Déploiement d application de traitement d informations sensibles dans les centres civils du CEA 1
Informatique au CEA Siège (Paris) Saclay Fontenay aux Roses CEA/DAM Ile de France CENTRE D ETUDE CIVILS CENTRE D ETUDE POUR LES APPLICATIONS MILITAIRES Le Ripault Valduc Cesta Grenoble Valrho 500 à 1000 1000 à 1500 1500 à 2000 Le CEA dispose de 18.000 postes bureautiques (gestion et la bureautique) répartis sur 10 sites. Le reste du parc informatique supporte des applications scientifiques et liées aux métiers de la recherche. De nombreux prestataires travaillent sur des contrats d'infogérance, de maintenance, d'exploitation, Les différents services associés à ce parc sont réalisés en interne ou sous-traités Cadarache 2000 à 2500 3000 à 4000 2
Organisation du CEA HC IG AG AGA CAB/AG DCOM DCS DF DJC DRHR S DSE DSNQ DRI DTI INSTN Siège Pôle Pôle Pôle Pôle Défense Nucléaire Recherche Technologique Recherche 3
Contexte du CEA (1/2) Objectifs SSI des applicatifs sensibles C (3), I (3), D (1) imputabilité des actions Menaces principalement internes : utilisateurs des applicatifs autres collaborateurs 4
Contexte du CEA (2/2) Contrainte de développement Prise en compte de la réglementation interne protection physique des informations traitées catalogue des produits Prise en compte de l existant CEA architecture client/serveur référentiel de développement, actuellement client Citrix (référentiel CEA/Normacs) à terme navigateur (référentiel J2EE) serveurs (pour mémoire) liaison par le réseau CEAnet 5
Zones de protection physique Centre CEA Civil Bâtiment PC Centre CEA Civil Bâtiment Salle informatique Serveur Bureau Internet Clôture Clôture Contrôle d accès 1ere barrière 2eme barrière 3eme barrière équipement crypto 6
Solution «classique» Protection physique des locaux Coût ~ 5000 par bureau isolé Chiffrement en «coupure» pour la protection des informations en transit Coût (investissement) : ~ 8500 par poste de travail (et/ou installation) ~ 85000 centre de gestion de clefs Coût (fonctionnement - personnel) : Inconvénients : ~ 4 personnes /centre/temps partiel ~ 4 personnes/national/mi-temps Peu de produits disponibles Coût 7
Solution proposée Protection physique des locaux Coût ~ 5000 par bureau isolé Poste de travail léger base PC standard logiciels sur base Open Source (Linux, ) architecture VPN Coûts postes de travail «standard», pas de licences exploitation réduite agrément??? 8
Protection physique / Protection logique Protection physique avec pour objectifs : Détection de l intrusion Retardement de l intrusion Protection logique : Possession de dispositifs physiques Carte(s) à puce (admin, utilisateur) CD chiffré de l application Connaissance d un élément (pin code) Poste de travail protégé Logiciel du poste protégé par chiffrement Démarrage du poste de travail contrôlé Authentification des accès au réseau (VPN) Authentification des accès à l application «Logs» possible à plusieurs niveaux 9
Résumé des spécifications Bâtiment PC Bureau Module logiciel crypto Poste de travail sécurisé : système d exploitation maîtrisé pas de stockage rémanent - pas de disque - pas de disquette - Authentification forte - carte à puce Logiciel non modifiable - inscrit en ROM ou sur CD- Rom 10
Authentification au démarrage du PC Administrateur Démarrage poste client Chargement de la partie en clair du CDROM Administrateur Saisie du PIN code Déchiffrement du CDROM et chargement en mémoire CDROM chiffré Utilisateur Insertion Carte Saisie du Pin Code Authentification Négociation des politiques de chiffrement Interaction avec le VPN Chargement des politiques en mémoire Utilisateur Utilisation client CITRIX Utilisation Navigateur WEB Chiffrement des communications VPN Serveur CITRIX Serveur WEB 11
QUESTIONS laurent.cabirol cabirol@cea.fr 12