SCNET4 (TM) version SECURE

Documents pareils
PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Cryptographie et fonctions à sens unique

Cours 14. Crypto. 2004, Marc-André Léger

Contrôle d accès Anti-intrusion Gestion centralisée

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Sécurité des réseaux IPSec

Catalogue «Intégration de solutions»

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Votre Réseau est-il prêt?

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Gestion des Clés Publiques (PKI)

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Rapport de certification

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

CERTIFICATS ÉLECTRONIQUES

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable

PREMIER MINISTRE Secrétariat Général de la Défense et la Sécurité Nationale Agence Nationale de Sécurité des Systèmes d Information GUIDE

Protocole industriels de sécurité. S. Natkin Décembre 2000

Rapport de certification

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Fiche Technique. Cisco Security Agent

La sécurité dans les grilles

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Procédure d installation :

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Définition des Webservices Ordre de paiement par . Version 1.0

Présentation. LogMeIn Rescue. Architecture de LogMeIn Rescue

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Protocoles d authentification

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

DEMARREZ RAPIDEMENT VOTRE EVALUATION

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Network WPA. Projecteur portable NEC NP905/NP901W Guide de configuration. Security WPA. Méthode d authentification supportée

Action Spécifique Sécurité du CNRS 15 mai 2002

TP Protocoles SMTP et POP3 avec Pratiquer l algorithmique

Concilier mobilité et sécurité pour les postes nomades

Descriptif de Kelio Protect

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

EMV, S.E.T et 3D Secure

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Sécurité des réseaux sans fil

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Autorité de Certification OTU

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Le protocole SSH (Secure Shell)

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Architectures PKI. Sébastien VARRETTE

Sécurisation du réseau

CRYPTOGRAPHIE. Signature électronique. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Banque Nationale de Belgique Certificate Practice Statement For External Counterparties 1

Connaître les Menaces d Insécurité du Système d Information

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

Plateforme PAYZEN. Définition de Web-services

FileMaker Server 11. Publication Web personnalisée avec XML et XSLT

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

La haute disponibilité de la CHAINE DE

Livre blanc. Sécuriser les échanges

Les fonctions de hachage, un domaine à la mode

Le Passeport Biométrique. Benoit LEGER CISSP ISO LD

Jean-Luc Archimbaud. Sensibilisation à la sécurité informatique.

Mise en route d'un Routeur/Pare-Feu

Le protocole sécurisé SSL

Rapport de certification

La sécurité dans un réseau Wi-Fi

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

Certificats (électroniques) : Pourquoi? Comment?

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

Fiche produit. Important: Disponible en mode SaaS et en mode dédié

THEMIS-ACCES GESTION DES TEMPS ET DES ACCES

Protocoles cryptographiques

Meilleures pratiques de l authentification:

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

La sécurité des réseaux. 9e cours 2014 Louis Salvail

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

Mise en place d une politique de sécurité

StoneGate Firewall/VPN

Autorité de certification

Evaluation, Certification Axes de R&D en protection

Transcription:

SCNET4 (TM) version SECURE

Communications sécurisées Badges chiffrés Entreprise ou institution, toute organisation est confrontée aux problèmes de sécurité de son personnel, de protection et de défense de ses centres vitaux et de ses secrets. Une solution à ces problèmes passe par l utilisation de systèmes intégrés de contrôle d accès électronique, de gestion de sûreté et de vidéosurveillance. La mise en œuvre de moyens informatiques et électroniques ne suffit cependant pas. Il faut aussi veiller à garantir l authenticité des identités, la sécurisation des données et des procédures, ainsi que la résilience et à l intégrité des moyens déployés. SCNET4 SECURE SCNET4 SECURE est un système SCNET4 Version 3 complété de plusieurs options visant à garantir la sécurisation des données et des procédures de gestion, la résilience et l intégrité des moyens déployés et l authenticité des identités. Un système intégré de contrôle d accès partage en effet des données et des moyens de communication avec d autres systèmes informatiques des entreprises. Il doit donc garantir un niveau au moins égal de protection contre les attaques internes et externes et de confidentialité des communications et des informations. Le serveur, les postes clients et les automates, qui utilisent les réseaux de l entreprise doivent donc intégrer directement les politiques de sécurité de celle-ci. Les liaisons filaires entre automates et lecteurs ainsi que les liaisons radio entre les lecteurs et les badges, sur lesquelles s échangent les données d identification nécessitent aussi d intégrer des mécanismes inviolables de chiffrement et d authentification. Communications SECURE intègre des méthodes de sécurité des communications entre tous les appareils de l installation : Serveur NET4S, postes clients NET4C, automates de la gamme SC4x5 et lecteurs ARC de la gamme Architect de STid Badges SECURE gère de façon sécurisée les badges d accès de type MIFARE DESFire EV1. Processus SECURE sécurise les processus de gestion du système et d accès aux données d exploitation. 2

Reseau primaire Serveur Net4-S Base de données Poste Client Net4-C Poste Client Net4-C certificat certificat certificat certificat Reseau secondaire Rapport web browser Connexion HTTPS: TLS 1.2 Connexion SQL TLS 1.2 Connexion Client Serveur: TLS 1.2 Protocole TCP: TLS 1.2 Chiffrement AES - 128 Bits certificat certificat certificat Chiffrement AES - 128 Bits ou mode transparent Cryptographie : Un aperçu. Le but de la cryptographie est de fournir des services de sécurité pour garantir des propriétés comme La confidentialité : Les données ne sont lisibles que par ceux qui en ont reçu le droit, L intégrité : Les données reçues sont bien celles envoyées, L authentification : L interlocuteur est bien celui que l on croit, ou encore la non répudiation : La procédure d échange garantit sans équivoque que l auteur du message l a bien envoyé et que le destinataire l a bien reçu. La confidentialité est assurée soit par l usage du chiffrement dit symétrique des données au moyen d une clé secrète connue des deux parties (Par exemple : AES - Advanced Encryption System). soit par l usage du chiffrement dit asymétrique des données au moyen d une paire de clés : une clé publique connue de tous les émetteurs pour réaliser le chiffrement; une clé privée connue du seul récepteur avec laquelle celui-ci réalise le déchiffrement. (Par exemple RSA -Rivest Shamir Adleman). L intégrité des données est assurée par la signature de celles-ci. Cette signature est calculée via un condensé univoque de ces données. Ce condensé est calculé par un algorithme de «hachage» (Par exemple : SHA -Secure Hash Algorithm) tel que la reconstitution inverse des données n est pas possible. L authentification et la non répudiation sont assurées par la signature des données calculée en chiffrant au moyen d une clé privée un condensé univoque de ces données calculé par hachage et vérifiée en la déchiffrant au moyen de la clé publique correspondante. Ces services évitent par exemple qu un badge d accès soit contrefait, qu un message intercepté frauduleusement ne permette de connaître des clés secrètes de programmation de badges ou des paramètres d autorisation d accès, que des commandes frauduleuses soient insérées dans un message ou qu un système soit hacké, soit pour l empêcher de fonctionner, soit pour en extraire des données confidentielles sur les personnes et sur l entreprise, soit pour s en servir pour atteindre d autres ressources de l entreprise. 3

Sécurité des communications La sécurité des réseaux. Les liaisons entre le serveur NET4S, les postes clients NET4C et les automates SC4x5 utilisent soit les réseaux de l entreprise (intranet ou WAN) soit des réseaux dédiés. Il est souvent nécessaire d établir aussi des liens avec des ressources d entreprise comme l informatique des Ressources Humains ou de partager des moyens d accès distants. Il est donc obligatoire que la sécurisation du système de contrôle d accès réponde aux mêmes principes que ceux appliqués à la sécurisation des moyens informatiques de l entreprise. Cryptographie de l automate au lecteur Dans SCNET4 SECURE, les automates peuvent dialoguer directement en mode «transparent» avec les badges d accès MIFARE DESFire EV1, ce dialogue étant sécurisé par un chiffrement AES 128 bits. La sécurité des liaisons entre les automates SC4x5 et les lecteurs d accès ARC de la gamme Architect peut aussi être assurée d une part par le chiffrement des échanges (AES) et d autre part par la signature de ces échanges au moyen d un code d authentification de message généré par une fonction de hachage (HMAC) et associé à une clé secrète. Les clés de chiffrement et d authentification sont des clés de session dérivées de clés secrètes. Pare-feu. Les automates SC4x5 sont équipés d un pare-feu («Firewall») qui filtre les données échangées avec le réseau. Il n autorise que les communications explicitement autorisées et bloque les ports non indispensables à l application. Non substitution. Le serveur NET4 est authentifié par une clé de sécurité. Cette clé induit une identification unique du serveur par les automates SC4x5 et des automates par le serveur, protégeant l ensemble contre toute tentative de substitution. Ces clés de session automate-lecteur sont donc: Confidentielles : Elles ne font l objet d aucune publication Uniques: Elles sont différentes pour chaque couple en dialogue Variables : Elles changent à chaque nouvelle session Mode transparent SC4x5 carte sans contact Mode sécurisé SC4x5 carte sans contact 4

Les standards TLS et HTTPS Les liaisons SCNET4 SECURE entre postes informatiques et entre serveur et automates sont sécurisées par le protocole standard TLS 1.2 (Transport Layer Security). Grâce notamment à la certification des interlocuteurs et à la cryptographie à clés publique/ privée, cette méthode est plus sécurisée qu un simple chiffrement des données par AES 128 bits au moyen d une clé secrète fixe ; elle permet aussi d intégrer le système dans la politique de l entreprise relative à la sécurisation de ses réseaux informatiques. TLS : Un aperçu Ce protocole standard, utilisé par la majorité des réseaux sécurisés, permet à deux parties De s authentifier au moyen de la cryptographie asymétrique, De décider de la suite cryptographique qu elles vont employer pour sécuriser leurs communications, D échanger de manière sécurisée pendant l ouverture de leur dialogue, puis à intervalles réguliers, la clé secrète qu elles vont utiliser pendant la session de dialogue. Cette clé de session calculée est donc certificat Poste Client Net4-C Unique : elle est différente pour chaque couple en dialogue échange Clé de chiffrement certificat Confidentielle : elle ne fait l objet d aucune publication, Serveur Net4-S Chaque automate SC4x5 contient un serveur Web qui permet des opérations de paramétrage et de maintenance. L accès à ce serveur web embarqué dans les automates est sécurisé par le protocole HTTPS qui s appuie sur TLS. Variable : elle change à chaque nouvelle session. Les échanges sont ensuite chiffrés par l algorithme sélectionné et au moyen de cette clé de session. Une fonction de hachage est également utilisée pour assurer l intégrité et l authentification des données. 5

Badges d accès MIFARE DESFire EV1 Et application sécurisée Les badges MIFARE DESFire EV1 utilisés dans SCNET4 SECURE contiennent une application sécurisée de contrôle d accès. Celle-ci comporte des fichiers contenant le code d identification du porteur. L accès à ces fichiers est protégé par des clés. La sécurité du badge est renforcée : Par l utilisation d une identification (dite abusivement «numéro de série») aléatoire (Random Identification RID) de la carte au lieu de l UID fixe (Unique Identification Code) qui n est pas accessible ; Par l utilisation de clés diversifiées d accès au contenu pour la lecture, l écriture ou le changement ; ainsi chaque badge contiendra des clés différentes ; Par l utilisation d un code d identification de la personne accompagné d une signature appariant le code et le badge (Anti clonage). Chiffrement AES - 128 Bits - Random ID - Clés diversifiées - Liaison carte - identifiant par signature cryptographique Sécurité du contenu des badges SCNET4 SECURE utilise des clés racines dont la définition est le privilège du responsable du système. Elles ne sont connues que de lui seul. Certaines clés racines de sécurisation des badges permettent de générer les clés diversifiées, propres à chaque badge utilisateur, ouvrant l accès à leur contenu et qui y seront inscrites. D autres clés racines permettent de signer, par chiffrement le code d identification de chaque personne, programmé par des opérateurs habilités à cette fin, code qui sera inscrit dans le badge. Les badges MIFARE DESFire EV1 qui seront distribués aux utilisateurs pour leur permettre l accès aux locaux, sont créés par des opérateurs habilités et authentifiés. Ceux-ci utilisent pour s authentifier leur carte individuelle d habilitation d accès au système. Cette carte individuelle d opérateur contient, sous forme sécurisée, des clés racines de sécurisation des badges, que ces opérateurs ne connaissent pas, ne pouvant ni les lire ni les modifier. Poste Client Net4-C Opérateur Habilité et authentifié Clés racines Lecteur de table Badge operateur Badge d accès Random ID Identifiant signé et lié au badge Clés diversifiées Ces clés racines sont envoyées sous forme chiffrée, à partir de la carte individuelle d habilitation des opérateurs, à travers le réseau aux automates. Une fois l opération réalisée, ces clés racines sont effacées des ordinateurs, aucune clé racine n étant conservée par le système. Suivant que l option «mode transparent» est activée ou non, les clés sont soit conservées sous forme cryptée (AES256) dans l automate, la clé de chiffrement étant elle-même conservée dans un registre hardware protégé, soit conservées dans une zone sécurisée inaccessible dans les lecteurs ; ces clés seront effacées en cas de coupure de courant ou de tentative de fraude ou d arrachement. 6

SECURE Processus de gestion Le badge Maître. Dans SCNET4 SECURE, des clés maîtresses du système sont définies par le gestionnaire principal du système ; elles servent à définir d autres clés de sécurité nécessaires au fonctionnement du système, générées par calcul et non publiées. Ces clés maîtresses, une fois utilisées, ne sont pas conservées par le serveur. Elles sont enregistrées de façon sécurisée dans un badge MIFARE DESFire EV1 maître protégé par une authentification forte : Il faut posséder le badge et le mot de passe sécurisant les secrets pour accéder à ceux-ci. Ce badge unique est sous la responsabilité exclusive du gestionnaire principal du système. Les accès au système. L accès aux postes clients (Postes de travail des opérateurs) est sécurisé par l authentification de chaque opérateur nécessitant une carte (MIFARE DESFire EV1) individuelle d habilitation ; chaque carte est créée par le gestionnaire principal du système grâce à sa carte maîtresse. Ces cartes des opérateurs sécurisent leurs droits individualisés d accès à des informations et à des fonctions. Ces droits sont accordés par le gestionnaire principal du système par le biais des classes d opération : ils portent sur l accès aux fonctions du système, aux données de contrôle et de gestion, aux zones du site en fonction de leur niveau de sûreté et aux données de chaque personne ayant accès au site en fonction de son degré d accréditation. Accréditation de zone Personne Fonction La programmation des badges L attribution d un code d identité à un badge d accès est régie par des règles établies par le gestionnaire principal du système. Celui-ci peut se réserver l habilitation à la définition des KPF (Key-Protocol-Format ou Clé- Protocole-Format) qui permet de programmer le format à appliquer aux codes d identification des badges d accès. (Note : Il détient déjà le contrôle sur les clés d accès au contenu des badges). Ce format peut être défini de telle façon que le code physique inscrit n apparaisse jamais dans les données accessibles. L attribution des droits d accès au site. L attribution des droits d accès aux badges d accès est régie par des règles établies par le gestionnaire principal du système. Il peut verrouiller l accès à la définition des groupes d accès, pour le réserver par exemple à des opérateurs différents suivant le niveau de sécurité de certaines zones. Il peut verrouiller l attribution de droits d accès à des zones sensibles, pour la réserver par exemple à des opérateurs différents suivant le niveau de sécurité de certaines zones, ou suivant la période d accès. Contrôle et traçabilité Toute modification des données d exploitation est tracée pour permettre d en faire l audit en cas d incident. Le contrôle permettra de retrouver les données modifiées et l auteur de ces opérations. 7

Protections physiques Le réseau de contrôle de SCNET4 est composé d un même automate SC4x5 puissant, sécurisé et miniaturisé multiplié à l infini. Cette structure offre une résilience plus élevée et une résistance plus forte à l agression que les systèmes composés de multiples couches de contrôle. La défense physique des composants du système comprend l autoprotection des boîtiers et des détecteurs d ouverture ou d intrusion ; le rassemblement des éléments actifs (s ) dans des zones protégées ; la télésurveillance des lecteurs, en zone non protégée notamment (Anti-arrachement, effacement mémoire en cas d incident) ; le stockage des paramètres de sécurité dans des mémoires protégées ; le fonctionnement autonome des automates en cas de coupure en amont ; la surveillance continue du fonctionnement de tous les éléments et le report instantané d anomalies. Références SCNET4 SECURE répond aux recommandations du guide de la sécurité de l ANSSI (FR), à la norme IEC 60839 et aux exigences de la carte Agent du Ministère de l intérieur (FR) et de la carte CIMS de la DGSIC (FR). SCNET4 (TM) version SECURE National Control Systems S.A. BELGIQUE PAEPSEM BUSINESS PARK - Bât. 1 Boulevard Paepsemlaan 18C 1070 - Bruxelles / Brussel Tél : +32 2 245 22 39 ncs.belgium@ncs-scaline.com ncs.service.be@ncs-scaline.com National Control Systems S.A.R.L. FRANCE Les Flamants ZAC Paris Nord II 13 Rue de la Perdrix 93290 Tremblay-en-France Tél : +33 1 48 17 81 86 ncs.france@ncs-scaline.com ncs.service.fr@ncs-scaline.com Mention légale STid et Architect sont des marques déposées de STid SA. MIFARE et MIFARE DESFire sont des marques déposées de NXP B.V. NCS, Scaline, SECURE et SCNET4 sont des marques déposées de NCS S.A. Toutes les marques citées dans ce documenta ppartiennent à leur propriétaires respectifs. 2016 Scaline International et NCS S.A., tous droits réservés

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back