DOSSIER SPÉCIAL Accès réseau : Offrez rapidité et sécurité à vos visiteurs



Documents pareils
UCOPIA EXPRESS SOLUTION

La gamme express UCOPIA.

UCOPIA SOLUTION EXPRESS

ACCEDER A SA MESSAGERIE A DISTANCE

ACCÉDER A SA MESSAGERIE A DISTANCE

Office Pro Plus. Procédures d installation. Direction des Systèmes d Information Grenoble Ecole de Management. Date de publication Juin 2014

Configuration requise

KASPERSKY SECURITY FOR BUSINESS

Dispositif e-learning déployé sur les postes de travail

La solution ucopia advance La solution ucopia express

Sophos Computer Security Scan Guide de démarrage

PROTECTION DES PÉRIPHÉRIQUES MOBILES ET GESTION DE FLOTTE MOBILE (Kaspersky MDM licence Advanced)

Administration de systèmes

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Introduction 3. GIMI Gestion des demandes d intervention 5

WIFI sécurisé en entreprise (sur un Active Directory 2008)

PROCÉDURE D AIDE AU PARAMÉTRAGE

INSTALLER LA DERNIERE VERSION DE SECURITOO PC

Pourquoi choisir ESET Business Solutions?

Pré-requis techniques

Securitoo Mobile guide d installation

L infrastructure Sécurité de Microsoft. Active Directory RMS. Microsoft IAG

Installation de GFI FAXmaker

Installation d'un TSE (Terminal Serveur Edition)

Guide d utilisation WEBPORTAL CPEM Portail d Applications Web CPEM

Manuel de l utilisateur

Catalogue «Intégration de solutions»

Installation 4D. Configuration requise Installation et activation

Procédure d installation :

SOMMAIRE ÉTAPES OBLIGATOIRES. Récupérer le connecteur... 3

sommaire ÉTAPES OBLIGATOIRES Récupérer le connecteur... 3

Mettre à jour son ordinateur vers Windows 7

Disque Dur Internet «Découverte» Guide d utilisation du service

Mobile Security pour appareils Symbian^3

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

CTIconnect PRO. Guide Rapide

MANUEL D INSTALLATION DE WATCHDOC 2011 (EVALUATION)

Guide d administration de Microsoft Exchange ActiveSync

Procédure et Pré-requis

Guide de démarrage

facile les étudiants L impression pour Si vos étudiants savent envoyer un ou ouvrir une page Web, ils pourront imprimer avec EveryonePrint

Android Usage Professionnel

VISIOCONFÉRENCE AVEC RENATER

CREATION D UN COMPTE PERSONNEL D-MARCHE

CHOIX ET USAGES D UNE TABLETTE TACTILE EN ENTREPRISE

Installation 4D. Configuration requise Installation et activation

PRESENSTATION VMWARE ESXi NOTION DE MACHINE VIRTUELLE

Sécuriser un équipement numérique mobile TABLE DES MATIERES

Mise en route d'une infrastructure Microsoft VDI

La sécurité des systèmes d information

Fiche produit. Important: Disponible en mode SaaS et en mode dédié

DLTA Deploy. Une offre unique de gestion de flotte mobile pour iphone, ipad & ipod touch. La solution de gestion de flotte mobile pour ios

FreeNAS Shere. Par THOREZ Nicolas

BYOD : LES TERMINAUX PERSONNELS AU SERVICE DE L ENTREPRISE

WINDOWS Remote Desktop & Application publishing facile!

Pré-requis techniques. Yourcegid Secteur Public On Demand Channel

CAHIER DES CHARGES D IMPLANTATION

Fax sur IP. Panorama

I. Descriptif de l offre. L offre Sage 100 Entreprise Edition Entreprise

Livret 1 Poste de travail de l utilisateur :

Installation Windows 2000 Server

PROCEDURE ESX & DHCP LINUX

Symantec Endpoint Protection Fiche technique

TELEGESTION. l outil indispensable des intervenants à domicile. Maison de l Emploi de Paris Plateforme RH 21 Mai 2015

Tsoft et Groupe Eyrolles, 2005, ISBN :

z Fiche d identité produit

Netstorage et Netdrive pour accéder à ses données par Internet

Procédure d enregistrement

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Tutoriel pour la configuration des ipad et son «rattachement» au CG

Législation. Loi anti-terrorisme

Solution de fax en mode Cloud

GUIDE D INSTALLATION ET D UTILISATION PI AUTHENTICATOR

Tropimed Guide d'installation

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

UserLock Quoi de neuf dans UserLock? Version 8.5

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Cours LG : Administration de réseaux et sécurité informatique. Dans les Paramètres Système onglet Processeur, le bouton "Activer PAE/NX"

Samsung SmarThru Workflow 3 Un workflow documentaire numérique efficace, pratique et sûr

Journée CUME 29 Mars Le déport d affichage. Vincent Gil-Luna Roland Mergoil.

Windows 2000 Server Active Directory

EXAMENS SUR TABLETTES. Retour d expérience- Nice

Procédure d installation pour WinEUR PROCÉDURE D INSTALLATION POUR WINEUR. Copyright GIT SA 2015 Page 1/16

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

SIMPLIFIEZ-VOUS LE FAX GRÂCE AU CLOUD

INSTALLATION ET CONFIGURATION DE HYPER V3

Messagerie & accès Internet

ClariLog - Asset View Suite

Assistance à distance sous Windows

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

Cortado Corporate Server

Direction des Systèmes d'information

Les GPO 2012 server R2 (appliqués à Terminal Serveur Edition)

Pilote KIP certifié pour AutoCAD. Guide de l utilisateur État de l imprimante KIP

Document de présentation technique. Blocage du comportement

MANUEL D INSTALLATION

Fonctions. Solution professionnelle pour le stockage de données, la synchronisation multi- plateformes et la collaboration

Guide de connexion sur les bornes hot-post WIFI de la collectivité de Saint-Pierre

Transcription:

Accès réseau : Offrez rapidité et sécurité à vos

LE CLIENT REÇU en rendez-vous, le prestataire venu effectuer un travail, ou le partenaire en visite d affaires ont-ils accès au réseau lorsqu ils se présentent dans votre entreprise? Résumé Aujourd hui tous les collaborateurs considèrent normal d avoir un accès rapide et sécurisé au réseau! Alors que faire? Ces articles permettent de comprendre qu il ne faut pas opter pour une borne Wifi dédiée aux qui n assure aucune traçabilité ni aucune distinction entre les utilisateurs. Plus important, vous découvrirez quelles sont les solutions à adopter pour votre réseau! 2

Comment donner un accès réseau à ses N optez plus jamais pour une borne Wifi dédiée aux qui n assure aucune traçabilité ni aucune distinction entre les utilisateurs. Le logiciel ClearPass Policy Management System attribue des accès à votre réseau selon des profils prédéfinis. Sur le réseau de l entreprise, seuls les salariés sont connus. Il faut donc trouver une solution pour que le client reçu en rendez-vous, le prestataire venu effectuer un travail, ou partenaire en visite d affaires aient un accès à Internet au travers de la passerelle locale, gage d une entreprise qui sait se montrer accueillante. «En général, on prévoit une borne Wifi réservée aux invités. Mais ce n est pas une solution satisfaisante, car elle ne permettra pas aux partenaires, par exemple, d accéder à un partage de documents d appoint. Et comme la clé d accès sera toujours la même, toute traçabilité à postériori sera impossible. Une autre solution est de demander à l IT de générer des tickets, ce qui lui fait perdre du temps et ne garantit pas du tout que le ticket soit prêt à temps», commente Stéphane Benguigui, directeur des ventes Grands Comptes chez Alcatel-Lucent. Il recommande de plutôt utiliser une solution capable de gérer les profils temporaires : le logiciel ClearPass Policy Management System d Alcatel-Lucent. «ClearPass Policy Management System s installe sur un serveur, ou via une appliance dédiée. Le logiciel sert à gérer tous les utilisateurs au travers d une interface graphique unique. Bien évidemment, il n est pas question de recréer les profils des salariés. Pour récupérer toutes les informations existantes, ClearPass Policy Management System se connecte à l annuaire d entreprise en place, de type Active Directory, LDAP ou Radius», assure-t-il. Il précise que le logiciel est compatible avec toutes les infrastructures réseau ; il n est pas nécessaire de posséder du matériel de marque Alcatel-Lucent. 3

RESPONSABILISER LA PERSONNE QUI INVITE Avec ClearPass Policy Management System, l invité s identifie sur le portail du Wifi local (il y est redirigé automatiquement) en indiquant qui il vient voir et quel est son rôle (simple visiteur, partenaire, etc.). En effet, ici, c est la personne visitée qui définit à quoi le visiteur aura accès. Pour cefaire, elle reçoit un message sur son ordinateur ou son smartphone qui lui demande de valider l accès de l invité au moment où celui-ci s est identifié sur le portail. «Ainsi, on responsabilise le salarié qui donne l accès, ce qui permet d avoir par la suite une très bonne traçabilité des accès, au cas où un problème de sécurité surviendrait», commente Stéphane Benguigui. Il précise toutefois que ClearPass Policy Management System respecte les contraintes légales : il ne conserve pas les logs des navigations sur Internet ou des messageries. Il est en revanche capable de dire quelle adresse MAC a eu accès au Wifi, quand et durant combien de temps. Une fois que l hôte a validé l accès de son invité, celui-ci reçoit par SMS (ou par e-mail, si on autorise l accès e-mail sans authentification préalable) la clé d accès au réseau Wifi. Dans la pratique, le profil type des est créé en amont dans l interface d administration de ClearPass Policy Management System. En général, on crée trois profils types : le visiteur, le partenaire et le salarié externe. Ensuite, il suffit d attribuer à chacun de ces profils les ressources auxquelles il aura accès : Internet, certains répertoires locaux, certaines applications locales (l impression, par exemple), etc. «L ergonomie du logiciel est très simple, façon PeopleSoft. Pour la bonne et simple raison qu il est généralement plus sage de confier la création des profils-type à la DRH. Ensuite, l attribution d un profil à un visiteur en particulier revient à l hôte qui fait venir ce visiteur. Mais l hôte n a rien à configurer. Il doit juste valider que tel invité a le droit d avoir le profil qu il a luimême sélectionné», explique Stéphane Benguigui. UN PORTAIL ENTIÈREMENT PERSONNALISABLE ClearPass Policy Management System dispose de fonctions de haut niveau. Ainsi, il s adapte automatiquement à la langue du navigateur du client. Il peut aussi interroger l annuaire du siège d une entreprise pour reconnaître automatiquement un salarié venu d une autre filiale du groupe et disposant déjà de droits propres sur le réseau de l entreprise (boîtes e-mail, etc.). 4

«Enfin, le portail de connexion est totalement personnalisable. On peut par exemple choisir d y mettre des raccourcis utiles qui ne nécessiteront pas forcément une authentification. On pense généralement à proposer des liens vers des sites d informations, vers le site de l entreprise ou encore vers des sites de transports qui permettront de consulter un horaire de vol, de commander un taxi ou de réserver un train. L entreprise hôte peut même vendre sur ce portail des emplacements à des annonceurs», illustre Stéphane Benguigui. Bien évidemment, le portail s adapte automatiquement à la taille de l écran du terminal, y compris s il s agit d un smartphone. 5

Comment enrôler les équipements personnels sur le réseau d entreprise Avec le logiciel ClearPass Policy Management System, il devient trivial d autoriser sur le réseau de l entreprise des appareils personnels et, ce, grâce à une procédure de mise en conformité toute automatisée. Comment concilier la réticence de la DSI à autoriser des périphériques personnels sur le réseau d entreprise et la volonté de la DRH de s ouvrir pour donner aux salariés plus de confort, voire pour capter de jeunes talents? En autorisant, mais avec du contrôle, répond Stéphane Benguigui, le directeur des ventes Grands Comptes chez Alcatel-Lucent. «D une part, il est illusoire de vouloir bloquer l accès au réseau des applications et des équipements personnels, car tout le monde sait désormais utiliser l informatique à la maison et peut chercher sur Google un moyen de contourner le blocage. D autre part, si on tolère les usages personnels, il faut tout de même s assurer que ce n est pas au détriment de la sécurité du réseau de l entreprise», dit-il. Alcatel-Lucent propose justement un logiciel, ClearPass Policy Management System, dont la fonction est justement d accepter sur le réseau interne des appareils personnels, mais uniquement s ils répondent à certains critères. «Il est important de préciser que ClearPass Policy Management System n est pas un logiciel de MDM. Un MDM sert à gérer la flotte des appareils appartenant à l entreprise et utilisés à l extérieur. Alors que ClearPass Policy Management System fait exactement l inverse : il sert à gérer dans l enceinte de l entreprise les appareils venus de l extérieur. Il n est donc pas question ici de configurer la machine personnelle avec les applications dont l entreprise paie des licences pour ses propres postes, mais juste de vérifier qu elle est conforme aux règles de sécurité de l entreprise», fait remarquer Stéphane Benguigui. 6

DES RÈGLES DE CONFORMITÉS DÉFINIES EN AMONT PAR LA DSI Nécessitant 600 Go de stockage, ClearPass Policy Management System s installe sur un serveur ou via une appliance. La DSI définit au préalable les prérequis de conformité au travers d une interface graphique et selon le type d appareil connecté. «Par défaut, ClearPass est capable de reconnaître les différents smartphones et tablettes du marché, ainsi que les Windows, Mac OS X et Linux des ordinateurs portables, avec leur numéro de version. La DSI peut par exemple demander que l appareil personnel ne puisse se connecter au réseau que s il dispose d un antivirus et/ou d un pare-feu récents. A cette fin, ClearPass interroge régulièrement la base SkyReckon», précise Stéphane Benguigui. Il est à noter que la DSI peut également configurer dans ClearPass Policy Management System des priorités selon les appareils. «Autant il est louable d offrir un confort maximal aux utilisateurs, autant il n est pas souhaitable que les applications personnelles ralentissent les applications professionnelles. Ainsi ClearPass peut communiquer des règles de QoS spécifiques au commutateur sur lequel est connecté l appareil personnel», explique-t-il. UNE PROCÉDURE D ONBOARDING ENTIÈREMENT AUTOMATISÉE Au départ, un utilisateur amène dans l entreprise un appareil - smartphone, tablette, ordinateur portable - qui n a pas été certifié par la DSI. Il le connecte au réseau et le commutateur, qui ne connaît pas cette nouvelle adresse MAC, redirige le navigateur de l appareil vers le portail d authentification du logiciel ClearPass. L utilisateur s authentifie sur celui-ci en saisissant son Login et son mot de passe habituels. A ce moment, ClearPass lui propose d importer sur sa machine un certificat, ainsi qu un agent de conformité. Il peut s agir d un exécutable natif à télécharger, ou d un processus ActiveX, ou encore d une extension pour son navigateur. Cet agent va lister les programmes en cours d exécution dans la mémoire de l appareil, vérifier qu il dispose d un pare-feu propre et s assurer qu il n est possible de l utiliser qu après avoir saisi un identifiant (au démarrage et même en sortie de veille). Cela permet à ClearPass de dresser un profil de conformité de l appareil. «Si l appareil est totalement conforme au profil de sécurité de l entreprise, ClearPass lui donne accès au réseau avec les mêmes droits qu un poste de travail certifié. 7

S il n est pas conforme, l appareil se retrouve en zone de quarantaine. L agent de conformité invite alors l utilisateur à télécharger tel antivirus, à désactiver tel programme de Peer-2-Peer, ou encore à mettre à jour son OS vers une version plus récente afin qu il puisse envoyer à ClearPass un profil conforme. Il peut aussi arriver que ClearPass juge l appareil à moitié conforme et, dans ce cas, lui accorde un accès limité au réseau de l entreprise», détaille Stéphane Benguigui. Deux remarques : d une part le rapport de conformité sera simultanément envoyé à la DSI et, d autre part, l agent de conformité fonctionnera durant toute la connexion de l appareil au réseau de l entreprise. «Cela évite qu un virus ne soit exécuté à postériori, une fois l accès donné. Par ailleurs, cela évite aussi d êtretrop intrusif, puisque l agent n ira pas vérifier ce que l utilisateur a sur son disque dur, seule la RAM est contrôlée», assure Stéphane Benguigui. Toute la procédure qui va de la connexion initiale de l appareil au réseau jusqu à la validation de son accès par ClearPass s appelle l Onboarding. Une fois que l appareil est certifié dans ClearPass, son utilisateur n aura plus besoin d entrer son Login et son mot de passe sur le portail, l accès sera direct sur le réseau de l entreprise grâce au certificat téléchargé au premier chef. Notons que ce certificat ne sera valable que si l utilisateur a sorti sa machine de veille en tapant son mot de passe. 8

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back