Présentation de la société

Présentation générale de la société

Truc est une société française de vente, spécialisée dans l'ecommerce (vente en ligne) de produits. Elle est actuellement constituée de 4 personnes, travaillant bénévolement. Son capital est de 0€ ( ≈ 0$ ).
TODO: Trouver un nom à la société

Structure de la société

Actuellement, nos employés n'ont pas encore été affectés à un service particulier. Cette structuration fera l'objet d'un entretien futur (lorsqu'un spécialiste en ressources humaines aura rejoint notre brillante équipe).
TODO: organigramme de la société, liste des responsabilités, …

Clientèle

Notre société n'étant pas encore mise en place, nous ne disposons d'aucune donnée sur d'éventuels clients. À part le fait que ces clients devront disposer d'un accès à Internet.

Fonctionnement

Fonctionnement de la société

Structure informatique

Le parc informatique est constitué de 3 machines, dont l'utilisation reste à formaliser.
Ces machines devront fournir:

  • un service Web, qui fournira l'interface de consultation et de commande de nos produits pour le client;
  • une base de données, qui contiendra l'ensemble des informations nécessaires au fonctionnement du site Web;
  • une PKI, qui fournira les outils d'authentification et de chiffrement pour la sécurisation des paiements (entre autre). Celle-ci sera constituée de:
    • un accès Web, permettant l'administration de la PKI (peut-être inutile, à comparer avec le client PKI);
    • une base de données, nécessaire au stockage des différents certificats;

Seul le service Web d'ecommerce devrait être accessible depuis l'extérieur. Mais, étant donné que nous n'aurons pas forcément un accès physique aux machine, il sera peut-être nécessaire d'ouvir des accès distant pour l'administration, en particulier pour la base de données du site, et pour la PKI.
TODO: une fois que nous aurons défini l'utilisation des machines, il faudrait un schéma du SI, avec la répartition des serveurs (réel et fake), les OS, etc

Sécurité

Sécurité du système d'information

Aucune politique de sécurité n'a encore été rédigée.
Néanmoins, quelques principes ont été surlignés :
Kernel
- Une fois le tout consolidé, désactiver le chargement des modules
- Installation d'un 2.4 et 2.6 pour Linux
- Installation de SELinux (2.6), grsecurity (2.4), Bastille Linux (vieux ?)
- Regarder les réglages possibles du côté de systcl

Système & Réseau
- Activation du strict minimum au niveau des services
- Routage au niveau de localhost
- Installation d'un honeypot ssh (kojoney)
- Installation de deux serveurs web & bdd par serveurs, donc 1 fake et 1 réel
- Mise en place de conteneurs possible (chroot, openvz, jail, etc.) afin de bien cloisonner les différents systèmes mis en place (une sorte de virtualisation). Les conteneurs fakes pourront être sous le même réseau que l'hôte (192.168), et les réels dans un autre réseau (172.16)
- Mise en place de plusieurs adresses ip virtuelles si la mise en place de conteneurs n'est pas faite (web réel ecoute sur eth0:1, web fake écoute sur eth0:2 bdd réel écoute sur eth0:3, bdd fake écoute sur eth0:4, etc.)
- La mise en place d'un IDS de type snort nécessite souvent une phase d'apprentissage, afin de ne pas générer de faux positifs
- Mise en place d'une infrastructure mail de type postfix/dovecot (redondante surement, fake à voir)
- Installation de tripwire (vérification via des hash md5 de l'intégrité de /etc)
- Déporter une copie des logs sur les autres serveurs

Sécurité globale

Tout ce qui concerne la sécurité physique de la société ne nous concerne pas. Toutefois, il peut être intéressant de relever les différents risques physiques. Plus particulièrement lorsque nous rédigerons une PCA.

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License