domaines existants ?
  • Quelle est la meilleure méthode pour exposer les données Domino ® sur Internet ?
  • Quels niveaux de service sont nécessaires pour soutenir l’entreprise ?
  • Qui doit avoir quel niveau d'accès à l'annuaire Domino ® ?

Identifier les actifs et les menaces (analyse des risques)

Identifiez la valeur des actifs que vous essayez de protéger. Les applications de votre organisation ont des valeurs différentes. Par exemple, dans la plupart des organisations, la disponibilité de l'infrastructure de messagerie est essentielle pour l'entreprise, mais la disponibilité instantanée de tous les e-mails précédents est moins importante. Identifiez ensuite les menaces d’un point de vue interne et externe. Assurez-vous de bien comprendre la perte potentielle pour votre organisation si l’une des menaces réussit. Enfin, déterminez la probabilité de la menace. Par exemple, une attaque automatisée provenant d'un système compromis est une quasi-certitude, une panne de salle de serveurs due à un dégât des eaux est une possibilité distincte, tandis que le vol du disque dur d'un serveur dans le centre de données est généralement peu probable.

Il existe de nombreux types de menaces pour toute infrastructure informatique :

  • Destruction de l'environnement
  • Attaques automatisées ou pirates sur Internet
  • Attaques automatisées provenant de systèmes compromis dans votre intranet
  • Interfaces avec des systèmes moins sécurisés
  • Erreurs commises par des utilisateurs et des administrateurs non ou mal formés
  • Interception ou modification de données à des fins criminelles
  • Activité malveillante d'anciens employés

Vous devez également comprendre le modèle de sécurité Domino ® afin de mieux comprendre les actifs Domino ® que vous devez protéger et la manière dont ils peuvent l'être.

Développer des stratégies pour protéger votre environnement informatique

Une fois que vous avez compris les menaces potentielles pesant sur votre environnement Domino ® , vous pouvez créer des stratégies pour protéger chaque partie de votre infrastructure informatique Domino ® . Cela peut inclure l’élaboration de politiques dans les domaines suivants :

  • Limites d'accès physique à vos serveurs
  • Accès et protection du réseau
  • Infrastructure de messagerie, grâce à l'utilisation de listes de contrôle d'exécution et de produits antivirus
  • Sécurité des applications, grâce au chiffrement et à la gestion des ACL
  • Gestion des clés de chiffrement, y compris la récupération des identifiants
  • Formation des utilisateurs aux règles et technologies de sécurité organisationnelles
  • Rapport d'incident de sécurité

Pour plus d’informations sur le contrôle des modifications, consultez les rubriques connexes.

Développer des procédures de gestion des incidents

Un incident est un événement imprévu et inattendu qui nécessite une action immédiate pour éviter une perte d'activité, d'actifs ou de confiance du public. Tous les plans de sécurité doivent comporter un élément de gestion des incidents, ainsi qu'un élément de retour d'information sur la manière dont les incidents ont été traités. Les commentaires aident à maintenir les plans et politiques de sécurité à jour.

Remarque : L'un des meilleurs documents décrivant l'importance de la gestion des incidents est le Guide de planification d'urgence pour les systèmes de technologie de l'information du National Institute of Standards and Technology (Publication spéciale NIST 800-34).

La gestion des incidents comprend :

  • Plans et méthodes de reporting des incidents
  • Procédures de réponse pour chaque type d'incident
  • Tests de réponse aux incidents

Une fois que vous aurez mis en place vos plans de gestion des incidents, vous serez mieux en mesure de déterminer vos besoins en matière de :

  • Journalisation Domino ®
  • Journalisation HTTP Domino®
  • Sauvegarde et restauration Domino ®
  • Paramètres de surveillance des événements Domino ®

Planifier et dispenser la formation des employés

Assurez-vous que vos utilisateurs savent que la sécurité est la responsabilité de chacun. En fonction des besoins de votre entreprise, vous devez former vos utilisateurs sur :

  • Bases de la sécurité Domino ®
  • Identifiants Notes ® et comment les protéger
  • Listes de contrôle d'exécution Notes ® et alertes de sécurité d'exécution
  • Utilisation du cryptage et comment crypter un message électronique
  • Qui appeler en cas de problème ou d'incident de sécurité.
Remarque : L'Institut national des normes et technologies a publié un document sur la relation entre la sensibilisation à la sécurité, la formation et l'éducation, intitulé Information Technology Security Training Requirements: A Role- and Performance-Based Model (NIST Special Publication 800-16).

Maintenir les processus à jour

Cette étape est normalement la plus difficile, mais elle est aussi critique que toutes les autres étapes. Prenez le temps d’établir un programme qui examinera régulièrement les processus et procédures de sécurité. Assurez-vous de lier l’évaluation à la formation des employés. Si des changements sont apportés, la formation des employés devra peut-être être mise à jour.