ZonePoint : Comment garantir la confidentialité du travail collaboratif sous SharePoint ?

Chiffrement de documents pour SharePoint

Chiffrement de documents

pour MS SharePointSerge Binet

Directeur Général

Prim’X Technologies

#encryptionwww.primx.eu/zonepoint.aspx

http://www.primx.eu/zonepoint.aspx

Chiffrement de documents pour SharePoint 2

Préambule + Objectifs de ZonePoint Sécurité globale du Système d’Information Fonctions de base Accès aux documents Concepts généraux Composants Architecture Concrètement (vidéos) Clés des utilisateurs Administration des accès Dépannage - Recouvrement Paramétrage Cryptographie Certification – Qualification And… ??

Sommaire


Assurer la confidentialité des documents déposés dans MS SharePoint (archivage documentaire crypté)

Permettre les partages (internes, externes) de documents tout en gérant le ‘droit d’en connaitre’

Conserver la gouvernance de la sécurité au sein de l’entreprise pour permettre l’externalisation des serveurs et des repositories (Cloud)

Pouvoir considérer sans risque le serveur comme étant ‘en territoire non trusté’

Impacter le moins possible les utilisateurs, tout en les éduquant

Il y a plein de bits de droits: supprimer, modifier, lire, imprimer, copier/coller,

Le notre ? Le droit de comprendre.

Objectifs


Gestion du "droit d’en connaitre" par cloisonnement (cryptographique) des documents entre utilisateurs (partages chiffrés)

Protection contre le détournement/vol de documents sur le serveur SharePoint et sur le réseauo Attaque personnel interneo Attaque /extract hacking réseau sur fichiers/SGBD

Rendre les documents non intelligibles pour les intervenants d’exploitation (infogérance, Cloud,…),

réseau, IT, …. MAITRISER mathématiquement les accès par une

protection passive et persistante (car l’actif se contourne…)

Sécurité globale du SI


Gérer des espaces à (haute) sécurité imposée (prédéfinie)

Automatiquement crypter les documents uploadés vers un serveur MS SharePoint par les utilisateurs

Automatiquement décrypter (si l’utilisateur a la clé) les documents downloadés depuis un serveur MS SharePoint

Entretenir (automatiquement, et aisément) l’état de protection de ces espaces protégés:o Crypt & manage => nécessaire.

Cloisonner:o L’Officier de Sécurité gère et légifèreo L’utilisateur utilise et consommeo L’exploitant, l’admin, exploite, sans besoin de comprendre.

Fonctions de base


Une bibliothèque de ‘Documents cryptés ZonePoint’ au lieu de la classique ‘Bibliothèque de documents’ (dont elle est à 95% dérivée)

Avec les mêmes possibilités (in fine, elle est similaire)

Dans laquelle il est possible de définir des contraintes (cryptographiques) régissant le droit d’en connaitre

Avec des dossiers libres, des dossiers en clair, des dossiers cryptés pour tel(s) groupe(s), etc.

Peu de changements, hormis cette question : ‘avez-vous cette clé ?’ (pour lire ou écrire).

Pour les utilisateurs: un run-time installable ou bien… un simple plug-in ‘plug and play’.

Comment ça se présente


L’utilisateur accède aux documents par ses moyens habituelso Les navigateurs, multiples:

Internet Explorer, Chrome, Firefoxo L’explorer (canal WebDav)o MS Office (>= WSeven & >= Mso2010)

Le Chiffrement-Déchiffrement o Pour l’utilisateur, il s’effectue automatiquement –

de façon transparente – et à la volée, lors des transferts ;

o S’il a fourni la bonne clé

Accès aux documents


Chiffrement – Déchiffrement effectués uniquement sur l’équipement de l’utilisateuro Avec la clé de l’utilisateuro Donc aucune possibilité de déchiffrement sur le

serveur, qui peut donc être délocalisé sans risque

Protège naturellement le transport du document entre l’équipement utilisateur et le serveur SharePoint (au cours du download/upload) o Aucune nécessité de vpn, https ou autre (même si

bienvenu) Mais ne protège pas le document sur le poste de travail de

l’utilisateur, voir nos autres produits pour cela.

Sécurité (1)


Le Serveur ne reçoit, ou n’utilise, JAMAIS, aucune clé cryptographique.o Il est dans l’impossibilité TOTALE de décrypter quoi que ce soit, à quel que moment

que ce soit. Il n’a aucune clé. Il stocke, véhicule, et délivre –UNIQUEMENT- du crypté.o Il n’existe donc aucun résidu attaquable sur le serveur (attaques mémoire, gel

physique de RAM, recherche de clés AES dans le swap, l’hiberfile, un memory.dmp, …)

o Car le serveur ne possède JAMAIS de clé (crypto), même de façon fugace; en effet, il ne voit que ‘du PDF écrit à l’envers’ ;-). Et pour cause: il n’en a pas besoin!

o Il est donc INNOCENT et INATTAQUABLE. Et il délivrera malgré tout, avec son service de Bibliothèque chiffrée, un service DE SECURITE fort.

o Son rôle se borne à faire son travail: recevoir des fichiers (écrits en ‘charabia’), les stocker, les donner à qui les demande selon ses droits. Et celui-ci devra de son coté, en réception, donner une clé habilitée pour accéder au contenu.

SEUL le CLIENT peut comprendre ce qu’il envoie ou reçoit, mais, de la même manière, seulement s’il a la (bonne) clé.

Sécurité (2)


Notion de "Bibliothèque chiffrée" et de "Zone"

Bibliothèque chiffréeo Nouveau type de bibliothèque introduit par ZonePoint

Les Zoneso Ce sont les dossiers créés par les officiers habilités pour

héberger les documents qui doivent être chiffréso A chaque Zone est associée une liste d’utilisateurs ayant un

accès cryptographique aux documents

Tout document déposé dans une Zone sera automatiquement chiffré conformément à la Zone, et donc pour les utilisateurs ‘accédants’ à la zone

Une zone est récursive. Il peut y avoir rupture et une ‘autre’ zone ‘en-dessous’.

Concepts généraux


Le Serveur ZonePoint o Add-On installé sur le serveur SharePointo Plateformes : SharePoint 2007, 2010, (bientôt 2013)

Le Client "light" (extension navigateur)o Assure les fonctions de base (chiffrement/déchiffrement)o Plug-in téléchargé à partir du Serveuro Navigateurs : IE, Chrome, Firefox

Le client ZonePointo Fonctionnalités étendues (Webdav)o Nécessaire pour administrer le chiffremento FACULTATIF pour les utilisateurso Plateformes Windows, XP, Seven,…

APIo Dépôt de documents par des applications (ERP,…)o Migration de bibliothèqueso Fonctionnalités spéciales

Composants


Architecture

Collection de sites

Site

Com

posan

ts

Zon

eP

oin

t

Serveur Frontal SharePoint

Exp

lora

teu

r

HTTP

Plugin

Filtre WebDA

V

Bibliothèques de documents chiffrés


Vidéos (demo)

Version 310. Améliorée en 312 il y a peu.

Jean crée une lib chiffrée (SB1)

Jean crée un espace restreint (SB5)

o Jean ajoute Steve à son groupe de travail et crée un espace privé

Jean ajoute un document dans l’espace protégé (SB6)

Steve (externe, ou interne), se connecte, et installe le plug-in (SB2)

Steve accède au document dans l’espace protégé (SB7)

Quick look


La clé de l’utilisateur est:o un mot-de-passe, ouo un certificat (X509) issu d’une PKI (interne ou non)

Pour un certificat, les magasins de clés peuvent être une carte/token, un magasin Windows, ou un fichier de clés (pfx, p12)

Les certificats sont recommandés pour un usage interne (PKI Windows Server par exemple)

Les mots de passe sont recommandés pour un usage externe (sous-traitant extranet) ou temporaire (stagiaire)

Clés des utilisateurs


Les accès sont géréso De façon décentralisée, par les utilisateurs habilitéso Ou un officier de sécurité (avec les groupes AD,

prochaine version)o Seulement s’ils sont mandatés pour ce faire

Un AGENT de ‘Mise en Conformité’o Surveille et rétablit l’état de toute la bibliothèqueo Applique les politiques (GPOs)o Qui peuvent être signées (signature électronique)

Mécanismes de Secours et de Recouvrement

Administration


Schéma revu et approuvé par les Autorités, testé par un Laboratoire National Crypto (CESTI)

Algorithme de chiffrement AES 256 bits Clés de chiffrement AES 256

o Tirées aléatoiremento Gérées et protégées automatiquemento Les mécanismes de chiffrement sont toujours exécutés

sur le poste de travail

Transchiffrement : mécanisme de renouvellement des clés de chiffrement, à l’initiative du Security Officer de l’entreprise

Cryptographie


TOUS cas de serveurs internes, pour cloisonner l’information et la protéger pendant son stockageo Sans se reposer sur les ‘droits IT’ (posés par les IT eux-

mêmes…)

Serveurs EXTERNES ou sous-traités, sans nécessité de maitrise totale du personnel sous-traitanto Pas de passage en clair du document sur le serveuro Aucune clé ne transite sur le réseauo Aucune clé hébergée ou détenue par les serveurso Gouvernance du chiffrement maîtrisée par le propriétaire

Plateformes d’échanges (fournisseurs, clients)o Droits et clés gérés par le ‘maitre d’ouvrage’o Client léger, sans droit spécifique ni installationo Clés d’accès mixtes possibles (mots de passe+certificat)

Cas d’application


SIMPLE: facile d’approche, simple à gérero Demande peu d’infrastructure, peu de moyenso Sécurité incontournableo très simple pour les utilisateurs

EASY: o Client Light : quick user-download-install, no rights needed. Just give a valid access key to

libraries!o Pas de cauchemar de déploiement: set it up on servers, let users go in.

FLEXIBLE: o Types de clés libre (mots de passe, certificats, …)o Scalable: pour des petites ou grandes bibliothèques, fermes, etc.

SECUREo Among the most secured solutions on the market.o SERVER-side can remain Neutral (or hostile)

Points forts


Certification EAL3+ et Qualification Nationale au niveau

Standard (diffusion restreinte FR, UE, NATO)

sont en cours (‘expected 2013,Q3)

Certification - Qualification


Vous (ou vos clients) avez besoin pour votre Business d’un espace sécurisé, confidentiel, de confiance, réputé, expertisé, et MS SharePoint est votre outil d’infrastructure ;o Si ce n’est pour tout, du moins pour les documents précieux:

comptes, plans pub, dires, schemas, …o De plus, vous échangez actuellement et sans protection avec

vos co- ou sous- traitants: usines, avocats, financiers, fournisseurs

Avec MS SharePoint, Microsoft a fabriqué la plateforme générale et générique

Les Hébergeurs vous apportent les liaisons, la CPU, l’espace de stockage

PRIM’X vous apporte la SECURITE.

Pour conclure


Version 4 in progress, including

o MS Sharepoint 2013o Programmers API’s, Injection API’so ZoneBoard (multi-servers/libraries/zones

supervision tool)o Support de SharePoint Workspaces

Clients pour tabletteso Fin Q1’2014o iOS, Android, Win8 (phone)

What’s next