COMMISSION EUROPÉENNE

Dimension: px
Commencer à balayer dès la page:

Download "COMMISSION EUROPÉENNE"

Transcription

1 COMMISSION EUROPÉENNE Bureau de sécurité Sécurité informatique * * Le texte en italique correspond à des commentaires destinés à disparaître du texte final.

2 0. RESUME 1. INTRODUCTION 2. CONCEPTS ARCHITECTURAUX DE LA SECURITE 2.1 Domaines de sécurité 2.2 Domaines intérieur et extérieur 2.3 Gestion de la sécurité 2.4 Accords sur les accès aux données 2.5 Politique de sécurité des systèmes locaux 3. MODALITES DE MISE EN OEUVRE TECHNIQUE ET REGLEMENTATION 3.1 Services et mécanismes de sécurité 3.2 Réseaux Confinement des domaines - Firewall Rôles et responsabilités Partitionnement du réseau Accès externes Protocoles autorisés sur le réseau inter-domaine Domaine local sécurisé Services offerts par la Commission sur les réseaux externes Règles concernant la connexion à INTERNET 3.3 Equipements (PC/serveurs) Sécurité sur le poste de travail Sécurité sur le serveur Intégration des services de sécurité 3.4 Systèmes d'information Intégration de la sécurité Systèmes de diffusion Systèmes de production 4. INFRASTRUCTURES 4.1 Carte à microprocesseur Type - 2 -

3 4.1.2 Contenu de la carte Organisation autour de la carte 4.2 Gestion électronique de documents 4.3 Courrier électronique sécurisé 4.4 SNET, LAN virtuel 5. ETAPES DE MISE EN PLACE 5.1 Etape 1: Mise en place de la carte à microprocesseur 5.2 Etape 2: Mise à disposition sur PC des outils de sécurité 5.3 Etape 3: Courrier électronique sécurisé 5.4 Etape 4: Single-logon sans modification des serveurs 5.5 Etape 5: Single-logon sur serveurs spécialisés 5.6 Etape 6: Généralisation de l'étape 5 à tous les serveurs 5.7 Etape 7: Généralisation de la carte à microprocesseur aux serveurs 5.8 Etape 8: Serveurs d'authentification et RPC sécurisés 6. ANNEXES 1. STANDARDS 2. CONVENTION "CONFIGURATION SURE" 3. CONVENTION "DOMAINE LOCAL SECURISE" 4. ECHELLE D'EVALUATION DE L'IMPACT DES RISQUES 5. GLOSSAIRE ET PRODUITS - 3 -

4 0. RESUME Le présent document définit les modalités techniques de mise en oeuvre de la réglementation C(95) 1510 relatif à la protection des systèmes d'information. Ce document introduit les concepts qui doivent être approuvés par l'ensemble de l'organisation informatique, de façon que chaque équipe concernée puisse mettre en oeuvre les éléments de l'architecture intégrant la sécurité en conformité avec la ligne générale. Ce document est évolutif, en particulier en ce qui concerne les mécanismes qui doivent suivre l'évolution de l'informatique. Le chapitre 2 introduit les concepts de base: le partitionnement en domaines de sécurité généraux et locaux, internes et externes, La définition des niveaux de sécurité applicables aux domaines, La gestion de la sécurité dans un contexte décentralisé et en mode clientserveur, et la répartition des responsabilités concernant l'établissement des politiques de sécurité aux niveaux général et local, Le cadre de l'établissement des règles au niveau local en ce qui concerne l'accès aux données et la politique de sécurité locale. Le chapitre 3 décrit les services de sécurité: authentification, confidentialité, intégrité, non-répudiation, etc, qui seront mis en oeuvre dans les systèmes d'information, ainsi que leur intégration dans l'architecture: réseau, postes de travail, serveurs, systèmes d'information. Le chapitre 4 décrit les infrastructures sur lesquelles s'appuieront les systèmes d'information lors de la mise en oeuvre de la sécurité: carte à microprocesseur, courrier électronique sécurisé, réseau, etc. Le chapitre 5 décrit les étapes possibles de mise en oeuvre

5 1. INTRODUCTION La sécurité des systèmes d'information repose sur un certain nombre de moyens organisationnels ou techniques. La politique générale de sécurité fait l'objet d'une décision de la Commission C(95) 1510 du 23 novembre 1995 relative à la protection des systèmes d'information. Celle-ci définit les responsabilités et les règles générales. Chaque Direction générale définit sa propre politique de sécurité et les procédures correspondantes. Afin de la mettre en oeuvre, elles disposent de moyens qui sont: la formation et la sensibilisation, les méthodes d'analyses de risque, les méthodes d'intégration de la sécurité dans la construction des systèmes d'information, les méthodes d'élaboration des plans de secours, des outils de contrôle et d'audit, des dispositifs techniques ou procéduraux, logiques ou physiques destinés à mettre en oeuvre la sécurité des systèmes d'information repris dans le Guideline. La structure de ces différents éléments est reprise à la figure 1. TRAITE STATUT REGLEMENTS POLITIQUE DE SECURITE DES SYSTEMES D'INFORMATION ORGANISATION / ARCHITECTURE PRODUITS REGLES GUIDELINE ANALYSES DE RISQUE PROCEDURES/ CONSIGNES SYSTEME D'INFORMATION SECURITE DANS LES DEVELOPPEMENTS SENSIBILISATION FORMATION CONTROLES AUDITS PLANS DE SECOURS Figure 1: Structure des moyens de sécurité. Le présent document concerne l'architecture de sécurité. Il complète, sur le plan technique, la Décision concernant la politique de sécurité et en constitue le volet - 5 -

6 technique. Il est aligné sur les principes de l'architecture de l'informatique générale. Les techniques informatiques doivent s'adapter au contexte administratif et organisationnel. Celui-ci est caractérisé par quatre concepts: décentralisation, transparence, adaptation, évolution. L'architecture décrite ci-après définit les services et mécanismes de sécurité nécessaires et suffisants pour assurer un bon niveau de sécurité à la Commission. Toutefois, si ces services doivent être disponibles, il ne sont mis en oeuvre qu'en fonction du niveau de sensibilité des systèmes d'information auxquels ils appartiennent (cf. annexe 4). L'architecture ne présuppose pas l'utilisation de produits particuliers mais propose des solutions génériques standardisées et représentatives de l'offre du marché. Une étude de faisabilité doit être menée pour valider cette architecture et vérifier l'existence de produits. Des spécifications techniques doivent être rédigées pour sélectionner les produits opérationnels. La mise en place totale de l'architecture se fera par étapes qui sont précisées au point 6. L'architecture est conforme aux standards (cf. annexe 1), notamment ISO part 2. Pour l utilisation pragmatique des standards ayant fait leurs preuves sur le marché, l architecture fait référence en priorité aux standards de droit ( de jure ) sinon aux standards de fait ( de facto ) dont la définition est de préférence dans le domaine public. Les produits utilisés sont certifiés ou au moins conformes, à ITSEC C2-E2 (TCSEC C2). La structure du document, pour la partie poste de travail et serveurs, suit la structure de ITSEC en termes de fonctions de sécurité

7 2. CONCEPTS ARCHITECTURAUX DE LA SECURITE 2.1 Domaines de sécurité. Le Domaine de la Commission est l'ensemble des ressources informatiques lui appartenant. Dans un but de gestion et de contrôle, le Domaine de la Commission est partitionné en Domaines locaux de sécurité. Un Domaine local de sécurité est un ensemble de ressources informatiques et de personnes ayant un niveau de sécurité interne homogène, appliquant la même politique de sécurité locale et représentant une entité autonome sur le plan de la sécurité. Un domaine local de sécurité peut correspondre à une Direction générale ou à un morceau de Direction générale, et par extension: une Délégation, un Bureau de presse ou même un prestataire sous certaines conditions. Les domaines sont, soit disjoints, soit imbriqués. Le niveau de sécurité ainsi que la Politique de sécurité d'un domaine local, sont définis par le Directeur général ou son représentant sur recommandation du fonctionnaire de sécurité. La mise en oeuvre de la sécurité est à la charge de l'irm et des propriétaires de service, chacun en ce qui le concerne, sous le contrôle du fonctionnaire de sécurité. Cependant, la définition du niveau de sécurité est conditionné à un ensemble de règles minima contraignantes définies par le Bureau de sécurité. Ces règles ont pout but d'éviter que les Directions générales se perturbent mutuellement. On se reportera au chapitre 3. Modalités de mise en oeuvre et règlementation. La Politique de sécurité locale est un ensemble de mesures systématiques assurant la sécurité: dispositifs, règles, procédures, etc. Elle est définie au paragraphe 2.5. Il y a quatre niveaux de sécurité pour les domaines de sécurité: N1: Public N2: Privé général correspondant au réseau interdomaine N3: Privé local de sensibilité "normale" N4: Privé local de sensibilité "classifiée" A ces quatre niveaux on ajoute le domaine public externe qui correspond à tout ce qui n'appartient pas à la Commission, soit: N0: public externe. Les éléments d'un système d'information doivent se trouver dans des domaines de sécurité de niveau correspondant à leur sensibilité. Lorsque des informations transitent dans un domaine de niveau inférieur, des moyens doivent être mis en oeuvre pour leur assurer le niveau de sécurité ad hoc, par exemple le chiffrement

8 2.2 Domaines intérieur et extérieur. Par analogie avec les bâtiments, il est intéressant de séparer les domaines physiques de façon à assouplir et simplifier la gestion de la sécurité. Dans le domaine physique intérieur, on peut gérer des sous domaines de niveau homogène, c'est-à-dire, de même sensibilité, comme un tout. Dans le domaine extérieur chaque utilisateur isolé doit être considéré comme un sous-domaine car il se trouve, par définition, dans un environnement potentiellement hostile. Si les conditions le permettent, on peut créer des sous domaines locaux extérieurs, par exemple, une délégation ou un bureau, ou un contractant. La figure 2 décrit la structure des domaines. Domaine externe physique Domaine interne physique CT DLI N3 DLE DLI N4 N3 N4 DLE N3 N0 N1 F W N2 N3 N4 DLI Légende: N0: Domaine public externe (Réseaux publics, serveurs n'appartenant pas à la Commission, etc.). N1: Domaine public interne (Bases de diffusion, Web EUROPA, etc.). N2: Domaine privé général correspondant au réseau interdomaine (IDNet). N3: Domaine local de sensibilité normale (non classifié). N4: Domaine local de sensibilité "classifiée". CT: Centre de télécommunication, interface unique entre domaines internes et externes. FW: Firewall DLE: Domaine local exterieur DLI: Domaine local intérieur Figure 2: Structure des domaines. Le réseau inter-domaine est considéré comme un medium de communication. Le contrôle sur l'accès aux données et aux autres ressources et les mesures pour protéger l'intégrité et la disponibilité des systèmes, sont mis en oeuvre sur les systèmes terminaux, soit à l'interface avec le réseau, soit dans les applications ou le système d'exploitation. Il existe deux façons de concevoir le concept d'extérieur et d'intérieur: Physiquement: les éléments des systèmes d'information (postes de travail, serveurs, noeuds de réseau, etc.) sont physiquement à l'intérieur ou à l'extérieur du domaine physique de la Commission s'ils sont, d'une part, reliés au réseau interdomaine (IDNet), et, d'autre part, placés physiquement dans un bâtiment dont l'accès est limité et sous le contrôle de la Commission. Logiquement: l'utilisateur appartient au domaine intérieur s'il a un lien juridique avec l'institution: statut, contrat, etc. Il doit pouvoir accéder, en tout sécurité, au domaine physique intérieur quelle que soit sa localisation géographique. Cette seconde acception conduit à gérer l'identification, l'authentification et le contrôle d'accès au niveau des couches hautes du modèle ISO. Il faut établir un canal sûr et indépendant du réseau, entre l'utilisateur et le système d'information

9 L'orientation prise par les réseaux ainsi que la politique immobilière de la Commission, ne permet plus d'envisager une séparation physique systématique des domaines locaux. La séparation doit se faire sur le plan logique: authentification individuelle des utilisateurs, contrôle d'accès centralisé au niveau du domaine local avec coopération entre domaines locaux, sécurisation des interactions client-serveur. Pour la sécurité client-serveur, chaque domaine est équipé d'un serveur d'authentification (SA) (voir figure 3). Celui-ci a pour fonction d'authentifier chaque utilisateur du domaine et de lui donner un jeton pour le serveur de droit d'accès. Le jeton est un message crypté qui permet d'assurer l'authentification réciproque des entités homologues, c'est-à-dire le client et le serveur, d'une part, et, d'autre part, l'intégrité et la confidentialité de chaque échange (RPC) entre eux. Chaque domaine est équipé d'un serveur de droits d'accès (SDA) dont la fonction est de vérifier les droits d'accès de chaque client à chaque serveur du domaine. Le serveur d'authentification donne un jeton pour l'accès au serveur de droit d'accès, le serveur de droits d'accès pour chaque serveur (voir figure 3). SA SDA S SA SDA S IDNet PdT PdT FW SA SDA Réseau ext. Figure 3: Architecture de sécurité des domaines L'interaction entre domaines est assurée de la façon suivante: Le serveur d'authentification et de droits d'accès du domaine émetteur donne un jeton au client pour accéder au serveur d'authentification du domaine cible. En ce qui concerne l'accès depuis l'extérieur, l'utilisateur se fait authentifier par le serveur d'authentification et reçoit un jeton du serveur de droit d'accès du Centre de télécommunication, destiné au serveur d'authentification du domaine cible souhaité. Le processus est montré à la figure

10 C T PdT éloigné (1) SA (CT) SDA (CT) (3) SA (CT) (2) IDNet SNet (4) SDA (CT) Figure 4: Chaîne d'authentification entre domaines locaux. Pendant la phase transitoire de mise en service systématique des serveurs d'authentification et de droits d'accès, le système peut fonctionner de façon dégradée en utilisant des procédures de login simple, éventuellement renforcées par des authentifications fortes: Mot de passe simple, challenge-response par logiciel, carte à microprocesseur, etc. (cf. Etapes de mise en oeuvre au chapitre 5). La protection des données est basée sur les services de sécurité suivants placés dans les couches hautes: Authentification des entités homologues, Contrôle d'accès, Confidentialité, Intégrité des données, Authentification de l'origine, Non répudiation. Les mécanismes qui mettent en oeuvre ces services sont cités au point 3.1. A ces services normaux sont adjoints des services complémentaires ponctuels mis en place sur les couches basses chaque fois que c'est plus efficace: Authentification des entités homologues: authentification de l'adresse réseau X25 ou IP, par dispositif ad hoc dans le second cas, Contrôle d'accès: contrôle d'addresse réseau X25 ou IP avec filtrage des paquets, Authentification de l'origine: authentification de l'adresse par l'utilisateur, Confidentialité: chiffrement de ligne entre deux noeuds

11 2.3 Gestion de la sécurité. A l'intérieur du cadre défini par la Décision C(95) 1510 du 23 novembre 1995 relative à la protection des systèmes d'information, ainsi que par les règlements généraux de la Commission, la sécurité doit être gérée au niveau le plus adéquat. Le schéma général des composants de la sécurité est décrit à la figure 5. Autorité sur le réseau Politique de sécurité réseau Réseau Autorité sur le réseau Règles de connexion Systèmes local Données Politique de sécurité système Propriétaire de données Accord sur l'accès aux données Système local Politique de sécurité système Responsable du système local Responsable du système local distant NB: Un système local peut être interne ou externe à la Commission. Figure 5. Schéma des composants de la sécurité. Les différents composants de la sécurité sont: Politique de sécurité du réseau: Définit les principes à adopter et les méthodes à utiliser pour la sécurité du réseau. Règles de connexion: Définissent les conditions de sécurité techniques qui doivent être remplies avant que chaque système local puisse être connecté au réseau. Accords d'accès aux données: Concernent le partage des données et sont négociés individuellement entre les propriétaires de données et les représentants des utilisateurs qui souhaitent y accéder. Peuvent y être incluses les conditions techniques telles que le chiffrement, l'authentification de l'origine, la non-répudiation, etc. Politiques de sécurité des systèmes locaux: Définissent la politique de sécurité locale spécifique. Elles dépendent des risques propres. Elles sont réalisées localement, éventuellement selon un modèle général, décrit ci-après, adapté suite à des analyses de risque spécifiques mais conforme à un niveau minimum découlant de la Décision

12 relative à la protection des systèmes d'information et notamment des articles 2, 4 et 5, ainsi que des règlements généraux de la Commission. Les rôles et les responsabilités doivent suivre le principe de subsidiarité. La responsabilité pour la sécurité repose sur les responsables des systèmes locaux sauf si une responsabilité centrale est préférable pour le bien de la communauté des utilisateurs. Par conséquent, les principes s'appliquant à l'établissement des politiques sont les suivants: 1. Si une Direction générale A a défini un niveau de risque R A, d'origine interne ou externe, a pris des mesures M A pour obtenir un niveau de sécurité S A lié aux mesures prises, S A ne doit pas être dégradé par une Direction générale B qui a un niveau de sécurité S B inférieur à S A ; 2. La définition de S A, respectivement S B, est de la responsabilité de la Direction générale A, respectivement B, dans les limites des réglements de la Commission; S A, et S B, est le résultat d'une analyse de risque; 3. Le rôle du Bureau de sécurité, avec l'aide de la Direction informatique, est de: veiller à ce que soit déterminé le niveau S A de sécurité (analyse de risque et plan de sécurité) veiller à ce que soient fournis les moyens techniques ou organisationnels, à la Direction générale A, pour qu'elle puisse réaliser les mesures M A afin d'obtenir le niveau de sécurité S A, Veiller à ce que S A soit non inférieur à la règlementation, notamment celle concernant les documents classifiés (décision de la Commission du 30 novembre 1994 C(94) 3282), empêcher que les mesures prises par la Direction générale B ne perturbe la sécurité de la Direction générale A; La répartition des responsabilités est reprise dans le tableau 3. Politique de sécurité Politique de sécurité du réseau Responsabilité d'établissement Bureau de sécurité Responsabilité de mise en oeuvre Direction informatique Règles de connexion Bureau de sécurité Direction informatique et IRM Accord d'accès aux données LISO (DG) Propriétaire de données (DG) Politique de sécurité du système local LISO (DG) IRM (DG) Tableau 3: Responsabilité dans l'établissement des politiques

13 2.4 Accords sur les accès aux données. Il s'agit d'une forme de contrat entre, d'une part, le propriétaire des données sur un système et, d'autre part, les utilisateurs se trouvant n'importe où et qui souhaitent utiliser les données. La rédaction de cet accord est à la charge des propriétaires d'information. Il doit définir formellement: les droits d'accès aux données par un utilisateur distant, la responsabilité du propriétaire des données assurant que celles-ci seront disponibles conformément aux souhaits de l'utilisateur, la responsabilité de l'utilisateur pour la sauvegarde des données auxquelles il a eu accès et qu'il a transférées dans son domaine local ou déplacées dans le domaine d'origine, l'engagement de l'utilisateur à respecter les règles de sécurité mises en place par le propriétaire des données, la répartition des responsabilités entre les deux parties, les droits d'accès octroyés par le propriétaire à l'utilisateur, les conditions spéciales attachées aux données comme le respect de législation ou de réglements internes, notamment la protection des données personnelles, une définition des limites du transfert, par l'expéditeur au récepteur, des droits de propriété ou de détention des données transmises à travers le réseau, une définition de la méthode employée pour garantir l'authentification de l'origine, la réception, la non-répudiation, etc. un engagement de l'utilisateur à accepter les audits ou les enquêtes sur des incidents de sécurité au nom du propriétaire. En vertu du principe de subsidiarité, la mise en vigueur de cette politique est de la responsabilité du propriétaire des données et non d'une quelconque autorité centrale, notamment celle assurant la politique de sécurité du réseau. La politique est contrôlée par les différents LISO (celui du propriétaire et celui de l'utilisateur) et supervisée par le Bureau de sécurité

14 2.5 Politique de sécurité des systèmes locaux. Conformément à la décision C(95) 1510, les Directions générales ont la responsabilité de la rédaction de leur politique de sécurité locale. A titre indicatif, voici les points qu'on doit trouver dans une politique de sécurité locale: Mise en place de l'organisation: Responsable local de la sécurité des systèmes d'information, Comité local de sécurité, etc. Mise en place des tâches: classement des systèmes, révision de la politique et des mesures, etc. Classement des systèmes d'information en non sensibles, sensibles, critiques ou stratégiques. Spécification des rôles et des responsabilités en matière de sécurité et notamment en ce qui concerne les personnes qui sont responsables des données et du système d'information: proprétaire et manager du service et les utilisateurs privilégiés. Spécification des utilisateurs ou groupe d'utilisateurs qui peuvent utiliser les ressources et attribution des droits. Définition des règles d'accès aux ressources et des responsabilités (dérivées de la réglementation article 5). Spécification des contrôles de sécurité. Fourniture d'un niveau de base pour le contrôle et l'audit. Sécurité physique (spécifications salles). Sécurité minimum des postes de travail (ex: mot de passe, interface PC- MCIA, etc.). Imputabilité: informations à enregistrer, politique d'archivage des journaux, etc. Plan de sauvegarde. plan de secours. Stratégie anti-virus, anti-vol, etc. Règles spécifiques à respecter, Choix et mise en oeuvre des mesures de sécurité: produits, logiciels, dispositifs, procédures, consignes, etc.) etc. et tous les éléments qui n'ont pas d'interaction avec la sécurité du réseau

15 3. MODALITES DE MISE EN OEUVRE TECHNIQUE ET REGLEMENTATION 3.1 Services et mécanismes de sécurité. Pour beaucoup de gens, une sécurité renforcée consiste en un renforcement de la gestion des mots de passe, ou un meilleur contrôle d'accès. Cependant, dans un environnement largement distribué, avec des milliers d'utilisateurs, chacun accèdant à de nombreux systèmes, la gestion des mots de passe peut devenir un problème en lui-même. Des mots de passe qui sont re-transmis régulièrement sont également extrèmement vulnérables lorsque le réseau est largement distribué à travers l'organisation, voire des pays. De plus, les mots de passe ne concernent que l'accès initial au système, ils n'assure pas la sécurité tout au long de la session, ni l'imputabilité des actions aux utilisateurs. La sécurité ne concerne pas seulement la confidentialité. Elle demande de nouveaux services tels que l'authenticité de l'origine, l'intégrité et la nonrépudiation des documents. ISO définit les services et mécanismes de sécurité, ainsi que leur place dans les couches. Compte tenu des besoins de la Commission, le Bureau de sécurité propose un choix de mise en oeuvre. Pour la Commission, le Bureau de sécurité propose les services de la façon suivante: un "" indique que le service n'est pas retenu, un "E" indique que le service est retenu d'une façon exceptionnelle, un "R" indique que le service est retenu systématiquement. La place des services de sécurité est la suivante. Couches ISO Services de sécurité Authentification des E R entités homologues Contrôle d'accès E R Confidentialité E E R Secret du flux Intégrité des données R Authentification de E R l'origine Non répudiation R Tableau 1: place des services de sécurité dans les couches ISO. Une case blanche veut dire qu'il n'y pas de service pour cette couche. Lorsque la case est occupée, cela veut dire que ISO propose un service pour cette couche. La majorité des services sont mis en oeuvre sur la couche 7. Ceci est conforme au principe de transparence et d'indépendance vis-à-vis du réseau

16 L'identification et l'authentification porte, principalement, sur l'utilisateur. La mise en oeuvre des services par les mécanismes est réalisée de la la façon montrée par le tableau 2. Un "R" indique que le mécanisme est mis en oeuvre, un "" indique que le mécanisme n'est pas mis en oeuvre. Les services correspondant aux mécanismes sont placés dans les couches selon le modèle présenté au tableau 1. Mécanismes Chiffrement Signature Contrôl d'accès Intégrité Echange d'authentif. Bourrage Contrôle routage R R R R Services Authentification des entités homologues Contrôle d'accès R R Confidentialité R Secret du flux Trusted third party Intégrité des R R R données Authentification de R R R l'origine Non répudiation R R Tableau 2: Mise en oeuvre des services par les mécanismes. Les mécanismes possibles sont les suivants: Chiffrement: Algorithmes symétriques par logiciel ou matériel: DES, IDEA,... avec clés sur carte à microprocesseur, board, disque dur ou disquette. Algorithme asymétrique par logiciel ou matériel, ou sur carte à microprocesseur: RSA; Autres algorithmes: PGP, spéciaux militaires, etc. selon les besoins, notamment pour les domaines "classifiés". Le chiffrement se fait normalement sur la couche 7 (R) (voir tableau 1). Exceptionnellement, selon les besoins, on peut recourir à un chiffrement de ligne entre deux points, sur la couche 1 ou de bout en bout sur la couche 4 (E) (voir tableau 1). Signature: Combinaison de l algorithme RSA, par logiciel ou matériel, ou inclus sur carte à microprocesseur, combiné avec algorithme de compression, sur PC ou serveur (MD5 par exemple). Echange des clés par entête (PGP, PEM, X509, X400,...). Nécessité d une autorité de certification: voir "Tiers de confiance" ci-dessous. Contrôle d'accès: Serveur de droit d'accès combiné avec le serveur d'authentification, contrôle d'accès au poste de travail (login), contrôle d'accès au serveur (login). Pour les services de contrôle d'accès sur la couche 7 (R)

17 (voir tableau 1). Firewall pour le service de contrôle d'accès sur la couche 3 (E) (voir tableau 1). Intégrité: combinée avec la signature ou mécanisme ad hoc (MD5 par exemple). Echange d'authentifications: procédure de "challenge-response" utilisant les outils cryptographiques sur PC (logiciels ou matériels) ou sur carte à microprocesseur, pour l'authentification non rejouable. Mot de passe statique avec stockage possible sur carte à microprocesseur, utilisation directe de la carte à microprocesseur par les serveurs. Tiers de confiance (Trusted third party) qui garantit le lien clé publique et utilisateur. Les mécanismes seront décrits plus en détail dans la suite du document. La cryptographie et la carte à microprocesseur constituent les éléments essentiels comme montré dans le tableau 2. Remarque importante: l'utilisation de la cryptographie et l'exportation de certains produits sont réglementés dans certains pays. En conséquence, l'utilisation de la cryptographie, notamment pour le chiffrement, doit faire l'objet d'une autorisation formelle de la part des autorités compétentes de la Commission. Les mécanismes doivent être disponibles en termes de produits et d'organisation. Le choix des produits et des méthodes d utilisation est effectué dans le cadre du product management. Le choix de mise en oeuvre revient aux IRM et aux propriétaires des systèmes. Les mécanismes peuvent être: soit non installés, soit mis en place mais d'utilisation optionnelle, l'option par défaut étant: cryptographie non activée, l utilisateur peut les activer, soit mis en place mais les options par défaut sont: cryptographie activée,, c'est à l'utilisateur de les désactiver, soit d utilisation obligatoire, l utilisateur ne peut pas les désactiver

18 3.2 Réseau Confinement des domaines - Firewall Le réseau n'offre pas, en général, les moyens pour sécuriser les données des systèmes terminaux. Cependant le réseau doit garantir la disponibilité, l'intégrité et la confidentialité de ses éléments de gestion. Le réseau assure la connexion entre entités se trouvant dans un même domaine local ou dans des domaines différents. Les services de sécurité définis ci-dessus au point 3.1 permettent d'assurer un canal sûr de niveau de sécurité jugé adequat par les responsables des domaines. Le contrôle d'accès à un domaine sécurisé depuis un autre domaine sécurisé est construit sur l'identification de l'adresse. Si les domaines sont internes, l'authentification de l'adresse est optionnelle. Si un des domaines est externe, l'authentification est obligatoire (par exemple NUA-check X25 ou mécanisme ad hoc). En revanche, le contrôle d accès à un domaine sécurisé depuis un domaine non sécurisé est basé sur l'identification et l'authentification individuelle de l'utilisateur pour tous les services qui l'exigent: Telnet, client-serveur, etc. Cette authentification doit être réalisée, si possible, au point d'entrée du domaine sécurisé. La structure des domaines physiques est montrée dans la figure 6. Domaine physique ext. F W Domaine physique int. Figure 6: Structure des domaines physiques FW est le "Firewall". Ses fonctions sont: Filtrage optionnel des paquets entrants, notamment la gestion de listes noires ou l'authentification d'un serveur. Cette fonction est indispensable à court terme tant que la fonction d'authentification de la couche 7 n'est pas sûre. Quand elle le sera, ce filtrage deviendra optionnel. Elle pourra être maintenue quand il n'y a pas d'authentification sur la couche 7 sur la passerelle, par exemple, connexion entre MTA externes et la passerelle correspondante. Aiguillage du trafic vers les passerelles spécialisées (proxy) ou les serveurs (courrier électronique, transfert de fichiers, serveur d'authentification, serveurs publics tel que le Web Europa, etc.). Authentification de la personne appelante. Le niveau de l'authentification dépend du service appelé, il va de très simple, voire nul, pour un serveur public tel que le Web Europa, jusqu à une authentification renforcée, par exemple, par carte à microprocesseur pour un accès vers un serveur interne en mode interactif ou client-serveur (voir ci-dessous les différents types d'authentification)

19 Gestion du trafic par les passerelles spécialisées, selon les services demandés: courrier, transfert de fichiers, interactif: Telnet ou client-serveur, etc. Gestion des utilisateurs externes physiquement en terme de droit d'accès au domaine physique intérieur, Journalisation, Statistiques. Le Firewall gére les utilisateurs appartenant à l'institution de la même façon, qu'ils se trouvent à l'intérieur ou à l'extérieur du domaine physique. Cela permet de dissocier les aspects logiques et physiques. En effet, une fois l'utilisateur authentifié au niveau souhaité, il entre dans le domaine intérieur et s'y trouve avec les mêmes protections que s'il se trouvait physiquement dans le domaine intérieur. Chaque sous domaine peut établir le niveau de sécurité qu'il souhaite. Ce mécanisme est parfaitement analogue à la protection des bâtiments: chaque personne qui se présente à la porte est authentifiée (carte de service ou papiers d'identité), ses droits sont vérifiés (fonctionnaire: accès libre, externe: vérification auprès de la personne visitée) et peut circuler librement dans les couloirs. Si une zone doit être plus protégée (exemple: salle d'ordinateur ou DG 17 L), on lui adjoint un second contrôle plus poussé. Les mécanismes d'authentification qu'on doit mettre en place sur le Firewall sont: Absence de mécanisme: réservé à l'accès à des serveurs publics, bien protégés du point de vue intégrité et disponibilité mais ne contenant pas d'informations confidentielles. Exemple le Web Europa ou certains services du Centre de calcul. Ces serveurs ne doivent pas permettre une intrusion à travers eux et par conséquent devraient être isolés du réseau intérieur (cf ). L'absence de mécanisme est utilisable également pour la connexion n'exigeant pas l'authentification de l'utilisateur, par exemple, la connexion entre MTA externes et la passerelle correspondante. Mot de passe simple (statique rejouable): ce mécanisme devrait disparaître ou être réservé au cas précédent, par exemple, pour permettre à un utilisateur d'être protégé contre des utilisations frauduleuses de son contrat de connexion. Ce mécanisme pourrait permettre l'accès à des domaines locaux non sensibles dans la mesure où l'accès aux domaines sensibles est systématiquement protégé. Dans le cas contraire, il est à exclure. Challenge-response par logiciel (mot de passe dynamique non rejouable): C'est une alternative plus sûre au mot de passe. Peut être utilisé pour l'accès aux domaines non sensibles intérieurs. Calculettes (Secure-id, Digipass, etc.): C'est une alternative à la carte à microprocesseur pour les accès aux domaines sensibles non classifiés. Ce mécanisme est à réserver aux utilisateurs externes à l'institution. Sa fonction est limitée au contrôle d'accès. Carte à microprocesseur: si les expériences en cours sont concluantes, ce mécanisme devrait être étendu à tout le personnel intérieur au sens logique, c'est-à-dire statutaire ou contractuel, y compris les utilisateurs extérieurs

20 ayant un lien juridique avec l'institution, par exemple firmes de développement extra-muros ou assurant la maintenance à distance. Il permet d'accéder à tout domaine local intérieur et également aux domaines dits "classifiés", pour lesquels il est le seul mécanisme admis. Il n'est pas limité au contrôle d'accès mais offre des mécanismes complémentaires: chiffrement, signature électronique et stockage sécurisé de mots de passe notamment

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Fiche de l'awt La sécurité informatique

Fiche de l'awt La sécurité informatique Fiche de l'awt La sécurité informatique La sécurité informatique est essentielle pour l'entreprise, particulièrement dans le contexte de l'ebusiness: définition, dangers, coûts, outils disponibles Créée

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

État Réalisé En cours Planifié

État Réalisé En cours Planifié 1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES REPUBLIQUE FRANÇAISE PREMIER MINISTRE Secrétariat Général de la Défense Nationale N 730/ SCSSI Issy-les-Moulineaux, le 13 janvier 1997 GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS

Plus en détail

Le modèle de sécurité windows

Le modèle de sécurité windows Le modèle de sécurité windows Cours Windows 2008-2009 Franck Rupin - Laurent Gydé 1 Le modèle de sécurité windows 1 Généralités 2 Les composants du système de sécurité 3 La protection des objets 4 Audit

Plus en détail

Sécurisation des accès Internet dans les écoles primaires. de l'académie de LIMOGES. Solution académique de filtrage des accès aux contenus du web

Sécurisation des accès Internet dans les écoles primaires. de l'académie de LIMOGES. Solution académique de filtrage des accès aux contenus du web Sécurisation des accès Internet dans les écoles primaires de l'académie de LIMOGES Solution académique de filtrage des accès aux contenus du web Paramétrage du Proxy Ecole Académique sur les stations de

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Introduction aux Systèmes Distribués. Introduction générale

Introduction aux Systèmes Distribués. Introduction générale Introduction aux Systèmes Distribués Licence Informatique 3 ème année Introduction générale Eric Cariou Université de Pau et des Pays de l'adour Département Informatique Eric.Cariou@univ-pau.fr 1 Plan

Plus en détail

Présentation d'un Réseau Eole +

Présentation d'un Réseau Eole + Présentation d'un Réseau Eole + Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Eole Plus. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est

Plus en détail

Conditions Générales d Utilisation wifi partagé

Conditions Générales d Utilisation wifi partagé ARTICLE 1. DEFINITIONS Conditions Générales d Utilisation wifi partagé Quelques définitions pour faciliter la lecture des présentes : - Le «wifi partagé» ou la Fonctionnalité : service qui permet à un

Plus en détail

Les modules SI5 et PPE2

Les modules SI5 et PPE2 Les modules SI5 et PPE2 Description de la ressource Propriétés Intitulé long Formation concernée Matière Présentation Les modules SI5 et PPE2 BTS SIO SI5 PPE2 Description Ce document présente une approche

Plus en détail

Chapitre 1 : Introduction aux bases de données

Chapitre 1 : Introduction aux bases de données Chapitre 1 : Introduction aux bases de données Les Bases de Données occupent aujourd'hui une place de plus en plus importante dans les systèmes informatiques. Les Systèmes de Gestion de Bases de Données

Plus en détail

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4 Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Spécifications de l'offre Surveillance d'infrastructure à distance

Spécifications de l'offre Surveillance d'infrastructure à distance Aperçu du service Spécifications de l'offre Surveillance d'infrastructure à distance Ce service comprend les services Dell de surveillance d'infrastructure à distance (RIM, le «service» ou les «services»)

Plus en détail

Informations de sécurité TeamViewer

Informations de sécurité TeamViewer Informations de sécurité TeamViewer 2015 TeamViewer GmbH, Mise à jour: 06/2015 Groupe cible Le présent document s adresse aux administrateurs réseaux. Les informations figurant dans ce document sont de

Plus en détail

Modélisation des réseaux : Le modèle OSI et ses dérivés

Modélisation des réseaux : Le modèle OSI et ses dérivés Chapitre 1 1 Modélisation des réseaux : Le modèle OSI et ses dérivés Le modèle OSI de l ISO 2 Le modèle d'interconnexion des Systèmes Ouverts (Open Systems Interconnection) a été proposé par l'iso (International

Plus en détail

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 SECURITE DES DONNEES 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Table des matières 1. INTRODUCTION... 3 2. ARCHITECTURES D'ACCÈS À DISTANCE... 3 2.1 ACCÈS DISTANT PAR MODEM...

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» CSSS/10/101 AVIS N 10/21 DU 7 SEPTEMBRE 2010 CONCERNANT LA DEMANDE DU MINISTRE DES AFFAIRES SOCIALES RELATIVE AU PROTOCOLE,

Plus en détail

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Charte informatique Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Préambule L'entreprise < NOM > met en œuvre un système d'information et

Plus en détail

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage.

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage. BTS S.I.O. 2 nd Année Option SISR Firewall et Nat TP 10 Firewall & Nat Notes : remplacer unserveur.sio.lms.local par le nom d'un serveur sur le réseau sio. Trouver les adresses du cœurs de réseau du lycée

Plus en détail

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés. portnox Livre blanc réseau Janvier 2008 Access Layers portnox pour un contrôle amélioré des accès access layers Copyright 2008 Access Layers. Tous droits réservés. Table des matières Introduction 2 Contrôle

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Gestion et contrôle des accès informatiques

Gestion et contrôle des accès informatiques Gestion et contrôle des accès informatiques Un livre blanc de Bull Evidian Mot de passe unique et gestion centralisée des accès pour les établissements publics et les collectivités territoriales Par Cathy

Plus en détail

TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé)

TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé) TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé) Nom du routeur Type de routeur Adresse FA0 Adresse FA1 Adresse S0 Adresse S1 Masque de sousréseau Routage Mot de passe enable Mot

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Conformité aux exigences de la réglementation 21 CFR Part 11 de la FDA Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA Définition de la réglementation 21 CFR partie 11 Au cours de la dernière décennie, l'industrie pharmaceutique a très rapidement

Plus en détail

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX Guide de connexion à RENAULT SA et PSA PEUGEOT CITROËN via ENX Mise en œuvre de votre raccordement à RENAULT SA et/ou PSA PEUGEOT CITROËN via ENX Version française du 31/10/2014 1 Table des matières 1

Plus en détail

Chapitre 2 Rôles et fonctionnalités

Chapitre 2 Rôles et fonctionnalités 19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les

Plus en détail

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN Les Réseaux Privés Virtuels (VPN) 1 Définition d'un VPN Un VPN est un réseau privé qui utilise un réseau publique comme backbone Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

Réseaux et Télécommunication Interconnexion des Réseaux

Réseaux et Télécommunication Interconnexion des Réseaux Réseaux et Télécommunication Interconnexion des Réseaux 1 Concevoir un réseau Faire évoluer l existant Réfléchir à toutes les couches Utiliser les services des opérateurs (sous-traitance) Assemblage de

Plus en détail

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper Conformité PCI DSS Réduire les risques en gérant les identités et les accès Ce livre blanc explique comment la suite IAM d Evidian peut vous aider à vous conformer aux exigences PCI DSS. white paper 39

Plus en détail

Réseaux locaux virtuels : VLAN

Réseaux locaux virtuels : VLAN Réseaux locaux virtuels : VLAN I. Historique Les premiers réseaux Ethernet (on se situe donc en couche 2) étaient conçus à base de câbles coaxiaux raccordés entre eux et connectés aux ordinateurs, si bien

Plus en détail

Tableau Online Sécurité dans le cloud

Tableau Online Sécurité dans le cloud Tableau Online Sécurité dans le cloud Auteur : Ellie Fields Ellie Fields, directrice principale du marketing produits, Tableau Software Juin 2013 p.2 Tableau est conscient que les données font partie des

Plus en détail

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

Cahier des Clauses Techniques Particulières. Convergence Voix - Données Cahier des Clauses Techniques Particulières Convergence Voix - Données SOMMAIRE - Objet du document et du marché - Contexte et périmètre du projet - Configurations existantes et besoins - Services attendus

Plus en détail

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière

Plus en détail

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Date : 2010-09-08 Référence 20100906-CSPN-CibleSécurité-V1.1.doc VALIDITE DU DOCUMENT Identification Client Projet Fournisseur

Plus en détail

PPE 4. Firewall KOS INFO. Groupe 1: Alexis, David et Lawrence 19/02/2014

PPE 4. Firewall KOS INFO. Groupe 1: Alexis, David et Lawrence 19/02/2014 KOS INFO PPE 4 Firewall Groupe 1: Alexis, David et Lawrence 19/02/2014 KOS info à pour mission d'établir des mécanismes de sécurité afin de protéger le réseau de M2L. Ce projet s'appuiera sur le logiciel

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5 L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5. Préparation à l installation de MS Proxy server Ce logiciel

Plus en détail

Figure 1. Structure répartie

Figure 1. Structure répartie Chapitre I: Applications Réparties et Middleware 1. Définition d une application répartie Une application répartie est constituée d un ensemble de processus (d objets, d agents, d acteurs) s exécutant

Plus en détail

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1. Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05

Plus en détail

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2.

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2. DHCP ET TOPOLOGIES Principes de DHCP Présentation du protocole Sur un réseau TCP/IP, DHCP (Dynamic Host Configuration Protocol) permet d'attribuer automatiquement une adresse IP aux éléments qui en font

Plus en détail

V.P.N. sous MacOs. Introduction aux Réseaux Privés Virtuels. Table des matières

V.P.N. sous MacOs. Introduction aux Réseaux Privés Virtuels. Table des matières V.P.N. sous MacOs Table des matières V.P.N. sous MacOs...1 Introduction aux Réseaux Privés Virtuels...1 Royaume : «realm»...3 Qui fait une demande de «realm»?...3 Quels sont les «realms» actifs?...3 Obtenir

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau. Firewall I- Définition Un firewall ou mur pare-feu est un équipement spécialisé dans la sécurité réseau. Il filtre les entrées et sorties d'un nœud réseau. Cet équipement travaille habituellement aux niveaux

Plus en détail

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès 259 Chapitre 6 La sécurité 1. Introduction La sécurité La sécurité des données est un enjeu capital. Une base de données peut être amenée à stocker des données très sensibles, confidentielles. L'implémentation

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

Le protocole SSH (Secure Shell)

Le protocole SSH (Secure Shell) Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction

Plus en détail

ETI/Domo. Français. www.bpt.it. ETI-Domo Config 24810150 FR 10-07-144

ETI/Domo. Français. www.bpt.it. ETI-Domo Config 24810150 FR 10-07-144 ETI/Domo 24810150 www.bpt.it FR Français ETI-Domo Config 24810150 FR 10-07-144 Configuration du PC Avant de procéder à la configuration de tout le système, il est nécessaire de configurer le PC de manière

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

GENERALITES. COURS TCP/IP Niveau 1

GENERALITES. COURS TCP/IP Niveau 1 GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse

Plus en détail

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x SQUID P r o x y L i b r e p o u r U n i x e t L i n u x 1. P r é s e n t a t i o n : SQUID est un proxy (serveur mandataire en français) cache sous linux. De ce fait il permet de partager un accès Internet

Plus en détail

Installation et configuration de ZeroShell

Installation et configuration de ZeroShell Master 2 Réseaux et Systèmes informatiques Sécurité Réseaux Installation et configuration de ZeroShell Présenté par: Mor Niang Prof.: Ahmed Youssef PLAN 1. Présentation 2. Fonctionnalités 3. Architecture

Plus en détail

Contrat d'hébergement application ERP/CRM - Dolihosting

Contrat d'hébergement application ERP/CRM - Dolihosting Date 30/10/13 Page 1/6 Contrat d'hébergement application ERP/CRM - Dolihosting Le présent contrat est conclu entre vous, personne physique ou morale désignée ci-après le client et ATERNATIK dont le numéro

Plus en détail

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière

Plus en détail

Module 0 : Présentation de Windows 2000

Module 0 : Présentation de Windows 2000 Module 0 : Présentation de Table des matières Vue d'ensemble Systèmes d'exploitation Implémentation de la gestion de réseau dans 1 Vue d'ensemble Donner une vue d'ensemble des sujets et des objectifs de

Plus en détail

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux serveurs mandataires (proxy) fbongat@ipsl.jussieu.fr 2007-2008 Qu'est-ce qu'un proxy? = mandataire (traduction) Un proxy est un service mandataire pour une application donnée.

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

Symantec Network Access Control

Symantec Network Access Control Symantec Network Access Control Conformité totale des terminaux Présentation est une solution de contrôle d'accès complète et globale qui permet de contrôler de manière efficace et sûre l'accès aux réseaux

Plus en détail

Présentation du modèle OSI(Open Systems Interconnection)

Présentation du modèle OSI(Open Systems Interconnection) Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:

Plus en détail

IP Office IP Office Manuel de l'utilisateur de la messagerie vocale intégrée

IP Office IP Office Manuel de l'utilisateur de la messagerie vocale intégrée Manuel de l'utilisateur de la messagerie vocale intégrée 15-604067 Version 11a - (29/04/2011) 2011 AVAYA Tous droits réservés. Note Bien que tous les efforts nécessaires aient été mis en œuvre en vue de

Plus en détail

Mettre en place un accès sécurisé à travers Internet

Mettre en place un accès sécurisé à travers Internet Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer

Plus en détail

TAGREROUT Seyf Allah TMRIM

TAGREROUT Seyf Allah TMRIM TAGREROUT Seyf Allah TMRIM Projet Isa server 2006 Installation et configuration d Isa d server 2006 : Installation d Isa Isa server 2006 Activation des Pings Ping NAT Redirection DNS Proxy (cache, visualisation

Plus en détail

Guide rapide GFI LANguard

Guide rapide GFI LANguard Guide rapide GFI LANguard INTRODUCTION Bienvenue dans GFI LANguard : Votre solution tout en un pour la gestion de correctifs, l'analyse de vulnérabilités et l'audit réseau. GFI LANguard (ou "LANguard")

Plus en détail

18 TCP Les protocoles de domaines d applications

18 TCP Les protocoles de domaines d applications 18 TCP Les protocoles de domaines d applications Objectifs 18.1 Introduction Connaître les différentes catégories d applications et de protocoles de domaines d applications. Connaître les principaux protocoles

Plus en détail

CONDITIONS PARTICULIERES D'HÉBERGEMENT WEB

CONDITIONS PARTICULIERES D'HÉBERGEMENT WEB CONDITIONS PARTICULIERES D'HÉBERGEMENT WEB Version en date du 10 octobre 2013 ARTICLE 1 : OBJET Les présentes conditions particulières ont pour objet de définir les conditions techniques et financières

Plus en détail

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base Windows Server 2008 Chapitre 3 : Le service d annuaire Active Directory: Concepts de base omar.cheikhrouhou@isetsf.rnu.tn omar.cheikhrouhou@ceslab.org Objectives Comprendre les concepts de base d Active

Plus en détail

Guide d'administration. BlackBerry Professional Software pour IBM Lotus Domino. Version: 4.1 Service Pack: 4

Guide d'administration. BlackBerry Professional Software pour IBM Lotus Domino. Version: 4.1 Service Pack: 4 BlackBerry Professional Software pour IBM Lotus Domino Version: 4.1 Service Pack: 4 SWD-311541-0911043520-002 Table des matières 1 Gestion des comptes d'utilisateur... 7 Ajouter un compte utilisateur...

Plus en détail

Installation d un serveur DHCP sous Gnu/Linux

Installation d un serveur DHCP sous Gnu/Linux ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Installation d un serveur DHCP sous Gnu/Linux DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Installation

Plus en détail

Fiche méthodologique Rédiger un cahier des charges

Fiche méthodologique Rédiger un cahier des charges Fiche méthodologique Rédiger un cahier des charges Plan de la fiche : 1 : Présentation de la fiche 2 : Introduction : les grands principes 3 : Contenu, 1 : positionnement et objectifs du projet 4 : Contenu,

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN 1. DÉVELOPPEMENT D'APPLICATION (CONCEPTEUR ANALYSTE) 1.1 ARCHITECTURE MATÉRIELLE DU SYSTÈME INFORMATIQUE 1.1.1 Architecture d'un ordinateur Processeur,

Plus en détail

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011 1 Authentification avec CAS sous PRONOTE.net 2011 Version du lundi 19 septembre 2011 2 1 - Vocabulaire employé et documentation... 3 1.1 - SSO (Single Sign-On)... 3 1.2 - CAS (Central Authentication Service)...

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail

NOTIONS DE RESEAUX INFORMATIQUES

NOTIONS DE RESEAUX INFORMATIQUES NOTIONS DE RESEAUX INFORMATIQUES GENERALITES Définition d'un réseau Un réseau informatique est un ensemble d'équipements reliés entre eux afin de partager des données, des ressources et d'échanger des

Plus en détail

CONDITIONS PARTICULIERES D'ENREGISTREMENT, DE RENOUVELLEMENT ET DE TRANSFERT DE NOMS DE DOMAINE

CONDITIONS PARTICULIERES D'ENREGISTREMENT, DE RENOUVELLEMENT ET DE TRANSFERT DE NOMS DE DOMAINE CONDITIONS PARTICULIERES D'ENREGISTREMENT, DE RENOUVELLEMENT ET DE TRANSFERT DE NOMS DE DOMAINE Version en date du 29 juillet 2014 ARTICLE 1 : OBJET Les présentes conditions particulières ont pour objet

Plus en détail

Fiche de l'awt Rédiger un cahier des charges

Fiche de l'awt Rédiger un cahier des charges Fiche de l'awt Rédiger un cahier des charges Quels sont les éléments principaux dont il faut tenir compte pour la rédaction d'un cahier des charges dans le cadre d'un projet lié aux TIC (technologies de

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005

Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005 ISMS (Information Security Management System) Utilisation de l Internet comme moyen d accès au réseau de la Banque-Carrefour de la sécurité dans le cadre du traitement de données à caractère personnel

Plus en détail

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server 2008. Référence Cours : 6238B

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server 2008. Référence Cours : 6238B Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server 2008 Durée: 5 jours Référence Cours : 6238B À propos de ce cours Ce cours animé par un instructeur et réparti

Plus en détail

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

données à caractère personnel (ci-après la LVP), en particulier l'article 30 ; 1/8 Recommandation n 01/2013 du 21 janvier 2013 Objet : Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données (CO-AR-2013-001) La Commission de

Plus en détail

Installation du SLIS 4.1

Installation du SLIS 4.1 Documentation SLIS 4.1 Installation du SLIS 4.1 1.3RC2 CARMI PÉDAGOGIQUE - ÉQUIPE «INTERNET» DE L'ACADÉMIE DE GRENOBLE juillet 2013 Table des matières Objectifs 5 I - Prérequis 7 A. Préconisations matérielles...7

Plus en détail

SOMMAIRE IMAP. Chapitre 1 IMAP 2. Chapitre 2 IMAP/SSL 12

SOMMAIRE IMAP. Chapitre 1 IMAP 2. Chapitre 2 IMAP/SSL 12 Exchange 2003 / SSL Page 1 sur 30 SOMMAIRE Chapitre 1 2 1.1 Mise en place sur le serveur 2 1.2 Test pour un poste en interne 6 1.3 Test pour un poste nomade 8 Chapitre 2 /SSL 12 2.1 Mise en place sur le

Plus en détail

ClaraExchange 2010 Description des services

ClaraExchange 2010 Description des services Solution ClaraExchange ClaraExchange 2010 Description des services Solution ClaraExchange 2010 2 CLARAEXCHANGE 2010... 1 1. INTRODUCTION... 3 2. LA SOLUTIONS PROPOSEE... 3 3. LES ENGAGEMENTS... 4 4. ENVIRONNEMENT

Plus en détail