"Quid de la sécurité des documents déposés dans des bibliothèques SharePoint ? Prim’X présente la solution ZonePoint qui répond à ces besoins. ZonePoint assure le chiffrement des documents stockés dans les bibliothèques SharePoint apportant ainsi la couche de confidentialité indispensable à tout projet de partage de document ou d’externalisation des données d’entreprise. Les opérations de chiffrement/déchiffrement sont réalisées sur les terminaux des utilisateurs garantissant ainsi la protection des informations vis-à-vis des opérateurs techniques et sous-traitants (service informatique, opérateur, hébergeur, Cloudeur…). Simple et intuitive, la solution n’impose pas l’installation d’un client lourd sur le poste des utilisateurs et permet ainsi de proposer des espaces de confiance sur SharePoint qui peuvent être ouvert à des personnels externes à l’entreprise (clients, fournisseurs, partenaires…) Venez nombreux !"
ZonePoint : Comment garantir la confidentialité du travail collaboratif sous SharePoint ?
1. Chiffrement de documents pour SharePoint
Chiffrement de documents
pour MS SharePoint
Serge Binet
Directeur Général
Prim’X Technologies
#encryption
www.primx.eu/zonepoint.aspx
2. Chiffrement de documents pour SharePoint
Préambule + Objectifs de ZonePoint
Sécurité globale du Système d’Information
Fonctions de base
Accès aux documents
Concepts généraux
Composants
Architecture
Concrètement (vidéos)
Clés des utilisateurs
Administration des accès
Dépannage - Recouvrement
Paramétrage
Cryptographie
Certification – Qualification
And… ??
Sommaire
2
3. Chiffrement de documents pour SharePoint
Assurer la confidentialité des documents déposés dans MS
SharePoint (archivage documentaire crypté)
Permettre les partages (internes, externes) de documents tout en
gérant le ‘droit d’en connaitre’
Conserver la gouvernance de la sécurité au sein de l’entreprise
pour permettre l’externalisation des serveurs et des repositories
(Cloud)
Pouvoir considérer sans risque le serveur comme étant ‘en
territoire non trusté’
Impacter le moins possible les utilisateurs, tout en les éduquant
Il y a plein de bits de droits: supprimer,
modifier, lire, imprimer, copier/coller,
Le notre ?
Le droit de comprendre.
Objectifs
4
4. Chiffrement de documents pour SharePoint
Gestion du "droit d’en connaitre" par cloisonnement
(cryptographique) des documents entre utilisateurs (partages
chiffrés)
Protection contre le détournement/vol de documents
sur le serveur SharePoint et sur le réseau
o Attaque personnel interne
o Attaque /extract hacking réseau sur fichiers/SGBD
Rendre les documents non intelligibles pour les
intervenants d’exploitation (infogérance, Cloud,…), réseau,
IT, ….
MAITRISER mathématiquement les accès par une
protection passive et persistante (car l’actif se contourne…)
Sécurité globale du SI
5
5. Chiffrement de documents pour SharePoint
Gérer des espaces à (haute) sécurité imposée (prédéfinie)
Automatiquement crypter les documents uploadés vers
un serveur MS SharePoint par les utilisateurs
Automatiquement décrypter (si l’utilisateur a la clé) les
documents downloadés depuis un serveur MS SharePoint
Entretenir (automatiquement, et aisément) l’état de protection de
ces espaces protégés:
o Crypt & manage => nécessaire.
Cloisonner:
o L’Officier de Sécurité gère et légifère
o L’utilisateur utilise et consomme
o L’exploitant, l’admin, exploite, sans besoin de comprendre.
Fonctions de base
6
6. Chiffrement de documents pour SharePoint
Une bibliothèque de ‘Documents cryptés ZonePoint’
au lieu de la classique ‘Bibliothèque de documents’
(dont elle est à 95% dérivée)
Avec les mêmes possibilités (in fine, elle est similaire)
Dans laquelle il est possible de définir des contraintes
(cryptographiques) régissant le droit d’en connaitre
Avec des dossiers libres, des dossiers en clair, des
dossiers cryptés pour tel(s) groupe(s), etc.
Peu de changements, hormis cette question : ‘avez-
vous cette clé ?’ (pour lire ou écrire).
Pour les utilisateurs: un run-time installable ou bien…
un simple plug-in ‘plug and play’.
Comment ça se présente
7
7. Chiffrement de documents pour SharePoint
L’utilisateur accède aux documents par ses moyens
habituels
o Les navigateurs, multiples:
Internet Explorer, Chrome, Firefox
o L’explorer (canal WebDav)
o MS Office (>= WSeven & >= Mso2010)
Le Chiffrement-Déchiffrement
o Pour l’utilisateur, il s’effectue automatiquement – de façon
transparente – et à la volée, lors des transferts ;
o S’il a fourni la bonne clé
Accès aux documents
8
8. Chiffrement de documents pour SharePoint
Chiffrement – Déchiffrement effectués uniquement
sur l’équipement de l’utilisateur
o Avec la clé de l’utilisateur
o Donc aucune possibilité de déchiffrement sur le serveur, qui
peut donc être délocalisé sans risque
Protège naturellement le transport du document
entre l’équipement utilisateur et le serveur
SharePoint (au cours du download/upload)
o Aucune nécessité de vpn, https ou autre (même si
bienvenu)
Mais ne protège pas le document sur le poste de travail de
l’utilisateur, voir nos autres produits pour cela.
Sécurité (1)
9
9. Chiffrement de documents pour SharePoint
Le Serveur ne reçoit, ou n’utilise, JAMAIS, aucune clé cryptographique.
o Il est dans l’impossibilité TOTALE de décrypter quoi que ce soit, à quel que moment que ce soit. Il n’a
aucune clé. Il stocke, véhicule, et délivre –UNIQUEMENT- du crypté.
o Il n’existe donc aucun résidu attaquable sur le serveur (attaques mémoire, gel physique de RAM,
recherche de clés AES dans le swap, l’hiberfile, un memory.dmp, …)
o Car le serveur ne possède JAMAIS de clé (crypto), même de façon fugace; en effet, il ne voit que ‘du
PDF écrit à l’envers’ ;-). Et pour cause: il n’en a pas besoin!
o Il est donc INNOCENT et INATTAQUABLE. Et il délivrera malgré tout, avec son service de Bibliothèque
chiffrée, un service DE SECURITE fort.
o Son rôle se borne à faire son travail: recevoir des fichiers (écrits en ‘charabia’), les stocker, les donner à
qui les demande selon ses droits. Et celui-ci devra de son coté, en réception, donner une clé habilitée
pour accéder au contenu.
SEUL le CLIENT peut comprendre ce qu’il envoie ou reçoit, mais, de la même manière, seulement s’il a la
(bonne) clé.
Sécurité (2)
10
10. Chiffrement de documents pour SharePoint
Notion de "Bibliothèque chiffrée" et de "Zone"
Bibliothèque chiffrée
o Nouveau type de bibliothèque introduit par ZonePoint
Les Zones
o Ce sont les dossiers créés par les officiers habilités pour héberger les
documents qui doivent être chiffrés
o A chaque Zone est associée une liste d’utilisateurs ayant un accès
cryptographique aux documents
Tout document déposé dans une Zone sera automatiquement
chiffré conformément à la Zone, et donc pour les utilisateurs
‘accédants’ à la zone
Une zone est récursive. Il peut y avoir rupture et une ‘autre’ zone
‘en-dessous’.
Concepts généraux
11
11. Chiffrement de documents pour SharePoint
Le Serveur ZonePoint
o Add-On installé sur le serveur SharePoint
o Plateformes : SharePoint 2007, 2010, (bientôt 2013)
Le Client "light" (extension navigateur)
o Assure les fonctions de base (chiffrement/déchiffrement)
o Plug-in téléchargé à partir du Serveur
o Navigateurs : IE, Chrome, Firefox
Le client ZonePoint
o Fonctionnalités étendues (Webdav)
o Nécessaire pour administrer le chiffrement
o FACULTATIF pour les utilisateurs
o Plateformes Windows, XP, Seven,…
API
o Dépôt de documents par des applications (ERP,…)
o Migration de bibliothèques
o Fonctionnalités spéciales
Composants
12
12. Chiffrement de documents pour SharePoint
Architecture
13
Collection de sites
Site
Composants
ZonePoint
Serveur Frontal SharePoint
Explorateur
HTTP
Plugin
Filtre
WebDAV
Bibliothèques de
documents chiffrés
13. Chiffrement de documents pour SharePoint
Vidéos (demo)
Version 310. Améliorée en 312 il y a peu.
Jean crée une lib chiffrée (SB1)
Jean crée un espace restreint (SB5)
o Jean ajoute Steve à son groupe de travail et crée un espace privé
Jean ajoute un document dans l’espace protégé (SB6)
Steve (externe, ou interne), se connecte, et installe le plug-in (SB2)
Steve accède au document dans l’espace protégé (SB7)
Quick look
14
14. Chiffrement de documents pour SharePoint
La clé de l’utilisateur est:
o un mot-de-passe, ou
o un certificat (X509) issu d’une PKI (interne ou non)
Pour un certificat, les magasins de clés peuvent être
une carte/token, un magasin Windows, ou un
fichier de clés (pfx, p12)
Les certificats sont recommandés pour un usage
interne (PKI Windows Server par exemple)
Les mots de passe sont recommandés pour un
usage externe (sous-traitant extranet) ou
temporaire (stagiaire)
Clés des utilisateurs
15
15. Chiffrement de documents pour SharePoint
Les accès sont gérés
o De façon décentralisée, par les utilisateurs habilités
o Ou un officier de sécurité (avec les groupes AD, prochaine version)
o Seulement s’ils sont mandatés pour ce faire
Un AGENT de ‘Mise en Conformité’
o Surveille et rétablit l’état de toute la bibliothèque
o Applique les politiques (GPOs)
o Qui peuvent être signées (signature électronique)
Mécanismes de Secours et de Recouvrement
Administration
16
16. Chiffrement de documents pour SharePoint
Schéma revu et approuvé par les Autorités, testé
par un Laboratoire National Crypto (CESTI)
Algorithme de chiffrement AES 256 bits
Clés de chiffrement AES 256
o Tirées aléatoirement
o Gérées et protégées automatiquement
o Les mécanismes de chiffrement sont toujours exécutés sur
le poste de travail
Transchiffrement : mécanisme de renouvellement
des clés de chiffrement, à l’initiative du Security
Officer de l’entreprise
Cryptographie
18
17. Chiffrement de documents pour SharePoint
TOUS cas de serveurs internes, pour cloisonner
l’information et la protéger pendant son stockage
o Sans se reposer sur les ‘droits IT’ (posés par les IT eux-mêmes…)
Serveurs EXTERNES ou sous-traités, sans nécessité de
maitrise totale du personnel sous-traitant
o Pas de passage en clair du document sur le serveur
o Aucune clé ne transite sur le réseau
o Aucune clé hébergée ou détenue par les serveurs
o Gouvernance du chiffrement maîtrisée par le propriétaire
Plateformes d’échanges (fournisseurs, clients)
o Droits et clés gérés par le ‘maitre d’ouvrage’
o Client léger, sans droit spécifique ni installation
o Clés d’accès mixtes possibles (mots de passe+certificat)
Cas d’application
19
18. Chiffrement de documents pour SharePoint
SIMPLE: facile d’approche, simple à gérer
o Demande peu d’infrastructure, peu de moyens
o Sécurité incontournable
o très simple pour les utilisateurs
EASY:
o Client Light : quick user-download-install, no rights needed. Just give a valid access key to libraries!
o Pas de cauchemar de déploiement: set it up on servers, let users go in.
FLEXIBLE:
o Types de clés libre (mots de passe, certificats, …)
o Scalable: pour des petites ou grandes bibliothèques, fermes, etc.
SECURE
o Among the most secured solutions on the market.
o SERVER-side can remain Neutral (or hostile)
Points forts
20
19. Chiffrement de documents pour SharePoint
Certification EAL3+
et Qualification Nationale au niveau Standard
(diffusion restreinte FR, UE, NATO)
sont en cours (‘expected 2013,Q3)
Certification - Qualification
21
20. Chiffrement de documents pour SharePoint
Vous (ou vos clients) avez besoin pour votre Business
d’un espace sécurisé, confidentiel, de confiance,
réputé, expertisé, et MS SharePoint est votre outil
d’infrastructure ;
o Si ce n’est pour tout, du moins pour les documents précieux:
comptes, plans pub, dires, schemas, …
o De plus, vous échangez actuellement et sans protection avec
vos co- ou sous- traitants: usines, avocats, financiers,
fournisseurs
Avec MS SharePoint, Microsoft a fabriqué la
plateforme générale et générique
Les Hébergeurs vous apportent les liaisons, la CPU,
l’espace de stockage
PRIM’X vous apporte la SECURITE.
Pour conclure
22
21. Chiffrement de documents pour SharePoint
Version 4 in progress, including
o MS Sharepoint 2013
o Programmers API’s, Injection API’s
o ZoneBoard (multi-servers/libraries/zones supervision tool)
o Support de SharePoint Workspaces
Clients pour tablettes
o Fin Q1’2014
o iOS, Android, Win8 (phone)
What’s next
23