ensemble de matériel, de raccordements réseau et de logiciels qui

Usage en ligne : solutions alternatives
sécurisées
Assemblée des CSSI 02/02/2016
Ludovic BILLARD, Paulo MORA DE FREITAS, You-Heng EA
[email protected], [email protected],
[email protected]
Introduction
• Multiplicité des offres « gratuites » et « grand public »
• Existe-t-il des alternatives plus sécurisées?
• Voici une partie des réponses…
• Outils proposés par les tutelles (CNRS, ENS, INSERM, UPMC) et
RENATER
AG CSSI 02/02/2016
2
Messageries et listes de diffusion
• Beaucoup, BEAUCOUP de comptes gmail, hotmail, autres FAI etc..
• Confier ses emails professionnels à un tiers : Pourquoi? Volume de
stockage? Accessibilité n’importe où? Fonctionnalités annexes?
• Mélange du privé et du professionnel (données et mots de passe)
• Pas de sauvegarde en cas de suppression des emails!
• Usage de la messagerie comme espace d’archivage (mots de passe,
documents sensibles, etc.)
• Ces comptes sont aussi la cible d’attaques, et en général les
incidents ne sont pas remontés
AG CSSI 02/02/2016
3
Messageries et listes de diffusion
Nos tutelles nous proposent des services de messagerie :
• CNRS : Messagerie centralisée Exchange, gratuit jusqu'à un
seuil défini par la taille de l’unité, adhésion par unité
• ENS : Messagerie par départements et CRI : sendmail/postfix,
listes de diffusion, antispam, antivirus, sauvegardes
• UPMC : Exchange (administration), sendmail, sauvegarde, listes
de diffusion, antispam RENATER (domaine @upmc.fr)
AG CSSI 02/02/2016
4
Hébergement & partage de fichiers : le CLOUD
• Définition (Wikipédia) : « ..ensemble de matériel, de
raccordements réseau et de logiciels qui fournit des services
sophistiqués que les individus et les collectivités peuvent
exploiter à volonté depuis n'importe où dans le monde.. »
• Aujourd’hui de nombreuses offres grand public existent :
dropbox, google drive, icloud, onedrive etc…
• Plusieurs Go gratuits, plus d’espace en version payante
• Question : que risque t’on à utiliser ces outils?
AG CSSI 02/02/2016
5
Hébergement & partage de fichiers : le CLOUD
• Quelles données peut-on y stocker?
 Rien de CONFIDENTIEL, NOMMINATIF ou SENSIBLE pour le
métier (confier des données au n°1 mondial de la recherche
par mot clef??)
• Législation floue (patriot act) et dépendante du pays hébergeur
• Si VRAIMENT pas le choix : CHIFFRER!
AG CSSI 02/02/2016
6
Hébergement & partage de fichiers : le CLOUD
Les alternatives de nos tutelles :
• CNRS - MyCore : Owncloud, 20 Go / utilisateurs,
authentification Labintel, adhésion individuelle
• ENS - Owncloud : Serveurs CRI + départements
• RENATER - Filesender : envoi de fichiers volumineux (20Go
max), adhésion individuelle
• UPMC - Filesender : envoi de fichier volumineux (4Go max),
authentification fédération identité + CAS, ENT (Alfresco)
AG CSSI 02/02/2016
7
Hébergement WEB
• Externalisation : hébergeurs gratuits (FAI ou avec publicité) ou payants (GANDI,
OVH etc.).
• Problème : CMS mis à jour de façon payante (contrat), peu / pas de remontée
d’incidents, bande passante non garantie
• Pas accès direct/simple aux logs en cas d’incident
• Prévoir les clauses contractuelles adaptées (qui patche? Audit possible du
prestataire? Procédures de traitement des incidents)
OU
• Hébergement des serveurs dans les unités : gestion des mises à jour (serveurs,
sgbd) et/ou CMS, applications souvent compliqué (ressources humaines)
AG CSSI 02/02/2016
8
Hébergement WEB
Offres d’hébergement de nos tutelles :
• CNRS : fermes SPIP, JOOMLA, DRUPAL ou LAMP libre, adhésion
par unité. 3 packs gratuits. URL en .cnrs.fr non obligatoire
• ENS : serveurs au CRI et par départements
• UPMC – AMETYS : gratuit
• RENATER : peut enregistrer les noms de domaines! (.fr, .info,
.eu ..)
AG CSSI 02/02/2016
9
Conférence audio / vidéo : Skype
• Rappel de la réglementation dans l’enseignement supérieur et
la recherche : note du HFDS sur l’interdiction d’utiliser skype
dans notre environnement.
Les causes :
• Code source propriétaire (écoute possible)
• Sans garantie de service
• En somme, PARFAIT …
AG CSSI 02/02/2016
10
Conférence audio / vidéo : Skype
• Rappel de la réglementation dans l’enseignement supérieur et
la recherche : note du HFSD sur l’interdiction d’utiliser skype
dans notre environnement.
Les causes :
• Code source propriétaire (écoute possible)
• Sans garantie de service
• En somme, PARFAIT … pour parler avec Tata Jeannine!
AG CSSI 02/02/2016
11
Conférence audio / vidéo : Skype
Alternatives proposées par nos tutelles :
• CNRS – MyCom : Service Skype Pro privé, gratuit, ouvert à tout
personnel dans Labintel. Mise en production au niveau national
premier semestre 2016. Adhésion individuelle.
• RENATER – RENAVISIO : H323 et/ou téléphone, clients légers,
gratuit. Adhésion individuelle
• RENATER - RENdez-vous : WebRTC, limité actuellement aux
navigateurs Chrome, Chromium et Opéra. Gratuit, Adhésion
individuelle.
• UPMC - Seevogh, Skype Pro privé (administration), salles de
visioconférence
AG CSSI 02/02/2016
12
Calendriers partagés
• Google Calendar? => largement utilisé car beaucoup de
personnes disposent d’un compte gmail (et/ou android?)
• Impacts moindres en cas d’utilisation de ce service
• « offert » avec un compte gmail
AG CSSI 02/02/2016
13
Calendriers partagés
Néanmoins il existe quelques solutions :
• CNRS – messagerie : agendas associés à l’offre de messagerie
centralisée, adhésion par unité
• ENS – Owncloud : agendas associés, par CRI et départements,
gestion des salles
• RENATER – Partage : Zimbra, payant, adhésion par
établissement
• UPMC – exchange : agendas associés à la messagerie
(adminsitration)
AG CSSI 02/02/2016
14
Planification de réunion
• Doodle, doodle et doodle et Framadate
• Pas d’impact majeur, mais des alternatives existent, pourquoi s’en
priver?
Les alternatives
• ENS – RDV : adhésion individuelle
• RENATER – foodle : adhésion individuelle, fédération d’identité et
invitation de personnes extérieures par email
AG CSSI 02/02/2016
15
Clustering, calcul, VMs..
• Les acteurs grand public (payant) : OVH, AMAZON
Des solutions existent dans notre environnement
•
•
•
•
CNRS : location de VM et stockage
Grilles de calcul
ENS : serveurs de calcul
UPMC : Offre d’hébergement en cours de réalisation, DSI/ICS pour
le calcul
AG CSSI 02/02/2016
16
Sauvegardes en ligne
• Offres grand public, pourquoi pas mais attention, toujours exclure
les données professionnelles!
• Confier ses sauvegardes à un tiers : Confidentialité? Disponibilité?
Intégrité? Qui peut y accéder et comment?
Nos tutelles nous proposent quelques solutions :
• CNRS : Sauvegarde à distance de document PRA (Plan de Reprise
d’Activité). Adhésion par unité, payant
• ENS : Par départements et CRI, stockage à distance, sauvegarde de
postes de travail, sauvegarde de serveurs sur LTO.
• UPMC : Sauvegarde sur bande et disques (en cours d’étude)
AG CSSI 02/02/2016
17
Collaboration et partages structurés
• Wikis, forums, Office 365, DropBox entreprise, EndNote…
Les tutelles nous proposent les services suivants :
• CNRS : CoRe (SharePoint) : espaces gratuits jusqu’à 22 Go /
unité. Adhésion par unité
• ENS : fermes de wikis (mediawiki / dokuwiki)
• UPMC : SharePoint, ENT, Redmine, Esup-Portail, OAE
AG CSSI 02/02/2016
18
Cahiers de laboratoire
Une plateforme existe (certainement d’autres) : Blenching.
Problème principal, la confidentialité des données et le partage
facilité avec des liens vers dropbox.
L’INSERM travaille actuellement sur un projet de cahier de
laboratoire.
L’ENS est en test avec la plateforme ElabFTW
AG CSSI 02/02/2016
19
Sondage
• Google est encore là avec ses GoogleForms, ou d’autres moins
connus (sites hébergeant parfois du phishing  )
Nos tutelles nous proposent des implémentations l’hébergement
de questionnaires via LimeSurvey (ENS, UPMC) : déclaration CIL
intégré aux demandes
AG CSSI 02/02/2016
20
Conclusion
• Beaucoup d’offres grand public alléchantes (gratuites) existent,
mais gare aux clauses et à leurs conséquences!
• Nos tutelles nous proposent de services qui évoluent plus
lentement que les offres grand public, mais sont garantis!
Si un service est gratuit, la philanthropie des grands acteurs du
web état une légende, donc le produit c’est soit vous, soit vos
données!
AG CSSI 02/02/2016
21
Merci
Liens :
• http://www.offres-de-services-labos.net (CNRS)
• http://partage.spi.ens.fr (ENS)
• http://www.renater.fr/services (RENATER)
• UPMC : en catalogue en cours de réalisation
AG CSSI 02/02/2016
22