COMMISSION EUROPÉENNE

Dimension: px
Commencer à balayer dès la page:

Download "COMMISSION EUROPÉENNE"

Transcription

1 COMMISSION EUROPÉENNE Bureau de sécurité Sécurité informatique * * Le texte en italique correspond à des commentaires destinés à disparaître du texte final.

2 0. RESUME 1. INTRODUCTION 2. CONCEPTS ARCHITECTURAUX DE LA SECURITE 2.1 Domaines de sécurité 2.2 Domaines intérieur et extérieur 2.3 Gestion de la sécurité 2.4 Accords sur les accès aux données 2.5 Politique de sécurité des systèmes locaux 3. MODALITES DE MISE EN OEUVRE TECHNIQUE ET REGLEMENTATION 3.1 Services et mécanismes de sécurité 3.2 Réseaux Confinement des domaines - Firewall Rôles et responsabilités Partitionnement du réseau Accès externes Protocoles autorisés sur le réseau inter-domaine Domaine local sécurisé Services offerts par la Commission sur les réseaux externes Règles concernant la connexion à INTERNET 3.3 Equipements (PC/serveurs) Sécurité sur le poste de travail Sécurité sur le serveur Intégration des services de sécurité 3.4 Systèmes d'information Intégration de la sécurité Systèmes de diffusion Systèmes de production 4. INFRASTRUCTURES 4.1 Carte à microprocesseur Type - 2 -

3 4.1.2 Contenu de la carte Organisation autour de la carte 4.2 Gestion électronique de documents 4.3 Courrier électronique sécurisé 4.4 SNET, LAN virtuel 5. ETAPES DE MISE EN PLACE 5.1 Etape 1: Mise en place de la carte à microprocesseur 5.2 Etape 2: Mise à disposition sur PC des outils de sécurité 5.3 Etape 3: Courrier électronique sécurisé 5.4 Etape 4: Single-logon sans modification des serveurs 5.5 Etape 5: Single-logon sur serveurs spécialisés 5.6 Etape 6: Généralisation de l'étape 5 à tous les serveurs 5.7 Etape 7: Généralisation de la carte à microprocesseur aux serveurs 5.8 Etape 8: Serveurs d'authentification et RPC sécurisés 6. ANNEXES 1. STANDARDS 2. CONVENTION "CONFIGURATION SURE" 3. CONVENTION "DOMAINE LOCAL SECURISE" 4. ECHELLE D'EVALUATION DE L'IMPACT DES RISQUES 5. GLOSSAIRE ET PRODUITS - 3 -

4 0. RESUME Le présent document définit les modalités techniques de mise en oeuvre de la réglementation C(95) 1510 relatif à la protection des systèmes d'information. Ce document introduit les concepts qui doivent être approuvés par l'ensemble de l'organisation informatique, de façon que chaque équipe concernée puisse mettre en oeuvre les éléments de l'architecture intégrant la sécurité en conformité avec la ligne générale. Ce document est évolutif, en particulier en ce qui concerne les mécanismes qui doivent suivre l'évolution de l'informatique. Le chapitre 2 introduit les concepts de base: le partitionnement en domaines de sécurité généraux et locaux, internes et externes, La définition des niveaux de sécurité applicables aux domaines, La gestion de la sécurité dans un contexte décentralisé et en mode clientserveur, et la répartition des responsabilités concernant l'établissement des politiques de sécurité aux niveaux général et local, Le cadre de l'établissement des règles au niveau local en ce qui concerne l'accès aux données et la politique de sécurité locale. Le chapitre 3 décrit les services de sécurité: authentification, confidentialité, intégrité, non-répudiation, etc, qui seront mis en oeuvre dans les systèmes d'information, ainsi que leur intégration dans l'architecture: réseau, postes de travail, serveurs, systèmes d'information. Le chapitre 4 décrit les infrastructures sur lesquelles s'appuieront les systèmes d'information lors de la mise en oeuvre de la sécurité: carte à microprocesseur, courrier électronique sécurisé, réseau, etc. Le chapitre 5 décrit les étapes possibles de mise en oeuvre

5 1. INTRODUCTION La sécurité des systèmes d'information repose sur un certain nombre de moyens organisationnels ou techniques. La politique générale de sécurité fait l'objet d'une décision de la Commission C(95) 1510 du 23 novembre 1995 relative à la protection des systèmes d'information. Celle-ci définit les responsabilités et les règles générales. Chaque Direction générale définit sa propre politique de sécurité et les procédures correspondantes. Afin de la mettre en oeuvre, elles disposent de moyens qui sont: la formation et la sensibilisation, les méthodes d'analyses de risque, les méthodes d'intégration de la sécurité dans la construction des systèmes d'information, les méthodes d'élaboration des plans de secours, des outils de contrôle et d'audit, des dispositifs techniques ou procéduraux, logiques ou physiques destinés à mettre en oeuvre la sécurité des systèmes d'information repris dans le Guideline. La structure de ces différents éléments est reprise à la figure 1. TRAITE STATUT REGLEMENTS POLITIQUE DE SECURITE DES SYSTEMES D'INFORMATION ORGANISATION / ARCHITECTURE PRODUITS REGLES GUIDELINE ANALYSES DE RISQUE PROCEDURES/ CONSIGNES SYSTEME D'INFORMATION SECURITE DANS LES DEVELOPPEMENTS SENSIBILISATION FORMATION CONTROLES AUDITS PLANS DE SECOURS Figure 1: Structure des moyens de sécurité. Le présent document concerne l'architecture de sécurité. Il complète, sur le plan technique, la Décision concernant la politique de sécurité et en constitue le volet - 5 -

6 technique. Il est aligné sur les principes de l'architecture de l'informatique générale. Les techniques informatiques doivent s'adapter au contexte administratif et organisationnel. Celui-ci est caractérisé par quatre concepts: décentralisation, transparence, adaptation, évolution. L'architecture décrite ci-après définit les services et mécanismes de sécurité nécessaires et suffisants pour assurer un bon niveau de sécurité à la Commission. Toutefois, si ces services doivent être disponibles, il ne sont mis en oeuvre qu'en fonction du niveau de sensibilité des systèmes d'information auxquels ils appartiennent (cf. annexe 4). L'architecture ne présuppose pas l'utilisation de produits particuliers mais propose des solutions génériques standardisées et représentatives de l'offre du marché. Une étude de faisabilité doit être menée pour valider cette architecture et vérifier l'existence de produits. Des spécifications techniques doivent être rédigées pour sélectionner les produits opérationnels. La mise en place totale de l'architecture se fera par étapes qui sont précisées au point 6. L'architecture est conforme aux standards (cf. annexe 1), notamment ISO part 2. Pour l utilisation pragmatique des standards ayant fait leurs preuves sur le marché, l architecture fait référence en priorité aux standards de droit ( de jure ) sinon aux standards de fait ( de facto ) dont la définition est de préférence dans le domaine public. Les produits utilisés sont certifiés ou au moins conformes, à ITSEC C2-E2 (TCSEC C2). La structure du document, pour la partie poste de travail et serveurs, suit la structure de ITSEC en termes de fonctions de sécurité

7 2. CONCEPTS ARCHITECTURAUX DE LA SECURITE 2.1 Domaines de sécurité. Le Domaine de la Commission est l'ensemble des ressources informatiques lui appartenant. Dans un but de gestion et de contrôle, le Domaine de la Commission est partitionné en Domaines locaux de sécurité. Un Domaine local de sécurité est un ensemble de ressources informatiques et de personnes ayant un niveau de sécurité interne homogène, appliquant la même politique de sécurité locale et représentant une entité autonome sur le plan de la sécurité. Un domaine local de sécurité peut correspondre à une Direction générale ou à un morceau de Direction générale, et par extension: une Délégation, un Bureau de presse ou même un prestataire sous certaines conditions. Les domaines sont, soit disjoints, soit imbriqués. Le niveau de sécurité ainsi que la Politique de sécurité d'un domaine local, sont définis par le Directeur général ou son représentant sur recommandation du fonctionnaire de sécurité. La mise en oeuvre de la sécurité est à la charge de l'irm et des propriétaires de service, chacun en ce qui le concerne, sous le contrôle du fonctionnaire de sécurité. Cependant, la définition du niveau de sécurité est conditionné à un ensemble de règles minima contraignantes définies par le Bureau de sécurité. Ces règles ont pout but d'éviter que les Directions générales se perturbent mutuellement. On se reportera au chapitre 3. Modalités de mise en oeuvre et règlementation. La Politique de sécurité locale est un ensemble de mesures systématiques assurant la sécurité: dispositifs, règles, procédures, etc. Elle est définie au paragraphe 2.5. Il y a quatre niveaux de sécurité pour les domaines de sécurité: N1: Public N2: Privé général correspondant au réseau interdomaine N3: Privé local de sensibilité "normale" N4: Privé local de sensibilité "classifiée" A ces quatre niveaux on ajoute le domaine public externe qui correspond à tout ce qui n'appartient pas à la Commission, soit: N0: public externe. Les éléments d'un système d'information doivent se trouver dans des domaines de sécurité de niveau correspondant à leur sensibilité. Lorsque des informations transitent dans un domaine de niveau inférieur, des moyens doivent être mis en oeuvre pour leur assurer le niveau de sécurité ad hoc, par exemple le chiffrement

8 2.2 Domaines intérieur et extérieur. Par analogie avec les bâtiments, il est intéressant de séparer les domaines physiques de façon à assouplir et simplifier la gestion de la sécurité. Dans le domaine physique intérieur, on peut gérer des sous domaines de niveau homogène, c'est-à-dire, de même sensibilité, comme un tout. Dans le domaine extérieur chaque utilisateur isolé doit être considéré comme un sous-domaine car il se trouve, par définition, dans un environnement potentiellement hostile. Si les conditions le permettent, on peut créer des sous domaines locaux extérieurs, par exemple, une délégation ou un bureau, ou un contractant. La figure 2 décrit la structure des domaines. Domaine externe physique Domaine interne physique CT DLI N3 DLE DLI N4 N3 N4 DLE N3 N0 N1 F W N2 N3 N4 DLI Légende: N0: Domaine public externe (Réseaux publics, serveurs n'appartenant pas à la Commission, etc.). N1: Domaine public interne (Bases de diffusion, Web EUROPA, etc.). N2: Domaine privé général correspondant au réseau interdomaine (IDNet). N3: Domaine local de sensibilité normale (non classifié). N4: Domaine local de sensibilité "classifiée". CT: Centre de télécommunication, interface unique entre domaines internes et externes. FW: Firewall DLE: Domaine local exterieur DLI: Domaine local intérieur Figure 2: Structure des domaines. Le réseau inter-domaine est considéré comme un medium de communication. Le contrôle sur l'accès aux données et aux autres ressources et les mesures pour protéger l'intégrité et la disponibilité des systèmes, sont mis en oeuvre sur les systèmes terminaux, soit à l'interface avec le réseau, soit dans les applications ou le système d'exploitation. Il existe deux façons de concevoir le concept d'extérieur et d'intérieur: Physiquement: les éléments des systèmes d'information (postes de travail, serveurs, noeuds de réseau, etc.) sont physiquement à l'intérieur ou à l'extérieur du domaine physique de la Commission s'ils sont, d'une part, reliés au réseau interdomaine (IDNet), et, d'autre part, placés physiquement dans un bâtiment dont l'accès est limité et sous le contrôle de la Commission. Logiquement: l'utilisateur appartient au domaine intérieur s'il a un lien juridique avec l'institution: statut, contrat, etc. Il doit pouvoir accéder, en tout sécurité, au domaine physique intérieur quelle que soit sa localisation géographique. Cette seconde acception conduit à gérer l'identification, l'authentification et le contrôle d'accès au niveau des couches hautes du modèle ISO. Il faut établir un canal sûr et indépendant du réseau, entre l'utilisateur et le système d'information

9 L'orientation prise par les réseaux ainsi que la politique immobilière de la Commission, ne permet plus d'envisager une séparation physique systématique des domaines locaux. La séparation doit se faire sur le plan logique: authentification individuelle des utilisateurs, contrôle d'accès centralisé au niveau du domaine local avec coopération entre domaines locaux, sécurisation des interactions client-serveur. Pour la sécurité client-serveur, chaque domaine est équipé d'un serveur d'authentification (SA) (voir figure 3). Celui-ci a pour fonction d'authentifier chaque utilisateur du domaine et de lui donner un jeton pour le serveur de droit d'accès. Le jeton est un message crypté qui permet d'assurer l'authentification réciproque des entités homologues, c'est-à-dire le client et le serveur, d'une part, et, d'autre part, l'intégrité et la confidentialité de chaque échange (RPC) entre eux. Chaque domaine est équipé d'un serveur de droits d'accès (SDA) dont la fonction est de vérifier les droits d'accès de chaque client à chaque serveur du domaine. Le serveur d'authentification donne un jeton pour l'accès au serveur de droit d'accès, le serveur de droits d'accès pour chaque serveur (voir figure 3). SA SDA S SA SDA S IDNet PdT PdT FW SA SDA Réseau ext. Figure 3: Architecture de sécurité des domaines L'interaction entre domaines est assurée de la façon suivante: Le serveur d'authentification et de droits d'accès du domaine émetteur donne un jeton au client pour accéder au serveur d'authentification du domaine cible. En ce qui concerne l'accès depuis l'extérieur, l'utilisateur se fait authentifier par le serveur d'authentification et reçoit un jeton du serveur de droit d'accès du Centre de télécommunication, destiné au serveur d'authentification du domaine cible souhaité. Le processus est montré à la figure

10 C T PdT éloigné (1) SA (CT) SDA (CT) (3) SA (CT) (2) IDNet SNet (4) SDA (CT) Figure 4: Chaîne d'authentification entre domaines locaux. Pendant la phase transitoire de mise en service systématique des serveurs d'authentification et de droits d'accès, le système peut fonctionner de façon dégradée en utilisant des procédures de login simple, éventuellement renforcées par des authentifications fortes: Mot de passe simple, challenge-response par logiciel, carte à microprocesseur, etc. (cf. Etapes de mise en oeuvre au chapitre 5). La protection des données est basée sur les services de sécurité suivants placés dans les couches hautes: Authentification des entités homologues, Contrôle d'accès, Confidentialité, Intégrité des données, Authentification de l'origine, Non répudiation. Les mécanismes qui mettent en oeuvre ces services sont cités au point 3.1. A ces services normaux sont adjoints des services complémentaires ponctuels mis en place sur les couches basses chaque fois que c'est plus efficace: Authentification des entités homologues: authentification de l'adresse réseau X25 ou IP, par dispositif ad hoc dans le second cas, Contrôle d'accès: contrôle d'addresse réseau X25 ou IP avec filtrage des paquets, Authentification de l'origine: authentification de l'adresse par l'utilisateur, Confidentialité: chiffrement de ligne entre deux noeuds

11 2.3 Gestion de la sécurité. A l'intérieur du cadre défini par la Décision C(95) 1510 du 23 novembre 1995 relative à la protection des systèmes d'information, ainsi que par les règlements généraux de la Commission, la sécurité doit être gérée au niveau le plus adéquat. Le schéma général des composants de la sécurité est décrit à la figure 5. Autorité sur le réseau Politique de sécurité réseau Réseau Autorité sur le réseau Règles de connexion Systèmes local Données Politique de sécurité système Propriétaire de données Accord sur l'accès aux données Système local Politique de sécurité système Responsable du système local Responsable du système local distant NB: Un système local peut être interne ou externe à la Commission. Figure 5. Schéma des composants de la sécurité. Les différents composants de la sécurité sont: Politique de sécurité du réseau: Définit les principes à adopter et les méthodes à utiliser pour la sécurité du réseau. Règles de connexion: Définissent les conditions de sécurité techniques qui doivent être remplies avant que chaque système local puisse être connecté au réseau. Accords d'accès aux données: Concernent le partage des données et sont négociés individuellement entre les propriétaires de données et les représentants des utilisateurs qui souhaitent y accéder. Peuvent y être incluses les conditions techniques telles que le chiffrement, l'authentification de l'origine, la non-répudiation, etc. Politiques de sécurité des systèmes locaux: Définissent la politique de sécurité locale spécifique. Elles dépendent des risques propres. Elles sont réalisées localement, éventuellement selon un modèle général, décrit ci-après, adapté suite à des analyses de risque spécifiques mais conforme à un niveau minimum découlant de la Décision

12 relative à la protection des systèmes d'information et notamment des articles 2, 4 et 5, ainsi que des règlements généraux de la Commission. Les rôles et les responsabilités doivent suivre le principe de subsidiarité. La responsabilité pour la sécurité repose sur les responsables des systèmes locaux sauf si une responsabilité centrale est préférable pour le bien de la communauté des utilisateurs. Par conséquent, les principes s'appliquant à l'établissement des politiques sont les suivants: 1. Si une Direction générale A a défini un niveau de risque R A, d'origine interne ou externe, a pris des mesures M A pour obtenir un niveau de sécurité S A lié aux mesures prises, S A ne doit pas être dégradé par une Direction générale B qui a un niveau de sécurité S B inférieur à S A ; 2. La définition de S A, respectivement S B, est de la responsabilité de la Direction générale A, respectivement B, dans les limites des réglements de la Commission; S A, et S B, est le résultat d'une analyse de risque; 3. Le rôle du Bureau de sécurité, avec l'aide de la Direction informatique, est de: veiller à ce que soit déterminé le niveau S A de sécurité (analyse de risque et plan de sécurité) veiller à ce que soient fournis les moyens techniques ou organisationnels, à la Direction générale A, pour qu'elle puisse réaliser les mesures M A afin d'obtenir le niveau de sécurité S A, Veiller à ce que S A soit non inférieur à la règlementation, notamment celle concernant les documents classifiés (décision de la Commission du 30 novembre 1994 C(94) 3282), empêcher que les mesures prises par la Direction générale B ne perturbe la sécurité de la Direction générale A; La répartition des responsabilités est reprise dans le tableau 3. Politique de sécurité Politique de sécurité du réseau Responsabilité d'établissement Bureau de sécurité Responsabilité de mise en oeuvre Direction informatique Règles de connexion Bureau de sécurité Direction informatique et IRM Accord d'accès aux données LISO (DG) Propriétaire de données (DG) Politique de sécurité du système local LISO (DG) IRM (DG) Tableau 3: Responsabilité dans l'établissement des politiques

13 2.4 Accords sur les accès aux données. Il s'agit d'une forme de contrat entre, d'une part, le propriétaire des données sur un système et, d'autre part, les utilisateurs se trouvant n'importe où et qui souhaitent utiliser les données. La rédaction de cet accord est à la charge des propriétaires d'information. Il doit définir formellement: les droits d'accès aux données par un utilisateur distant, la responsabilité du propriétaire des données assurant que celles-ci seront disponibles conformément aux souhaits de l'utilisateur, la responsabilité de l'utilisateur pour la sauvegarde des données auxquelles il a eu accès et qu'il a transférées dans son domaine local ou déplacées dans le domaine d'origine, l'engagement de l'utilisateur à respecter les règles de sécurité mises en place par le propriétaire des données, la répartition des responsabilités entre les deux parties, les droits d'accès octroyés par le propriétaire à l'utilisateur, les conditions spéciales attachées aux données comme le respect de législation ou de réglements internes, notamment la protection des données personnelles, une définition des limites du transfert, par l'expéditeur au récepteur, des droits de propriété ou de détention des données transmises à travers le réseau, une définition de la méthode employée pour garantir l'authentification de l'origine, la réception, la non-répudiation, etc. un engagement de l'utilisateur à accepter les audits ou les enquêtes sur des incidents de sécurité au nom du propriétaire. En vertu du principe de subsidiarité, la mise en vigueur de cette politique est de la responsabilité du propriétaire des données et non d'une quelconque autorité centrale, notamment celle assurant la politique de sécurité du réseau. La politique est contrôlée par les différents LISO (celui du propriétaire et celui de l'utilisateur) et supervisée par le Bureau de sécurité

14 2.5 Politique de sécurité des systèmes locaux. Conformément à la décision C(95) 1510, les Directions générales ont la responsabilité de la rédaction de leur politique de sécurité locale. A titre indicatif, voici les points qu'on doit trouver dans une politique de sécurité locale: Mise en place de l'organisation: Responsable local de la sécurité des systèmes d'information, Comité local de sécurité, etc. Mise en place des tâches: classement des systèmes, révision de la politique et des mesures, etc. Classement des systèmes d'information en non sensibles, sensibles, critiques ou stratégiques. Spécification des rôles et des responsabilités en matière de sécurité et notamment en ce qui concerne les personnes qui sont responsables des données et du système d'information: proprétaire et manager du service et les utilisateurs privilégiés. Spécification des utilisateurs ou groupe d'utilisateurs qui peuvent utiliser les ressources et attribution des droits. Définition des règles d'accès aux ressources et des responsabilités (dérivées de la réglementation article 5). Spécification des contrôles de sécurité. Fourniture d'un niveau de base pour le contrôle et l'audit. Sécurité physique (spécifications salles). Sécurité minimum des postes de travail (ex: mot de passe, interface PC- MCIA, etc.). Imputabilité: informations à enregistrer, politique d'archivage des journaux, etc. Plan de sauvegarde. plan de secours. Stratégie anti-virus, anti-vol, etc. Règles spécifiques à respecter, Choix et mise en oeuvre des mesures de sécurité: produits, logiciels, dispositifs, procédures, consignes, etc.) etc. et tous les éléments qui n'ont pas d'interaction avec la sécurité du réseau

15 3. MODALITES DE MISE EN OEUVRE TECHNIQUE ET REGLEMENTATION 3.1 Services et mécanismes de sécurité. Pour beaucoup de gens, une sécurité renforcée consiste en un renforcement de la gestion des mots de passe, ou un meilleur contrôle d'accès. Cependant, dans un environnement largement distribué, avec des milliers d'utilisateurs, chacun accèdant à de nombreux systèmes, la gestion des mots de passe peut devenir un problème en lui-même. Des mots de passe qui sont re-transmis régulièrement sont également extrèmement vulnérables lorsque le réseau est largement distribué à travers l'organisation, voire des pays. De plus, les mots de passe ne concernent que l'accès initial au système, ils n'assure pas la sécurité tout au long de la session, ni l'imputabilité des actions aux utilisateurs. La sécurité ne concerne pas seulement la confidentialité. Elle demande de nouveaux services tels que l'authenticité de l'origine, l'intégrité et la nonrépudiation des documents. ISO définit les services et mécanismes de sécurité, ainsi que leur place dans les couches. Compte tenu des besoins de la Commission, le Bureau de sécurité propose un choix de mise en oeuvre. Pour la Commission, le Bureau de sécurité propose les services de la façon suivante: un "" indique que le service n'est pas retenu, un "E" indique que le service est retenu d'une façon exceptionnelle, un "R" indique que le service est retenu systématiquement. La place des services de sécurité est la suivante. Couches ISO Services de sécurité Authentification des E R entités homologues Contrôle d'accès E R Confidentialité E E R Secret du flux Intégrité des données R Authentification de E R l'origine Non répudiation R Tableau 1: place des services de sécurité dans les couches ISO. Une case blanche veut dire qu'il n'y pas de service pour cette couche. Lorsque la case est occupée, cela veut dire que ISO propose un service pour cette couche. La majorité des services sont mis en oeuvre sur la couche 7. Ceci est conforme au principe de transparence et d'indépendance vis-à-vis du réseau

16 L'identification et l'authentification porte, principalement, sur l'utilisateur. La mise en oeuvre des services par les mécanismes est réalisée de la la façon montrée par le tableau 2. Un "R" indique que le mécanisme est mis en oeuvre, un "" indique que le mécanisme n'est pas mis en oeuvre. Les services correspondant aux mécanismes sont placés dans les couches selon le modèle présenté au tableau 1. Mécanismes Chiffrement Signature Contrôl d'accès Intégrité Echange d'authentif. Bourrage Contrôle routage R R R R Services Authentification des entités homologues Contrôle d'accès R R Confidentialité R Secret du flux Trusted third party Intégrité des R R R données Authentification de R R R l'origine Non répudiation R R Tableau 2: Mise en oeuvre des services par les mécanismes. Les mécanismes possibles sont les suivants: Chiffrement: Algorithmes symétriques par logiciel ou matériel: DES, IDEA,... avec clés sur carte à microprocesseur, board, disque dur ou disquette. Algorithme asymétrique par logiciel ou matériel, ou sur carte à microprocesseur: RSA; Autres algorithmes: PGP, spéciaux militaires, etc. selon les besoins, notamment pour les domaines "classifiés". Le chiffrement se fait normalement sur la couche 7 (R) (voir tableau 1). Exceptionnellement, selon les besoins, on peut recourir à un chiffrement de ligne entre deux points, sur la couche 1 ou de bout en bout sur la couche 4 (E) (voir tableau 1). Signature: Combinaison de l algorithme RSA, par logiciel ou matériel, ou inclus sur carte à microprocesseur, combiné avec algorithme de compression, sur PC ou serveur (MD5 par exemple). Echange des clés par entête (PGP, PEM, X509, X400,...). Nécessité d une autorité de certification: voir "Tiers de confiance" ci-dessous. Contrôle d'accès: Serveur de droit d'accès combiné avec le serveur d'authentification, contrôle d'accès au poste de travail (login), contrôle d'accès au serveur (login). Pour les services de contrôle d'accès sur la couche 7 (R)

17 (voir tableau 1). Firewall pour le service de contrôle d'accès sur la couche 3 (E) (voir tableau 1). Intégrité: combinée avec la signature ou mécanisme ad hoc (MD5 par exemple). Echange d'authentifications: procédure de "challenge-response" utilisant les outils cryptographiques sur PC (logiciels ou matériels) ou sur carte à microprocesseur, pour l'authentification non rejouable. Mot de passe statique avec stockage possible sur carte à microprocesseur, utilisation directe de la carte à microprocesseur par les serveurs. Tiers de confiance (Trusted third party) qui garantit le lien clé publique et utilisateur. Les mécanismes seront décrits plus en détail dans la suite du document. La cryptographie et la carte à microprocesseur constituent les éléments essentiels comme montré dans le tableau 2. Remarque importante: l'utilisation de la cryptographie et l'exportation de certains produits sont réglementés dans certains pays. En conséquence, l'utilisation de la cryptographie, notamment pour le chiffrement, doit faire l'objet d'une autorisation formelle de la part des autorités compétentes de la Commission. Les mécanismes doivent être disponibles en termes de produits et d'organisation. Le choix des produits et des méthodes d utilisation est effectué dans le cadre du product management. Le choix de mise en oeuvre revient aux IRM et aux propriétaires des systèmes. Les mécanismes peuvent être: soit non installés, soit mis en place mais d'utilisation optionnelle, l'option par défaut étant: cryptographie non activée, l utilisateur peut les activer, soit mis en place mais les options par défaut sont: cryptographie activée,, c'est à l'utilisateur de les désactiver, soit d utilisation obligatoire, l utilisateur ne peut pas les désactiver

18 3.2 Réseau Confinement des domaines - Firewall Le réseau n'offre pas, en général, les moyens pour sécuriser les données des systèmes terminaux. Cependant le réseau doit garantir la disponibilité, l'intégrité et la confidentialité de ses éléments de gestion. Le réseau assure la connexion entre entités se trouvant dans un même domaine local ou dans des domaines différents. Les services de sécurité définis ci-dessus au point 3.1 permettent d'assurer un canal sûr de niveau de sécurité jugé adequat par les responsables des domaines. Le contrôle d'accès à un domaine sécurisé depuis un autre domaine sécurisé est construit sur l'identification de l'adresse. Si les domaines sont internes, l'authentification de l'adresse est optionnelle. Si un des domaines est externe, l'authentification est obligatoire (par exemple NUA-check X25 ou mécanisme ad hoc). En revanche, le contrôle d accès à un domaine sécurisé depuis un domaine non sécurisé est basé sur l'identification et l'authentification individuelle de l'utilisateur pour tous les services qui l'exigent: Telnet, client-serveur, etc. Cette authentification doit être réalisée, si possible, au point d'entrée du domaine sécurisé. La structure des domaines physiques est montrée dans la figure 6. Domaine physique ext. F W Domaine physique int. Figure 6: Structure des domaines physiques FW est le "Firewall". Ses fonctions sont: Filtrage optionnel des paquets entrants, notamment la gestion de listes noires ou l'authentification d'un serveur. Cette fonction est indispensable à court terme tant que la fonction d'authentification de la couche 7 n'est pas sûre. Quand elle le sera, ce filtrage deviendra optionnel. Elle pourra être maintenue quand il n'y a pas d'authentification sur la couche 7 sur la passerelle, par exemple, connexion entre MTA externes et la passerelle correspondante. Aiguillage du trafic vers les passerelles spécialisées (proxy) ou les serveurs (courrier électronique, transfert de fichiers, serveur d'authentification, serveurs publics tel que le Web Europa, etc.). Authentification de la personne appelante. Le niveau de l'authentification dépend du service appelé, il va de très simple, voire nul, pour un serveur public tel que le Web Europa, jusqu à une authentification renforcée, par exemple, par carte à microprocesseur pour un accès vers un serveur interne en mode interactif ou client-serveur (voir ci-dessous les différents types d'authentification)

19 Gestion du trafic par les passerelles spécialisées, selon les services demandés: courrier, transfert de fichiers, interactif: Telnet ou client-serveur, etc. Gestion des utilisateurs externes physiquement en terme de droit d'accès au domaine physique intérieur, Journalisation, Statistiques. Le Firewall gére les utilisateurs appartenant à l'institution de la même façon, qu'ils se trouvent à l'intérieur ou à l'extérieur du domaine physique. Cela permet de dissocier les aspects logiques et physiques. En effet, une fois l'utilisateur authentifié au niveau souhaité, il entre dans le domaine intérieur et s'y trouve avec les mêmes protections que s'il se trouvait physiquement dans le domaine intérieur. Chaque sous domaine peut établir le niveau de sécurité qu'il souhaite. Ce mécanisme est parfaitement analogue à la protection des bâtiments: chaque personne qui se présente à la porte est authentifiée (carte de service ou papiers d'identité), ses droits sont vérifiés (fonctionnaire: accès libre, externe: vérification auprès de la personne visitée) et peut circuler librement dans les couloirs. Si une zone doit être plus protégée (exemple: salle d'ordinateur ou DG 17 L), on lui adjoint un second contrôle plus poussé. Les mécanismes d'authentification qu'on doit mettre en place sur le Firewall sont: Absence de mécanisme: réservé à l'accès à des serveurs publics, bien protégés du point de vue intégrité et disponibilité mais ne contenant pas d'informations confidentielles. Exemple le Web Europa ou certains services du Centre de calcul. Ces serveurs ne doivent pas permettre une intrusion à travers eux et par conséquent devraient être isolés du réseau intérieur (cf ). L'absence de mécanisme est utilisable également pour la connexion n'exigeant pas l'authentification de l'utilisateur, par exemple, la connexion entre MTA externes et la passerelle correspondante. Mot de passe simple (statique rejouable): ce mécanisme devrait disparaître ou être réservé au cas précédent, par exemple, pour permettre à un utilisateur d'être protégé contre des utilisations frauduleuses de son contrat de connexion. Ce mécanisme pourrait permettre l'accès à des domaines locaux non sensibles dans la mesure où l'accès aux domaines sensibles est systématiquement protégé. Dans le cas contraire, il est à exclure. Challenge-response par logiciel (mot de passe dynamique non rejouable): C'est une alternative plus sûre au mot de passe. Peut être utilisé pour l'accès aux domaines non sensibles intérieurs. Calculettes (Secure-id, Digipass, etc.): C'est une alternative à la carte à microprocesseur pour les accès aux domaines sensibles non classifiés. Ce mécanisme est à réserver aux utilisateurs externes à l'institution. Sa fonction est limitée au contrôle d'accès. Carte à microprocesseur: si les expériences en cours sont concluantes, ce mécanisme devrait être étendu à tout le personnel intérieur au sens logique, c'est-à-dire statutaire ou contractuel, y compris les utilisateurs extérieurs

20 ayant un lien juridique avec l'institution, par exemple firmes de développement extra-muros ou assurant la maintenance à distance. Il permet d'accéder à tout domaine local intérieur et également aux domaines dits "classifiés", pour lesquels il est le seul mécanisme admis. Il n'est pas limité au contrôle d'accès mais offre des mécanismes complémentaires: chiffrement, signature électronique et stockage sécurisé de mots de passe notamment

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

Fiche de l'awt La sécurité informatique

Fiche de l'awt La sécurité informatique Fiche de l'awt La sécurité informatique La sécurité informatique est essentielle pour l'entreprise, particulièrement dans le contexte de l'ebusiness: définition, dangers, coûts, outils disponibles Créée

Plus en détail

Sécurisation des accès Internet dans les écoles primaires. de l'académie de LIMOGES. Solution académique de filtrage des accès aux contenus du web

Sécurisation des accès Internet dans les écoles primaires. de l'académie de LIMOGES. Solution académique de filtrage des accès aux contenus du web Sécurisation des accès Internet dans les écoles primaires de l'académie de LIMOGES Solution académique de filtrage des accès aux contenus du web Paramétrage du Proxy Ecole Académique sur les stations de

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Présentation d'un Réseau Eole +

Présentation d'un Réseau Eole + Présentation d'un Réseau Eole + Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Eole Plus. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est

Plus en détail

CONVENTION D'UTILISATION FAS

CONVENTION D'UTILISATION FAS CONVENTION D'UTILISATION Objectif du document : Une convention d'utilisation est un contrat spécifique à un service qui stipule les conditions liées à l'utilisation d'un service spécifique de Fedict. Il

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Les salariés, dans l'exercice de leurs fonctions, sont conduits à accéder aux moyens de communication mis à leur disposition et à les utiliser.

Les salariés, dans l'exercice de leurs fonctions, sont conduits à accéder aux moyens de communication mis à leur disposition et à les utiliser. Charte informatique Préambule L'entreprise < NOM > met en œuvre un système d'information et de communication nécessaire à son activité, comprenant notamment un réseau informatique et téléphonique. Les

Plus en détail

Le modèle de sécurité windows

Le modèle de sécurité windows Le modèle de sécurité windows Cours Windows 2008-2009 Franck Rupin - Laurent Gydé 1 Le modèle de sécurité windows 1 Généralités 2 Les composants du système de sécurité 3 La protection des objets 4 Audit

Plus en détail

Réseaux informatiques --- Généralités sur les services réseaux

Réseaux informatiques --- Généralités sur les services réseaux Réseaux informatiques --- Généralités sur les services réseaux Auteur : Christophe VARDON Date : révision du 15/11/2004 TABLE DES MATIERES Un réseau : pour faire quoi?... Quels services sur le réseau?...

Plus en détail

Les modules SI5 et PPE2

Les modules SI5 et PPE2 Les modules SI5 et PPE2 Description de la ressource Propriétés Intitulé long Formation concernée Matière Présentation Les modules SI5 et PPE2 BTS SIO SI5 PPE2 Description Ce document présente une approche

Plus en détail

État Réalisé En cours Planifié

État Réalisé En cours Planifié 1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture

Plus en détail

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES REPUBLIQUE FRANÇAISE PREMIER MINISTRE Secrétariat Général de la Défense Nationale N 730/ SCSSI Issy-les-Moulineaux, le 13 janvier 1997 GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Informations de sécurité TeamViewer

Informations de sécurité TeamViewer Informations de sécurité TeamViewer 2015 TeamViewer GmbH, Mise à jour: 06/2015 Groupe cible Le présent document s adresse aux administrateurs réseaux. Les informations figurant dans ce document sont de

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ

Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ Charte d'usages du système d'information 1/8 Sommaire Préambule...3 Article I. Champ d'application...4 Article

Plus en détail

PROJET SLA Service Level Agreement Site informatique de XXXX 1110 Morges

PROJET SLA Service Level Agreement Site informatique de XXXX 1110 Morges PROJET SLA Service Level Agreement Site informatique de XXXX 1110 Morges TABLE DES MATIÈRES 1 Introduction............................................................. 1 1.1 GÉNÉRALITÉS.......................................................

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

Compte Rendu d Activité n 5

Compte Rendu d Activité n 5 Compte Rendu d Activité n 5 BTS Informatique de Gestion Option : Administrateur de Réseaux Locaux d Entreprise INFODEV 5, rue du Parc Valparc 67200 Oberhausbergen Auteur : Schmitt Damien Email : dames@netcourrier.com

Plus en détail

Master d'informatique E-Secure. Réseaux. Applications de l'internet

Master d'informatique E-Secure. Réseaux. Applications de l'internet Master d'informatique E-Secure Réseaux Applications de l'internet Bureau S3-354 Jean.Saquet@unicaen.fr http : saquet.users.greyc.fr/m2/rezo Client / serveur (1) Beaucoup d'applications sur ce modèle :

Plus en détail

RECOMMANDATIONS EN TERME DE SECURITE POUR LA MISE EN PLACE DE SERVICES INTRANET - INTERNET D ÉTABLISSEMENTS SCOLAIRES ET D ÉCOLES (S2i2e) PREAMBULE

RECOMMANDATIONS EN TERME DE SECURITE POUR LA MISE EN PLACE DE SERVICES INTRANET - INTERNET D ÉTABLISSEMENTS SCOLAIRES ET D ÉCOLES (S2i2e) PREAMBULE RECOMMANDATIONS EN TERME DE SECURITE POUR LA MISE EN PLACE DE SERVICES INTRANET - INTERNET D ÉTABLISSEMENTS SCOLAIRES ET D ÉCOLES (S2i2e) PREAMBULE La généralisation de l utilisation des réseaux, l interconnexion

Plus en détail

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN 1. DÉVELOPPEMENT D'APPLICATION (CONCEPTEUR ANALYSTE) 1.1 ARCHITECTURE MATÉRIELLE DU SYSTÈME INFORMATIQUE 1.1.1 Architecture d'un ordinateur Processeur,

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Chapitre 4 PROTOCOLES SÉCURISÉS

Chapitre 4 PROTOCOLES SÉCURISÉS Chapitre 4 PROTOCOLES SÉCURISÉS 52 Protocoles sécurisés Inclus dans la couche application Modèle TCP/IP Pile de protocoles HTTP, SMTP, FTP, SSH, IRC, SNMP, DHCP, POP3 4 couche application HTML, MIME, ASCII

Plus en détail

Spécifications de l'offre Surveillance d'infrastructure à distance

Spécifications de l'offre Surveillance d'infrastructure à distance Aperçu du service Spécifications de l'offre Surveillance d'infrastructure à distance Ce service comprend les services Dell de surveillance d'infrastructure à distance (RIM, le «service» ou les «services»)

Plus en détail

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Conformité aux exigences de la réglementation 21 CFR Part 11 de la FDA Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA Définition de la réglementation 21 CFR partie 11 Au cours de la dernière décennie, l'industrie pharmaceutique a très rapidement

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé)

TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé) TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé) Nom du routeur Type de routeur Adresse FA0 Adresse FA1 Adresse S0 Adresse S1 Masque de sousréseau Routage Mot de passe enable Mot

Plus en détail

A. Introduction. Chapitre 4. - les entités de sécurité ; - les sécurisables ; - les autorisations.

A. Introduction. Chapitre 4. - les entités de sécurité ; - les sécurisables ; - les autorisations. Chapitre 4 A. Introduction Le contrôle d'accès représente une opération importante au niveau de la gestion de la sécurité sur un serveur de bases de données. La sécurisation des données nécessite une organisation

Plus en détail

Conditions Générales d Utilisation wifi partagé

Conditions Générales d Utilisation wifi partagé ARTICLE 1. DEFINITIONS Conditions Générales d Utilisation wifi partagé Quelques définitions pour faciliter la lecture des présentes : - Le «wifi partagé» ou la Fonctionnalité : service qui permet à un

Plus en détail

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet -

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Marc Tremsal Alexandre Languillat Table des matières INTRODUCTION... 3 DEFI-REPONSE... 4 CRYPTOGRAPHIE SYMETRIQUE...

Plus en détail

Chapitre 2 Rôles et fonctionnalités

Chapitre 2 Rôles et fonctionnalités 19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les

Plus en détail

Système de Messagerie. Incaro-Mx

Système de Messagerie. Incaro-Mx Services Informatiques et Technologies Open source Système de Messagerie Incaro-Mx 636, avenue du Professeur Emile Jeanbrau 34090 Montpellier 04 67 63 30 36 www.incaro.net 1. INTRODUCTION Principales Fonctionnalités

Plus en détail

Introduction aux Systèmes Distribués. Introduction générale

Introduction aux Systèmes Distribués. Introduction générale Introduction aux Systèmes Distribués Licence Informatique 3 ème année Introduction générale Eric Cariou Université de Pau et des Pays de l'adour Département Informatique Eric.Cariou@univ-pau.fr 1 Plan

Plus en détail

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4 Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à

Plus en détail

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Charte informatique Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Préambule L'entreprise < NOM > met en œuvre un système d'information et

Plus en détail

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Date : 2010-09-08 Référence 20100906-CSPN-CibleSécurité-V1.1.doc VALIDITE DU DOCUMENT Identification Client Projet Fournisseur

Plus en détail

DOCUMENTATION DU COMPAGNON ASP

DOCUMENTATION DU COMPAGNON ASP DOCUMENTATION DU COMPAGNON ASP MANUEL UTILISATEUR VERSION 1.0 / SEPTEMBRE 2011 Rédacteur Gilles Mankowski 19/09/2011 Chapitre : Pre requis CONTENU Pre requis... 3 Introduction... 3 Comment fonctionne l'asp?...

Plus en détail

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

Cahier des Clauses Techniques Particulières. Convergence Voix - Données Cahier des Clauses Techniques Particulières Convergence Voix - Données SOMMAIRE - Objet du document et du marché - Contexte et périmètre du projet - Configurations existantes et besoins - Services attendus

Plus en détail

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base Windows Server 2008 Chapitre 3 : Le service d annuaire Active Directory: Concepts de base omar.cheikhrouhou@isetsf.rnu.tn omar.cheikhrouhou@ceslab.org Objectives Comprendre les concepts de base d Active

Plus en détail

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage.

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage. BTS S.I.O. 2 nd Année Option SISR Firewall et Nat TP 10 Firewall & Nat Notes : remplacer unserveur.sio.lms.local par le nom d'un serveur sur le réseau sio. Trouver les adresses du cœurs de réseau du lycée

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

ANNEXE 1. PSSI Préfecture de l'ain. Clause de sécurité à intégrer dans les contrats de location copieurs

ANNEXE 1. PSSI Préfecture de l'ain. Clause de sécurité à intégrer dans les contrats de location copieurs ANNEXE 1 PSSI Préfecture de l'ain Clause de sécurité à intégrer dans les contrats de location copieurs Sommaire 1 - Configuration...2 1.1 - Suppression des interfaces, services et protocoles inutiles...2

Plus en détail

Chapitre 1 : Introduction aux bases de données

Chapitre 1 : Introduction aux bases de données Chapitre 1 : Introduction aux bases de données Les Bases de Données occupent aujourd'hui une place de plus en plus importante dans les systèmes informatiques. Les Systèmes de Gestion de Bases de Données

Plus en détail

Modélisation des réseaux : Le modèle OSI et ses dérivés

Modélisation des réseaux : Le modèle OSI et ses dérivés Chapitre 1 1 Modélisation des réseaux : Le modèle OSI et ses dérivés Le modèle OSI de l ISO 2 Le modèle d'interconnexion des Systèmes Ouverts (Open Systems Interconnection) a été proposé par l'iso (International

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès 259 Chapitre 6 La sécurité 1. Introduction La sécurité La sécurité des données est un enjeu capital. Une base de données peut être amenée à stocker des données très sensibles, confidentielles. L'implémentation

Plus en détail

Travaux pratiques : configuration et vérification des listes de contrôle d'accès étendues Topologie

Travaux pratiques : configuration et vérification des listes de contrôle d'accès étendues Topologie Travaux pratiques : configuration et vérification des listes de contrôle d'accès étendues Topologie 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 / 9

Plus en détail

Fiche méthodologique Rédiger un cahier des charges

Fiche méthodologique Rédiger un cahier des charges Fiche méthodologique Rédiger un cahier des charges Plan de la fiche : 1 : Présentation de la fiche 2 : Introduction : les grands principes 3 : Contenu, 1 : positionnement et objectifs du projet 4 : Contenu,

Plus en détail

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5 L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5. Préparation à l installation de MS Proxy server Ce logiciel

Plus en détail

Tableau Online Sécurité dans le cloud

Tableau Online Sécurité dans le cloud Tableau Online Sécurité dans le cloud Auteur : Ellie Fields Ellie Fields, directrice principale du marketing produits, Tableau Software Juin 2013 p.2 Tableau est conscient que les données font partie des

Plus en détail

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une

Plus en détail

Règlement régissant l'usage du système d information par les utilisateurs de l Université Lille 1

Règlement régissant l'usage du système d information par les utilisateurs de l Université Lille 1 Règlement régissant l'usage du système d information par les utilisateurs de l Université Lille 1 1/ 9 Sommaire Article I. Champ d'application...4 Article II. Conditions d'utilisation des systèmes d'information...4

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 SECURITE DES DONNEES 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Table des matières 1. INTRODUCTION... 3 2. ARCHITECTURES D'ACCÈS À DISTANCE... 3 2.1 ACCÈS DISTANT PAR MODEM...

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Charte des utilisateurs pour l'usage des ressources informatiques et des services Internet

Charte des utilisateurs pour l'usage des ressources informatiques et des services Internet Charte des utilisateurs pour l'usage des ressources informatiques et des services Internet .Août 2003 - mise jour Septembre 2005 Charte des utilisateurs pour l'usage des ressources informatiques et des

Plus en détail

Présentation du modèle OSI(Open Systems Interconnection)

Présentation du modèle OSI(Open Systems Interconnection) Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:

Plus en détail

Page 1 2 La présente invention concerne le domaine des architectures informatiques, et en particulier un procédé pour le développement d applications destiné à un fonctionnement en réseau, par exemple

Plus en détail

Réseaux virtuels Applications possibles :

Réseaux virtuels Applications possibles : Réseaux virtuels La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2.

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2. DHCP ET TOPOLOGIES Principes de DHCP Présentation du protocole Sur un réseau TCP/IP, DHCP (Dynamic Host Configuration Protocol) permet d'attribuer automatiquement une adresse IP aux éléments qui en font

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques

Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques WIFI Le wifi est une technologie de réseau informatique sans fil mise en place pour fonctionner en réseau interne Utilisateur

Plus en détail

GENERALITES. COURS TCP/IP Niveau 1

GENERALITES. COURS TCP/IP Niveau 1 GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse

Plus en détail

Fiche de l'awt Plate-formes d'intermédiation

Fiche de l'awt Plate-formes d'intermédiation Fiche de l'awt Plate-formes d'intermédiation Présentation de solutions techniques mises en oeuvre dans le cadre des plate-formes d'intermédiation, notamment sur base du standard XML Créée le 14/05/01 Modifiée

Plus en détail

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1. Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05

Plus en détail

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau. Firewall I- Définition Un firewall ou mur pare-feu est un équipement spécialisé dans la sécurité réseau. Il filtre les entrées et sorties d'un nœud réseau. Cet équipement travaille habituellement aux niveaux

Plus en détail

ISO/CEI TR 14516 RAPPORT TECHNIQUE

ISO/CEI TR 14516 RAPPORT TECHNIQUE RAPPORT TECHNIQUE ISO/CEI TR 14516 Première édition 2002-06-15 Technologies de l'information Techniques de sécurité Lignes directrices pour l'utilisation et la gestion des services de tiers de confiance

Plus en détail

Durcissement d'un routeur Cisco

Durcissement d'un routeur Cisco Durcissement d'un routeur Cisco Par Elie MABO Professionnel de la sécurité de l'information elie.mabo@gmail.com Version 1.2 Dernière mise à jour: 17/03/2012 Document rédigé par Elie MABO (Professionnel

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

Guide d'administration. BlackBerry Professional Software pour IBM Lotus Domino. Version: 4.1 Service Pack: 4

Guide d'administration. BlackBerry Professional Software pour IBM Lotus Domino. Version: 4.1 Service Pack: 4 BlackBerry Professional Software pour IBM Lotus Domino Version: 4.1 Service Pack: 4 SWD-311541-0911043520-002 Table des matières 1 Gestion des comptes d'utilisateur... 7 Ajouter un compte utilisateur...

Plus en détail

Annuaire : Active Directory

Annuaire : Active Directory Annuaire : Active Directory Un annuaire est une structure hiérarchique qui stocke des informations sur les objets du réseau. Un service d'annuaire, tel qu'active Directory, fournit des méthodes de stockage

Plus en détail

ClaraExchange 2010 Description des services

ClaraExchange 2010 Description des services Solution ClaraExchange ClaraExchange 2010 Description des services Solution ClaraExchange 2010 2 CLARAEXCHANGE 2010... 1 1. INTRODUCTION... 3 2. LA SOLUTIONS PROPOSEE... 3 3. LES ENGAGEMENTS... 4 4. ENVIRONNEMENT

Plus en détail

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (CCTP) Etabli en application du Code des Marchés Publics. Date et heure limites de réception des offres :

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (CCTP) Etabli en application du Code des Marchés Publics. Date et heure limites de réception des offres : MARCHE RELATIF A L EXTENSION, LA MAINTENANCE ET L HEBERGEMENT D UN SITE EXTRANET POUR LA CONSULTATION DES PERIMETRES DE PROTECTION DES CAPTAGES EN HAUTE- NORMANDIE UTILISANT L APPLICATION API DE L IGN

Plus en détail

Programmation d applications pour le Web

Programmation d applications pour le Web Programmation d applications pour le Web Cours 2 ème année ING ISI-Tunis Elaboré par: Hela LIMAM Chapitre 1 Architectures et applications du Web Année universitaire 2011/2012 Semestre 2 1 Plan Internet,

Plus en détail

NOTIFICATION DE CONTRE PREALABLE INFORMATIONS NECESSAIRES(2)

NOTIFICATION DE CONTRE PREALABLE INFORMATIONS NECESSAIRES(2) A remplir par le bureau du CEPD NUMERO DE REGISTRE: 230 NOTIFICATION DE CONTRE PREALABLE Date de soumission : 01/06/2007 Numéro de dossier: 2007-357 Institution: Commission européenne Base légale : article

Plus en détail

Réseaux locaux virtuels : VLAN

Réseaux locaux virtuels : VLAN Réseaux locaux virtuels : VLAN I. Historique Les premiers réseaux Ethernet (on se situe donc en couche 2) étaient conçus à base de câbles coaxiaux raccordés entre eux et connectés aux ordinateurs, si bien

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

NOTIONS DE RESEAUX INFORMATIQUES

NOTIONS DE RESEAUX INFORMATIQUES NOTIONS DE RESEAUX INFORMATIQUES GENERALITES Définition d'un réseau Un réseau informatique est un ensemble d'équipements reliés entre eux afin de partager des données, des ressources et d'échanger des

Plus en détail

SOMMAIRE IMAP. Chapitre 1 IMAP 2. Chapitre 2 IMAP/SSL 12

SOMMAIRE IMAP. Chapitre 1 IMAP 2. Chapitre 2 IMAP/SSL 12 Exchange 2003 / SSL Page 1 sur 30 SOMMAIRE Chapitre 1 2 1.1 Mise en place sur le serveur 2 1.2 Test pour un poste en interne 6 1.3 Test pour un poste nomade 8 Chapitre 2 /SSL 12 2.1 Mise en place sur le

Plus en détail

Fourniture. d un système de gestion de messages électroniques. et d outils collaboratifs. d un système de protection anti-virus (en option)

Fourniture. d un système de gestion de messages électroniques. et d outils collaboratifs. d un système de protection anti-virus (en option) CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.) Fourniture d un système de gestion de messages électroniques et d outils collaboratifs d un système de protection anti-virus (en option) Pour le Centre

Plus en détail

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN Les Réseaux Privés Virtuels (VPN) 1 Définition d'un VPN Un VPN est un réseau privé qui utilise un réseau publique comme backbone Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent

Plus en détail

Charte utilisateur pour l usage de ressources. informatiques et de services Internet de. l Observatoire Océanologique de Banyuls-sur-mer

Charte utilisateur pour l usage de ressources. informatiques et de services Internet de. l Observatoire Océanologique de Banyuls-sur-mer Approbation de la charte informatique de l OOB Charte utilisateur pour l usage de ressources informatiques et de services Internet de l Observatoire Océanologique de Banyuls-sur-mer Approuvé par le Conseil

Plus en détail

CONDITIONS PARTICULIERES DU SERVICE TRANSIT IP

CONDITIONS PARTICULIERES DU SERVICE TRANSIT IP CONDITIONS PARTICULIERES DU SERVICE TRANSIT IP 1 Définitions En complément des définitions de la Convention Cadre, les termes suivants, utilisés dans les présentes Conditions Particulières, auront la signification

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

Enjeux de la sécurité des réseaux

Enjeux de la sécurité des réseaux HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Enjeux de la sécurité des réseaux Séminaire Inkra Networks 14 octobre

Plus en détail