Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
-30/10/2014 Page 1
Comment sécuriser les communications vers des tiers et des établissements partenaires?
Olivier Mazade
Responsable Réseaux - Centre Hospitalier Universitaire de Clermont Ferrand
Xavier Hameroux
Directeur Commercial – Systancia
10 octobre 2014
-
Les enjeux
Comment prendre en compte les contraintes de sécurité exigées par les
Directions Générales des établissements hospitaliers?
Comment donner un accès flexible aux applications, aux postes de travail,
aux données en toute sécurité?
Comment s'assurer que chaque utilisateur accède uniquement aux
applications pour lesquelles il dispose des droits légitimes?
Comment sécuriser fortement l'accès au SI, tant depuis l'intérieur que depuis
l'extérieur de votre établissement, et ce quel que soit le terminal utilisé?
Comment maîtriser les coûts liés à la gestion du parc informatique et éviter
incidents de sécurité?
30/10/2014 Page 2
Copyright © Systancia 2014
-
Sommaire
Sécurité des accès externes
Contexte et problématiques de la sécurité de SI
Les bénéfices et les technologies dans les grandes lignes
La sécurisation des échanges au CHU xxxx
Le groupe hospitalier
Enjeux & besoins
Solution mise en œuvre & bénéfices
Les bénéfices apportés par IPdiva
Les modalités de déploiement
-
Mythes et réalités
« Ca ne m’est jamais arrivé,
donc ça ne me concerne
pas »
30/10/2014 Page 4
« J’utilise des protocoles et
bases de données
propriétaires, je suis
protégé »
« L’intégration des
mécanismes de sécurité
(chiffrement, filtrage,
authentification) est
incompatible avec les
contraintes de temps de
réponse exigées. »
« La sécurité du SI coûte
cher »
« Une attaque du SI aura
toujours moins d’impact
qu’un incident physique (vol
de câbles, incendie,…), ou
terroriste. »
« Trop de sécurité
m’empêchera de travailler
comme je veux »
« Mon firewall protège
mon réseau interne! »
-
Problématiques liées à la sécurité
5
Qui se
connecte?Comment ?
Notification
Audit/contrôle
Capture/record
Identification
Authentification
Contrôle intégrité
Contrôle de conformité
Qu’a-t-il
Fait! Autorisation
Profils d’accès
SSO
Bouquet de ressource
Que peut-il
faire?
-
La réponse correcte
6
Qui se
connecte?Comment ?
Qu’a-t-il
Fait!Que peut-il
faire?
Co
ntr
ôle
d’a
ccè
s
Vir
tua
lis
ati
on
-30/10/2014 Page 7
Les bénéfices et les technologies
dans les grandes lignes
-
Sécurisation des accès Les bénéfices :
30/10/2014 Page 8
La mobilité sécuriséePermettre un accès sécurisé au Système d’Information depuis l’extérieur
Accès Tiers : infogérance, télé-services, assistance• Accès central à un parc de systèmes ou d’applications réparties sur des sites
distants indépendants
• Gestion de parcs, gestion d’applications…
Traçabilité étendue des actions menées depuis l’extérieur• Enregistrement vidéo de sessions
• Choix des sessions impliquées
Personnel de l’établissement: nomadisme, home Working• Accès à un pool de ressources sur un LAN d’établissement (messagerie,
intranet, fichiers)
• Bureau déporté
• Accès tiers (médecins de ville, laboratoires, …)
• Publication proxy/reverse proxy
• Synchronisation sécurisée pour smartphones (ActiveSync)
-
Sécurisation des accès externesLes technologies en grandes lignes
30/10/2014 Page 9
IPdiva Secure & IPdiva Care, une réponse unique à toutes les demandes
AN
YW
HER
E SE
CU
RE Enregistrement vidéo des
comportements des utilisateurs /sessionsEvite les recherches sur les logs systèmesEvite la question: qui a pu générer ce changement sur le système?
Mobilité et télé-services par IP/Internet Accès distant sécurisé (VPN SSL), sélectif et contrôléPortail de contrôle d’identifiants physiques de Smartphones
Contrôle de conformité (Carte CPS, token sur Smartphone ,horaires
d’accès autorisés, sites autorisés, devices autorisés etc.)
Contrôle d’intégrité (poste habilité / antivirus / etc – pré-requis du BYOD)
Traçabilité des accès
Reverse ProxyPublication
d’applications web
VPN SSLAccès en mode applicatif Enregistrement
vidéo des sessionsTraçabilité des actions
Options de sécurité renforcéeAccès a distance au système d’information
IP SECAccès en mode réseau
Activ SyncSécuriser la synchro
messagerie des
mobiles
-30/10/2014 Page 10
solutions répondant à une Stratégie globale de sécurité d’accèsaux ressources informatiques depuis l’extérieur
Adaptation du niveau de sécurité en fonction des usages et profils utilisateurs
Solution de
contrôle et
surveillance
Une solution unique qui permet de répondre à la sécurisation des multiples types d’accès externes à contrôler
Un très bon complément de
solution de sécurité.
Reverse ProxyPublication
d’applications web
VPN SSLAccès en mode applicatif Enregistrement
vidéo des sessionsTraçabilité des actions
Options de sécurité renforcéeAccès a distance au système d’information
IP SECAccès en mode réseau
Activ SyncSécuriser la synchro
messagerie des
mobiles
Sécurisation des accès externesLes technologies en grandes lignes
-30/10/2014 Page 11
Les bénéfices apportés par IPdiva
-
Passerelle d’interface entre les applications devant être rendues
accessibles à distance et le portail d’accès SSL
Communication sécurisée entre IPdiva Server et IPdiva Gateway
par tunnel SSL sortant (pas d’intervention sur le firewall ou le routeur
en place)
30/10/2014 Page 12
IPdiva Server:
IPdiva Gateway
Point d’entrée unique vers les sites hébergeant les systèmes à
accéder ou les applications publiées
Mutualisation de l’authentification et du contrôle d’accès
Portail d’accès générique pour les utilisateurs distants
un IPdiva ServerPilote N Gateway Compartimentation des réseaux supportant les ressources
Compatible multi-sites, multi-VLAN
Fonctions supplémentaires (filtrage, collaboratif, supervision,
gestion de parc…)
IPd
iva
Se
cu
re
IPdiva SecureCaractéristiques principales
-
Une visibilité totale par enregistrement• Re-visionnage intégral de la session applicative afin de comprendre,
d’apprendre ou de contrôler les actions opérées
• Permet de satisfaire des exigences de plus en plus fortes en termes de suivi et
d’audit des connexions aux serveurs sensibles de votre infrastructure
• Assure la responsabilité de toutes les parties prenantes pour le respect de
ces exigences (prestataires, utilisateurs, administrateurs...)
30/10/2014 Page 13
IPdiva Server:
Diffusion restreinte des paramètres de connexion• En tant que point d’accès unique, IPdiva Care limite la diffusion des
identifiants (mots de passe) d’accès à vos serveurs « sensibles »
• Les utilisateurs ne connaissent que leurs identifiants de connexion au portail de
contrôle d’accès. IPdiva Care substitue aux identifiants de connexion de
chaque utilisateur les paramètres devant être réellement appliqués sur les serveurs
cibles pour l’accès aux ressources et ce, de manière transparente
• Chaque connexion étant identifiée de manière spécifique, la légitimité et
l’authenticité des logs générés s’en trouve renforcée
• Désactivation d’un intervenant très simple par gestion des droits sur le portail
IPdiva Server.
Fonctions principales
IPd
ivaC
are
IPdiva CareCaractéristiques principales
Parmi les fonctions principales• Gestion centralisée de l’authentification et de l’identification des utilisateurs
• Personnalisation des droits d’accès
• Notification interactive des accès
• Capture et enregistrement « sans agent »
• Optimisation de l’enregistrement
• Visualisation complète des sessions
• Traçabilité étendue
IPdiva Care:
-
Les solutions
Sécuriser l’accès au système d’information depuis l’extérieur n’a jamais été aussi simple et sélectif
• Un produit complet permettant de répondre à toutes les problématiques techniques
• Un produit qui s’insère facilement dans le système d’information en place
• Un positionnement prix et société adapté aux Centres Hospitaliers
-30/10/2014 Page 15
Les modalités de déploiement
-
Modalités de déploiementMode 1: Mobilité – Système dédié
16
Collaborateurs
Nomades
Internet
Partenaires
Fournisseurs
IPdiva SSL VPN
Portal
Réseau local
CRM/ERPIntranetMessagerie
IPdiva
Gateway
-
Modalités de déploiementMode 2: Mobilité – Cloud/ASP
17
Passerelle
IPdiva Gateway
Firewall
Réseau local
IntranetMessagerieERP/CRM
Utilisateur
distant
Internet
-
Modalités de déploiementMode 3: Infogérance -Téléservices
18
Site Client 2
Internet
Infogérant
Site Client 1
La solution :
Rappel des enjeux et avantages
Offrir la communication depuis l’extérieur pour tous
Garantir la mobilité des utilisateurs en toute sécurité
Garantir la sécurité sur tous les devices
Offrir la possibilité du BYOD
Garantir la surveillance des actions menées sur le SI par des tiers
-
La sécurisation des échanges au
CHU de Clermont Ferrand
Le Centre Hospitalier Universitaire de Clermont Ferrand
Les enjeux & besoins de la DSI
La solution mise en œuvre
Les principaux bénéfices
30/10/2014 Page 20