La sécurité des processus métiers et des transactions › fichiers › librairie ›...
16
La sécurité des processus métiers et des transactions Stéphane Marcassin Bull Services Sécurité
Transcript of La sécurité des processus métiers et des transactions › fichiers › librairie ›...
La sécurité des processus métierset des transactions
Stéphane MarcassinBull Services Sécurité
Page 2© Bull 2005
Bull : leader européen de la sécurité
Sécurité destransactions
Gestion desidentités & accès
SécuritéTeleTVA &TeleIR
VPN, gestion desidentités & accès
Gestion desidentités & accès
Gestion desidentités & accès
etc.
Spécialiste desinfrastructuressécurisées
ConseilIntégrateurEditeurInfogéreur
300 spécialistes sécurité en Europe
AccessMaster
TrustWay
MetaPKI
BXSS
Page 3© Bull 2005
SI décentralisé
Stratégie de sécurité :ÉCHANGEUR
•Distinguer différenteszones, avec différentsniveaux de sécurité•Sécuriser leséchanges
Notre vision stratégique :sécuriser les processus métiers
SI(s) distribués et mobilité
Stratégie de sécurité :PROCESSUS
« La Transactionest l'Information »
SI centralisé
Stratégie de sécurité :FORTERESSE
•Protéger les réseaux :tout est suspect àl’extérieur, tout estautorisé à l’intérieur
Page 4© Bull 2005
Banque / assurance 4,4
Processus opérationnels existants :Un niveau de protection souvent insuffisant
3,2
Criticité des Niveau deprocessus clés protection
Industrie 3,7 2,7
Télécommunications 4,7 3,3
Gouvernement 3,8 2
Santé 4,4 2,1
Source : Etude IDC-Bull –Décembre 2002
Page 5© Bull 2005
Assurer la qualité de service
Défendre Donner Accès Exécuter les Transactions
Vers la sécurité des processus :du SI aux systèmes d’échanges
)))
)))Utilisateurs Fournisseurs
Filiale Partenaire
WS / XML
Annuaire
Portail
Broker
Serveur d’Application
DDW
ERP
SGBD
Requête etprocessusassocié
Page 6© Bull 2005
Maîtriser le socle de la sécuritédes processus
SÉCURITÉ DESECHANGES (Intranet /Extranet / Internet)POSTES NOMADES…
AUTHENTIFICATIONHABILITATIONAUTORISATION / SSO…
MANAGEMENTDU RISQUE(keep thewheel on)
EXÉCUTER(processtransactions)
GÉRER &PILOTER
ModélisationGestion des identités
SupervisionAudit
DÉFENDRE(keep the bad
guys out)
DONNER ACCÈS(let the good
guys in)
SERVICE MONITORINGQUALITE DE SERVICE
ANALYSE DESTENDANCES
…
SIGNATURESÉCURITÉ DESAPPLICATIONS
ET DESINFRASTRUCTUREs
…
Permission
Protection
IndividusProcessus
Page 7© Bull 2005
Les composants Pare-feu, VPN, anti-virus, détection d'intrusion,chiffrement de disque dur, annuaires LDAP…
Les pré-requis pour sécuriser les processus Sécurité différentielle selon les zones et les flux
métiers Chiffrement des échanges (VPN, SSL) La sécurité des postes des utilisateurs nomades
1–DEFENDRE
Exemples de solutions avancéesTrustway RCI : 1ère clé USB de sécurité universelle- ressource cryptographique individuelle PKCS#11- ressource cryptographique TW VPN client
ASSURER
EXÉCUTER
GÉRER &PILOTER
DÉFENDRE
ACCÉDER
Page 8© Bull 2005
Les composants GESTION DES IDENTITES ET DES ACCES
(IAM) : Annuaires LDAP, provisioning de lasécurité authentification, SSO, contrôle d'accès …
Les pré-requis pour sécuriser les processus Un IAM global, du web aux legacy Infrastructure de gestion de clés (IGC ou PKI) SAML / Liberty Alliance
2–ACCEDER
Exemples de solutions avancéesIdentity Manager : annuaire virtuel- l’annuaire : le point focal de la sécurité- propagation des identités
GÉRER &PILOTER
DÉFENDRE
ACCÉDER
ASSURER
EXÉCUTER
Page 9© Bull 2005
2–ACCEDER (suite)
Gérer les accès et les autorisations
GÉRER &PILOTER
DÉFENDRE
ACCÉDER
ASSURER
EXÉCUTER
AnnuairesLDAP
Provisionning
Politiquede sécurité
Audit &Tracking
Contrôled’accès
Authenti-fication
Ressources
Plateformes
Applications
SGBD
ApplicationsWeb, Non-Web, Java
Employés Parte-naires Clients
Gestion ducyclede vieutilisateurIDENTITE
Gestion dela SécuritéACCES
Gestion deshabilitations &des privilèges+ SSO
Transaction
Page 10© Bull 2005
2–ACCEDER (suite)
Intégrer la sécurité avec SAML
GÉRER &PILOTER
DÉFENDRE
ACCÉDER
ASSURER
EXÉCUTER
Attributset profilsutilisateur
Transmission desAssertions SAML
usager -> applicationsur un seul envoi
Transmission desAssertions SAML
usager -> applicationsur un seul envoi
Stockagedes données de sécurité SAML
dans un cache local
Stockagedes données de sécurité SAML
dans un cache local
Serveur centralAuthentification/
autorisation
Serveur centralAuthentification/
autorisationBase desécurité
Filtred’accèsFiltred’accès
Application JavaApplication Java
authentification
APIAPI
Préparation desAssertions SAML
lors de l’authentification
Préparation desAssertions SAML
lors de l’authentification
1
2
3Protocole SAML
Jeton uniqueJeton unique
Session primaire
Session secondaire
Page 11© Bull 2005
Les composants Signature, Horodatage, coffre fort électronique
(sequestre, recouvrement… )
Les pré-requis pour sécuriser les processus Sécurité des transactions (Autorisation grain fin) Sécurité des architectures (Web Services) Authentification et Signature électronique Solutions de workflow avancées
3–EXECUTER
Exemples de solutions avancéesIdentity Manager : annuaire virtuel- l’annuaire : autorisation grain fin avec Tuxedo- sécurité des Web Services
GÉRER &PILOTER
DÉFENDRE
ACCÉDER
ASSURER
EXÉCUTER
Page 12© Bull 2005
3–EXECUTER(suite)
Au cœur des Services Web
GÉRER &PILOTER
DÉFENDRE
ACCÉDER
ASSURER
EXÉCUTER
Standardsde sécurité
Echange de messages (HTTP,SMTP,IMAP,IIOP... )
Routage des messages ( TCP/IP )
Traitement distribué ( SOAP, ... )
Description et présentation des données ( XML )
Référentiels( LDAP, UDDI, XML Schema & Naming, … )
Services distribués ( Web Services, WSDL, … )
IP - SEC
SSL / TLS
XML-Dsig
SOAP-SEC
SAML/XACML
XKMS
PKIX
CertificatsX509 V3
XKMS
TrustWayTrustWay
Page 13© Bull 2005
3–EXECUTER(suite)
IGC de confiance : MetaPKI
GÉRER &PILOTER
DÉFENDRE
ACCÉDER
ASSURER
EXÉCUTER
Sécurité : maîtrise du processus de génération des certificats Évolutivité : une solution en adéquation avec vos exigences Flexibilité : composer avec votre organisation Produits compagnons : MetaSign, MetaTime, MetaSafe
MetaPKI reproduitl’organisation et implémente la politique de certificationde votre entreprise
Page 14© Bull 2005
Les composants Gestion des événements de sécurité
Les pré-requis pour sécuriser les processus QoS des évènements (capture des évènements) Corrélation intelligente, ciblée selon des vues
métiers Contrôle des mesures de sécurité
4–ASSURER
Exemples de solutions avancées ;Fédérer les événements de sécurité- Défendre Accéder Exécuter
GÉRER &PILOTER
DÉFENDRE
ACCÉDER
ASSURER
EXÉCUTER
Page 15© Bull 2005
Bull : une approche globale de la sécurité
La maîtrise des technologiesde souverainetéGestion des Identités et des Accès
Evidian Identity Manager | Certificate Manager | Provisioning Manager Evidian Secure Access Manager Evidian SSO XpressComposants Open Source
Sécurité des applicationsMetaPKIMetaSignMetaTimeMetaSafe
Cryptographie TrustWay PCI–100 Mb/s, TrustWay VPNDataCrypt TrustWay RCI TrustWay CryptoBox
MonétiqueCrypt2Pay
Gestion de la QoS Evidian OpenMaster
La maîtrise globale devos PROJETS
Produits& Solutions
Architecture& Intégration
Exploitation& Support
Conseil& Audit
Page 16© Bull 2005
Etude de casSécurisation du plateau virtuel du Falcon 7X
de Dassault Aviation
