• Aucun résultat trouvé

La sécurité des portails d'entreprise

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "La sécurité des portails d'entreprise"

Copied!
30
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

La sécurité des portails d'entreprise

Cédric BLANCHER

Arche, groupe Omnetica / MISC

cedric.blancher@arche.fr / sid@miscmag.com JIA 2004

(2)

Agenda

Les portails d'entreprise

Problématiques de sécurité propres

accessibilité

criticité

Solutions

concepts

architectures

Conclusion

(3)

Les portails d'entreprise

Voir présentation de M. Renaud Bidou

Intranet

Extranet

Internet

des problématiques différentes

(4)

Les portails d'entreprise

Les points à surveiller

Accessibilité

Niveau d'accès au SI de l'entreprise

Isolation / segmentation

(5)

Les problématiques de sécurité

Elles se situent sur deux axes :

Accessibilité

Type de ressources

(6)

Accessibilité

L'accessibilité :

Il convient de définir les population pouvant accéder aux ressources/services du portail

Internet : n'importe qui

Intranet : les population internes

Extranet : des partenaires identifiés

(7)

Accessibilité

Intranet

Population interne à l'entreprise

Population connue et maîtrisée

Population dans un environnement connu et maîtrisé (i.e. le SI)

Il est globalement possible de gérer les

accès à un Intranet sur le plan de la sécurité

(8)

Accessibilité

Internet

Population externe à l'entreprise

Population inconnue

Population évoluant dans un environnement inconnue

Inconnu = pas de confiance

Limitation et segmentation maximales de l'accès au ressources

(9)

Accessibilité

Extranet

Population externe à l'entreprise

Population moyennement connue

Population évoluant dans un environnement inconnu

Le cas le plus difficile à gérer

Difficulté à définir le niveau de confiance

(10)

Type de ressources accessibles

Un portail met à disposition des ressources :

Serveur HTTP

Forum de discussion

Listes de diffusion

Bases de données

Fichiers

etc.

(11)

Type de ressources accessibles

Ces ressources donnent accès à des

informations dont le niveau de criticité varie.

Ces ressources sont disponibles sur des environnement dont le niveau de criticité varie.

(12)

Type de ressources accessibles

Exemple :

Le serveur HTTP publique est une

ressource peu critique pour la bonne marche de l'entreprise : sa compromission

n'empêche pas l'entreprise de produire.

Ce serveur peut fournir un accès à des

informations vitales (donc critiques) pour la compétitivité de l'entreprise

(13)

Type de ressources accessibles

Pour chaque service, il faudra qualifier :

le niveau de criticité de l'environnement hébergeant ce service

le niveau de criticité des informations hébergées dans cet environnement

Cette qualification permettra de définir le niveau d'accessibilité du service

(14)

Type de ressources accessibles

Exemples :

On ne laissera pas un serveur de fichiers sensibles accessible à n'importe qui

On ne laissera pas un serveur de fichiers sensibles héberger le site Web de

l'entreprise

Etc.

(15)

Sécurité des portails

Conclusion

Il faut définir une classification des services

Il faut définir une politique d'accès

À qui s'adresse mon service ?

Quelles sont les informations offertes ?

(16)

Solutions de sécurité

Pour sécuriser les portails, on va utiliser des solutions des sécurité pour assurer :

Authentification

Confidentialité

Intégrité

Disponibilité

(17)

Authentification

Brique de base

Permet de savoir qui accède au système

Par extension, permet de définir les droits de l'utilisateur sur le système

Point central et incontournable

(18)

Confidentialité

Permet de s'assurer qu'un utilisateur ne peut pas accéder à des informations qui lui sont interdites

Contrôle d'accès

Chiffrement

Point important

(19)

Authentification vs.

Confidentialité

On ne peut pas assurer de confidentialité sans authentification :

quels droits attribue-t-on à un inconnu ?

pourquoi chiffrer si on ne sait pas pour qui ?

(20)

Intégrité

On doit s'assurer de l'intégrité des informations mises à disposition

Contrôle d'accès

Contrôle d'intégrité

(21)

Disponibilité

On doit assurer la disponibilité des services, particulièrement ceux qui sont critiques

Contrôle d'accès

Redondance

Partage de charge

(22)

Architectures

La mise à disposition d'un portail nécessite l'extension du SI

L'architecture du SI doit permettre l'accueil du portail

L'architecture doit permettre l'accès aux informations requises

L'architecture doit isoler le portail des services auxquels il n'accède pas

(23)

Segmentation

Principe de segmentation maximale

Plus on isole, plus on restreint les accès

Plus on isole, plus on assure de sécurité

Principe des barrières anti-feu

(24)

Segmentation

Principes de base

Isoler les différents portails

Isoler les services

Les population qui y accèdent sont différentes

Les informations disponibles ne sont pas les mêmes

(25)

Segmentation

La segmentation reste la meilleure des protection

Elle doit s'appliquer à tous les niveaux,

matériel aux relations entre applications, en passant par le réseau

Elle s'appuie sur un contrôle d'accès fort

(26)

Les outils

Pour assurer la sécurité, on s'appuie sur des outils classiques :

Les applications elles-mêmes

Des systèmes d'authentification

Des systèmes de contrôle d'accès

De la cryptographie

Des filtres réseaux

Des outils ciblés (antivirus, contrôle d'intégrité, etc.)

(27)

Les outils

Chaque brique peut apporter un plus en sécurité

L'ensemble de la politique d'accès doit être implémenté (si possible) sur chaque brique du système

(28)

Les outils

Applications :

authentification, wrappers, méthodes accessibles, contrôle d'accès

Filtres réseau :

firewalls sous toutes leurs formes

Authentification

systèmes centralisés (Domaines, Token, etc.)

Cryptographie

Essentiellement SSL/TLS

Divers

antivirus, contrôle d'intégrité

(29)

Conclusion

Les portails sont un point d'entrée important, voire le principal point d'entrée

Leur sécurisation est indispensable

Prendre la sécurité en considération dès le début

Ne surtout pas la négliger : 75% des

piratages passeraient par une faille Web...

(30)

That's all folks

Questions

Références

Télécharger maintenant ( PDF - 30 Page - 178.92 KB )

Documents relatifs

RESSOURCES DISPONIBLES POUR ENGAGEMENT

Les ressources disponibles pour engagement au 30 septembre 2000 ne comprennent pas la contribution complémentaire du Royaume de Belgique à la quatrième reconstitution, équivalant à

Le défi Utilisation des ressources énergétiques disponibles

Dans une centrale thermique, des combustibles fossiles (charbon, gaz ou fioul) subissent une réaction chimique de combustion (dans une réaction chimique les noyaux des atomes

Chapitre 3 : Environnement et ressources naturelles

Rythme de reconstitution : au sein des espèces, le renouvellement des individus nécessite de quelques heures (c'est le cas des micro-organismes) à quelques semaines

Dans un monde de plus en plus énergivore et dont les ressources

Courant primaire (A) Primary rated

// GUIDE DES RESSOURCES POUR «L ÉCOLE À LA MAISON» Un tour d horizon sur les ressources pédagogiques et ludiques disponibles à distance

Guide des ressources pour « L’école à la maison » © SOS Education - Mars 2020 // Page - 2.. La pandémie de coronavirus a obligé la France à fermer ses écoles, collèges

Séance 11/2 : Les ressources énergétiques disponibles

Contenu : Ressources énergétiques et durées caractéristiques associées (durée de formation et durée estimée d’exploitation des réserves). Le soleil, source

Correction des ressources énergétiques disponibles 2

°C qui correspond à la température de vaporisation de l’heptane. Elle reste constante durant le changement d’état de l’heptane.. 4) Dans un tour de distillation

Ressources énergétiques disponibles 2 : les savoirs indispensables

- le topping : opération qui consiste à séparer dans une tour de distillation les différentes fractions présentes dans le pétrole brut en fonction de leur