Interview de Roland Dartiguepeyron, coordinateur SSI, délégation Midi-Pyrénées du CNRS
Pour faire face à la prolifération des échanges par voie électronique et à l’utilisation grandissante des portables, le CNRS Midi-Pyrénées s’est attaqué à la vulnérabilité de ses données sensibles en mettant en place la solution de chiffrement ZoneCentral de Prim’X Technologies. Roland Dartiguepeyron, coordinateur SSI de cette délégation nous détaille la mise en place de cette solution de sécurité réseau.
Pouvez-vous nous présenter votre organisme et plus spécifiquement, le CNRS Midi-Pyrénées ?
Le Centre national de la recherche scientifique (CNRS) est un organisme public de recherche, un établissement public à caractère scientifique et technologique, placé sous la tutelle du Ministère de l’Enseignement supérieur et de la Recherche. Il produit du savoir et met ce savoir au service de la société.
Le CNRS est organisé en 19 délégations qui assurent une gestion directe et locale des laboratoires dans le périmètre de leur circonscription et entretiennent les liens avec les partenaires locaux (notamment Universitaires) et les collectivités territoriales.
La Délégation Régionale CNRS Midi-Pyrénées est en charge de l’administration des 67 laboratoires CNRS de la circonscription Midi-Pyrénées et apporte son soutien et son support à la recherche.
La Délégation Régionale Midi-Pyrénées dispose de 17 serveurs, compte 110 personnels (permanents et non permanents) dont 26 utilisent des ordinateurs portables et 125 des postes de travail.
Quelle problématique vous a conduit à rechercher une solution de sécurité réseau ?
La délégation régionale CNRS Midi-Pyrénées a vu se multiplier les postes mobiles et les échanges de données sensibles, avec les laboratoires, les fournisseurs, les partenaires, les diverses parties prenantes mais surtout avec les différentes directions : générale, fonctionnelle et scientifique.
Les données de la délégation régionale sont stockées sur des serveurs de fichier, des stations de travail, fixes ou mobiles. Un état des lieux rapide a montré que ce type de données ne relève pas seulement du domaine de la recherche, de la gestion administrative ou de la valorisation de la recherche mais aussi du management : des informations stratégiques circulent donc dans nos réseaux et sur nos systèmes informatiques. Or, les vulnérabilités des machines que nous utilisons sont importantes.
D’abord parce que les accès physiques au poste de travail ne sont pas suffisamment bien protégés. Ensuite parce que l’utilisation des postes mobiles, ainsi que les PDA et les smartphones, en bureau nomade s’est très largement répandue ces dernières années, cette mobilité augmente les vulnérabilités. Enfin, les applications, les systèmes d’exploitation eux-mêmes, ne sont pas toujours correctement mis à jour.
Ainsi, pour faire face à la prolifération des échanges par voie électronique et à l’utilisation grandissante des ordinateurs portables, le CNRS Midi-Pyrénées a souhaité s’attaquer à la vulnérabilité de ses données sensibles.
Une solution s’est imposée : le chiffrement.
Sur quelle solution s’est porté votre choix et quels sont les résultats aujourd’hui ?
Nous avons décidé de mettre en place la solution de chiffrement ZoneCentral de l’éditeur Prim’X Technologies pour protéger les données contenues dans les ordinateurs portables et ainsi palier à trois types de menaces, à savoir, le vol de matériel, les écoutes sur le réseau et la perte de données. La possibilité de chiffrer les données sensibles partagées par plusieurs utilisateurs sur les serveurs de fichier, de les traiter depuis le poste de travail avec une liaison réseau chiffrée et de les sauvegarder chiffrées nous a également fortement intéressés.
La solution ZoneCentral répond parfaitement à nos exigences sur le plan technologique : robustesse des algorithmes cryptographiques, ergonomie, chiffrement tant des transmissions que des fichiers temporaires et du « swap » de Windows, utilisation conjointe possible avec d’autres programmes de sécurité, gestion des clés d’accès.
Deux types de fonctionnalités, qui peuvent être utilisés simultanément pour cumuler les avantages de l’une et de l’autre, sont proposés.
Tout d’abord, le chiffrement au niveau du répertoire permet de chiffrer à la volée tous les fichiers enregistrés et de déchiffrer de la même manière ceux qui sont ouverts légitimement. Les données sont donc protégées même lorsque la machine est allumée tant qu’on n’a pas ouvert un répertoire protégé.
Ensuite, le chiffrement de surface agissant au niveau d’une partition ou d’un disque complet assurant une protection en cas de vol de la machine. Cette solution est simple à mettre en œuvre et transparente pour les utilisateurs mais l’authentification étant effectuée à l’ouverture de la session ou au premier accès à une partition chiffrée, il n’y a plus de protection une fois celle-ci effectuée.
Le chiffrement par répertoire et la possibilité de l’étendre au poste complet présente l’avantage d’être transparent sans nécessité de réorganiser les partitions. L’impact sur les habitudes de travail des utilisateurs est presque inexistant. La possibilité d’étendre le chiffrement à l’ensemble des données stockées sur la machine apporte une protection (transparente pour l’utilisateur) des fichiers temporaires générés par le système. L’application gère une liste d’exceptions qui permet de ne pas chiffrer certains fichiers système. Cette fonctionnalité introduit la notion de « droit d’en connaître ».
Cette notion est parfois négligée mais est essentielle dans le processus de protection des données. En effet, un poste contenant des données protégées peut tomber en panne et donc nécessiter l’intervention d’une personne non habilitée à lire les données mais ayant des droits de lecture étendus. Lorsque le système n’est pas entièrement chiffré, aucune clé d’accès ne sera nécessaire à l’équipe informatique ou au prestataire extérieur. Ainsi les interventions sont donc possibles sans donner accès aux données confidentielles.
"Protection des échanges vers l’extérieur"
Dans le cycle de vie des données à protéger, des échanges vers l’extérieur sont nécessaires. Dans la grande majorité des cas, ces données transitent en tant que pièces jointes à un courrier électronique. La confidentialité n’est donc plus assurée. Une fonctionnalité de ZoneCentral permet de répondre à ce besoin. En effet, il est possible de créer des archives chiffrées. Ces « conteneurs » ont leur propre liste d’accès ne comprenant que les accès des personnes habilitées à lire les documents. Un module gratuit aux fonctionnalités bridées est disponible gratuitement pour les destinataires, leur permettant de lire le contenu chiffré mais aussi de le modifier ou d’ajouter des documents.
Un autre aspect important est la gestion des média amovibles (clé usb, …). Le produit gère ce type de média en permettant ou non l’écriture en clair.
Les versions récentes de ZoneCentral intègrent la gestion de consignes de chiffrement. Celles-ci permettent à l’administrateur de définir finement ce qui doit être chiffré sur le poste, laissé en clair ou choisi par l’utilisateur. À chaque démarrage du poste, les consignes de chiffrement sont vérifiées par le logiciel et appliquées suivant les directives de l’administrateur. Cette fonctionnalité est intéressante car elle permet de fixer dans le temps une politique de chiffrement du poste client mais surtout d’éviter l’érosion de la politique de protection.
Le choix de ZoneCentral a été fait d’abord pour la qualité de ce logiciel, mais deux autres raisons ont été aussi déterminantes : il peut chiffrer avec les certificats numériques générés par notre infrastructure de gestion des clés et offrir une gestion avancée du recouvrement au sein de ses listes d’accès (aspect organisationnel)
Outre le coût et la facilité de déploiement, d’autres fonctionnalités de ce produit nous ont paru encore utiles :
 le mécanisme de secours permettant à un administrateur de communiquer par téléphone un mot de passe pour ouvrir une zone protégée.
la possibilité de transmettre des conteneurs chiffrés : à partir de l’annuaire LDAP de l’IGC un utilisateur peut télécharger le certificat X509 de son correspondant afin de l’intégrer à la liste d’accès du conteneur.
Quel est le bilan de cette utilisation ?
Depuis trois ans dont douze mois d’utilisation étendue, nous pouvons dresser un bilan intermédiaire positif pour ce déploiement interne. En effet, le produit est très stable, aucune incompatibilité avec une autre application n’a été constatée. Mais surtout l’impact sur les habitudes de travail des utilisateurs est minime. Les renouvellements de certificat (et donc renouvellement de la clé d’accès) dans les listes d’accès personnelles ont été effectués sans difficulté.
ZoneCentral se révèle ergonomique et simple au point qu’un utilisateur même non averti est capable d’effectuer seul ce changement. Nous avons eu à restaurer à plusieurs reprises des données chiffrées sauvegardées (boîtes mail en particulier) et aucune perte de donnée n’est à déplorer.
Le but initial était de protéger les postes itinérants, cibles principales de pertes ou de vols de données. Le déploiement de cette solution de chiffrement nous a permis de sécuriser la détention de données sensibles.
Dans notre environnement homogène (orienté Windows Active Directory), le logiciel ZoneCentral se révèle adapté, stable, ergonomique et grandement configurable. Les possibilités sont en effet très étendues et permettent une gestion fine des différents paramètres logiciels.
De plus, les points jugés importants au déploiement d’une solution de chiffrement sont présents, comme la gestion avancée du recouvrement, sont bien pris en compte par cet outil. L’ergonomie et les performances ont fait qu’il a été bien accepté par les utilisateurs.
Dans le cas d’environnements hétérogènes et dans le cadre de la sécurisation d’ordinateurs portables, d’autres solutions sont également expérimentées et utilisées au niveau de l’organisme (disques durs chiffrant, chiffrement natif des OS, autre outil de chiffrement).
Dans le cycle de vie des données sensibles, le stockage est un aspect important mais les échanges vers des correspondants externes sont fréquents et souvent indispensables. La possibilité d’échanger des conteneurs chiffrés est une valeur ajoutée importante que nous explorons depuis quelques mois.
Mobilnews.info
08/09/10
|
.gif){kind=small}
