Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Mémoire d’ingénieur en Informatique Déploiement d’une solution d’accès nomade pour les télétravailleurs de la CNAV 20/06/2008
2
La Caisse Nationale d’Assurance Vieillesse
Site de Tours DSINDS (Direction du Système d’Information National des Données Sociales) Département ARSE (Architecture, Réseau, Support, Exploitation) 20/06/2008
3
PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008
4
Présentation de la CNAV
20/06/2008
5
La CNAV Missions : Ouvrir un compte individuel dès le premier emploi
Présentation de la CNAV La CNAV Missions : Ouvrir un compte individuel dès le premier emploi Suivre la carrière des assurés Préparer la retraite Verser la retraite Faire de l’action sociale auprès des retraités 20/06/2008
6
Evolution du nombre de retraités :
Présentation de la CNAV La CNAV Clients : retraités au 31 Mars 2008 nouveaux retraités pour 2007 (+ 3,5 % par rapport à 2006) 16,6 millions de cotisants Evolution du nombre de retraités : Graphe extrait Direction Statistiques et Prospective 20/06/2008
7
La CNAV Chiffres : 85,62 milliards d’euros de charges dont
Présentation de la CNAV La CNAV Chiffres : 85,62 milliards d’euros de charges dont 81,88 milliards d’euros de dépenses en prestations pour les 12 derniers mois 135,7 millions de paiements émis dont 11,4 millions dans 150 pays 20/06/2008
8
La CNAV Effectif : 14 800 agents du service public de la retraite
Présentation de la CNAV La CNAV Effectif : agents du service public de la retraite agents utilisant le réseau branche retraite Présence sur le territoire : l’interlocuteur de près de 2 millions d’employeurs de salariés cotisant au régime général. 1 404 points d’accueil retraite en métropole 286 agences en métropole 4 000 visites à domicile 20/06/2008
9
Système d’information
Présentation de la CNAV La CNAV Système d’information près de 4 millions d’internautes sur Plus de 80 millions de comptes assurés enregistrés dans les référentiels nationaux. Employeurs successifs Salaires annuels Nombre de trimestres validés 1500 utilisateurs nomades Réseau branche retraite « Advenir » de plus de 700 sites 20/06/2008
10
Présentation de la CNAV
20/06/2008
11
PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008
12
Nom de code : COLIBRI Objectif :
Présentation du projet Nom de code : COLIBRI Objectif : Permettre à 1500 salariés de la CNAV d’accéder à leurs systèmes d’information depuis n’importe quel accès internet. Administrateurs informatique Personnels de direction Agents « métier vieillesse » Agents « métier prévention » Les situations : Agent en déplacement (PAR, Entreprises, etc.) Pour les astreintes Evènementielle (Foire, Salon, etc. ) Catastrophe nationale (Pandémie, etc.) 20/06/2008
13
Parties prenantes du projet
Présentation du projet Parties prenantes du projet 20/06/2008
14
Mon rôle dans le projet Mon rôle : Chef de Projet Mes missions :
Présentation du projet Mon rôle dans le projet Mon rôle : Chef de Projet Mes missions : Préparer l’appel d’offre en fonction des besoins exprimés par le groupe de travail sur le nomadisme Rédiger le CCTP Dépouiller les réponses de l’appel d’offre Installer et positionner des boitiers VPNSSL dans l’architecture Définir des profils d’accès des utilisateurs aux applications Traduire et implémenter ces profils dans le boitier Gérer les risques et les contraintes Créer et implémenter la matrice des flux réseau Participer à l’audit de sécurité Mettre en œuvre les modifications demandées suite à l’audit Organiser le déploiement auprès des différents intervenants 20/06/2008
15
2 Boitiers VPNSSL JUNIPER SA 4000
Présentation du projet Résultat de l’appel d’offre 2 Boitiers VPNSSL JUNIPER SA 4000 Licence de 500 utilisateurs simultanés extensible à 2000 utilisateurs par boitier Mode actif/passif Boitier nu 20/06/2008
16
Lien de Failover Synchronisation des sessions et de la configuration
Présentation du projet Lien de Failover Synchronisation des sessions et de la configuration 20/06/2008
17
PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008
18
VPN Présentation du VPNSSL Entreprise Internet Nomade Nomade Nomade
Citrix MF Internet Nomade Concentrateur VPN Terminal Serveur Nomade Serveur Web Site distant Serveur messagerie 20/06/2008
19
Qu’est-ce que le VPNSSL?
Présentation du VPNSSL Qu’est-ce que le VPNSSL? Une nouvelle catégorie de produit Boitiers permettant d’établir des VPN en utilisant le protocole SSL Utilise une grande variété de technologies Reverse Proxy « Webisation » de ressources Contrôle du poste client Cryptage des informations sur le poste client Solution « Clientless » (utilise le navigateur) Apporte plus de compatibilité réseau que l’IPSec Supporte la translation d’adresse ainsi que la proxyfication Utilise le port 443/https qui est ouvert dans la majorité des Firewalls Technologie « client à site » Le VPNSSL répond aux 4 objectifs de sécurité des VPN : Confidentialité Intégrité Authentification Non-répudiation 20/06/2008
20
Description de la Méthode :
Présentation du VPNSSL Description de la Méthode : Présentation des technologies et outils de sécurité disponibles sur le VPNSSL Evaluation des niveaux de risques de chaque types d’accès Analyse pour chaque population des types de menaces Définition du niveau d’authentification Définition des services proposés aux utilisateurs Part systématiquement d’une base la plus sécurisée possible pour ouvrir progressivement les droits Création des profils en fonction des éléments ci-dessus Validation des choix auprès : De la direction D’un échantillon d’utilisateur Traduction des profils en terme techniques 20/06/2008
21
20/06/2008
22
Nécessité de suivre une méthode : Définir :
Présentation du VPNSSL Nécessité de suivre une méthode : Définir : un rôle utilisateur un profil de ressource une stratégie de ressource un serveur d’authentification un royaume d’authentification une stratégie d’ouverture de session 20/06/2008
23
PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008
24
Cinématique d’une connexion
20/06/2008
25
A l’aide d’un navigateur : https://colibri.cnav.fr/<royaume>
Cinématique d’une connexion CNAV VPNSSL Internet A l’aide d’un navigateur : Nomade 20/06/2008
26
Cinématique d’une connexion
20/06/2008
27
Stratégie de contrôle des connexions
Cinématique d’une connexion Mécanismes de défense Host Checker Evalue la « fiabilité » du poste distant Evaluation de l’antivirus installé Authentification du poste de travail Cache Cleaner Supprime toutes les traces de la session Stratégie de contrôle des connexions Empêche les connexions TCP entrantes 20/06/2008
28
Cinématique d’une connexion
20/06/2008
29
Cinématique d’une connexion
20/06/2008
30
Cinématique d’une connexion
20/06/2008
31
Cinématique d’une connexion
Portail d’accueil 20/06/2008
32
PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008
33
Présentation de deux modes d’accès aux applications :
Mécanismes d’accès distant Présentation de deux modes d’accès aux applications : Mécanisme de réécriture Web Windows Secure Application Manager 20/06/2008
34
Mécanismes d’accès distant
Réécriture Web 20/06/2008
35
Réécriture Web Mécanismes de Reverse Proxy Mécanismes d’accès distant
20/06/2008
36
Réécriture Web Avantages Inconvénients Mécanismes d’accès distant
Jamais de connexions directement sur le serveur. Méconnaissance des URL par les utilisateurs Impossibilité d’attaquer directement les URL Restreint le champ aux applications Web 20/06/2008
37
Windows Secure Application Manager
Mécanismes d’accès distant Windows Secure Application Manager Architecture Winsocks 2 WSAM Filtre : Application X + destination Y 20/06/2008
38
Windows Secure Application Manager
Mécanismes d’accès distant Windows Secure Application Manager Tunnel SSL 20/06/2008
39
Windows Secure Application Manager
Mécanismes d’accès distant Windows Secure Application Manager Avantages Inconvénients Permet des connexions d’applications au travers du tunnel Permet de filtrer finement les applications empruntant le tunnel Compatible avec les systèmes d’exploitation Microsoft uniquement. 20/06/2008
40
PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008
41
Bilan 20/06/2008
42
Dépouiller les réponses de l’appel d’offre
Bilan Préparer l’appel d’offre en fonction des besoins exprimés par le groupe de travail sur le nomadisme Rédiger le CCTP Dépouiller les réponses de l’appel d’offre Installer et positionner des boitiers VPNSSL dans l’architecture Définir des profils d’accès des utilisateurs aux applications Traduire et implémenter ces profils dans le boitier Gérer les risques et les contraintes Créer et implémenter la matrice des flux réseau Participer à l’audit de sécurité Mettre en œuvre les modifications demandées suite à l’audit Organiser le déploiement auprès des différents intervenants Transfert de compétences 20/06/2008
43
PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008
44
Sécurité du poste de travail nomade
Conclusion Bons retours des utilisateurs malgré des restrictions d’accès supérieurs aux modes de connexion « classiques » Prise de conscience de la Direction de la CNAV sur les éléments suivant : Sécurité du poste de travail nomade Nécessité de l’authentification forte au regard de la criticité des informations détenues. De nouvelles populations en prévision 20/06/2008
45
Solution adaptée à ce genre de situation
Conclusion La majorité des entreprises sont confrontées à l’ouverture de leur système d’information sur internet. Salariés Partenaires Solution adaptée à ce genre de situation Permet d’associer sécurité et « utilisabilité » 20/06/2008
46
FIN 20/06/2008
47
Application Présentation Session Transport Réseau Liaison Physique
APDU PPDU SPDU segment paquet trame bit 20/06/2008
48
Comparaison VPN IPSec / SSL
VPN SSL : Notion de portail Accès à une ressource distante Accès via un navigateur Web (Clientless) VPN IPSEC : Notion de passerelle Accès à un réseau distant Accès via un client IPSEC 20/06/2008
49
Fonctionnement TCP/IP Accès réseau Application Transport Réseau
Physique Application Liaison Réseau Transport Accès réseau TLS ou SSL IPSec 20/06/2008
50
Réseau d’accueil des Assurés
Au 31 Décembre 2006 : 286 agences 1404 points d’accueil 46 antennes relais et autres points d’accueil 20/06/2008
51
VPNSSL 20/06/2008
52
PLAN Présentation de la CNAV Présentation du VPNSSL
Présentation du projet Les enjeux Périmètre Cahier des charges Cinématique d’une connexion Les mécanismes de défense Portail d’accueil Les mécanismes d’accès distant Réécriture web Serveur de fichier webisé Windows Secure Application Manager Etat d’achèvement et Bilan Conclusion 20/06/2008
53
Serveur de Fichiers Webisé
20/06/2008
54
Serveur de Fichiers Webisé
Utilisateur Interface Web VPNSSL Protocoles : SMB/CIFS NFS Serveur de Fichiers 20/06/2008
55
Serveur de Fichiers Webisé
20/06/2008
56
Serveur de Fichiers Webisé
Avantages Inconvénients Jamais de connexion directement sur le serveur. Impossibilité d’attaquer directement le serveur de fichiers Empêche les connexion NetBIOS/CIFS L’utilisateur conserve ses propres droits sur les répertoires (SSO) Ergonomie notamment en cas de modification d’un fichier 20/06/2008
57
Cahier des Charges Les contraintes : Les risques :
Doit s’appuyer sur les outils déjà retenus par la CNAV notamment l’annuaire national → Forêt Active Directory multi-domaines Les flux devront respecter les règles de filtrage appliquées aux Firewall → Notamment les flux interdits Les risques : Ouverture du service conditionnée par le résultat de l’audit de sécurité Charge de déploiement du réseau Advenir V5 qui pourra impacter la date d’ouverture de la solution. 20/06/2008
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.