ACCESS-Net: la communication numérique sécurisée
Transcription
ACCESS-Net: la communication numérique sécurisée
OXYAN Software : « la communication sécurisée » • • • • • • • Constats L’insécurité sur Internet une réalité Les Serveurs Internet dédiés Les moyens de connexion à Internet OXYAN Software ACCESS-Net , ACCESS-Firewall Les Partenaires OXYAN Software 28 1 mai 2003 CONSTATS Toutes les collectivités locales ont besoin de se connecter sur Internet : – – – – Email, Navigation / information, Relations fournisseurs Communication avec la population… quelque soit leur taille 28 2 mai 2003 CONSTATS Cette connexion doit être partagée entre les différents collaborateurs au sein de la collectivité, elle doit être performante et économique, et fédérer les différents moyens de communication de la collectivité. 28 3 mai 2003 CONSTATS La collectivité ouvre ses portes et devient interconnectée. Cette « Porte Ouverte » vers le monde extérieur, améliore sa réactivité, son niveau de connaissance, et la qualité du service rendu à la population Mais rend de plus en plus floues les frontières de son système d’information. 28 4 mai 2003 CONSTATS Cela pose des problèmes: – d’intégrité et de confidentialité des données, – d’authentification des utilisateurs, – de continuité de services, et présente des risques liés à : – des attaques venues de l’extérieur, – une utilisation abusive en interne. 28 5 mai 2003 L’INSECURITE SUR INTERNET Etude de PriceWaterhouseCoopers sur plus de 3 400 entreprises européennes • 43% auraient été victimes de fraude • 58% des fraudes ont été découvertes par hasard • 1 sur 5 parvient à récupérer plus de la moitié de ces données • 50% n’étaient pas assurées contre ces risques • 22% disposaient des ressources humaines pour gérer ces fraudes 28 6 mai 2003 L’INSECURITE SUR INTERNET • Vers et virus (ex : Nimda, Sircam, Code Red…) – Saturation du système – Destruction de données • Attaques (ex : dénis de service) – Indisponibilité du service • Intrusion – Atteinte à l’image (ex : défiguration de site) – Vol, modification ou destruction des informations (ex : numéros de cartes bancaires) – Utilisation des services Internet et des ressources informatiques de l’entreprise (par ex. pour mener d’autres attaques ou stocker des fichiers illégaux) – Usurpation d’identité 28 7 mai 2003 LES HACKERS Pirates du Dimanche – Plusieurs centaines de milliers – Se regroupent pour plus d’efficacité – Récupèrent sur Internet tous les outils de piratage existants – Les dégâts peuvent être très importants Il faut s’y intéresser et non les ignorer Il est facile de les bloquer 28 8 mai 2003 LES HACKERS Pirates Professionnels - peu nombreux - payés pour pénétrer des entités ciblées - Utilisent les faiblesses humaines (social engineering) Pour s’en protéger la sensibilisation du personnel de la collectivité est aussi importante que la qualité de la sécurité informatique 28 9 mai 2003 LES FAILLES Failles Techniques Failles Humaines Autres Failles 28 mai 2003 10 RESPONSABILITE LEGALE • L’article 42 de la Loi du 6 janvier 1978 impose au « maître »du fichier… « …de prendre toutes les PRECAUTIONS UTILES afin de préserver la sécurité » des informations faisant l’objet d’un traitement automatisé • C’est l’article 226-17 du nouveau Code Pénal qui érige en infraction spécifique le « manquement à la sécurité » : « ..le fait de procéder ou de faire procéder à un traitement automatisé d ’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d ’emprisonnement et de plus de 300 000 € d ’amende…» 28 mai 2003 11 L’INSECURITE SUR INTERNET • L’article 42 de la Loi du 6 janvier 1978 impose au « maître »du fichier… « …de prendre toutes les PRECAUTIONS UTILES afin de préserver la sécurité » des informations faisant l’objet d’un traitement automatisé • C’est l’article 226-17 du nouveau Code Pénal qui érige en infraction spécifique le « manquement à la sécurité » : « ..le fait de procéder ou de faire procéder à un traitement automatisé d ’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d ’emprisonnement et de plus de 300 000 € d ’amende…» 28 mai 2003 12 CONCLUSION La mise en place de solutions de communication via Internet, doit donc impérativement s’accompagner d’une politique d’administration et de sécurité centralisée. Cette sécurité comprend: - la définition de la politique de sécurité de la collectivité, - les outils permettant la mise en œuvre de cette politique : Firewall, Proxy, Antivirus. 28 mai 2003 13 POLITIQUE DE SECURITE • • • • • Analyse de l’existant, tests d’intrusion, Définition des profils utilisateurs, Définition des droits par profil utilisateur, Sensibilisation des utilisateurs, Choix d’une solution adaptée, mise en œuvre, • Mise à jour et veille technologique 28 mai 2003 14 LES DIFFERENTES SOLUTIONS 1/ L’association de différentes « briques applicatives » qui chacune gèrent une seule fonctionnalité par serveur dédié: – – – – – 28 mai 2003 15 routeur, serveur de messagerie, sécurité des accès (Firewall), administration (Proxy) … LES DIFFERENTES SOLUTIONS mais les collectivités ne veulent plus investir dans ces solutions car : – – – – – 28 mai 2003 16 investissements trop lourds, multiplicité des serveurs, administration trop complexe, intégration et évolutivité difficiles besoin de compétences et de ressources. LES DIFFERENTES SOLUTIONS 2/ Des offres d ’hébergement proposées par des opérateurs, – gestion des boîtes aux lettres de messagerie à distance, – sécurisation mutualisée entre les différentes sociétés hébergées, – une facturation par abonnement mensuel. 28 mai 2003 17 LES DIFFERENTES SOLUTIONS mais réservées aux petites structures car : – manque de souplesse et d’indépendance, – niveau de sécurité insuffisant, – administration et contrôle de l’utilisation d’Internet insuffisants, – coût par poste trop élevé. 28 mai 2003 18 LES DIFFERENTES SOLUTIONS 3/ Les Serveurs Internet dédiés (Internet Appliances) multi-fonctions: – – – – toutes les fonctionnalités essentielles, une seule interface utilisation, grande facilité d’utilisation et d’administration, faible consommation d’espace et de ressources informatiques, – investissement accessible pour une collectivité de taille modeste 28 mai 2003 19 LES DIFFERENTES SOLUTIONS Ce sont ces Serveurs Internet dédiés qui aujourd’hui répondent parfaitement aux besoins des collectivités de taille moyenne, Ils représenteront 80% des serveurs entreprises d’ici 2004 (source IDC, Gartner Group) 28 mai 2003 20 LES SERVEURS INTERNET DEDIES Le serveur dédié a été créé pour simplifier l’installation et l’administration d’un nouveau service dans un système d’information. En augmentant le nombre de services offerts par les serveurs dédiés, les constructeurs et éditeurs en ont fait une réponse à un problème d’entreprise : « le serveur dédié multi-fonctions» 28 mai 2003 21 LES BESOINS COUVERTS • connexion Internet et gestion de la messagerie d’entreprise, • sécurisation totale des flux de données entrants et sortants (Firewall), • connexion sécurisée des sites distants et des collaborateurs nomades (VPN), • émission et réception des fax à partir de la messagerie, 28 mai 2003 22 LES BESOINS COUVERTS • Gestion, contrôle, et optimisation de l’utilisation des différents moyens de communication (Proxy) • hébergement de sites Intranet/Extranet, • Interface (utilisateur et administrateur) unique, • simplicité et économie d’utilisation. 28 mai 2003 23 LES SERVEURS INTERNET DEDIES La différence entre ces serveurs se fera par la richesse des fonctions proposées, par la simplicité d’utilisation, par le coût d’acquisition et d’administration, et par la facilité d’intégration et d’évolution. « La différentiation entre une bonne et une mauvaise solution Internet Appliance ne se fera pas sur le matériel proprement dit, mais sur le concept complet de packaging » (Andrew Butler du Gartner Group) 28 mai 2003 24 DEUX TYPES d’Internet Appliances 1/ Les solutions matérielles, dites en « boîtier » (black box), 2/ Les solutions logicielles 28 mai 2003 25 AVANTAGES / INCONVENIENTS • Boîtiers – Coût < serveur généraliste – Installation rapide – Scénaries de sécurité insuffisants – Machine non évolutive – Maintenance limitée (serveur « jetable ») – Limités en nombre d’utilisateurs potentiels 28 mai 2003 26 • Logiciels – Politique de sécurité + poussée – S’intègre et évolue avec l’entreprise – Pas de limitation en nombre d’utilisateurs – Nécessite un peu plus de paramétrages lors de l’installation (règles de sécurité) OXYAN Software Editeur de logiciels de communication sécurisés sur Internet, qui a reçu le label « Entreprise Innovante » de l’ANVAR, et le soutien de la Région Rhône-Alpes, Société Anonyme Française au capital de 1Million d’ euros, soutenue par un pool d’investisseurs importants dont le groupe LAFAYETTE. 28 mai 2003 27 OXYAN Software Oxyan Software c’est 18 personnes réparties sur plusieurs sites : – Siège social à LYON : • Équipe de développement • Support / Hot-Line • Service Administratif et Logistique – 5 agences commerciales : • • • • • 28 mai 2003 28 Paris ( commercial et marketing) Nantes Strasbourg Toulouse Lyon L’OFFRE PRODUIT L’offre logicielle d’OXYAN Software est constituée : – d’une plate-forme de communication multifonction sécurisée : ACCESS-Net – d’un firewall / VPN : ACCESS-Firewall – d’un serveur de fax sécurisé : ACCESS-Fax – d’une solution sécurisée pour les sites distants : ACCESS-Agency (Nouveau Produit) 28 mai 2003 29 Philosophie Produits OXYAN Evolutivité : les solutions OXYAN doivent être évolutives afin de s’adapter aux nouveaux besoins des clients Choix d’une solution logicielle pour ne pas être limité par une plate-forme hardware dédiée Robustesse : en raison de leur criticité, les solutions OXYAN doivent être d’une robustesse sans faille Choix d’un OS réputé pour sa stabilité (Linux) et de composants logiciels éprouvés Services : ces solutions doivent permettre à nos partenaires de proposer facilement des offres de services complémentaires Tout le paramétrage est possible à distance ainsi que l’analyse des différents types de logs 28 mai 2003 30 Technologie OOCP Objectif : Intégrer et administrer via une interface commune différents services de communication et de sécurité FIREWALL VPN PROXY IDS Antivirus Mail Agenda Serveur de FAX Annuaire ressources Gestion des utilisateurs Interface d’administration unifiée 28 mai 2003 31 ACCESS-Net L’Internet Appliance le plus complet du marché ! - 28 mai 2003 32 Firewall « Stateful Packet Inspection » Proxy Cache avec filtrage d’URL Serveur VPN Détection d’intrusions (IDS) Gestion de la bande passante Anti-virus passerelle (en option) Messagerie Agenda Annuaire Serveur de fichiers Serveur de fax (en option) ACCESS-Net -Internet Appliance uniquement logiciel -Pas limitée par la plate-forme hardware (mémoire, processeur, disque dur, …) Æ Evolutivité -Fonctions de sécurité étendues Fonctionnalités /Nbre utilisateurs S-N S CE C NA A Y OX en ett n E 28 mai 2003 33 s Vi t h Rig i on et n Su lt ba o C Prix ACCESS-Net Coopération des clients VPN serveur Ressources Messagerie Firewall Proxy OXYAN-ACCESS-Net 1 solution = Tout l’Internet sécurisé Pour l’entreprise 28 mai 2003 34 La messagerie • Serveur de messagerie IMAP, POP,relais SMTP, • Client de messagerie webmail de type « client léger » avec Browser Web • Relais sécurisé de serveur de messagerie existant (Bureau de poste) qui permet: – Le fonctionnement en mode déconnecté de la messagerie (via client de messagerie de type Outlook) – L’hébergement de son domaine (nb de bal illimité) – La protection de la fonction contre les attaques en deny de service (filtre antispam) – Le relevé des b.a.l. externes au domaine 28 mai 2003 35 Le Firewall • Firewall « Stateful Packet Inspection » – Analyse de la couche « applicative » (couche 7) • Réalise la protection active du réseau – – – – filtrage des paquets IP la translation d’adresse (routage) le routage de port Logs et remontées d’alarmes • Optimise la bande passante (QOS) • Permet l’adaptation en temps réel de la politique de sécurité 28 mai 2003 36 – Détection des intrusions (IDS) – règles de sécurité dynamiques Le Proxy • Partage de connexion Internet • Serveur de cache (accélération de la performance) • Organisation de la consultation Internet par profils et groupes d’utilisateurs (plages horaires, black-list, white-list,…) • Traçabilité de la totalité du trafic par poste et par utilisateurs • Traitement statistiques du traffic 28 mai 2003 37 Le Serveur VPN: réseau privé d’entreprise • Accès sécurisé des sites distants et des postes nomades au site central • Sécurisation des communications via les protocoles standard du marché (Ipsec, PPtP, PPP over SSH) • 1 serveur ACCESS-Net / 256 tunnels VPN 28 mai 2003 38 Le Serveur de Ressources Émule un serveur de bureautique sous Windows (NT,2000, WFW, 95/98) comprenant: – – – – un serveur de fichiers sécurisé Un serveur d’impressions en réseau Un serveur DHCP (adresse flottante) Serveur Wins (serveur de nom de domaine compatible windows) – Serveur FTP (téléchargement de fichier) 28 mai 2003 39 La coopération des clients • Création d’un environnement utilisateur personnalisé et « client léger» – – – – Client de messagerie Annuaire centralisé L’accès direct à la base de fax L’agenda coopératif permettant : – Accès à l’espace de travail indépendant – Diminution des coûts de propriété 28 mai 2003 40 Administration et Sauvegarde Centralisées • Administration du système via une interface Web • Une seule interface d’administration pour l’ensemble des fonctionnalités • Sauvegarde des paramètres de sécurité et des données du serveur (messagerie, logs du Firewall et du Proxy…) sur : – DAT, 2ème disque dur sur serveur Windows, – site déporté possédant un serveur FTP 28 mai 2003 41 OPTION-Fax • Liaison protégée par le firewall • • • • • • 1 serveur, n lignes, Liaison Numéris (avec ou sans SDA) Liaison RTC (multi-voies) Vers messagerie et/ou imprimante Depuis la bureautique ou la gestion Option archivage sur CD 28 mai 2003 42 OPTION-Web • • • • Basée sur la technologie Apache Sécurisé par le firewall et le proxy Possibilité de DMZ/authentification 1 serveur, nombre d’utilisateurs et de DNS illimités • Support web, Intranet, Extranet 28 mai 2003 43 ANTIVIRUS • Partenariat technologique avec le leader des solutions antivirus pour serveurs : TREND MICRO, pour protéger la passerelle Internet et le serveur de messagerie • Compatibilité avec d’autres antivirus 28 mai 2003 44 ACCESS-Firewall LA solution complète de sécurité au meilleur coût - - 28 mai 2003 45 Firewall « Stateful Packet Inspection » • Analyse de la couche « applicative » (couche 7) Proxy complet • Filtrage d’URL avec gestion white & black lists • Cache pour améliorer les performances Serveur VPN • Support des protocoles IPSEC, PPTP & SSH • Jusqu’à 250 tunnels VPN simultanés • VPN vers sites distants et/ou postes nomades Détection d’intrusions Gestion de la bande passante Anti-virus passerelle (en option) ACCESS-Firewall -Solution de sécurité uniquement logicielle -Pas limitée par la plate-forme hardware (mémoire, processeur, disque dur, …) Æ Evolutivité -Nombre d’interfaces réseaux illimité Fonctionnalités /Nbre utilisateurs ire F SS E CC A n AN ree Y c etS OX N ll wa ec Ch 1 NP V W/ F t oi n P k P co s i C IX Prix 28 mai 2003 46 ACCESS-Agency ACCESS-Firewall intégré dans un boîtier optimisé sécurité -Firewall « Stateful Packet Inspection » -Proxy Cache avec filtrage d’URL -Serveur VPN -Détection d’intrusions -Gestion de la bande passante -Anti-virus passerelle (en option) -3 interfaces réseaux -Disque dur de 20 Go 28 mai 2003 47 ACCESS-Agency -Solution idéale pour les sites distants (jusqu’à 15 utilisateurs) connectés par VPN au siège -Disque dur permettant un vrai stockage et ensuite analyse des logs -Intégration possible d’une solution anti-virale Fonctions ACCESSAgency CheckPoint Small Office NetScreen 5 Proxy cache intégré Oui Non Non Disque dur (logs) Oui (20 Mo) Variable Non Anti-virus Oui Non Non Détection d’intrusion Oui (Snort) Limitée Limitée Manuel & Interface en français Oui Non Non 28 mai 2003 48 LES POINTS FORTS de l’offre d’OXYAN Software : 1 - Simplicité de mise en œuvre et de fonctionnement, 2- Compatibilité avec le système d ’informations existant, 3- Qualité, et parfaite complémentarité des fonctions de sécurité, 4- Administration et contrôle de la sécurité du système d ’informations très puissant, 5- Coûts d’acquisition et d’évolution très . performants 28 mai 2003 49 Un niveau de sécurité irréprochable ACCESS-Net et ACCESS-Firewall ont passé brillamment l’audit sécurité que leur ont fait subir les consultants de la société LEXSI : « C’est le premier produit labellisé sur un plan sécuritaire sur le marché des PME/PMI !!! » (Lexsi est le premier cabinet français d’expertise en sécurité informatique) 28 mai 2003 50 LES PARTENAIRES D’OXYAN Les offres d’OXYAN Software ont été sélectionnées par des grandes entreprises du mode de l’informatique et des télécommunications pour bâtir avec eux des solutions répondant aux besoins de leurs clients PME/PMI et Administrations : •IBM, COMPAQ, France Télécom, Cégétel, Bull, Fujitsu-Siemens … 28 mai 2003 51 LES PARTENAIRES D’OXYAN Travaillant exclusivement avec des « Partenaires Agréés », OXYAN Software possède avec plus de 80 agences en France, un réseau de distribution apportant un excellent niveau de service de proximité. 28 mai 2003 52 LES PRINCIPAUX CLIENTS D’OXYAN Industriels : Coopératives agricoles, Soustraitants automobiles, Industries Textiles… Services : SNCF, France Télécom, ARC, France Intérimaire, ADA, Experts Comptables, Architectes… Collectivités Locales : Mairies Evry, Bayeux, Champs/Marne, St-Tropez, Conseils Généraux Val d’Oise, Orne, Chambre Agriculture du Loiret, OPAC 43, CCI Hte Loire… Education : Rectorat Limoges, Toulouse, Caen… 28 mai 2003 53