Accès réseau : Offrez rapidité et sécurité à vos
LE CLIENT REÇU en rendez-vous, le prestataire venu effectuer un travail, ou le partenaire en visite d affaires ont-ils accès au réseau lorsqu ils se présentent dans votre entreprise? Résumé Aujourd hui tous les collaborateurs considèrent normal d avoir un accès rapide et sécurisé au réseau! Alors que faire? Ces articles permettent de comprendre qu il ne faut pas opter pour une borne Wifi dédiée aux qui n assure aucune traçabilité ni aucune distinction entre les utilisateurs. Plus important, vous découvrirez quelles sont les solutions à adopter pour votre réseau! 2
Comment donner un accès réseau à ses N optez plus jamais pour une borne Wifi dédiée aux qui n assure aucune traçabilité ni aucune distinction entre les utilisateurs. Le logiciel ClearPass Policy Management System attribue des accès à votre réseau selon des profils prédéfinis. Sur le réseau de l entreprise, seuls les salariés sont connus. Il faut donc trouver une solution pour que le client reçu en rendez-vous, le prestataire venu effectuer un travail, ou partenaire en visite d affaires aient un accès à Internet au travers de la passerelle locale, gage d une entreprise qui sait se montrer accueillante. «En général, on prévoit une borne Wifi réservée aux invités. Mais ce n est pas une solution satisfaisante, car elle ne permettra pas aux partenaires, par exemple, d accéder à un partage de documents d appoint. Et comme la clé d accès sera toujours la même, toute traçabilité à postériori sera impossible. Une autre solution est de demander à l IT de générer des tickets, ce qui lui fait perdre du temps et ne garantit pas du tout que le ticket soit prêt à temps», commente Stéphane Benguigui, directeur des ventes Grands Comptes chez Alcatel-Lucent. Il recommande de plutôt utiliser une solution capable de gérer les profils temporaires : le logiciel ClearPass Policy Management System d Alcatel-Lucent. «ClearPass Policy Management System s installe sur un serveur, ou via une appliance dédiée. Le logiciel sert à gérer tous les utilisateurs au travers d une interface graphique unique. Bien évidemment, il n est pas question de recréer les profils des salariés. Pour récupérer toutes les informations existantes, ClearPass Policy Management System se connecte à l annuaire d entreprise en place, de type Active Directory, LDAP ou Radius», assure-t-il. Il précise que le logiciel est compatible avec toutes les infrastructures réseau ; il n est pas nécessaire de posséder du matériel de marque Alcatel-Lucent. 3
RESPONSABILISER LA PERSONNE QUI INVITE Avec ClearPass Policy Management System, l invité s identifie sur le portail du Wifi local (il y est redirigé automatiquement) en indiquant qui il vient voir et quel est son rôle (simple visiteur, partenaire, etc.). En effet, ici, c est la personne visitée qui définit à quoi le visiteur aura accès. Pour cefaire, elle reçoit un message sur son ordinateur ou son smartphone qui lui demande de valider l accès de l invité au moment où celui-ci s est identifié sur le portail. «Ainsi, on responsabilise le salarié qui donne l accès, ce qui permet d avoir par la suite une très bonne traçabilité des accès, au cas où un problème de sécurité surviendrait», commente Stéphane Benguigui. Il précise toutefois que ClearPass Policy Management System respecte les contraintes légales : il ne conserve pas les logs des navigations sur Internet ou des messageries. Il est en revanche capable de dire quelle adresse MAC a eu accès au Wifi, quand et durant combien de temps. Une fois que l hôte a validé l accès de son invité, celui-ci reçoit par SMS (ou par e-mail, si on autorise l accès e-mail sans authentification préalable) la clé d accès au réseau Wifi. Dans la pratique, le profil type des est créé en amont dans l interface d administration de ClearPass Policy Management System. En général, on crée trois profils types : le visiteur, le partenaire et le salarié externe. Ensuite, il suffit d attribuer à chacun de ces profils les ressources auxquelles il aura accès : Internet, certains répertoires locaux, certaines applications locales (l impression, par exemple), etc. «L ergonomie du logiciel est très simple, façon PeopleSoft. Pour la bonne et simple raison qu il est généralement plus sage de confier la création des profils-type à la DRH. Ensuite, l attribution d un profil à un visiteur en particulier revient à l hôte qui fait venir ce visiteur. Mais l hôte n a rien à configurer. Il doit juste valider que tel invité a le droit d avoir le profil qu il a luimême sélectionné», explique Stéphane Benguigui. UN PORTAIL ENTIÈREMENT PERSONNALISABLE ClearPass Policy Management System dispose de fonctions de haut niveau. Ainsi, il s adapte automatiquement à la langue du navigateur du client. Il peut aussi interroger l annuaire du siège d une entreprise pour reconnaître automatiquement un salarié venu d une autre filiale du groupe et disposant déjà de droits propres sur le réseau de l entreprise (boîtes e-mail, etc.). 4
«Enfin, le portail de connexion est totalement personnalisable. On peut par exemple choisir d y mettre des raccourcis utiles qui ne nécessiteront pas forcément une authentification. On pense généralement à proposer des liens vers des sites d informations, vers le site de l entreprise ou encore vers des sites de transports qui permettront de consulter un horaire de vol, de commander un taxi ou de réserver un train. L entreprise hôte peut même vendre sur ce portail des emplacements à des annonceurs», illustre Stéphane Benguigui. Bien évidemment, le portail s adapte automatiquement à la taille de l écran du terminal, y compris s il s agit d un smartphone. 5
Comment enrôler les équipements personnels sur le réseau d entreprise Avec le logiciel ClearPass Policy Management System, il devient trivial d autoriser sur le réseau de l entreprise des appareils personnels et, ce, grâce à une procédure de mise en conformité toute automatisée. Comment concilier la réticence de la DSI à autoriser des périphériques personnels sur le réseau d entreprise et la volonté de la DRH de s ouvrir pour donner aux salariés plus de confort, voire pour capter de jeunes talents? En autorisant, mais avec du contrôle, répond Stéphane Benguigui, le directeur des ventes Grands Comptes chez Alcatel-Lucent. «D une part, il est illusoire de vouloir bloquer l accès au réseau des applications et des équipements personnels, car tout le monde sait désormais utiliser l informatique à la maison et peut chercher sur Google un moyen de contourner le blocage. D autre part, si on tolère les usages personnels, il faut tout de même s assurer que ce n est pas au détriment de la sécurité du réseau de l entreprise», dit-il. Alcatel-Lucent propose justement un logiciel, ClearPass Policy Management System, dont la fonction est justement d accepter sur le réseau interne des appareils personnels, mais uniquement s ils répondent à certains critères. «Il est important de préciser que ClearPass Policy Management System n est pas un logiciel de MDM. Un MDM sert à gérer la flotte des appareils appartenant à l entreprise et utilisés à l extérieur. Alors que ClearPass Policy Management System fait exactement l inverse : il sert à gérer dans l enceinte de l entreprise les appareils venus de l extérieur. Il n est donc pas question ici de configurer la machine personnelle avec les applications dont l entreprise paie des licences pour ses propres postes, mais juste de vérifier qu elle est conforme aux règles de sécurité de l entreprise», fait remarquer Stéphane Benguigui. 6
DES RÈGLES DE CONFORMITÉS DÉFINIES EN AMONT PAR LA DSI Nécessitant 600 Go de stockage, ClearPass Policy Management System s installe sur un serveur ou via une appliance. La DSI définit au préalable les prérequis de conformité au travers d une interface graphique et selon le type d appareil connecté. «Par défaut, ClearPass est capable de reconnaître les différents smartphones et tablettes du marché, ainsi que les Windows, Mac OS X et Linux des ordinateurs portables, avec leur numéro de version. La DSI peut par exemple demander que l appareil personnel ne puisse se connecter au réseau que s il dispose d un antivirus et/ou d un pare-feu récents. A cette fin, ClearPass interroge régulièrement la base SkyReckon», précise Stéphane Benguigui. Il est à noter que la DSI peut également configurer dans ClearPass Policy Management System des priorités selon les appareils. «Autant il est louable d offrir un confort maximal aux utilisateurs, autant il n est pas souhaitable que les applications personnelles ralentissent les applications professionnelles. Ainsi ClearPass peut communiquer des règles de QoS spécifiques au commutateur sur lequel est connecté l appareil personnel», explique-t-il. UNE PROCÉDURE D ONBOARDING ENTIÈREMENT AUTOMATISÉE Au départ, un utilisateur amène dans l entreprise un appareil - smartphone, tablette, ordinateur portable - qui n a pas été certifié par la DSI. Il le connecte au réseau et le commutateur, qui ne connaît pas cette nouvelle adresse MAC, redirige le navigateur de l appareil vers le portail d authentification du logiciel ClearPass. L utilisateur s authentifie sur celui-ci en saisissant son Login et son mot de passe habituels. A ce moment, ClearPass lui propose d importer sur sa machine un certificat, ainsi qu un agent de conformité. Il peut s agir d un exécutable natif à télécharger, ou d un processus ActiveX, ou encore d une extension pour son navigateur. Cet agent va lister les programmes en cours d exécution dans la mémoire de l appareil, vérifier qu il dispose d un pare-feu propre et s assurer qu il n est possible de l utiliser qu après avoir saisi un identifiant (au démarrage et même en sortie de veille). Cela permet à ClearPass de dresser un profil de conformité de l appareil. «Si l appareil est totalement conforme au profil de sécurité de l entreprise, ClearPass lui donne accès au réseau avec les mêmes droits qu un poste de travail certifié. 7
S il n est pas conforme, l appareil se retrouve en zone de quarantaine. L agent de conformité invite alors l utilisateur à télécharger tel antivirus, à désactiver tel programme de Peer-2-Peer, ou encore à mettre à jour son OS vers une version plus récente afin qu il puisse envoyer à ClearPass un profil conforme. Il peut aussi arriver que ClearPass juge l appareil à moitié conforme et, dans ce cas, lui accorde un accès limité au réseau de l entreprise», détaille Stéphane Benguigui. Deux remarques : d une part le rapport de conformité sera simultanément envoyé à la DSI et, d autre part, l agent de conformité fonctionnera durant toute la connexion de l appareil au réseau de l entreprise. «Cela évite qu un virus ne soit exécuté à postériori, une fois l accès donné. Par ailleurs, cela évite aussi d êtretrop intrusif, puisque l agent n ira pas vérifier ce que l utilisateur a sur son disque dur, seule la RAM est contrôlée», assure Stéphane Benguigui. Toute la procédure qui va de la connexion initiale de l appareil au réseau jusqu à la validation de son accès par ClearPass s appelle l Onboarding. Une fois que l appareil est certifié dans ClearPass, son utilisateur n aura plus besoin d entrer son Login et son mot de passe sur le portail, l accès sera direct sur le réseau de l entreprise grâce au certificat téléchargé au premier chef. Notons que ce certificat ne sera valable que si l utilisateur a sorti sa machine de veille en tapant son mot de passe. 8