Les SI sont susceptibles d’être constitués eux-mêmes de plusieurs SI : systèmes distants, locaux, mobiles, réseaux de télécommunications. Des choix sont alors à faire sur leur architecture d’ensemble : types de SI à prévoir ou à faire évoluer, fonctions des différents SI, informations qu’ils gèrent, régime de propriété, nombre, implantation, capacités de traitement et de stockage des informations, modalités de communication, d'interfonctionnement, architecture de sécurité de l’ensemble.
Certains choix portent sur l’ensemble des SI de l’entreprise.
Pour simplifier la présentation, on ne distinguera pas architecture et urbanisme des SI.
Les SI sont parfois constitués d’un seul équipement. Ils contiennent, ou sont destinés à contenir des informations numériques. Ils appartiennent à l'entreprise, en totalité ou en partie, ou sont mis à sa disposition, sont partagés avec d'autres entreprises.
Les choix traités ci-après constituent la base de la définition de l'architecture de chaque type de SI, ou de la consultation de fournisseurs externes de services de mise à disposition de SI.
1) Des systèmes locaux, mobiles, sont susceptibles d’être retenus pour des fonctions autonomes, ainsi que pour l’accès à des réseaux de télécommunications, des systèmes distants : postes de travail des utilisateurs, téléphones mobiles, machines, moyens de transport, objets connectés…
Des options sont à prendre sur l’utilisation professionnelle des équipements personnels des employés.
2) Des réseaux de télécommunications sont à utiliser pour échanger des informations avec l’extérieur (clients, fournisseurs, partenaires…). Les réseaux de télécommunications sont aussi utilisés pour la communication interne de l’entreprise, pour interconnecter ses SI. Leur nature (réseaux téléphoniques, Internet, réseaux sociaux, professionnels…), leurs caractéristiques attendues relèvent de la définition des besoins.
Des choix sont à faire entre réseaux fixes ou mobiles, satellitaires, privés ou publics…
3) Certains systèmes distants externes sont choisis par les donneurs d’ordres pour obtenir des données numériques, acheter des produits et services… Leur choix relève de la définition des besoins.
4) La nature des SI mis à la disposition des clients externes dépend de celle des offres de produits et services comportant des éléments numériques : réseaux de télécommunications, SI distants, accessibles par Internet, systèmes locaux (par exemple distributeurs de billets)…
Elle dépend aussi des choix relatifs à la relation numérique avec les clients.
Les fonctions attendues des SI, les informations qu’ils ont à stocker, sont à répartir entre les types de SI qui les constituent.
Stockage des informations
1) Les informations propres à un ou plusieurs utilisateurs, équipements, installés sur un même site, sont susceptibles d'être stockées de façon permanente sur des systèmes locaux ou mobiles, s'ils ont la capacité nécessaire, ou sur un ou plusieurs systèmes distants. Dans le premier cas, des sauvegardes sont réalisables sur un système distant.
Les informations communes à des utilisateurs, équipements, installés sur plusieurs sites, ou à des utilisateurs, des équipements mobiles, sont stockées en général sur un ou plusieurs systèmes distants. Il en est de même pour les informations mises à disposition par des fournisseurs externes.
2) La répartition du stockage sur plusieurs SI distants, sur des sites différents, présente des avantages par rapport au stockage sur un seul SI : réduction possible des délais et des coûts des télécommunications, si les données sont réparties en sous-ensembles exploités de façon préférentielle par des utilisateurs, des équipements installés dans une même zone géographique ; moins de vulnérabilité aux attaques de type déni de service. Elle présente des inconvénients : plus grande difficulté pour la préservation de l’intégrité de l’ensemble des données stockées ; systèmes plus compliqués à construire, à exploiter, à faire évoluer.
3) La réplication des données sur plusieurs systèmes distants, par exemple plus proches des systèmes locaux ou mobiles, ou sur les systèmes locaux ou mobiles eux-mêmes, permet d'améliorer les performances, la fiabilité, la sécurité (par exemple en séparant les données pour l'interne et celles mises à la disposition d'utilisateurs externes), de réduire la vulnérabilité aux attaques de type déni de service, de regrouper des données de différentes origines pour des traitements d’analyse des données. Elle présente aussi des inconvénients : utilisation de ressources de stockage supplémentaires, augmentation du nombre des systèmes utilisés, systèmes plus compliqués à construire, à exploiter, à faire évoluer, plus de difficulté à assurer une stricte cohérence des données répliquées sur des sites différents.
Pour des raisons de sécurité, il est utile, voire nécessaire, de sauvegarder (donc de dupliquer) les informations sur des systèmes distants de secours.
Fonctions arithmétiques et logiques, de lecture/écriture
Des architectures distribuées, de type n-tier, sont souvent retenues, dans lesquelles les fonctions arithmétiques et logiques, de lecture/écriture des informations, sont réparties entre systèmes locaux, mobiles et distants. Elles s’appuient s’il y a lieu sur les choix précédents.
Les systèmes doivent disposer de la capacité de traitement nécessaire à l'exécution des fonctions. Des solutions de traitement distribué entre différents SI sont envisageables pour les fonctions nécessitant des capacités très importantes.
Des serveurs sont à implanter en local si les applications ne supportent pas la latence liée à une implantation à distance.
Lorsque des fonctions nécessitent des accès à des informations stockées, en lecture ou en écriture, il est parfois nécessaire qu'elles soient implantées sur le même système que ces informations, ou sur un système très proche.
Certains SI doivent être autonomes, et être capables de fonctionner sans liaison avec un réseau de télécommunications.
L'edge computing, utilisé pour l'IoT, permet le traitement des données reçues au plus près de leur saisie, et réduit les besoins de communication. Il est envisagé d'installer des mini data centers dans les antennes 5G.
Fonctions d’exploitation
Les SI comportent des fonctions d'exploitation : mise en fonctionnement, surveillance, pilotage, sécurité... Selon les cas, elles sont accessibles aux utilisateurs ou réservées à des professionnels du numérique, en local ou à distance. Certaines d’entre elles fonctionnent automatiquement.
La centralisation de l'exploitation des SI est très utile dans certains cas, voire indispensable, permet plus d'efficacité, des économies d'échelle. Elle nécessite des échanges d'informations, des possibilités de pilotage à distance, à partir d'une plateforme. Des choix sont à faire sur la répartition des fonctions d'exploitation entre les SI, les modalités d'échange d'informations, d'interfonctionnement entre les SI et la plateforme centrale.
Des centres opérationnels de sécurité (SOC - security operation center) sont parfois à mettre en place.
Plateformes techniques
Des plateformes d’intermédiation technique, construites à partir de middleware tels que les EAI, les ETL, sont susceptibles d’être mises en place entre les systèmes locaux, mobiles, distants, à faire interopérer. Les échanges sont en temps réel, en pseudo temps réel ou en temps différé. Ces plateformes permettent de centraliser les flux, les traitements d’échange, de gérer plus facilement les évolutions, de garder des traces des échanges réalisés, d’utiliser des logiciels standard, et donc de réduire les coûts d’exploitation et de maintenance correspondants. Elles constituent des SPOF, et doivent donc être doublées si nécessaire.
Systèmes de secours
Des systèmes de secours sont souvent mis en place pour les systèmes distants. Ils sont en général mis à disposition par des fournisseurs tiers. Pour les systèmes critiques, des solutions « deux plus un » sont envisageables (deux sites assez proches, et le troisième plus éloigné).
Les systèmes locaux sont parfois secourus. Ces solutions sont coûteuses, parce qu’il n’existe pas sur le marché d'offres de systèmes locaux mutualisés. Elles sont à associer à des solutions d’hébergement des utilisateurs. Elles sont indispensables dans le cas où la disparition de systèmes locaux, par exemple en cas d’incendie, d’inondation, aurait des conséquences insupportables pour l’entreprise (cas des salles de marché des banques, du contrôle de la navigation aérienne, des plateformes d’exploitation de grands réseaux, de grands systèmes...).
Les informations numériques à stocker, à gérer par l’entreprise, sont des données ou des informations techniques (programmes, paramètres, documentation…). Les choix d’architecture générale correspondants sont fondés sur une description de leur structure.
Un dictionnaire, un référentiel des données de l’entreprise est parfois à mettre en place.
1) Il est souhaitable de définir une architecture générale des informations numériques de l’entreprise, en vue d’assurer les cohérences nécessaires, de mettre en place les liens nécessaires, d’éviter les redondances inutiles.
Les architectures EII (enterprise information integration) permettent d’utiliser une vue logique unifiée de l’ensemble des informationsd’une entreprise. Leur mise en place répond à un besoin réel (surtout des grandes ou très grandes organisations), plus ou moins important selon les catégories d’informations. Les projets sont tellement gigantesques et complexes que cette mise en place risque d’être progressive, et toujours recommencée.
Une architecture des données de référence (MDM) répond à des besoins pratiques des entreprises, parfois à des obligations juridiques, surtout dans les cas de rapprochement d’entreprises, ou de consolidation de SI construits par des entités décentralisées. Les données de référence sont relatives le plus souvent aux clients, aux articles, aux produits, aux comptes, aux employés, collaborateurs, aux fournisseurs. Elles sont fréquemment traitées par des systèmes différents.
Il est nécessaire de définir quelles sont les données mises en commun au niveau de l'entreprise, et celles qui restent au niveau des entités propriétaires, si les API d'accès aux données sont mises en commun.
Il est rare que toutes les informations de l’entreprise soient stockées sur la base d’une seule solution technique. Des sous-ensembles homogènes d’informations sont en général définis, dans lesquels les solutions techniques retenues sont identiques, pour un seul ou pour plusieurs SI.
Des solutions de virtualisation des données permettent d'offrir un accès facile à l'ensemble des données d'une entreprise. Pour l'utilisateur, tout se passe comme si les données étaient stockées sur une plateforme commune avec une technologie commune, alors que dans la réalité les plateformes physiques et les technologies sont distinctes. Les silos sont cassés logiquement.
2) Des entrepôts de données sont parfois mis en place, alimentés à partir de plusieurs systèmes de l’entreprise. Des extraits d’entrepôts généraux sont utilisés à des niveaux décentralisés. Les données stockées dans l’ensemble de l’organisation doivent être cohérentes.
3) Des data lakes centraux sont utilisés par les fonctions d'IA. Ils permettent de croiser l’ensemble des données de l’entreprise pour les valoriser. Il est parfois souhaitable de les décentraliser.
Les architectures de type data mesh sont fondées sur la constitution d’une fédération de domaines de données. La donnée est considérée comme un produit. Chaque domaine a un propriétaire, un groupe d’experts métier associé. La gouvernance de l’ensemble est fédérée. Les infrastructures contenant les données sont utilisables en self-service.
4) Dans les architectures centrées sur les données (data centric), une plateforme centrale gère de façon structurée les données de l’entreprise, et fournit des services aux autres systèmes (clients). Le serveur correspondant est passif. Tous les clients utilisent la même structure centrale, qui doit être stabilisée.
Ce type d'architecture est à mettre en place dans le cas où les fonctions des systèmes se fondent sur un ensemble de données unique, et obligatoirement cohérent.
5) Des data hubs permettent de mettre en place un répertoire de données central et unifié qui connecte les SI de l’entreprise, et permet d’accéder aux données qu’ils gèrent.
6) Des solutions sont à l’étude par les acteurs du cloud pour proposer aux clients une architecture des données unifiée, intégrée, simple d’utilisation (cloud data platform).
7) La conservation d’un historique de données élémentaires sur les activités de l’entreprise est souvent susceptible de permettre l’optimisation des campagnes marketing, des processus…
Pour certains SI, des choix sont à faire entre l’utilisation de SI appartenant à l'entreprise ou mis à sa disposition par des fournisseurs externes. Les SI mis à disposition sont mutualisés ou dédiés à l'entreprise. Les entreprises ont parfois la possibilité d'installer leurs logiciels sur des SI mis à leur disposition.
Le cas des SI appartenant juridiquement à des sociétés de leasing, mais maîtrisés sur le plan technique par les entreprises clientes, est assimilé à celui des SI appartenant aux entreprises.
Systèmes locaux, mobiles
Les systèmes locaux, mobiles, appartiennent en général à l’entreprise.
Réseaux de télécommunications numériques
1) Les entreprises clients finals utilisent des réseaux de télécommunications numériques publics, mutualisés, mis à leur disposition par des opérateurs, pour leurs communications externes et internes.
Elles utilisent également des réseaux de télécommunications numériques privés, pour elles-mêmes, ou réservés à un groupe fermé d'utilisateurs. Les liaisons filaires ou sans fil nécessaires sont louées à des opérateurs externes. Les entreprises utilisent les protocoles de communication, les équipements de réseau qu'elles choisissent.
Les très grands utilisateurs construisent de plus en plus souvent des liaisons (câbles sous-marins, satellites, drones...) pour leur propre usage. C’est plus rentable pour eux que d’acheter de la bande passante. Ils s’associent parfois à des opérateurs de télécommunications, qui ont l’expérience, le savoir-faire en termes de relations avec les autorités de régulation, de maintenance et de gestion des câbles, de vente de bande passante.
2) Les opérateurs de télécommunications ont toujours utilisé, par obligation, des réseaux mis à disposition par d’autres opérateurs. Dans certains contextes, ils ont le choix entre construire des réseaux de télécommunications numériques, ou des parties de réseau, ou utiliser des réseaux mis à leur disposition par d’autres opérateurs, ou mutualisés. La mutualisation porte sur les parties actives (RAN Sharing) ou passives du réseau.
L’installation des réseaux de télécommunications numériques est en générale soumise à l’autorisation des pouvoirs publics, à l’octroi d’une licence. Des financements publics sont accordés pour certaines opérations.
Systèmes distants
Si des offres sont disponibles, les entreprises ont le choix entre construire des systèmes distants qui leur appartiennent, ou qu'elles partagent avec d'autres entreprises, ou utiliser des systèmes mis à leur disposition par un ou plusieurs fournisseurs (services de cloud computing ou cloud storage, d'hébergement de sites web, de secours...).
Selon la nature des services (IaaS, PaaS ou SaaS, cloud mutualisé, privé ou hybride, stockage de données…), elles utilisent des logiciels des fournisseurs ou les leurs. Dans les cas du recours partiel au cloud, du cloud hybride, du recours aux services de plusieurs fournisseurs, des solutions sont à mettre en place pour la cohérence d'ensemble, la possibilité et la facilité d’arbitrages et de transferts entre les environnements, le pilotage global de la sécurité. Disposer de machines virtuelles sur les équipements internes facilite cette gestion.
Plus généralement, les architectures cloud native permettent une meilleure exploitation des possibilités du cloud.
Lorsque le choix est possible, l’utilisation de SI mis à disposition évite des investissements. Les SI mis à disposition sont souvent mutualisés, leur utilisation est parfois facturée sur la base des consommations, les entreprises clientes bénéficient des investissements effectués par les fournisseurs de services pour la constitution des data centers. Des accords entre fournisseurs de cloud et opérateurs de réseaux permettent de fournir un service où le coût de la bande passante est intégré à la tarification à l'usage.
Les investissements sont financés par les fournisseurs de services, ou partagés. Les solutions sont souvent flexibles, agiles, souples, adaptables aux besoins de capacité des entreprises, aux durées d'utilisation souhaitées. Elles sont plus rapidement mises en place. Les activités numériques nécessaires sont réalisées par des fournisseurs dont c'est le cœur de métier. Les entreprises clientes ne sont plus obligées de gérer les licences et l'infrastructure.
Les solutions externes sont parfois des moteurs d'innovation, en matière de conformité, d’interopérabilité, d’intégration des données. Elles sont susceptibles d’inclure la mise en place d’une architecture à base de microservices, de conteneurisation et serverless. Le cloud permet d’améliorer les performances, la scalabilité, d’internationaliser, d’utiliser des SI dans des pays où une implantation de grands systèmes n’est pas envisageable.
Ces solutions présentent aussi des inconvénients. Les entreprises clientes deviennent plus dépendantes de leurs fournisseurs. Elles subissent les évolutions de l’environnement technique décidées par le fournisseur de services. Les SI mis à disposition, en particulier les clouds publics, sont plus difficiles à contrôler par les entreprises clientes, pour leur disponibilité, leurs performances, leur coût, leur sécurité, la protection des informations. La comparaison des coûts avec les solutions internes est délicate. La généralisation du cloud entraîne parfois une envolée des coûts. L’évolutivité des logiciels mis à disposition est parfois plus limitée que celle des logiciels appartenant à l'entreprise. Les entreprises clientes ne contrôlent plus obligatoirement l'implantation géographique de leurs données, ce qui est susceptible de poser des problèmes juridiques. Les obligations, légales ou de fait, des fournisseurs de services relatives à la communication à leur gouvernement des informations de leurs clients sont à prendre en compte.
Les performances ne sont pas toujours conformes aux attentes. Les migrations sont parfois complexes. L’entreprise perd des compétences internes. Les conditions contractuelles ne sont pas toujours satisfaisantes pour les clients. Le suivi des coûts n'est pas toujours facile. Les conditions de réversibilité ne sont pas toujours définies. Les entreprises clientes sont obligées de faire confiance à leurs fournisseurs dans beaucoup de domaines.
Les structures de partenariat, quant à elles, sont susceptibles de présenter des difficultés de gestion.
Le cloud est parfois plus sécurisé techniquement que les solutions internes, en particulier contre les attaques en déni de service. Il l'est parfois moins (cloud public, absence de systèmes de secours, pas de réalisation de sauvegardes des données...).
Les coûts et délais d’un éventuel changement de cloud, ou d’un rapatriement sur des systèmes internes, sont à prendre en compte.
Systèmes locaux, mobiles
Le nombre et la nature des équipements, des systèmes, leur implantation géographique, sont fonction de la définition des besoins.
Réseaux de télécommunications numériques
1) Les entreprises clients finals utilisent souvent plusieurs réseaux de télécommunications, mis à disposition par plusieurs opérateurs. Pour les liaisons internationales, des opérateurs proposent d'assurer une couverture réseau mondiale. Le choix de ce type de service dépend de la qualité (réseau sans couture...), du prix, de l'existence ou non dans l'entreprise d'une équipe capable de gérer efficacement le recours à des fournisseurs multiples.
2) Selon les cas, les réseaux numériques publics mis en place par les opérateurs de télécommunications sont des réseaux par pays ou des réseaux de transport entre les pays, terrestres, satellitaires, sous-marins. Dans un pays, il existe souvent des réseaux fixes, mobiles, de diffusion de la télévision et de la radio numériques, fondés sur des protocoles comme ceux de l'Internet, de la téléphonie.
Les opérateurs de réseaux mobiles installent leurs antennes de façon à couvrir au mieux la zone géographique qui leur est allouée.
Systèmes distants
1) Les entreprises recourent à des services de mise à disposition de SI distants fournis par un ou plusieurs fournisseurs (stratégie multi-cloud).
Elles définissent parfois des contraintes géographiques pour l'implantation de leurs données.
2) Les entreprises implantent s'il y a lieu un ou plusieurs systèmes distants leur appartenant.
Le choix de leurs sites d'implantation s’appuie sur des critères tels que distance moyenne par rapport aux systèmes locaux, mobiles, caractéristiques des réseaux de télécommunications numériques disponibles pour y accéder, temps d'accès nécessaires aux informations, nature des traitements à réaliser, sécurité des implantations, température moyenne (l’implantation de data centers dans les régions froides permet de réduire les coûts de climatisation), coûts immobiliers, possibilités d'économies d'échelle par la constitution de grands data centers.
3) Dans les architectures de "grille informatique", les ordinateurs constituant la grille sont parfois installés sur des systèmes distants différents.
Pour les systèmes utilisés pour la recherche scientifique, il est souvent nécessaire que, pour des raisons de performances, les processeurs et les serveurs de données soient installés sur un même site, et reliés par des réseaux locaux à haut débit et faibles latences de communication.
1) Pour l’interconnexion de leurs systèmes locaux, mobiles, distants, les clients finals utilisent des réseaux de télécommunications publics ou privés, parfois des réseaux sécurisés. Si les volumes, les besoins de confidentialité le justifient, les entreprises mettent en place des réseaux privés internes de télécommunications (WAN), s'appuyant sur des réseaux publics.
Les réseaux privés sont parfois fondés sur l’utilisation de liaisons spécialisées. Des choix sont alors à faire par les entreprises parmi les protocoles de communication supportés par les réseaux de télécommunications, les équipements, les logiciels disponibles sur le marché. Il est rare qu’elles choisissent des protocoles spécifiques.
Dans beaucoup de cas, les protocoles de communication sont imposés à l’entreprise : protocoles de la téléphonie, utilisés par les fournisseurs de services de mise à disposition de SI, réseaux professionnels…
Les protocoles de l'Internet sont les plus utilisés. Internet a été conçu pour faire communiquer des réseaux construits selon des architectures différentes. Par ailleurs, la commutation de paquets est un mode de transmission des informations numériques qui permet d’augmenter le débit des liaisons mises en place, et donc de mieux rentabiliser les investissements réalisés.
Le protocole Ethernet est utilisable dans les réseaux étendus pour interconnecter les réseaux locaux. Il permet de généraliser à l’ensemble des réseaux les avantages d’Ethernet : simplicité, facilité de gestion, faible coût des équipements de réseau, haut débit, interopérabilité avec de nombreux équipements.
Par rapport à MPLS, le recours aux SD-WAN permet notamment d’optimiser l’utilisation de la bande passante, d’augmenter la fiabilité.
2) Les protocoles de communication entre les réseaux de télécommunications numériques sont standard. Les opérateurs de télécommunications cherchent à rationaliser ceux qu'ils utilisent.
Des choix sont à parfois faire sur les protocoles d’interopérabilité entre systèmes locaux, mobiles, distants. Ils s'appuient sur les choix précédents. L'interfonctionnement de différents clouds, construits selon des architectures différentes, demande une attention particulière, et présente des contraintes.
Dans beaucoup de cas, les protocoles d’interopérabilité sont imposés à l’entreprise : protocoles utilisés par les fournisseurs de services de mise à disposition de SI, réseaux professionnels…
Les systèmes comportent des fonctions de pilotage à distance d'autres systèmes, de demande de services.
1) L'exécution de certaines fonctions nécessite parfois l'appel à d'autres fonctions implantées sur des systèmes différents, hétérogènes, reliés par un réseau WAN, l'accès à des données réparties, communes. Des ressources communes (puissance machine, bases de données, plateformes d’intégration...) sont sollicitées.
La mise en place d'une architecture orientée services entre les systèmes contribue à la maintenabilité, à l'évolutivité de l'ensemble des SI, à la maîtrise de sa complexité.
Les fonctions à appeler sont souvent accessibles à partir d'une API (application programming interface) de niveau supérieur, masquant leur détail, l'hétérogénéité de l'environnement, rendant transparente la répartition des traitements et des données entre les systèmes. Elles optimisent le fonctionnement des systèmes, réseaux. Des middleware sont utilisés.
Les protocoles d’interopérabilité sont standard ou spécifiques (client-serveur, HTTP, LDAP, EDI, protocoles du domaine financier…).
Le langage XML (Extensible Markup Language) permet de définir de façon normalisée les formats d’échange de données applicatives.
2) Dans les architectures client/serveur, certains systèmes sont des clients, demandeurs de services, et d'autres sont des serveurs.
Dans les architectures pair à pair (peer-to-peer), chaque système est à la fois client et serveur. Les systèmes utilisés appartiennent parfois à des entreprises différentes. Ce type d’architecture a des propriétés intéressantes. Sa sécurisation n'est pas facile.
3) Certains logiciels standard sont implantés sur plusieurs systèmes. Ils incluent un protocole de demande de services à fournir entre logiciels implantés sur des systèmes différents. Les logiciels spécifiques doivent prévoir des solutions équivalentes.
Une cybersécurité cohérente, unifiée, est à construire pour les SI, incluant les services externes (par exemple de cloud). Elle permet une réaction plus efficace aux attaques, en temps réel. Des approches zero trust sont mises en œuvre : tout vérifier… y compris chez les fournisseurs externes, les partenaires…
1) Des systèmes de secours sont mis en place (cf. ci-dessus).
2) Pour des raisons de sécurité, les systèmes mis à la disposition des clients, des utilisateurs externes, sont en général des systèmes distincts. Certains utilisateurs internes sont parfois assimilés à des utilisateurs externes. Les systèmes pour les utilisateurs externes ne permettent pas l'accès à ceux réservés aux utilisateurs internes (mise en place d’une zone démilitarisée - DMZ).
Si les liaisons entre les SI internes de l’entreprise, du groupe, sont souvent utiles, elles présentent aussi des risques à prendre en compte. Un découpage en zones indépendantes rend les intrusions plus difficiles, permet de protéger les systèmes réservés à certaines équipes.
3) Des choix d'architecture sont à faire sur la sécurité des télécommunications.
Les exigences de sécurité conduisent parfois à choisir d'utiliser des protocoles de communication d’informations sécurisés. HTTPS, par exemple, est la variante du protocole HTTP sécurisée par chiffrement. Dans les réseaux VPN (virtual private network), les informationssont transmises entre les réseaux locaux interconnectés, ou à partir d’accès distants, selon des protocoles dits de tunneling,d’encapsulation et de chiffrement, tels que IPSec.
Les opérateurs proposent des solutions d’accès sécurisé aux réseaux de télécommunications numériques, fondées sur la mise en place d’accès redondants. Ils sont susceptibles de prendre des engagements de disponibilité.
Dans les réseaux IP, les méthodes d’acheminement tiennent compte automatiquement de l’indisponibilité d’une partie du réseau. Les informations sont acheminées via les liaisons disponibles.
4) Pour protéger les SI, des fonctions d'antivirus, de contrôle des communications numériques avec l’extérieur, sont implantées sur les systèmes distants qui sont en contact direct avec des réseaux de télécommunications numériques publics, ou sur les systèmes mobiles, locaux. Ceci suppose de définir les limites de l'environnement cible, en sachant que les ensembles de SI ont tendance à être de plus en plus ouverts à toutes sortes d'équipements numériques.
Des fonctions complémentaires de défense en profondeur sont à envisager sur tous les systèmes, utiles en cas de rupture de la première ligne de défense, telles que les fonctions de détection d'intrusions, de contre-mesures.
5) La sauvegarde des données est à organiser, sur les systèmes locaux ou sur des systèmes distants. Les sauvegardes sont automatiques ou manuelles.
Un système cohérent de sauvegardes doit être adapté aux caractéristiques techniques des équipements utilisés, au nomadisme. Des fonctions de déduplication permettent de diminuer le volume des données à stocker ou à transmettre.
6) Des systèmes de SIEM (security information and event management) analysent toutes les sources disponibles sur l'activité du SI (principalement les journaux), identifient les événements anormaux, susceptibles de présenter un risque pour l'entreprise, ou une atteinte à sa sécurité, et les transmettent à l'administrateur du SI. Ils sont reliés aux systèmes de production.
Aucun commentaire:
Enregistrer un commentaire