Depuis sa médiatisation, dès que l'on parle sécurité informatique, on a tout de suite en tête : Virus, "hackers", "exploits" et mises à jours.
Malheureusement ce n'est pas faux, mais il ne s'agit là que d'une infime partie du domaine lié à l'évolution de ces dernières années.
Dans une approche plus professionnelle, il est indispensable de discerner les trois principes fondamentaux de la sécurité informatique, but de toute politique de sécurité réelle et cohérente :

- La confidentialité : le caractère réservé d’une information dont l’accès est limité aux seules personnes admises à la connaître pour les besoins du service.

- L’intégrité du système et de l’information : garantir que ceux-ci ne sont modifiés que par une action volontaire et légitime.

- La disponibilité : aptitude du système à remplir une fonction dans des conditions définies d’horaire, de délais et de performances.

Bien entendu, en fonction du domaine d’intervention (Services, Industrie…) et du but recherché, le degré de priorité mis sur chaque propriété peut varier. Mais même si la généralisation est dangereuse (et particulièrement dans ce domaine), nous prenons peu de risque à affirmer que tout oubli d’une de ces composantes mène tôt ou tard à l’échec.

Avant d’aller plus en avant sur le rôle que peut avoir le monitoring dans ce contexte, en voici une présentation rapide.

Le monitoring est d’un point de vue théorique assez simple à expliquer. Il s’agit en fait de répéter de manière régulière un processus de test ou de surveillance d’une personne ou d’un bien. Le but étant d’obtenir très rapidement et simplement une vision précise des événements ou anomalies sur la période analysée.

Pour illustrer, prenons le cas très connu du monitoring cardiaque qui surveille à intervalle régulier, et de manière automatique, les battements du cœur d’un malade. En cas d’anomalie, une alarme retentie, et simplement en consultant l’écran de contrôle, le médecin obtient un historique des événements ayant amené à l’alarme lui permettant de prendre la bonne décision.

Appliqué à l’informatique, on obtient un système capable de surveiller des serveurs ou tout autre équipement (Firewalls, routeurs…) permettant de remonter différents niveaux d’informations dans divers buts que nous détaillons ci-dessous.

Le monitoring informatique peut-être découpé en trois grandes familles fournissant des niveaux d'information différents :

- Le monitoring système : Positionné au coeur du système, il va fournir des informations sur l'utilisation CPU, Mémoire ....

- Le monitoring réseau : Ce type de surveillance va permettre de diagnostiquer la disponibilité d’un équipement physique connecté à un réseau. Les technologies employées pour ce type de surveillance sont assez simples et le niveau des informations retournées est assez limité.

- Le monitoring applicatif : Grâce à cette surveillance, on va disposer non seulement d'une visibilité sur l’équipement physique mais également sur les applications qui y sont exécutées et les informations qu’elles retournent.

Dans les deux derniers cas, il est évident que les tests devront être effectués par des équipements qui ne sont pas sur la machine et, le fait de les réaliser depuis d'autres sites prend tout son sens si le serveur est destiné à des utilisateurs externes (par exemple serveur Web connecté à Internet). Le monitoring fournira dans ce contexte, une vision utilisateur depuis les endroits d'où il est effectué.

Pour illustrer, prenons par exemple le cas d’un serveur Web :
Le monitoring réseau va nous permettre de vérifier que la connectique marche et donc que le site Web peut théoriquement être consulté par les internautes.
Le monitoring applicatif permettra de préciser, que le serveur est opérationnel (Apache ou IIS par exemple) et même de vérifier le contenu des pages Web.

Cet exemple ne prend en considération que l'approche Fiabilité du Monitoring. Le chapitre suivant présente une vision plus complète des possibilités offertes par le monitoring de services IP.

Jusqu’ici, nous avons expliqué ce qu’était le monitoring. Définissons maintenant ce que nous pouvons en faire avec les approches ou types d’informations pouvant être fournies par le monitoring.

- La Fiabilité : Il s’agit de loin de l’utilisation la plus courante du monitoring informatique. Le but ici est de surveiller en permanence la disponibilité de l’équipement afin de détecter la moindre anomalie et si nécessaire de remonter une alerte.

- La Performance : Le monitoring de performance a pour but de retourner des informations sur la disponibilité d’un équipement comme par exemple le temps de résolution DNS, le temps de connexion, le temps de récupération du premier octet et dans le cas d’une page Web le temps de récupération de la page et de l’ensemble des éléments de celle-ci (image, .css, scripts…). Grâce à cette analyse, vous allez pouvoir diagnostiquer une montée en charge difficile ou même un surdimensionnement de votre bande passante.

- Le Contenu : Dans ce cas, les informations retournées par les éléments surveillés sont analysés, pour par exemple, détecter la suppression d’un fichier sur un serveur ftp, la modification d’une page Web ou la disparition d’un mot clef.

Toutes ces approches sont complémentaires et peuvent bien entendu se retrouver regroupée dans une seule analyse. L’analyse fiabilité étant implicitement présente dans le cas d’une analyse Performance et Contenu.

Comme vous l'avez compris avec les chapitres précédents, d'un principe assez simple on peut obtenir des fonctionnalités avancées et surtout des informations particulièrement pertinentes. Pour arriver à cela, il est indispensable d'utiliser une technologie avancée mais aussi une infrastructure adaptée.

En effet, si vous surveillez un équipement depuis un seul site, que pouvez-vous déduire si il devient injoignable? Qu'il a un problème? Peut-être. Mais peut-être aussi que le site depuis lequel vous le surveillez à un problème....Et, si c'est le cas, qui surveille alors l'équipement?
Ceci est particulièrement pertinent dans le cas du Monitoring Fiabilité, mais prend encore plus de dimension pour le Monitoring de Performance où le recoupement d'informations entre différents sites est indispensable.

Pour pouvoir être efficace, la surveillance doit donc impérativement être effectuée depuis différents points de contrôle sur une architecture distribuée, avec des techniques permettant d'analyser et gérer en permanence les flux.

Que ce soit avec une approche Fiabilité ou Performance, le monitoring est ce qui ce fait de mieux en matière d’analyse de disponibilité. En effet, il va pouvoir surveiller en permanence et depuis autant d’endroits que vous le souhaitez la disponibilité de vos équipements, en les questionnant comme le ferait n’importe quel utilisateur. Vous obtenez ainsi la vision utilisateur depuis n’importe quel endroit de la planète. C’est comme ci vous disposiez de personnes réparties au quatre coins du globe qui 24H/24 et 7J sur 7 vont surveiller vos équipements et vont vous prévenir à la moindre anomalie vérifiée. Et si le système d’alerte est suffisamment évolué, vous pourrez être prévenu non seulement par mail ou SMS, mais aussi par fax ou synthèse vocale. Bien entendu, avec un peu de recul vous avez accès à l’ensemble de l’historique et disposez d’une vision précise sur la fiabilité de vos investissements informatiques.

Tous les experts en sécurité informatique vous le confirmeront : Aucun système n'est inviolable. Le but est donc d'évaluer les risques, et de se protéger en conséquence avec des équipements tels que les Firewalls et autres outils de détection d'intrusion.

Cependant, malgré tous les efforts réalisés par ceux-ci ces dernières années, ces outils ne sont pas (ou très peu) adaptés pour vous protéger des failles applicatives.
A l'opposé, les applications présentes sur les systèmes (messagerie, Web, Dns...) sont de plus en plus nombreuses et complexes, augmentant considérablement la vulnérabilité. Pour combler cela, le monitoring applicatif se positionne comme solution ultime, qui ne va certe pas empêcher l'attaque ou la modification de l'intégrité des données, mais va vous prévenir sitôt l'anomalie détectée limitant ainsi au strict minimum l'impact de l'incident.

Revenons à notre exemple du site Web. Dans le cas où la sécurité est mise à défaut suite par exemple à une faille applicative, le plus souvent la page d'accueil du site va être défacée (modifiée).
Nous sommes alors bien dans un cas de modification de l'intégrité des données faisant pleinement partie de la politique de sécurité.
Mais que ce passe- t-il?
Dans la majorité des cas, rien.....
Du moins du coté de la victime, en attendant qu'un de ses clients ait la gentillesse de la prévenir ou que lui ou un de ses collègues réalise qu'ils ont basculés dans le scénario catastrophe.
Car côté attaquant, une course à l'information est en train de se mettre en place par l'intermédiaire de mailing liste, chat, newsgroups et autres pour qu'un maximum de personnes puisse voir le trophée de l'attaquant....

Dans le cas où un monitoring contenu a été mis en place, dès que la modification de la page est constatée*, un message sous la forme de mail, sms, fax, synthèse vocale.... est envoyé, alertant le responsable du site Web.
Si il s'agit d'une modification effectuée par l'équipe rédactionnelle, les choses s'arrentent là. Sinon, il est temps d'agir afin de limiter au maximum l’impact de l’attaque.

N.B : *Dans le cas de site au contenu dynamique, l'analyse ne sera pas effectuée sur l'intégralité de la page mais sur des sous parties ou via la recherche de mots clefs.