ACCESS-Net: la communication numérique sécurisée

OXYAN Software :
« la communication sécurisée »
•
•
•
•
•
•
•
Constats
L’insécurité sur Internet une réalité
Les Serveurs Internet dédiés
Les moyens de connexion à Internet
OXYAN Software
ACCESS-Net , ACCESS-Firewall
Les Partenaires OXYAN Software
28
1 mai 2003
CONSTATS
Toutes les collectivités locales ont besoin
de se connecter sur Internet :
–
–
–
–
Email,
Navigation / information,
Relations fournisseurs
Communication avec la population…
quelque soit leur taille
28
2 mai 2003
CONSTATS
Cette connexion doit être partagée entre
les différents collaborateurs au sein de la
collectivité,
elle doit être performante et économique,
et fédérer les différents moyens de
communication de la collectivité.
28
3 mai 2003
CONSTATS
La collectivité ouvre ses portes et devient
interconnectée.
Cette « Porte Ouverte » vers le monde
extérieur, améliore sa réactivité, son
niveau de connaissance, et la qualité du
service rendu à la population
Mais rend de plus en plus floues les
frontières de son système d’information.
28
4 mai 2003
CONSTATS
Cela pose des problèmes:
– d’intégrité et de confidentialité des données,
– d’authentification des utilisateurs,
– de continuité de services,
et présente des risques liés à :
– des attaques venues de l’extérieur,
– une utilisation abusive en interne.
28
5 mai 2003
L’INSECURITE SUR INTERNET
Etude de PriceWaterhouseCoopers
sur plus de 3 400 entreprises européennes
• 43% auraient été victimes de fraude
• 58% des fraudes ont été découvertes par
hasard
• 1 sur 5 parvient à récupérer plus de la moitié de
ces données
• 50% n’étaient pas assurées contre ces risques
• 22% disposaient des ressources humaines pour
gérer ces fraudes
28
6 mai 2003
L’INSECURITE SUR INTERNET
• Vers et virus (ex : Nimda, Sircam, Code Red…)
– Saturation du système
– Destruction de données
• Attaques (ex : dénis de service)
– Indisponibilité du service
• Intrusion
– Atteinte à l’image (ex : défiguration de site)
– Vol, modification ou destruction des informations (ex :
numéros de cartes bancaires)
– Utilisation des services Internet et des ressources
informatiques de l’entreprise (par ex. pour mener
d’autres attaques ou stocker des fichiers illégaux)
– Usurpation d’identité
28
7 mai 2003
LES HACKERS
Pirates du Dimanche
– Plusieurs centaines de milliers
– Se regroupent pour plus d’efficacité
– Récupèrent sur Internet tous les outils de
piratage existants
– Les dégâts peuvent être très importants
Il faut s’y intéresser et non les ignorer
Il est facile de les bloquer
28
8 mai 2003
LES HACKERS
Pirates Professionnels
- peu nombreux
- payés pour pénétrer des entités ciblées
- Utilisent les faiblesses humaines
(social engineering)
Pour s’en protéger la sensibilisation du
personnel de la collectivité est aussi
importante que la qualité de la sécurité
informatique
28
9 mai 2003
LES FAILLES
Failles Techniques
Failles Humaines
Autres Failles
28 mai 2003
10
RESPONSABILITE LEGALE
•
L’article 42 de la Loi du 6 janvier 1978 impose au
« maître »du fichier…
« …de prendre toutes les PRECAUTIONS UTILES afin de
préserver la sécurité » des informations faisant l’objet d’un
traitement automatisé
•
C’est l’article 226-17 du nouveau Code Pénal qui érige en
infraction spécifique le « manquement à la sécurité » :
« ..le fait de procéder ou de faire procéder à un traitement
automatisé d ’informations nominatives sans prendre toutes les
précautions utiles pour préserver la sécurité de ces informations
et notamment empêcher qu’elles ne soient déformées,
endommagées ou communiquées à des tiers non autorisés est
puni de cinq ans d ’emprisonnement et de plus de 300 000 €
d ’amende…»
28 mai 2003
11
L’INSECURITE SUR INTERNET
•
L’article 42 de la Loi du 6 janvier 1978 impose au
« maître »du fichier…
« …de prendre toutes les PRECAUTIONS UTILES afin de
préserver la sécurité » des informations faisant l’objet d’un
traitement automatisé
•
C’est l’article 226-17 du nouveau Code Pénal qui érige en
infraction spécifique le « manquement à la sécurité » :
« ..le fait de procéder ou de faire procéder à un traitement
automatisé d ’informations nominatives sans prendre toutes les
précautions utiles pour préserver la sécurité de ces informations
et notamment empêcher qu’elles ne soient déformées,
endommagées ou communiquées à des tiers non autorisés est
puni de cinq ans d ’emprisonnement et de plus de 300 000 €
d ’amende…»
28 mai 2003
12
CONCLUSION
La mise en place de solutions de
communication via Internet, doit donc
impérativement s’accompagner d’une
politique d’administration et de sécurité
centralisée.
Cette sécurité comprend:
- la définition de la politique de sécurité de
la collectivité,
- les outils permettant la mise en œuvre de
cette politique : Firewall, Proxy, Antivirus.
28 mai 2003
13
POLITIQUE DE SECURITE
•
•
•
•
•
Analyse de l’existant, tests d’intrusion,
Définition des profils utilisateurs,
Définition des droits par profil utilisateur,
Sensibilisation des utilisateurs,
Choix d’une solution adaptée, mise en
œuvre,
• Mise à jour et veille technologique
28 mai 2003
14
LES DIFFERENTES SOLUTIONS
1/ L’association de différentes « briques
applicatives » qui chacune gèrent une
seule fonctionnalité par serveur dédié:
–
–
–
–
–
28 mai 2003
15
routeur,
serveur de messagerie,
sécurité des accès (Firewall),
administration (Proxy)
…
LES DIFFERENTES SOLUTIONS
mais les collectivités ne veulent plus
investir dans ces solutions car :
–
–
–
–
–
28 mai 2003
16
investissements trop lourds,
multiplicité des serveurs,
administration trop complexe,
intégration et évolutivité difficiles
besoin de compétences et de ressources.
LES DIFFERENTES SOLUTIONS
2/ Des offres d ’hébergement proposées
par des opérateurs,
– gestion des boîtes aux lettres de messagerie
à distance,
– sécurisation mutualisée entre les différentes
sociétés hébergées,
– une facturation par abonnement mensuel.
28 mai 2003
17
LES DIFFERENTES SOLUTIONS
mais réservées aux petites structures car :
– manque de souplesse et d’indépendance,
– niveau de sécurité insuffisant,
– administration et contrôle de l’utilisation
d’Internet insuffisants,
– coût par poste trop élevé.
28 mai 2003
18
LES DIFFERENTES SOLUTIONS
3/ Les Serveurs Internet dédiés (Internet
Appliances) multi-fonctions:
–
–
–
–
toutes les fonctionnalités essentielles,
une seule interface utilisation,
grande facilité d’utilisation et d’administration,
faible consommation d’espace et de
ressources informatiques,
– investissement accessible pour une
collectivité de taille modeste
28 mai 2003
19
LES DIFFERENTES SOLUTIONS
Ce sont ces Serveurs Internet dédiés qui
aujourd’hui répondent parfaitement aux
besoins des collectivités de taille
moyenne,
Ils représenteront 80% des serveurs
entreprises d’ici 2004 (source IDC, Gartner Group)
28 mai 2003
20
LES SERVEURS INTERNET DEDIES
Le serveur dédié a été créé pour simplifier
l’installation et l’administration d’un nouveau
service dans un système d’information.
En augmentant le nombre de services offerts
par les serveurs dédiés, les constructeurs et
éditeurs en ont fait une réponse à un problème
d’entreprise :
« le serveur dédié multi-fonctions»
28 mai 2003
21
LES BESOINS COUVERTS
• connexion Internet et gestion de la
messagerie d’entreprise,
• sécurisation totale des flux de données
entrants et sortants (Firewall),
• connexion sécurisée des sites distants et
des collaborateurs nomades (VPN),
• émission et réception des fax à partir de
la messagerie,
28 mai 2003
22
LES BESOINS COUVERTS
• Gestion, contrôle, et optimisation de
l’utilisation des différents moyens de
communication (Proxy)
• hébergement de sites Intranet/Extranet,
• Interface (utilisateur et administrateur)
unique,
• simplicité et économie d’utilisation.
28 mai 2003
23
LES SERVEURS INTERNET DEDIES
La différence entre ces serveurs se fera
par la richesse des fonctions proposées,
par la simplicité d’utilisation, par le coût
d’acquisition et d’administration, et par la
facilité d’intégration et d’évolution.
« La différentiation entre une bonne et une mauvaise
solution Internet Appliance ne se fera pas sur le matériel
proprement dit, mais sur le concept complet de
packaging »
(Andrew Butler du Gartner Group)
28 mai 2003
24
DEUX TYPES d’Internet Appliances
1/ Les solutions matérielles, dites en
« boîtier » (black box),
2/ Les solutions logicielles
28 mai 2003
25
AVANTAGES / INCONVENIENTS
• Boîtiers
– Coût < serveur
généraliste
– Installation rapide
– Scénaries de sécurité
insuffisants
– Machine non évolutive
– Maintenance limitée
(serveur « jetable »)
– Limités en nombre
d’utilisateurs potentiels
28 mai 2003
26
• Logiciels
– Politique de sécurité
+ poussée
– S’intègre et évolue
avec l’entreprise
– Pas de limitation en
nombre d’utilisateurs
– Nécessite un peu
plus de
paramétrages lors
de l’installation
(règles de sécurité)
OXYAN Software
Editeur de logiciels de communication
sécurisés sur Internet, qui a reçu le label
« Entreprise Innovante » de l’ANVAR, et
le soutien de la Région Rhône-Alpes,
Société Anonyme Française au capital
de 1Million d’ euros, soutenue par un
pool d’investisseurs importants dont le
groupe LAFAYETTE.
28 mai 2003
27
OXYAN Software
Oxyan Software c’est 18 personnes réparties
sur plusieurs sites :
– Siège social à LYON :
• Équipe de développement
• Support / Hot-Line
• Service Administratif et Logistique
– 5 agences commerciales :
•
•
•
•
•
28 mai 2003
28
Paris ( commercial et marketing)
Nantes
Strasbourg
Toulouse
Lyon
L’OFFRE PRODUIT
L’offre logicielle d’OXYAN Software est
constituée :
– d’une plate-forme de communication multifonction sécurisée : ACCESS-Net
– d’un firewall / VPN : ACCESS-Firewall
– d’un serveur de fax sécurisé : ACCESS-Fax
– d’une solution sécurisée pour les sites
distants : ACCESS-Agency (Nouveau Produit)
28 mai 2003
29
Philosophie Produits OXYAN
Evolutivité : les solutions OXYAN doivent être évolutives afin
de s’adapter aux nouveaux besoins des clients
Choix d’une solution logicielle pour ne pas être limité par une
plate-forme hardware dédiée
Robustesse : en raison de leur criticité, les solutions OXYAN
doivent être d’une robustesse sans faille
Choix d’un OS réputé pour sa stabilité (Linux) et de
composants logiciels éprouvés
Services : ces solutions doivent permettre à nos partenaires de
proposer facilement des offres de services complémentaires
Tout le paramétrage est possible à distance ainsi que l’analyse
des différents types de logs
28 mai 2003
30
Technologie OOCP
Objectif : Intégrer et administrer via une interface commune
différents services de communication et de sécurité
FIREWALL VPN
PROXY
IDS
Antivirus
Mail
Agenda
Serveur de
FAX Annuaire
ressources
Gestion des utilisateurs
Interface d’administration unifiée
28 mai 2003
31
ACCESS-Net
L’Internet Appliance le plus complet du marché !
-
28 mai 2003
32
Firewall « Stateful Packet Inspection »
Proxy Cache avec filtrage d’URL
Serveur VPN
Détection d’intrusions (IDS)
Gestion de la bande passante
Anti-virus passerelle (en option)
Messagerie
Agenda
Annuaire
Serveur de fichiers
Serveur de fax (en option)
ACCESS-Net
-Internet Appliance uniquement logiciel
-Pas limitée par la plate-forme hardware (mémoire,
processeur, disque dur, …) Æ Evolutivité
-Fonctions de sécurité étendues
Fonctionnalités
/Nbre utilisateurs
S-N
S
CE
C
NA
A
Y
OX
en
ett
n
E
28 mai 2003
33
s
Vi
t
h
Rig
i on
et
n
Su
lt
ba
o
C
Prix
ACCESS-Net
Coopération
des clients
VPN serveur
Ressources
Messagerie
Firewall
Proxy
OXYAN-ACCESS-Net
1 solution = Tout l’Internet sécurisé
Pour l’entreprise
28 mai 2003
34
La messagerie
• Serveur de messagerie IMAP, POP,relais
SMTP,
• Client de messagerie webmail de type
« client léger » avec Browser Web
• Relais sécurisé de serveur de messagerie
existant (Bureau de poste) qui permet:
– Le fonctionnement en mode déconnecté de la
messagerie (via client de messagerie de type Outlook)
– L’hébergement de son domaine (nb de bal illimité)
– La protection de la fonction contre les attaques en deny
de service (filtre antispam)
– Le relevé des b.a.l. externes au domaine
28 mai 2003
35
Le Firewall
• Firewall « Stateful Packet Inspection »
– Analyse de la couche « applicative » (couche 7)
• Réalise la protection active du réseau
–
–
–
–
filtrage des paquets IP
la translation d’adresse (routage)
le routage de port
Logs et remontées d’alarmes
• Optimise la bande passante (QOS)
• Permet l’adaptation en temps réel de la politique
de sécurité
28 mai 2003
36
– Détection des intrusions (IDS)
– règles de sécurité dynamiques
Le Proxy
• Partage de connexion Internet
• Serveur de cache (accélération de la performance)
• Organisation de la consultation Internet
par profils et groupes d’utilisateurs
(plages horaires, black-list, white-list,…)
• Traçabilité de la totalité du trafic par
poste et par utilisateurs
• Traitement statistiques du traffic
28 mai 2003
37
Le Serveur VPN:
réseau privé d’entreprise
• Accès sécurisé des sites distants et des
postes nomades au site central
• Sécurisation des communications via les
protocoles standard du marché (Ipsec, PPtP,
PPP over SSH)
• 1 serveur ACCESS-Net / 256 tunnels
VPN
28 mai 2003
38
Le Serveur de Ressources
Émule un serveur de bureautique sous
Windows (NT,2000, WFW, 95/98)
comprenant:
–
–
–
–
un serveur de fichiers sécurisé
Un serveur d’impressions en réseau
Un serveur DHCP (adresse flottante)
Serveur Wins (serveur de nom de domaine compatible
windows)
– Serveur FTP (téléchargement de fichier)
28 mai 2003
39
La coopération des clients
• Création d’un environnement utilisateur
personnalisé et « client léger»
–
–
–
–
Client de messagerie
Annuaire centralisé
L’accès direct à la base de fax
L’agenda coopératif
permettant :
– Accès à l’espace de travail indépendant
– Diminution des coûts de propriété
28 mai 2003
40
Administration et Sauvegarde
Centralisées
• Administration du système via une
interface Web
• Une seule interface d’administration pour
l’ensemble des fonctionnalités
• Sauvegarde des paramètres de sécurité
et des données du serveur (messagerie, logs
du Firewall et du Proxy…) sur :
– DAT, 2ème disque dur sur serveur Windows,
– site déporté possédant un serveur FTP
28 mai 2003
41
OPTION-Fax
•
Liaison protégée par le firewall
•
•
•
•
•
•
1 serveur, n lignes,
Liaison Numéris (avec ou sans SDA)
Liaison RTC (multi-voies)
Vers messagerie et/ou imprimante
Depuis la bureautique ou la gestion
Option archivage sur CD
28 mai 2003
42
OPTION-Web
•
•
•
•
Basée sur la technologie Apache
Sécurisé par le firewall et le proxy
Possibilité de DMZ/authentification
1 serveur, nombre d’utilisateurs et de
DNS illimités
• Support web, Intranet, Extranet
28 mai 2003
43
ANTIVIRUS
• Partenariat technologique avec le leader
des solutions antivirus pour serveurs :
TREND MICRO,
pour protéger la passerelle Internet et le
serveur de messagerie
• Compatibilité avec d’autres antivirus
28 mai 2003
44
ACCESS-Firewall
LA solution complète de sécurité au meilleur coût
-
-
28 mai 2003
45
Firewall « Stateful Packet Inspection »
• Analyse de la couche « applicative » (couche 7)
Proxy complet
• Filtrage d’URL avec gestion white & black lists
• Cache pour améliorer les performances
Serveur VPN
• Support des protocoles IPSEC, PPTP & SSH
• Jusqu’à 250 tunnels VPN simultanés
• VPN vers sites distants et/ou postes nomades
Détection d’intrusions
Gestion de la bande passante
Anti-virus passerelle (en option)
ACCESS-Firewall
-Solution de sécurité uniquement logicielle
-Pas limitée par la plate-forme hardware (mémoire,
processeur, disque dur, …) Æ Evolutivité
-Nombre d’interfaces réseaux illimité
Fonctionnalités
/Nbre utilisateurs
ire
F
SS
E
CC
A
n
AN
ree
Y
c
etS
OX
N
ll
wa
ec
Ch
1
NP
V
W/
F
t
oi n
P
k
P
co
s
i
C
IX
Prix
28 mai 2003
46
ACCESS-Agency
ACCESS-Firewall intégré dans un boîtier optimisé sécurité
-Firewall « Stateful Packet Inspection »
-Proxy Cache avec filtrage d’URL
-Serveur VPN
-Détection d’intrusions
-Gestion de la bande passante
-Anti-virus passerelle (en option)
-3 interfaces réseaux
-Disque dur de 20 Go
28 mai 2003
47
ACCESS-Agency
-Solution idéale pour les sites distants (jusqu’à 15
utilisateurs) connectés par VPN au siège
-Disque dur permettant un vrai stockage et ensuite
analyse des logs
-Intégration possible d’une solution anti-virale
Fonctions
ACCESSAgency
CheckPoint
Small Office
NetScreen 5
Proxy cache intégré
Oui
Non
Non
Disque dur (logs)
Oui (20 Mo)
Variable
Non
Anti-virus
Oui
Non
Non
Détection d’intrusion
Oui (Snort)
Limitée
Limitée
Manuel & Interface
en français
Oui
Non
Non
28 mai 2003
48
LES POINTS FORTS de l’offre
d’OXYAN Software :
1 - Simplicité de mise en œuvre et
de fonctionnement,
2- Compatibilité avec le système d ’informations
existant,
3- Qualité, et parfaite complémentarité
des fonctions de sécurité,
4- Administration et contrôle de la sécurité
du système d ’informations très puissant,
5- Coûts d’acquisition et d’évolution très
. performants
28 mai 2003
49
Un niveau de sécurité irréprochable
ACCESS-Net et ACCESS-Firewall ont
passé brillamment l’audit sécurité que
leur ont fait subir les consultants de la
société LEXSI :
« C’est le premier produit labellisé sur un plan
sécuritaire sur le marché des PME/PMI !!! »
(Lexsi est le premier cabinet français d’expertise en sécurité
informatique)
28 mai 2003
50
LES PARTENAIRES D’OXYAN
Les offres d’OXYAN Software ont
été sélectionnées par des grandes
entreprises du mode de l’informatique
et des télécommunications pour bâtir
avec eux des solutions répondant aux
besoins de leurs clients PME/PMI et
Administrations :
•IBM, COMPAQ, France Télécom, Cégétel,
Bull, Fujitsu-Siemens …
28 mai 2003
51
LES PARTENAIRES D’OXYAN
Travaillant exclusivement avec des
« Partenaires Agréés »,
OXYAN Software possède avec plus
de 80 agences en France, un réseau
de distribution apportant un excellent
niveau de service de proximité.
28 mai 2003
52
LES PRINCIPAUX CLIENTS D’OXYAN
Industriels : Coopératives agricoles, Soustraitants automobiles, Industries Textiles…
Services : SNCF, France Télécom, ARC,
France Intérimaire, ADA, Experts Comptables,
Architectes…
Collectivités Locales : Mairies Evry, Bayeux,
Champs/Marne, St-Tropez, Conseils Généraux
Val d’Oise, Orne, Chambre Agriculture du Loiret,
OPAC 43, CCI Hte Loire…
Education : Rectorat Limoges, Toulouse,
Caen…
28 mai 2003
53