Les entreprises utilisent des SI pour réaliser leurs activités, mettent souvent des SI à la disposition d’autres acteurs économiques (clients, partenaires…).
Les SI sont constitués d’équipements numériques, ou comportant des éléments numériques, de liaisons, de logiciels. Ils sont autonomes, ou intégrés à d’autres systèmes.
Les choix d’architecture d’ensemble des SI de l’entreprise portent sur la mise en place de nouveaux SI, ou sur des évolutions des SI existants : nature, fonctions des SI composant l’architecture, informations stockées, régime de propriété, nombre, implantation, modalités de communication, d'interfonctionnement, exploitabilité, sécurité. Pour simplifier la présentation, on ne distinguera pas architecture d’ensemble et urbanisme des SI.
Les choix sont parfois faits par étapes (architecture générale, détaillée…). Ils constituent la base de la définition de l'architecture des SI appartenant à l’entreprise, ou de la consultation de fournisseurs externes de services de mise à disposition de SI.
Nature, fonctions des SI, informations stockées
Répartition des fonctions, des informations entre les SI
1) Les SI à mettre en place, à faire évoluer, sont des systèmes locaux, mobiles, distants, des réseaux de télécommunications, ou des ensembles de tels SI. Ils sont parfois constitués d’un seul équipement, complètement ou partiellement numérique, ou intégrés à des systèmes comportant des éléments non numériques.
Ils contiennent des informations numériques. Ils appartiennent à l'entreprise, en totalité ou en partie, ou sont mis à sa disposition, sont partagés avec d'autres acteurs économiques.
Les fonctions numériques attendues sont réalisables par un seul SI, à partir des informations dont il dispose, sans relations avec d’autres SI de l’entreprise, ou par plusieurs SI associés, accédant parfois à des informations stockées dans des SI différents. Dans le deuxième cas, des choix d’architecture sont à faire sur la répartition des fonctions, des informations numériques, entre les différents SI.
2) Les fonctions attendues sont parfois à répartir entre systèmes locaux, mobiles et distants. Dans le cas des architectures distribuées de type 3-tier, des SI installés sur des sites différents ou mobiles sont susceptibles de traiter la présentation, les fonctions métier, l’accès aux données permanentes. Ce type de répartition induit des temps de traitement pas toujours acceptables.
Les systèmes doivent disposer de la capacité de traitement nécessaire à l'exécution des fonctions. Des solutions de traitement distribué entre différents SI sont envisageables pour les fonctions nécessitant des capacités très importantes.
3) Il est souhaitable de définir une architecture générale des informations numériques utilisées ou mises à disposition par l’entreprise, en vue d’assurer les cohérences nécessaires, de mettre en place les liens nécessaires, d’éviter les redondances inutiles ou nuisibles, de clarifier les responsabilités relatives aux différents ensembles d’informations, de sécuriser l’ensemble.
Il est nécessaire de définir quelles sont les données mises en commun au niveau de l'entreprise, et celles qui restent au niveau des entités propriétaires, si les API d'accès aux données sont mises en commun.
Des informations externes sont utilisées. Elles doivent être identifiées. Des liens sont éventuellement à définir avec les informations appartenant à l’entreprise.
Un dictionnaire, un référentiel des données de l’entreprise sont parfois à mettre en place. Des data hubs comportent un répertoire de données central et unifié qui connecte les SI de l’entreprise, et permet d’accéder aux données qu’ils gèrent.
Dans les architectures centrées sur les données (data centric), une plateforme centrale gère de façon structurée l’ensemble des données appartenant à l’entreprise, et fournit des services aux autres systèmes (clients). Le serveur correspondant est passif. Tous les clients utilisent la même structure centrale, qui doit être stabilisée.
Ce type d'architecture est à mettre en place dans le cas où les fonctions des systèmes se fondent sur un ensemble de données unique, et obligatoirement cohérent.
4) La répartition du stockage des informations de l’entreprise sur plusieurs SI, sur des sites différents, présente des avantages par rapport au stockage sur un seul SI : réduction possible des délais et des coûts des télécommunications, si les informations sont réparties en sous-ensembles exploités de façon préférentielle par des utilisateurs, des équipements installés dans une même zone géographique ; moins de vulnérabilité aux attaques de type déni de service. Elle présente des inconvénients : plus grande difficulté pour la préservation de la cohérence, de l’intégrité de l’ensemble des informations stockées ; systèmes plus compliqués à construire, à exploiter, à faire évoluer.
La réplication des informations sur plusieurs systèmes permet d'améliorer les performances, la fiabilité, la sécurité (par exemple en séparant les données pour l'interne et celles mises à la disposition d'utilisateurs externes), de réduire la vulnérabilité aux attaques de type déni de service, de regrouper des données de différentes origines pour des traitements d’analyse des données. Elle présente aussi des inconvénients : utilisation de ressources de stockage supplémentaires, augmentation du nombre des systèmes utilisés, systèmes plus compliqués à construire, à exploiter, à faire évoluer, plus de difficulté à assurer une stricte cohérence des données répliquées sur des sites différents.
5) Des solutions de virtualisation des données permettent d'offrir un accès facile à l'ensemble des données d'une entreprise. Pour l'utilisateur, tout se passe comme si les données étaient stockées sur une plateforme commune avec une technologie commune, alors que dans la réalité les plateformes physiques et les technologies sont distinctes. Les silos sont cassés logiquement.
Les architectures EII (enterprise information integration) permettent d’utiliser une vue logique unifiée de l’ensemble des informationsd’une entreprise. Leur mise en place répond à un besoin réel (surtout des grandes ou très grandes organisations), plus ou moins important selon les catégories d’informations. Les projets sont tellement gigantesques et complexes que cette mise en place risque d’être progressive, et toujours recommencée.
Une architecture des données de référence (MDM) répond à des besoins pratiques des entreprises, parfois à des obligations juridiques, surtout dans les cas de rapprochement d’entreprises, ou de consolidation de SI construits par des entités décentralisées. Les données de référence sont relatives le plus souvent aux clients, aux articles, aux produits, aux comptes, aux employés, collaborateurs, aux fournisseurs. Elles sont fréquemment traitées par des systèmes différents.
Les architectures de type data mesh sont fondées sur la constitution d’une fédération de domaines de données. La donnée est considérée comme un produit. Chaque domaine a un propriétaire, un groupe d’experts métier associé. La gouvernance de l’ensemble est fédérée. Les infrastructures contenant les données sont utilisables en self-service.
Il est rare que toutes les informations de l’entreprise soient stockées sur la base d’une seule solution technique. Des sous-ensembles homogènes d’informations sont en général définis, dans lesquels les solutions techniques retenues sont identiques, pour un seul ou pour plusieurs SI.
Des solutions sont à l’étude par les acteurs du cloud pour proposer aux clients une architecture des données unifiée, intégrée, simple d’utilisation (cloud data platform).
SI locaux, mobiles
1) Des SI locaux sont mis à la disposition des clients par certains fournisseurs de services (par exemple pour le retrait d’espèces, le commerce, la télésurveillance).
Pour réaliser leurs activités, les entreprises ont besoin de systèmes locaux, mobiles, constitués d’équipements, d’objets complètement ou partiellement numériques, parfois mis en réseau. Ils sont utilisés par le personnel de l’entreprise, comportent des capteurs d’informations… Ils réalisent complètement ou partiellement les fonctions numériques attendues, communiquent, fonctionnent si nécessaire avec des réseaux de télécommunications, des systèmes distants, d’autres systèmes locaux.
La nature des équipements, des objets, relève souvent de la définition des besoins. Des options sont à prendre sur la mise en place de réseaux locaux, d’équipements locaux mutualisés.
L'edge computing, utilisé pour l'IoT, permet le traitement des données reçues au plus près de leur saisie, et réduit les besoins de communication. Il est envisagé d'installer des mini data centers dans les antennes 5G.
Les systèmes locaux sont parfois secourus. Ces solutions sont coûteuses, parce qu’il n’existe pas sur le marché d'offres de systèmes locaux mutualisés. Elles sont à associer à des solutions d’hébergement des utilisateurs. Elles sont indispensables dans le cas où la disparition de systèmes locaux, par exemple en cas d’incendie, d’inondation, aurait des conséquences insupportables pour l’entreprise (cas des salles de marché des banques, du contrôle de la navigation aérienne, des plateformes d’exploitation de grands réseaux, de grands systèmes...).
Des sauvegardes sont réalisables sur un système distant.
Réseaux de télécommunications
Des réseaux de télécommunications, des éléments de réseaux sont mis à la disposition des clients par des opérateurs. Les fournisseurs d’autres services numériques utilisent des réseaux de télécommunications pour la diffusion de leurs données, pour permettre l’accès de leurs clients à leurs systèmes distants.
Les entreprises ont besoin de réseaux de télécommunications pour leur communication externe (clients, fournisseurs, partenaires…), interne, pour interconnecter les SI qu’elles utilisent, pour accéder à des systèmes externes, pour mettre des SI à la disposition d’acteurs externes.
La nature des réseaux (téléphonie, Internet, réseaux sociaux, professionnels…), leurs caractéristiques attendues (capacité, performances, sécurité…) relèvent de la définition des besoins ou des choix d’architecture.
Les architectures des réseaux prévoient parfois des solutions de secours en cas de rupture d’une liaison, d’indisponibilité d’un nœud…
Les réseaux stockent des informations liées aux télécommunications : annuaires, historique des transmissions effectuées, informations pour la facturation…
Systèmes distants
1) Des systèmes distants, comportant parfois des données numériques, sont mis à la disposition de clients par des fournisseurs de services numériques.
Les entreprises ont besoin de systèmes distants, internes ou externes, pour traiter, stocker leurs données numériques, accéder à des données numériques externes. Ils sont parfois mis à la disposition de fournisseurs, de partenaires…
Des systèmes de secours sont souvent mis en place pour les systèmes distants. Ils sont en général mis à disposition par des fournisseurs tiers. Pour les systèmes critiques, des solutions « deux plus un » sont envisageables (deux sites assez proches, et le troisième plus éloigné).
Pour les systèmes utilisés pour la recherche scientifique, il est souvent nécessaire que, pour des raisons de performances, les processeurs et les serveurs de données soient installés sur un même site, et reliés par des réseaux locaux à haut débit et faibles latences de communication.
Des data lakes centraux sont utilisés par les fonctions d'IA. Ils permettent de croiser l’ensemble des données de l’entreprise pour les valoriser. Il est parfois souhaitable de les décentraliser.
3) Les systèmes distants sont parfois à structurer en plateformes ouvertes, offrant des services modulaires de natures très diverses, supportées par exemple par des services externes de type PaaS.
Des choix sont à faire dans certains cas entre l’utilisation de SI appartenant à l'entreprise ou mis à sa disposition par des fournisseurs externes. Ces derniers sont mutualisés ou dédiés à l'entreprise. Les entreprises ont parfois la possibilité d'installer leurs logiciels sur des SI mis à disposition.
Le cas des SI appartenant juridiquement à des sociétés de leasing, mais maîtrisés sur le plan technique par les entreprises clientes, est assimilé à celui des SI appartenant aux entreprises.
Systèmes locaux, mobiles
Les systèmes locaux, mobiles, appartiennent en général à l’entreprise.
Des options sont à prendre sur l’utilisation professionnelle des équipements personnels des salariés.
Réseaux de télécommunications numériques
1) Les entreprises utilisent des réseaux de télécommunications numériques publics, mutualisés, privés, mis à leur disposition par des opérateurs, pour leurs communications externes et internes.
Elles utilisent également des réseaux de télécommunications numériques privés, pour elles-mêmes, ou réservés à un groupe fermé d'utilisateurs. Les liaisons filaires ou sans fil nécessaires sont louées à des opérateurs externes.
Les très grands utilisateurs mettent en place de plus en plus souvent des liaisons (câbles sous-marins, satellites...) pour leur propre usage. C’est plus rentable pour eux que d’acheter de la bande passante. Ils s’associent parfois à des opérateurs de télécommunications, qui ont l’expérience, le savoir-faire en termes de relations avec les autorités de régulation, de maintenance et de gestion des câbles, de vente de bande passante.
2) Les opérateurs de télécommunications utilisent leurs propres réseaux ainsi que des réseaux mis à disposition par d’autres opérateurs. Dans certains contextes, ils ont le choix entre construire des réseaux de télécommunications numériques, ou des parties de réseau, ou utiliser des réseaux mis à leur disposition par d’autres opérateurs, ou mutualisés. La mutualisation porte sur les parties actives (RAN Sharing) ou passives du réseau.
L’installation des réseaux de télécommunications numériques est en générale soumise à l’autorisation des pouvoirs publics, à l’octroi d’une licence. Des financements publics sont accordés pour certaines opérations
Systèmes distants
1) Les entreprises utilisent des systèmes distants mis à disposition par des fournisseurs de services pour accéder à des données numériques externes, aux SI de leurs fournisseurs, à des réseaux professionnels, des places de marché…
Le recours à ces systèmes est à contrôler en termes de sécurité, de protection des données de l’entreprise…
2) Pour leurs traitements internes, si des offres sont disponibles, les entreprises ont le choix entre construire des systèmes distants qui leur appartiennent, ou qu'elles partagent avec d'autres entreprises, ou utiliser des systèmes mis à leur disposition par un ou plusieurs fournisseurs (services de cloud computing ou cloud storage, d'hébergement de sites web, de secours...).
Selon la nature des services (IaaS, PaaS ou SaaS, cloud mutualisé, privé ou hybride, stockage de données…), elles utilisent des logiciels des fournisseurs ou les leurs. Dans les cas du recours partiel au cloud, du cloud hybride, du recours aux services de plusieurs fournisseurs, des solutions sont à mettre en place pour la cohérence d'ensemble, la possibilité et la facilité d’arbitrages et de transferts entre les environnements, le pilotage global de la sécurité. Disposer de machines virtuelles sur les équipements internes facilite cette gestion.
Plus généralement, les architectures cloud native permettent une meilleure exploitation des possibilités du cloud.
Lorsque le choix est possible, l’utilisation de SI mis à disposition évite des investissements. Les SI mis à disposition sont souvent mutualisés, leur utilisation est parfois facturée sur la base des consommations, les entreprises clientes bénéficient des investissements effectués par les fournisseurs de services pour la constitution des data centers. Des accords entre fournisseurs de cloud et opérateurs de réseaux permettent de fournir un service où le coût de la bande passante est intégré à la tarification à l'usage.
Les investissements sont financés par les fournisseurs de services, ou partagés. Les solutions sont souvent flexibles, agiles, souples, adaptables aux besoins de capacité des entreprises, aux durées d'utilisation souhaitées. Elles sont plus rapidement mises en place. Les activités numériques nécessaires sont réalisées par des fournisseurs dont c'est le cœur de métier. Les entreprises clientes ne sont plus obligées de gérer les licences et l'infrastructure.
Les solutions externes sont parfois des moteurs d'innovation, en matière de conformité, d’interopérabilité, d’intégration des données. Elles sont susceptibles d’inclure la mise en place d’une architecture à base de microservices, de conteneurisation et serverless. Le cloud permet d’améliorer les performances, la scalabilité, d’internationaliser, d’utiliser des SI dans des pays où une implantation de grands systèmes n’est pas envisageable.
Ces solutions présentent aussi des inconvénients. Les entreprises clientes deviennent plus dépendantes de leurs fournisseurs. Elles subissent les évolutions de l’environnement technique décidées par le fournisseur de services. Les SI mis à disposition, en particulier les clouds publics, sont plus difficiles à contrôler par les entreprises clientes, pour leur disponibilité, leurs performances, leur coût, leur sécurité, la protection des informations. La comparaison des coûts avec les solutions internes est délicate. La généralisation du cloud entraîne parfois une envolée des coûts. L’évolutivité des logiciels mis à disposition est parfois plus limitée que celle des logiciels appartenant à l'entreprise. Les entreprises clientes ne contrôlent plus obligatoirement l'implantation géographique de leurs données, ce qui est susceptible de poser des problèmes juridiques. Les obligations, légales ou de fait, des fournisseurs de services relatives à la communication à leur gouvernement des informations de leurs clients sont à prendre en compte.
Le maintien de la cohérence de l’architecture des SI de l’entreprise est susceptible de devenir problématique : utilisation de services numériques externes sans contrôle global, évolutions des services rendant l’ensemble incohérent, shadow IT…
Les performances ne sont pas toujours conformes aux attentes. Les migrations vers le cloud sont parfois lourdes, complexes et coûteuses. L’entreprise perd des compétences internes. Les conditions contractuelles ne sont pas toujours satisfaisantes pour les clients. Le suivi des coûts n'est pas toujours facile. Les conditions de réversibilité ne sont pas toujours définies. Les entreprises clientes sont obligées de faire confiance à leurs fournisseurs dans beaucoup de domaines.
Les structures de partenariat, quant à elles, sont susceptibles de présenter des difficultés de gestion.
Le cloud est parfois plus sécurisé techniquement que les solutions internes, en particulier contre les attaques en déni de service. Il l'est parfois moins (cloud public, absence de systèmes de secours, pas de réalisation de sauvegardes des données...).
Les coûts et délais d’un éventuel changement de cloud, ou d’un rapatriement sur des systèmes internes, sont à prendre en compte.
Systèmes locaux, mobiles
Le nombre et la nature des équipements, des systèmes locaux, mobiles, leur implantation géographique, sont fonction de la définition des besoins.
Réseaux de télécommunications numériques
1) Les entreprises utilisent souvent plusieurs réseaux de télécommunications, mis à disposition par plusieurs opérateurs. Pour les liaisons internationales, des opérateurs proposent d'assurer une couverture réseau mondiale. Le choix de ce type de service dépend de la qualité (réseau sans couture...), du prix, de l'existence ou non dans l'entreprise d'une équipe capable de gérer efficacement le recours à des fournisseurs multiples.
2) Les réseaux numériques publics mis en place par les opérateurs de télécommunications sont des réseaux par pays ou des réseaux de transport entre les pays, terrestres, satellitaires, sous-marins. Dans un pays, il existe souvent des réseaux fixes, mobiles, de diffusionde la télévision et de la radio numériques.
Les opérateurs de réseaux mobiles installent leurs antennes de façon à couvrir au mieux la zone géographique qui leur est allouée.
Systèmes distants
1) Les entreprises recourent à des services de mise à disposition de SI distants fournis par un ou plusieurs fournisseurs (stratégie multi-cloud).
Elles définissent parfois des contraintes géographiques pour l'implantation de leurs données.
2) Les entreprises implantent s'il y a lieu un ou plusieurs systèmes distants leur appartenant.
Le choix de leurs sites d'implantation s’appuie sur des critères tels que distance moyenne par rapport aux systèmes locaux, mobiles, caractéristiques des réseaux de télécommunications numériques disponibles pour y accéder, temps d'accès nécessaires aux informations, nature des traitements à réaliser, sécurité des implantations, température moyenne (l’implantation de data centers dans les régions froides permet de réduire les coûts de climatisation), coûts immobiliers, possibilités d'économies d'échelle par la constitution de grands data centers.
3) Dans les architectures de "grille informatique", les ordinateurs constituant la grille sont parfois installés sur des systèmes distants différents.
4) Des systèmes séparés sont parfois mis en place, sur le même site ou sur des sites différents, pour :
– les utilisateurs externes et internes ;
– des clients externes différents ;
– les utilisateurs finals et les professionnels du numérique ;
– plus généralement pour des systèmes qu’il est souhaitable de réserver à certaines catégories d’utilisateurs.
Communication entre systèmes
Pour la communication entre les systèmes qu’elles utilisent ou qu’elles mettent à disposition, les entreprises utilisent des réseaux de télécommunications publics ou privés, parfois des réseaux sécurisés. Les protocoles de communication choisis sont en général standard, souvent définis par les fournisseurs de services de mise à disposition de SI.
Les échanges d’informations entre les SI sont en temps réel, en pseudo temps réel (EAI) ou en différé.
Si les volumes, les besoins de confidentialité le justifient, les entreprises mettent en place des réseaux privés internes de télécommunications (réseaux étendus - WAN), s'appuyant sur des réseaux publics.
Les réseaux privés sont parfois fondés sur l’utilisation de liaisons spécialisées. Des choix sont alors à faire par les entreprises parmi les protocoles de communication supportés par les réseaux de télécommunications, les équipements, les logiciels disponibles sur le marché. Il est rare qu’elles choisissent des protocoles spécifiques.
Les protocoles de l'Internet sont les plus utilisés. Internet a été conçu pour faire communiquer des réseaux construits selon des architectures différentes. Par ailleurs, la commutation de paquets est un mode de transmission des informations numériques qui permet d’augmenter le débit des liaisons mises en place, et donc de mieux rentabiliser les investissements réalisés.
Le protocole Ethernet est utilisable dans les réseaux étendus pour interconnecter les réseaux locaux. Il permet de généraliser à l’ensemble des réseaux les avantages d’Ethernet : simplicité, facilité de gestion, faible coût des équipements de réseau, haut débit, interopérabilité avec de nombreux équipements.
Les protocoles de communication entre les réseaux de télécommunications numériques sont standard. Les opérateurs de télécommunications cherchent à rationaliser ceux qu'ils utilisent.
1) Des choix sont à parfois à faire sur les protocoles d’interopérabilité entre systèmes locaux, mobiles, distants. Ils s'appuient sur les choix précédents. L'interfonctionnement de différents clouds, construits selon des architectures différentes, demande une attention particulière, et présente des contraintes.
Dans beaucoup de cas, les protocoles d’interopérabilité sont imposés à l’entreprise : protocoles utilisés par les fournisseurs de services de mise à disposition de SI, réseaux professionnels…
L'exécution de certaines fonctions nécessite parfois l'appel à d'autres fonctions implantées sur des systèmes différents, hétérogènes, reliés par un réseau WAN, l'accès à des données réparties, communes. Des ressources communes (puissance machine, bases de données, plateformes d’intégration...) sont sollicitées.
Les fonctions à appeler sont souvent accessibles à partir d'une API (application programming interface) de niveau supérieur, masquant leur détail, l'hétérogénéité de l'environnement, rendant transparente la répartition des traitements et des données entre les systèmes. Elles optimisent le fonctionnement des systèmes, réseaux. Des middleware sont utilisés. Des fonctions de pilotage à distance d'autres systèmes, de demande de services sont nécessaires.
Les protocoles d’interopérabilité sont standard ou spécifiques (client-serveur, HTTP, LDAP, EDI, protocoles du domaine financier…).
Le langage XML (Extensible Markup Language) permet de définir de façon normalisée les formats d’échange de données applicatives.
2) Dans les architectures client/serveur, certains systèmes sont des clients, demandeurs de services, et d'autres sont des serveurs.
Dans les architectures pair à pair (peer-to-peer), chaque système est à la fois client et serveur. Les systèmes utilisés appartiennent parfois à des entreprises différentes. Ce type d’architecture a des propriétés intéressantes. Sa sécurisation n'est pas facile.
3) Certains logiciels standard sont implantés sur plusieurs systèmes. Ils incluent un protocole de demande de services à fournir entre logiciels implantés sur des systèmes différents. Les logiciels spécifiques doivent prévoir s’il y a lieu des solutions équivalentes.
Exploitabilité
Des choix sont à faire sur la mise en place de fonctions d’exploitation centralisées pour plusieurs SI, pour tous leurs éléments constitutifs, y compris ceux installés sur des sites distants, ainsi que sur la mise en place de fonctions communes pour les systèmes internes et les clouds. La centralisation de l'exploitation des SI est très utile dans certains cas, voire indispensable, permet plus d'efficacité, des économies d'échelle. Elle nécessite des échanges d'informations, des possibilités de pilotage à distance, à partir d'une plateforme. Des choix sont à faire sur la répartition des fonctions d'exploitation entre les SI, les modalités d'échange d'informations, d'interfonctionnement entre les SI et la plateforme centrale.
Sécurité
Une cybersécurité cohérente, unifiée, est à construire pour les SI d’une entreprise, incluant les services externes (par exemple de cloud). Elle permet une réaction plus efficace aux attaques, en temps réel. Des approches zero trust sont mises en œuvre : tout vérifier… y compris chez les fournisseurs externes, les partenaires…
1) Des systèmes de secours sont mis en place (cf. ci-dessus).
2) Pour des raisons de sécurité, les systèmes mis à la disposition des clients, des utilisateurs externes, sont en général des systèmes distincts. Certains utilisateurs internes sont parfois assimilés à des utilisateurs externes. Les systèmes pour les utilisateurs externes ne permettent pas l'accès à ceux réservés aux utilisateurs internes (mise en place d’une zone démilitarisée - DMZ).
Si les liaisons entre les SI internes de l’entreprise, du groupe, sont souvent utiles, elles présentent aussi des risques à prendre en compte. Un découpage en zones indépendantes rend les intrusions plus difficiles, permet de protéger les systèmes réservés à certaines équipes.
3) Des choix d'architecture sont à faire sur la sécurité des télécommunications.
Les exigences de sécurité conduisent parfois à choisir d'utiliser des protocoles de communication d’informations sécurisés. HTTPS, par exemple, est la variante du protocole HTTP sécurisée par chiffrement. Dans les réseaux VPN (virtual private network), les informationssont transmises entre les réseaux locaux interconnectés, ou à partir d’accès distants, selon des protocoles dits de tunneling,d’encapsulation et de chiffrement, tels que IPSec.
Les opérateurs proposent des solutions d’accès sécurisé aux réseaux de télécommunications numériques, fondées sur la mise en place d’accès redondants. Ils sont susceptibles de prendre des engagements de disponibilité.
Dans les réseaux IP, les méthodes d’acheminement tiennent compte automatiquement de l’indisponibilité d’une partie du réseau. Les informations sont acheminées via les liaisons disponibles.
4) Pour protéger les SI, des fonctions d'antivirus, de contrôle des communications numériques avec l’extérieur, sont implantées sur les systèmes distants qui sont en contact direct avec des réseaux de télécommunications numériques publics, ou sur les systèmes mobiles, locaux. Ceci suppose de définir les limites de l'environnement cible, en sachant que les ensembles de SI ont tendance à être de plus en plus ouverts à toutes sortes d'équipements numériques.
Des fonctions complémentaires de défense en profondeur sont à envisager sur tous les systèmes, utiles en cas de rupture de la première ligne de défense, telles que les fonctions de détection d'intrusions, de contre-mesures.
5) La sauvegarde des données est à organiser, sur les systèmes locaux ou sur des systèmes distants. Les sauvegardes sont automatiques ou manuelles.
Un système cohérent de sauvegardes doit être adapté aux caractéristiques techniques des équipements utilisés, au nomadisme. Des fonctions de déduplication permettent de diminuer le volume des données à stocker ou à transmettre.
6) Des systèmes de SIEM (security information and event management) analysent toutes les sources disponibles sur l'activité des SI (principalement les journaux), identifient les événements anormaux, susceptibles de présenter un risque pour l'entreprise, ou une atteinte à sa sécurité, et les transmettent à l'administrateur des SI. Ils sont reliés aux systèmes de production.
7) Des centres opérationnels de sécurité (SOC - security operation center) sont parfois à mettre en place.
Aucun commentaire:
Enregistrer un commentaire