Comment rebondir avec efficacité après un sinistre

Trouver un responsable informatique qui accepte de parler d'un échec est très difficile ; il est plus facile de le convaincre de parler de ses succès. Pourtant, les obstacles sont formateurs et peuvent permettre de prévenir un dommage potentiellement plus grave grâce à l'expérience acquise. Ajoutons que parler des situations difficiles est un acte de courage.Le cas de SPB, société havraise de courtage en assurances, est intéressant à plus d'un titre pour les RSSI et responsables informatiques. Après un obstacle majeur, elle a su réagir, afin de proposer ensuite à ses clients des éléments de sécurité différenciateurs. Elle démontre ainsi que, de mal nécessaire, la sécurité est devenue un avantage concurrentiel indexé à la qualité de service.Tout a commencé en avril 2002. Le ver Klez?"H a paralysé les postes de travail de quatre cent soixante personnes de SPB pendant une semaine. ' Notre protection antivirale de l'époque s'appuyait sur LAN Protect d'Intel côté serveurs et stations, et les définitions s'arrêtaient à la variante G du ver..., explique Bruno Hinfray, directeur des infrastructures techniques et RSSI de SPB. On manquait d'expérience dans les sinistres. Sous pression, on a cherché à redémarrer trop vite. Notre premier master contenait le ver. 'Cela a évidemment coûté de l'argent à l'entreprise. La direction générale a validé des investissements conséquents : pas moins de cinq protections antivirales ont été mises en ?"uvre par la suite. ' Nous sommes devenus totalement paranoïaques dans ce domaine, note Bruno Hinfray. Les antivirus étaient toutefois insuffisants pour un niveau de protection adéquat. La sécurité aux extrémités n'était pas satisfaisante. Il fallait amener la sécurité au niveau du réseau et dans le transport d'information. 'Le métier de SPB évolue dans le même temps. Son centre de contacts élargit ses plages horaires : de 7 h à 20 h, 6 jours sur 7, avec la perspective de passer en 24 heures sur 24, 7 jours sur 7. ' Les produits d'assurance ressemblent de plus en plus à de l'assistance. Le métier s'oriente fondamentalement vers le service ', confirme le RSSI.

Elaboration d'une charte informatique

Pour amener la sécurité au niveau du réseau, l'entreprise s'est tournée vers l'équipementier Enterasys Networks. ' En 2005, année où nous avons retenu son architecture Secure Networks, Enterasys était le seul à afficher un discours très factuel : au premier événement anormal, on coupe la branche qui ne va pas ', se souvient Bruno Hinfray.Analyse du réseau, détection et blocage sont opérés en s'appuyant, entre autres, sur Dragon, l'IDS?"IPS d'Enterasys. SPB utilise aussi Sentinel (disponible sous la forme d'appliances ou de cartes filles) pour instrumentaliser le réseau. Sentinel requiert une qualification des flux réalisés par les équipes de la société havraise (une vingtaine de personnes pour la partie infrastructure).Ces divers outils d'Enterasys ont déjà permis de bloquer des tentatives de piratage en interne, comme l'usurpation de comptes ou la falsification du pointage. SPB envisage la mise en place d'un système d'authentification unique dans les applications tout d'abord, puis en lien avec la biométrie. Les collaborateurs de l'entreprise signent également une charte informatique qui a été élaborée en collaboration avec Me Philippe Bazin, avocat au cabinet Emo Hébert & Associés. La suite logicielle de Websense sert, quant à elle, au filtrage du contenu. La politique de sécurité mise en ?"uvre est de tout connecter. Certains abus graves ont d'ailleurs conduit à des sanctions disciplinaires lourdes.SPB s'est doté en 2006 d'un réseau double c?"ur en étoile et maillé d'Enterasys (Matrix N7 et E7), qui lui permettra d'évoluer en voix sur IP. ' L'évolution de notre centre de contacts passera par la voix sur IP. Il est fondamental de pouvoir garantir la prioritisation de la voix sur l'ensemble des autres flux et de la sécuriser ', explique Bruno Hinfray.Le courtier en assurances travaille depuis trois ans sur un plan de continuité de service. ' C'est un véritable argument de vente pour nos clients. Cela implique une forte anticipation. En cas d'arrêt de 50 % de SPB, comment garantir le même niveau de service ? ', poursuit le responsable des infrastructures techniques.

SPB a choisi d'être son propre hébergeur

La société possède deux salles informatiques et a choisi d'être son propre hébergeur. Les salles informatiques sont opérées par une double adduction en fibre optique auprès de l'opérateur Neuf Cegetel, avec une garantie de temps de rétablissement de deux heures. L'année 2007 devrait voir un renforcement de la sécurité sur le poste client avec l'adjonction d'un HIPS, le pare-feu de Windows XP étant jugé insuffisant.Côté téléphonie sur IP, afin d'opérer une meilleure interaction entre le client et les applications dédiées du centre de contacts, la SPB a opté pour un PBX?"IP d'Alcatel et un outil logiciel de Genesys. Le trafic de téléphonie sur IP se situe dans un VLan dédié. Les téléphones d'Alcatel sont authentifiés via le standard 802.1X.' On propose de l'assistance et on est jugé sur la qualité de service, constate Bruno Hinfray. Toutes ces évolutions d'infrastructures et sécuritaires n'ont été possibles que parce que la direction générale a joué un rôle moteur dans le projet. Sinon, elle n'aurait pas débloqué les budgets nécessaires, et nous n'aurions pas autant progressé. Aujourd'hui, le niveau de service et de sécurité devient un argument concurrentiel pour séduire nos clients. '