La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Protection des données dans

Publié parLotte Imbert Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Protection des données dans"— Transcription de la présentation:

1 Protection des données dans
Stéphane SAUNIER TSP Sécurité Microsoft France

2 Sommaire Les menaces Aperçu de Bitlocker Drive Encryption Aperçu d’EFS
Aperçu de RMS et des nouveauté du produit sous Vista Positionnement des trois technologies

3 Menaces pesant sur l’information
Internes ou externes Accidentelles Intentionnelles Ciblées Perte due à une négligence Compromission volontaire de données Vol d’un bien pour les données qu’il contient 3

4 Conformité légale et réglementaire
La perte d’informations est coûteuse La perte d’information, que ce soit sous forme de perte ou de fuite, est coûteuse à plusieurs niveaux Financier Le département de la justice aux Etats-Unis a estimé que le vol de propriété intellectuelle avait coûté 250 milliards de $ aux entreprises en 2004 Perte de revenu, de capitalisation boursière, d’avantage compétitif Conformité légale et réglementaire Augmentation de la réglementation : SOX, LSF, Bâle 2 Amener une société à la conformité réglementaire peut être complexe et coûteux La non conformité peut conduire à des amendes significatives Image et Crédibilité La fuite de mails confidentiels peut être embarrassante La transfert non intentionnel d’informations sensibles peut affecter de manière significative l’image et la crédibilité d’une entreprise

5 Pourquoi ces technologies ?
“After virus infections, businesses report unintended forwarding of s and loss of mobile devices more frequently than they do any other security breach” Jupiter Research Report, 2004

6 Protection de l’information
Les besoins métier Les documents doivent être protégés quel que soit l’endroit où ils voyagent Les données sur les partages doivent être chiffrées pour les protéger contre des accès non autorisés Les biens des entreprises tels que les PC portables ou les serveurs en agence doivent être protégés contre une compromission physique Solution = RMS, EFS, BitLocker™ Définition d’une politique de sécurité et obligation de respecter cette politique faite au niveau de la plateforme (inclusion du client RMS) Chiffrement des fichiers par utilisateur (EFS) Chiffrement de disque reposant sur des mécanismes matériels (Bitlocker Drive Encryption)

7 BitLocker™ Drive Encryption
7

8 Une grande multinationale qui souhaite garder l’anonymat perd en moyenne un ordinateur portable par jour ouvré dans les taxis d’une seule grande ville américaine

9 Description de Bitlocker™ Drive Encryption
« BitLocker™ Drive Encryption vous fournit une meilleure protection de vos systèmes Windows Vista, même quand ces systèmes sont dans des mains non autorisées ou exécutent un système d’exploitation différent. BDE atteint ce résultat en interdisant à un voleur qui démarre un autre système d’exploitation ou utilise un outil de hacking spécifique de casser les protections du système et des fichiers ou même de visualiser les fichiers constitutifs du système lui-même »

10 Conception de la solution Bitlocker™
Besoin d’une solution qui Se trouve en dessous de Windows A des clés disponibles au démarrage Impossibilité de demander à l’utilisateur de se connecter pour fonctionner Sécurise les données système Sécurise les données utilisateur Sécurise la base de registre Fonctionne de manière transparente avec la plateforme (intégrité du code) Sécurise les secrets « racine » Protège contre les attaques en mode déconnecté Soit très facile à utiliser Solution Chiffrer le disque entier (presque) Protéger la clé de chiffrement en la « scellant » au moyen d’un Trusted Platform Module (TPM) au bénéfice unique d’un loader autorisé Plus d’autres options (voir plus loin) Seuls les loaders autorisés peuvent récupérer la clé de chiffrement du volume

11 De quoi Bitlocker™ vous protège-t-il ?
Niveaux de protection Un rappel préalable : la sécurité n’est jamais absolue… BDE est utilisable par tous Depuis l’utilisateur standard … Portable attaqué non ciblé …au « super paranoïaque »…. Portable attaqué ciblé BDE protège contre les attaques logicielles en mode déconnecté Lorsque le système à démarré le déchiffrement des bloques de données de la partition est transparente. Options de configuration Equilibre entre la facilité d’utilisation et la sécurité TPM seul – amélioration de la protection, très peu d’impact sur l’utilisateur Ajout d’un PIN – permet d’adresser des attaques matérielles sérieuses ; l’utilisateur doit se souvenir de quelque chose Clé USB seule (sans TPM) – bonne protection mais le maillon faible devient la Clé Clé USB et TPM

12 Facilité d’utilisation et sécurité : un équilibre à trouver
BDE offre un large spectre de protection permettant de trouver un équilibre entre la facilité d’utilisation et le profil des menaces contre lesquelles on cherche à se protéger *******

13 Pourquoi utiliser un TPM ?
Les plateformes dignes de confiance utilisent des racines de confiance Un TPM est la mise en œuvre d’une racine de confiance Une racine de confiance implémentée en hardware a des avantages spécifiques Le logiciel peut être trompé par le logiciel Il est difficile d’enraciner la confiance dans un logiciel qui doit se valider lui-même Le matériel peut être rendu résistant aux attaques Certification possible Le logiciel et le matériel ensemble peuvent mieux protéger les secrets « racine » que le logiciel seul

14 Authentification du logiciel
Résulte de la même étape simple répétée plusieurs fois Le module n « mesure » (hash) le module n+1 Le module n enregistre (fonction « extend ») le hash du module n+1 dans le TPM Le module n transfère le contrôle au module n+1 On « nettoie » et on recommence A n’importe quel moment, le TPM contient une « mesure » de tous les logiciels qui ont été chargés jusqu’alors On ne peut desceller le contenu que si ces informations sont « correctes »

15 Architecture de Secure Startup SRTM des premiers composants de l’amorçage

16 Architecture de Secure Startup SRTM des premiers composants de l’amorçage

17 L’organisation du disque et le stockage des clés
Où sont les clés de chiffrement ? SRK (Storage Root Key) contenu dans le TPM La SRK chiffre la VEK (Volume Encryption Key) protégé par TPM/PIN/Dongle La VEK est stockée (chiffrée par la SRK) sur le disque dur dans la partition de boot La partition Windows contient Le système d’exploitation chiffré Le fichier de pagination chiffré Les fichiers temporaires chiffrés Les donnée chiffrés Le fichier d’hibernation chiffré 1 VEK 2 Windows 3 Boot La partition de Boot contient : MBR, Loader, utilitaires de boot (Non chiffrée, petite)

18 La valeur apportée par Bitlocker™
BDE améliore la sécurité de la base de registre, des fichiers de configuration, de pagination et d’hibernation qui sont stockés sur le volume qui est complètement chiffré Le chiffrement du fichier d’hibernation Protège contre les problèmes de sécurité posés par l’hibernation d’un PC portable ayant des documents confidentiels ouverts La destruction de la clé racine permet le redéploiement du hardware existant en toute sécurité en rendant les anciennes données inaccessibles Ce n’est PAS une fonctionnalité accessible pour l’utilisateur final Une récupération (en cas de perte de clé ou d’autre scénarios) est possible pour toute personne disposant d’un téléphone lui permettant d’accéder à son administrateur

19 Démo Bitlocker : démarrage sécurisé
Interface d’administration Visibilité lors d’une attaque deconnectées

20 EFS 20

21 EFS (Encrypting File System)
Chiffre individuellement chaque fichier Transparent pour l’utilisateur Protège contre les fichiers de données désignés contre les attaques offline Nouveau dans Windows Vista Support de la carte à puce © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

22 Encrypted on-disk data storage
Architecture Applications Crypto API LPC communication for all key management support EFS service Win32 layer User mode Kernel mode I/O manager EFS.sys NTFS FSRTL callouts Encrypted on-disk data storage

23 Les méthodes de chiffrement
Deux algorithmes de chiffrement sont utilisés: Le cryptage des données sur disque utilise un algorithme de clé symétrique (DESX) pour générer la FEK (File Encryption Key) Clé sur 56 bits Le chiffrement de la FEK utilise un algorithme de clé asymétrique (RSA) pour générer la DDF (Data Decryption Field), et les DRF (Data Recovery Field) Clé sur 1024 bits L'algorithme de clé asymétrique utilise : La clé publique de l'utilisateur et de chaque agent de recouvrement pour crypter la FEK La clé privée de l'utilisateur et de chaque agent de recouvrement pour décrypter la FEK

24 Les méthodes de chiffrement
Information secrete RNG File Encryption Key (FEK) File encryption (DES) *#$fjda^j u539!3t t389E 5e%32\^kd File encryption (AES 256) Vista Data Decryption Field generation (RSA) DDF Clé Publique utilisateur (certificate) Data Recovery Field generation (RSA) DRF Clé publique Agent de recouvrement (certificate)

25 EFS/SC: le problème Smartcard Private Key Derive a symmetric key AES-256 key Use as Software Private Key (Accelerated) Cache in LSA Use to encrypt FEK RSA mode Mode acceleré Les cartes a puces sont trop lentes pour permettre une utilisation a chaque accès de fichier Utilisation d’un mode acceleré: On derive une clé symetrique depuis la clé privée residant dans la carte a puce. On utilise cette clé pour chiffrer la FEK. Cette clé ne peut etre obtenu qu’en presence de la clé privé sur la carte a puce.

26 Répertoire destination
Limitations Matrice de copie / déplacements de fichiers Opération Fichier source Répertoire destination Résultat Copie/Dépla- cement Crypté Non NTFS Non Crypté Copie/Dépla-cement NTFS non crypté Copie/dépla-cement NTFS crypté

27 Right Management Service
Rappels et evolutions 27

28 DRM pour l’entreprise et DRM pour les médias
17/3/30 7時52分 Gestion de droits numériques en entreprise (IRM) DRM pour les médias (Windows Media DRM) Contenu Entreprise Documents, , pages web, etc. Commercial content Musique, films, TV, etc. Authentification Fondée sur l’identité Fondée sur la machine Politique/Règles Politique de l’entreprise Confidentialité Cycle de vie des documents Conformité Règles business Achat Location Souscription © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

29 17/3/30 7時52分 Que sont RMS et IRM? Rights Management Services (RMS) est une plateforme pour la mise en place de solution de DRM en entreprise telle que décrite précédemment. Supporte le développement de solutions tierces riches au dessus de RMS à l’aide du Software Development Kit (SDK) RMS IRM est un développement que MS Office a effectué sur le socle RMS. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

30 Caractéristiques des droits RMS
Définir qui peut ouvrir, modifier, imprimer, transférer et / ou entreprendre d’autres actions avec les données (possibilité d’utiliser des listes de distribution contenues dans Active Directory) Fixer une date d’expiration sur des messages électroniques ou des documents… … à une date donnée … tous les n jours, en exigeant l’acquisition d’une nouvelle licence Les droits peuvent s appliquer a l aide de Templates

31 Applications Clientes & Serveurs compatibles RMS
17/3/30 7時52分 Architecture Active Directory Authentication Service Discovery Group Membership SQL Server Configuration data Logging RMS Client RMS Lockbox Client API RMS Server Certification Licensing Templates Applications Clientes & Serveurs compatibles RMS © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

32 Flux de publication RMS
17/3/30 7時52分 Flux de publication RMS L’auteur reçoit des certificats (SPC/RAC/CLC) la première fois qu’il protège des informations. SQL Server Active Directory L’auteur définit un ensemble de droits d’utilisation et de règles pour son fichier. l’application crée une licence de publication (PL) et chiffre le fichier. Serveur RMS L’auteur distribue le fichier. 1 4 Le destinataire ouvre le fichier, l’application appelle le serveur RMS qui vérifie que l’utilisateur est valide (RAC) et fournit une licence d’utilisation (UL). 2 5 3 L’application effectue le rendu du fichier et fait respecter les droits. Auteur Destinataire © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

33 Information Protégée a Création lors de la protection du fichier
17/3/30 7時52分 Information Protégée a Création lors de la protection du fichier Ajouté au fichier lors de l'ouverture par les ayants droits Licence publication Licences utilisation Clé de session Droits pour l'ayant droit Chiffré avec clé publique serveur Chiffré avec la clé publique de l'ayant droit Droits et ayants droits (adresses ) Clé de session Chiffré avec clé publique serveur Contenu du fichier (Texte, Images, méta data, etc…) Chiffré avec la clé publique de l'ayant droit Chiffré avec clé de session, typiquement AES128 Les EUL (Outlook 2003) sont stockées sur le disque, et non avec les messages © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

34 IRM/RMS: solution complémentaire
17/3/30 7時52分 IRM/RMS: solution complémentaire Fonctionnalité IRM S/MIME signature S/MIME chiffrement ACLs EFS Identification de l’émetteur Permissions par utililsateur Contrôle de la lecture non autorisée Chiffrement des contenus Expiration temporelle de l’accès au contenu Expiration liée à l’usage du contenu Contrôle de la possibilité de lire, transmettre, sauvegarder modifier ou imprimer un contenu  1 Elargir la protection au delà du périmètre initial de publication  2 1. Les ACLs peuvent être positionnées sur: modification, écriture ou lecture seule. 2. Pour un fichier copié ou déplacé, le chiffrement EFS est maintenu uniquement si le support de destination est au format NTFS et si le répertoire de destination est identifié comme devant être chiffré. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

35 Evolutions sur Vista et futures

36 RMS V2 La partie cliente dans Vista ( plus de téléchargement/distribution necessaire ) RMS V2 Client sera compatible avec RMS Server V1. La partie serveur dans LongHorn Server. Nouveau Rôle Serveur Compatible avec des client V1 Processus d activation simplifie … Mais les évolutions attendues sont ailleurs …

37 Les scenarios serveur de fichiers
Consiste a mixer le meilleur des deux monde. Contrôle périmètrique lorsque le fichier est sur le serveur de fichier (Office Server 2007) Permet l indexation et les scan anti viraux … Application a la volée de droits RMS lors de la récupération d un fichier hors du serveur.

38 RMS sur Windows Mobile Prévus … Sur Crossbow ( Non de code interne de Windows Mobile 6 ) … Premières disponibilités en 2007 Supportera le mail, mais aussi les documents office supportes par l OS.

39 La problématique des formats
Vista / .Net 3 adresse le problème de couverture des formats non office C’est une approche containeur base sur le format XPS. Une imprimante virtuelle permet a toute application d imprimer dans ce format … Et d y appliquer une protection DRM. Un client XPS permettra de consommer ces protection … De même qu’Office 2007

40 Démo RMS : Protection d’une image

41 Positionnement des différentes solutions
Scénario RMS EFS BitLockerTM Respect à distance de la politique pour documents Protection du contenu en transit Protection du contenu durant la collaboration Protection locale des fichiers et dossiers sur une machine partagée par plusieurs utilisateurs Protection des fichiers et dossiers distants Protection de portable Serveur dans une filiale Protection de fichiers et dossiers dans un contexte mono utilisateur 41

42 Sur le meme sujet pendant la conference

43 © 2006 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Télécharger ppt "Protection des données dans"

Présentations similaires

OmniTouch™ 8600 My IC Mobile pour IPhone

OmniTouch™ 8600 My IC Mobile pour IPhone
Mars 2006 OLMEK Développé par Item Centric, Olmek est une solution novatrice de protection des données informatiques, garantissant un niveau de confidentialité

Mars 2006 OLMEK Développé par Item Centric, Olmek est une solution novatrice de protection des données informatiques, garantissant un niveau de confidentialité
Les technologies décisionnelles et le portail

Les technologies décisionnelles et le portail
Les Web Services Schéma Directeur des Espaces numériques de Travail

Les Web Services Schéma Directeur des Espaces numériques de Travail
Module 5 : Implémentation de l'impression

Module 5 : Implémentation de l'impression
Cyril VOISIN Chef de programme Sécurité Microsoft France

Cyril VOISIN Chef de programme Sécurité Microsoft France
Botnet, défense en profondeur

Botnet, défense en profondeur
Comment Protéger les bases SQL avec System Center Data Protection Manager 2007.

Comment Protéger les bases SQL avec System Center Data Protection Manager 2007.
Quelle stratégie adopter pour la recherche en Entreprise ?

Quelle stratégie adopter pour la recherche en Entreprise ?
D/ Partage et permission NTFS

D/ Partage et permission NTFS
Www.coursmix.com Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.

Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.
Personnalisation des sites SharePoint avec SharePoint Designer 2007

Personnalisation des sites SharePoint avec SharePoint Designer 2007
Microsoft Office Groove 2007. Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.

Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
Implémentation de la gestion de réseau dans Windows 2000 et plus

Implémentation de la gestion de réseau dans Windows 2000 et plus
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Vue d'ensemble Création de comptes d'utilisateurs

Vue d'ensemble Création de comptes d'utilisateurs
La politique de Sécurité

La politique de Sécurité
Collège Anatole France – Cadillac Mise à jour: 10-12-2006 Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.

Collège Anatole France – Cadillac Mise à jour: Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.
Les réseaux informatiques

Les réseaux informatiques

Présentations similaires

Annonces Google