La mise en oeuvre

existantes : des technologies serveurs, un modèle de conformité que le système peut faire respecter, des technologies d’isolation réseau (par exemple les VLANs), des outils de génération de rapports et d’analyse, la gestion de l’identité et la conformité, et les opérations (c'est-à-dire les personnes, les processus et les technologies).

Pour modéliser l’état de santé, on doit se poser les questions suivantes : Qu’est-ce qui doit être protégé ? Comment est-ce protégé actuellement ? Quelles politiques de santé existent ou ont besoin d’être créées ? Comment sont gérées ces politiques ? Quels sont les pré-requis de santé qui vont être exigés ? Et est-ce que l’organisation a l’adhésion de tous les groupes (administrateurs réseau, administrateurs sécurité, administrateurs postes de travail) pour se lancer ?

Après avoir modélisé l’état de santé, il faut définir les zones de politique de santé et les exemptions. Des exemptions de base sont fournies par défaut en fonction du type et du niveau de système d’exploitation. Les exemptions doivent être gérables, par exemple, en mettant en place un processus de documentation des exemptions afin de toujours savoir où sont les « trous », et il faut mettre en place des plans d’atténuation des exemptions. Peut-on isoler par d’autres moyens ?

Par exemple, faire une segmentation IP grâce à IPSec ou des VLANs. Le zonage de la politique de santé se fait en utilisant le profil de l’entreprise. Quels groupes ont besoin de quel accès à quelles données ? A-t-on besoin de divisions, qu’est-ce que l’on gère, a-t-on des employés distants ou des succursales ? L’équipe informatique est-elle centralisée ou décentralisée ? Quelles combinaisons de méthodes d’enforcement peuvent le mieux satisfaire les besoins de l’entreprise ? On doit également analyser l’infrastructure réseau sécurisée. A-t-on par exemple une infrastructure déjà en place qui pourrait prendre en charge les politiques de santé ? A-ton une PKI, quels sont les serveurs RADIUS et à quoi sont-ils utilisés ? Accès VPN ? Accès wifi ? S’appuient-ils sur Active Directory ?

Les commutateurs sont-ils compatibles 802.1X ou faut-il les changer ? Il faut aussi s’interroger sur les SHA et SHV dont l’entreprise a besoin pour appliquer les politiques de santé, et s’il faut repenser l’architecture de l’infrastructure réseau, tant logique que physique. Une fois l’analyse du réseau faite, il faut sélectionner les moyens d’isolation dans chaque zone. On peut créer pour cela une matrice de planification, avec par exemple les clients gérés et non gérés, filaires et sans-fil, etc.

On donne alors des scénarios spécifiques à l’entreprise quand une méthode d’enforcement est plus appropriée qu’un autre, et les méthodes d’enforcement peuvent être combinées. Ainsi on peut définir une zone 1 avec de l’enforcement IPSec seul quand une zone 2 cumule 802.1x et IPSec par exemple. Pour les zones d’accès distant, l’enforcement est évident : on utilise le VPN, mais sa planification d’est pas triviale. Si des solutions VPN sont déjà en place, alors on doit les étendre pour prendre en charge l’enforcement de la politique de santé.

Le choix du VPN devra s’intégrer avec les opérations IPSec, il faut donc planifier en connaissance de cause, et ne pas oublier de considérer la bande passante disponible, car elle peut ne pas être assez grande pour la remédiation. Lorsque les études sont faites, il faut enfin planifier le déploiement et définir le processus de gestion du changement, avec ses tableaux de bord et mesures.

L’absence de gestion du changement peut avoir un résultat désastreux. Une des fonctions utiles de NAP pour la mise en oeuvre et la gestion du changement, c’est son fonctionnement multimode. NAP possède un mode Reporting pour avoir une bonne vue des ressources réseau, clients et zones. Ce mode est simple et efficace et peut servir d’outil de planification. Ensuite, il y a un mode Provisioning pour le dimensionnement, qui apporte une analyse d’impact des packages de mises à jour sur les différentes zones.

Enfin, le mode Enforcement, quand tous les impacts ont été évalués et validés. Il faut également créer des tableaux de bord, car la meilleure façon d’améliorer la réponse à incident est d’avoir des mesures à analyser. On peut par exemple étudier combien de temps il faut pour sceller une zone, s’il faut ajuster la politique ou la remédiation dans une zone donnée, ou encore quels sont les objectifs (mesures) à atteindre pour chaque zone et pour l’entreprise en général.