Les Reseaux Sociaux d’Entreprise dans SharePoint 2013 - SharePoint Saturday MTL
ZonePoint : Comment garantir la confidentialité du travail collaboratif sous SharePoint ?
-
Upload
microsoft-developpeurs -
Category
Documents
-
view
609 -
download
3
description
Transcript of ZonePoint : Comment garantir la confidentialité du travail collaboratif sous SharePoint ?
Chiffrement de documents pour SharePoint
Chiffrement de documents
pour MS SharePointSerge Binet
Directeur Général
Prim’X Technologies
#encryptionwww.primx.eu/zonepoint.aspx
Chiffrement de documents pour SharePoint 2
Préambule + Objectifs de ZonePoint Sécurité globale du Système d’Information Fonctions de base Accès aux documents Concepts généraux Composants Architecture Concrètement (vidéos) Clés des utilisateurs Administration des accès Dépannage - Recouvrement Paramétrage Cryptographie Certification – Qualification And… ??
Sommaire
Chiffrement de documents pour SharePoint 4
Assurer la confidentialité des documents déposés dans MS SharePoint (archivage documentaire crypté)
Permettre les partages (internes, externes) de documents tout en gérant le ‘droit d’en connaitre’
Conserver la gouvernance de la sécurité au sein de l’entreprise pour permettre l’externalisation des serveurs et des repositories (Cloud)
Pouvoir considérer sans risque le serveur comme étant ‘en territoire non trusté’
Impacter le moins possible les utilisateurs, tout en les éduquant
Il y a plein de bits de droits: supprimer, modifier, lire, imprimer, copier/coller,
Le notre ? Le droit de comprendre.
Objectifs
Chiffrement de documents pour SharePoint 5
Gestion du "droit d’en connaitre" par cloisonnement (cryptographique) des documents entre utilisateurs (partages chiffrés)
Protection contre le détournement/vol de documents sur le serveur SharePoint et sur le réseauo Attaque personnel interneo Attaque /extract hacking réseau sur fichiers/SGBD
Rendre les documents non intelligibles pour les intervenants d’exploitation (infogérance, Cloud,…),
réseau, IT, …. MAITRISER mathématiquement les accès par une
protection passive et persistante (car l’actif se contourne…)
Sécurité globale du SI
Chiffrement de documents pour SharePoint 6
Gérer des espaces à (haute) sécurité imposée (prédéfinie)
Automatiquement crypter les documents uploadés vers un serveur MS SharePoint par les utilisateurs
Automatiquement décrypter (si l’utilisateur a la clé) les documents downloadés depuis un serveur MS SharePoint
Entretenir (automatiquement, et aisément) l’état de protection de ces espaces protégés:o Crypt & manage => nécessaire.
Cloisonner:o L’Officier de Sécurité gère et légifèreo L’utilisateur utilise et consommeo L’exploitant, l’admin, exploite, sans besoin de comprendre.
Fonctions de base
Chiffrement de documents pour SharePoint 7
Une bibliothèque de ‘Documents cryptés ZonePoint’ au lieu de la classique ‘Bibliothèque de documents’ (dont elle est à 95% dérivée)
Avec les mêmes possibilités (in fine, elle est similaire)
Dans laquelle il est possible de définir des contraintes (cryptographiques) régissant le droit d’en connaitre
Avec des dossiers libres, des dossiers en clair, des dossiers cryptés pour tel(s) groupe(s), etc.
Peu de changements, hormis cette question : ‘avez-vous cette clé ?’ (pour lire ou écrire).
Pour les utilisateurs: un run-time installable ou bien… un simple plug-in ‘plug and play’.
Comment ça se présente
Chiffrement de documents pour SharePoint 8
L’utilisateur accède aux documents par ses moyens habituelso Les navigateurs, multiples:
Internet Explorer, Chrome, Firefoxo L’explorer (canal WebDav)o MS Office (>= WSeven & >= Mso2010)
Le Chiffrement-Déchiffrement o Pour l’utilisateur, il s’effectue automatiquement –
de façon transparente – et à la volée, lors des transferts ;
o S’il a fourni la bonne clé
Accès aux documents
Chiffrement de documents pour SharePoint 9
Chiffrement – Déchiffrement effectués uniquement sur l’équipement de l’utilisateuro Avec la clé de l’utilisateuro Donc aucune possibilité de déchiffrement sur le
serveur, qui peut donc être délocalisé sans risque
Protège naturellement le transport du document entre l’équipement utilisateur et le serveur SharePoint (au cours du download/upload) o Aucune nécessité de vpn, https ou autre (même si
bienvenu) Mais ne protège pas le document sur le poste de travail de
l’utilisateur, voir nos autres produits pour cela.
Sécurité (1)
Chiffrement de documents pour SharePoint 10
Le Serveur ne reçoit, ou n’utilise, JAMAIS, aucune clé cryptographique.o Il est dans l’impossibilité TOTALE de décrypter quoi que ce soit, à quel que moment
que ce soit. Il n’a aucune clé. Il stocke, véhicule, et délivre –UNIQUEMENT- du crypté.o Il n’existe donc aucun résidu attaquable sur le serveur (attaques mémoire, gel
physique de RAM, recherche de clés AES dans le swap, l’hiberfile, un memory.dmp, …)
o Car le serveur ne possède JAMAIS de clé (crypto), même de façon fugace; en effet, il ne voit que ‘du PDF écrit à l’envers’ ;-). Et pour cause: il n’en a pas besoin!
o Il est donc INNOCENT et INATTAQUABLE. Et il délivrera malgré tout, avec son service de Bibliothèque chiffrée, un service DE SECURITE fort.
o Son rôle se borne à faire son travail: recevoir des fichiers (écrits en ‘charabia’), les stocker, les donner à qui les demande selon ses droits. Et celui-ci devra de son coté, en réception, donner une clé habilitée pour accéder au contenu.
SEUL le CLIENT peut comprendre ce qu’il envoie ou reçoit, mais, de la même manière, seulement s’il a la (bonne) clé.
Sécurité (2)
Chiffrement de documents pour SharePoint 11
Notion de "Bibliothèque chiffrée" et de "Zone"
Bibliothèque chiffréeo Nouveau type de bibliothèque introduit par ZonePoint
Les Zoneso Ce sont les dossiers créés par les officiers habilités pour
héberger les documents qui doivent être chiffréso A chaque Zone est associée une liste d’utilisateurs ayant un
accès cryptographique aux documents
Tout document déposé dans une Zone sera automatiquement chiffré conformément à la Zone, et donc pour les utilisateurs ‘accédants’ à la zone
Une zone est récursive. Il peut y avoir rupture et une ‘autre’ zone ‘en-dessous’.
Concepts généraux
Chiffrement de documents pour SharePoint 12
Le Serveur ZonePoint o Add-On installé sur le serveur SharePointo Plateformes : SharePoint 2007, 2010, (bientôt 2013)
Le Client "light" (extension navigateur)o Assure les fonctions de base (chiffrement/déchiffrement)o Plug-in téléchargé à partir du Serveuro Navigateurs : IE, Chrome, Firefox
Le client ZonePointo Fonctionnalités étendues (Webdav)o Nécessaire pour administrer le chiffremento FACULTATIF pour les utilisateurso Plateformes Windows, XP, Seven,…
APIo Dépôt de documents par des applications (ERP,…)o Migration de bibliothèqueso Fonctionnalités spéciales
Composants
Chiffrement de documents pour SharePoint 13
Architecture
Collection de sites
Site
Com
posan
ts
Zon
eP
oin
t
Serveur Frontal SharePoint
Exp
lora
teu
r
HTTP
Plugin
Filtre WebDA
V
Bibliothèques de documents chiffrés
Chiffrement de documents pour SharePoint 14
Vidéos (demo)
Version 310. Améliorée en 312 il y a peu.
Jean crée une lib chiffrée (SB1)
Jean crée un espace restreint (SB5)
o Jean ajoute Steve à son groupe de travail et crée un espace privé
Jean ajoute un document dans l’espace protégé (SB6)
Steve (externe, ou interne), se connecte, et installe le plug-in (SB2)
Steve accède au document dans l’espace protégé (SB7)
Quick look
Chiffrement de documents pour SharePoint 15
La clé de l’utilisateur est:o un mot-de-passe, ouo un certificat (X509) issu d’une PKI (interne ou non)
Pour un certificat, les magasins de clés peuvent être une carte/token, un magasin Windows, ou un fichier de clés (pfx, p12)
Les certificats sont recommandés pour un usage interne (PKI Windows Server par exemple)
Les mots de passe sont recommandés pour un usage externe (sous-traitant extranet) ou temporaire (stagiaire)
Clés des utilisateurs
Chiffrement de documents pour SharePoint 16
Les accès sont géréso De façon décentralisée, par les utilisateurs habilitéso Ou un officier de sécurité (avec les groupes AD,
prochaine version)o Seulement s’ils sont mandatés pour ce faire
Un AGENT de ‘Mise en Conformité’o Surveille et rétablit l’état de toute la bibliothèqueo Applique les politiques (GPOs)o Qui peuvent être signées (signature électronique)
Mécanismes de Secours et de Recouvrement
Administration
Chiffrement de documents pour SharePoint 18
Schéma revu et approuvé par les Autorités, testé par un Laboratoire National Crypto (CESTI)
Algorithme de chiffrement AES 256 bits Clés de chiffrement AES 256
o Tirées aléatoiremento Gérées et protégées automatiquemento Les mécanismes de chiffrement sont toujours exécutés
sur le poste de travail
Transchiffrement : mécanisme de renouvellement des clés de chiffrement, à l’initiative du Security Officer de l’entreprise
Cryptographie
Chiffrement de documents pour SharePoint 19
TOUS cas de serveurs internes, pour cloisonner l’information et la protéger pendant son stockageo Sans se reposer sur les ‘droits IT’ (posés par les IT eux-
mêmes…)
Serveurs EXTERNES ou sous-traités, sans nécessité de maitrise totale du personnel sous-traitanto Pas de passage en clair du document sur le serveuro Aucune clé ne transite sur le réseauo Aucune clé hébergée ou détenue par les serveurso Gouvernance du chiffrement maîtrisée par le propriétaire
Plateformes d’échanges (fournisseurs, clients)o Droits et clés gérés par le ‘maitre d’ouvrage’o Client léger, sans droit spécifique ni installationo Clés d’accès mixtes possibles (mots de passe+certificat)
Cas d’application
Chiffrement de documents pour SharePoint 20
SIMPLE: facile d’approche, simple à gérero Demande peu d’infrastructure, peu de moyenso Sécurité incontournableo très simple pour les utilisateurs
EASY: o Client Light : quick user-download-install, no rights needed. Just give a valid access key to
libraries!o Pas de cauchemar de déploiement: set it up on servers, let users go in.
FLEXIBLE: o Types de clés libre (mots de passe, certificats, …)o Scalable: pour des petites ou grandes bibliothèques, fermes, etc.
SECUREo Among the most secured solutions on the market.o SERVER-side can remain Neutral (or hostile)
Points forts
Chiffrement de documents pour SharePoint 21
Certification EAL3+ et Qualification Nationale au niveau
Standard (diffusion restreinte FR, UE, NATO)
sont en cours (‘expected 2013,Q3)
Certification - Qualification
Chiffrement de documents pour SharePoint 22
Vous (ou vos clients) avez besoin pour votre Business d’un espace sécurisé, confidentiel, de confiance, réputé, expertisé, et MS SharePoint est votre outil d’infrastructure ;o Si ce n’est pour tout, du moins pour les documents précieux:
comptes, plans pub, dires, schemas, …o De plus, vous échangez actuellement et sans protection avec
vos co- ou sous- traitants: usines, avocats, financiers, fournisseurs
Avec MS SharePoint, Microsoft a fabriqué la plateforme générale et générique
Les Hébergeurs vous apportent les liaisons, la CPU, l’espace de stockage
PRIM’X vous apporte la SECURITE.
Pour conclure
Chiffrement de documents pour SharePoint 23
Version 4 in progress, including
o MS Sharepoint 2013o Programmers API’s, Injection API’so ZoneBoard (multi-servers/libraries/zones
supervision tool)o Support de SharePoint Workspaces
Clients pour tabletteso Fin Q1’2014o iOS, Android, Win8 (phone)
What’s next