La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Mémoire d’ingénieur en Informatique

Présentations similaires


Présentation au sujet: "Mémoire d’ingénieur en Informatique"— Transcription de la présentation:

1 Mémoire d’ingénieur en Informatique Déploiement d’une solution d’accès nomade pour les télétravailleurs de la CNAV 20/06/2008

2 La Caisse Nationale d’Assurance Vieillesse
Site de Tours DSINDS (Direction du Système d’Information National des Données Sociales) Département ARSE (Architecture, Réseau, Support, Exploitation) 20/06/2008

3 PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008

4 Présentation de la CNAV
20/06/2008

5 La CNAV Missions : Ouvrir un compte individuel dès le premier emploi
Présentation de la CNAV La CNAV Missions : Ouvrir un compte individuel dès le premier emploi Suivre la carrière des assurés Préparer la retraite Verser la retraite Faire de l’action sociale auprès des retraités 20/06/2008

6 Evolution du nombre de retraités :
Présentation de la CNAV La CNAV Clients : retraités au 31 Mars 2008 nouveaux retraités pour 2007 (+ 3,5 % par rapport à 2006) 16,6 millions de cotisants Evolution du nombre de retraités : Graphe extrait Direction Statistiques et Prospective 20/06/2008

7 La CNAV Chiffres : 85,62 milliards d’euros de charges dont
Présentation de la CNAV La CNAV Chiffres : 85,62 milliards d’euros de charges dont 81,88 milliards d’euros de dépenses en prestations pour les 12 derniers mois 135,7 millions de paiements émis dont 11,4 millions dans 150 pays 20/06/2008

8 La CNAV Effectif : 14 800 agents du service public de la retraite
Présentation de la CNAV La CNAV Effectif : agents du service public de la retraite agents utilisant le réseau branche retraite Présence sur le territoire : l’interlocuteur de près de 2 millions d’employeurs de salariés cotisant au régime général. 1 404 points d’accueil retraite en métropole 286 agences en métropole 4 000 visites à domicile 20/06/2008

9 Système d’information
Présentation de la CNAV La CNAV Système d’information près de 4 millions d’internautes sur Plus de 80 millions de comptes assurés enregistrés dans les référentiels nationaux. Employeurs successifs Salaires annuels Nombre de trimestres validés 1500 utilisateurs nomades Réseau branche retraite « Advenir » de plus de 700 sites 20/06/2008

10 Présentation de la CNAV
20/06/2008

11 PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008

12 Nom de code : COLIBRI Objectif :
Présentation du projet Nom de code : COLIBRI Objectif : Permettre à 1500 salariés de la CNAV d’accéder à leurs systèmes d’information depuis n’importe quel accès internet. Administrateurs informatique Personnels de direction Agents « métier vieillesse » Agents « métier prévention » Les situations : Agent en déplacement (PAR, Entreprises, etc.) Pour les astreintes Evènementielle (Foire, Salon, etc. ) Catastrophe nationale (Pandémie, etc.) 20/06/2008

13 Parties prenantes du projet
Présentation du projet Parties prenantes du projet 20/06/2008

14 Mon rôle dans le projet Mon rôle : Chef de Projet Mes missions :
Présentation du projet Mon rôle dans le projet Mon rôle : Chef de Projet Mes missions : Préparer l’appel d’offre en fonction des besoins exprimés par le groupe de travail sur le nomadisme Rédiger le CCTP Dépouiller les réponses de l’appel d’offre Installer et positionner des boitiers VPNSSL dans l’architecture Définir des profils d’accès des utilisateurs aux applications Traduire et implémenter ces profils dans le boitier Gérer les risques et les contraintes Créer et implémenter la matrice des flux réseau Participer à l’audit de sécurité Mettre en œuvre les modifications demandées suite à l’audit Organiser le déploiement auprès des différents intervenants 20/06/2008

15 2 Boitiers VPNSSL JUNIPER SA 4000
Présentation du projet Résultat de l’appel d’offre 2 Boitiers VPNSSL JUNIPER SA 4000 Licence de 500 utilisateurs simultanés extensible à 2000 utilisateurs par boitier Mode actif/passif Boitier nu 20/06/2008

16 Lien de Failover Synchronisation des sessions et de la configuration
Présentation du projet Lien de Failover Synchronisation des sessions et de la configuration 20/06/2008

17 PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008

18 VPN Présentation du VPNSSL Entreprise Internet Nomade Nomade Nomade
Citrix MF Internet Nomade Concentrateur VPN Terminal Serveur Nomade Serveur Web Site distant Serveur messagerie 20/06/2008

19 Qu’est-ce que le VPNSSL?
Présentation du VPNSSL Qu’est-ce que le VPNSSL? Une nouvelle catégorie de produit Boitiers permettant d’établir des VPN en utilisant le protocole SSL Utilise une grande variété de technologies Reverse Proxy « Webisation » de ressources Contrôle du poste client Cryptage des informations sur le poste client Solution « Clientless » (utilise le navigateur) Apporte plus de compatibilité réseau que l’IPSec Supporte la translation d’adresse ainsi que la proxyfication Utilise le port 443/https qui est ouvert dans la majorité des Firewalls Technologie « client à site » Le VPNSSL répond aux 4 objectifs de sécurité des VPN : Confidentialité Intégrité Authentification Non-répudiation 20/06/2008

20 Description de la Méthode :
Présentation du VPNSSL Description de la Méthode : Présentation des technologies et outils de sécurité disponibles sur le VPNSSL Evaluation des niveaux de risques de chaque types d’accès Analyse pour chaque population des types de menaces Définition du niveau d’authentification Définition des services proposés aux utilisateurs Part systématiquement d’une base la plus sécurisée possible pour ouvrir progressivement les droits Création des profils en fonction des éléments ci-dessus Validation des choix auprès : De la direction D’un échantillon d’utilisateur Traduction des profils en terme techniques 20/06/2008

21 20/06/2008

22 Nécessité de suivre une méthode : Définir :
Présentation du VPNSSL Nécessité de suivre une méthode : Définir : un rôle utilisateur un profil de ressource une stratégie de ressource un serveur d’authentification un royaume d’authentification une stratégie d’ouverture de session 20/06/2008

23 PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008

24 Cinématique d’une connexion
20/06/2008

25 A l’aide d’un navigateur : https://colibri.cnav.fr/<royaume>
Cinématique d’une connexion CNAV VPNSSL Internet A l’aide d’un navigateur : Nomade 20/06/2008

26 Cinématique d’une connexion
20/06/2008

27 Stratégie de contrôle des connexions
Cinématique d’une connexion Mécanismes de défense Host Checker Evalue la « fiabilité » du poste distant Evaluation de l’antivirus installé Authentification du poste de travail Cache Cleaner Supprime toutes les traces de la session Stratégie de contrôle des connexions Empêche les connexions TCP entrantes 20/06/2008

28 Cinématique d’une connexion
20/06/2008

29 Cinématique d’une connexion
20/06/2008

30 Cinématique d’une connexion
20/06/2008

31 Cinématique d’une connexion
Portail d’accueil 20/06/2008

32 PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008

33 Présentation de deux modes d’accès aux applications :
Mécanismes d’accès distant Présentation de deux modes d’accès aux applications : Mécanisme de réécriture Web Windows Secure Application Manager 20/06/2008

34 Mécanismes d’accès distant
Réécriture Web 20/06/2008

35 Réécriture Web Mécanismes de Reverse Proxy Mécanismes d’accès distant
20/06/2008

36 Réécriture Web Avantages Inconvénients Mécanismes d’accès distant
Jamais de connexions directement sur le serveur. Méconnaissance des URL par les utilisateurs Impossibilité d’attaquer directement les URL Restreint le champ aux applications Web 20/06/2008

37 Windows Secure Application Manager
Mécanismes d’accès distant Windows Secure Application Manager Architecture Winsocks 2 WSAM Filtre : Application X + destination Y 20/06/2008

38 Windows Secure Application Manager
Mécanismes d’accès distant Windows Secure Application Manager Tunnel SSL 20/06/2008

39 Windows Secure Application Manager
Mécanismes d’accès distant Windows Secure Application Manager Avantages Inconvénients Permet des connexions d’applications au travers du tunnel Permet de filtrer finement les applications empruntant le tunnel Compatible avec les systèmes d’exploitation Microsoft uniquement. 20/06/2008

40 PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008

41 Bilan 20/06/2008

42 Dépouiller les réponses de l’appel d’offre
Bilan Préparer l’appel d’offre en fonction des besoins exprimés par le groupe de travail sur le nomadisme Rédiger le CCTP Dépouiller les réponses de l’appel d’offre Installer et positionner des boitiers VPNSSL dans l’architecture Définir des profils d’accès des utilisateurs aux applications Traduire et implémenter ces profils dans le boitier Gérer les risques et les contraintes Créer et implémenter la matrice des flux réseau Participer à l’audit de sécurité Mettre en œuvre les modifications demandées suite à l’audit Organiser le déploiement auprès des différents intervenants Transfert de compétences 20/06/2008

43 PLAN Présentation de la CNAV Présentation du projet
Présentation du VPNSSL Cinématique d’une connexion Les mécanismes d’accès distant Bilan Conclusion 20/06/2008

44 Sécurité du poste de travail nomade
Conclusion Bons retours des utilisateurs malgré des restrictions d’accès supérieurs aux modes de connexion « classiques » Prise de conscience de la Direction de la CNAV sur les éléments suivant : Sécurité du poste de travail nomade Nécessité de l’authentification forte au regard de la criticité des informations détenues. De nouvelles populations en prévision 20/06/2008

45 Solution adaptée à ce genre de situation
Conclusion La majorité des entreprises sont confrontées à l’ouverture de leur système d’information sur internet. Salariés Partenaires Solution adaptée à ce genre de situation Permet d’associer sécurité et « utilisabilité » 20/06/2008

46 FIN 20/06/2008

47 Application Présentation Session Transport Réseau Liaison Physique
APDU PPDU SPDU segment paquet trame bit 20/06/2008

48 Comparaison VPN IPSec / SSL
VPN SSL : Notion de portail Accès à une ressource distante Accès via un navigateur Web (Clientless) VPN IPSEC : Notion de passerelle Accès à un réseau distant Accès via un client IPSEC 20/06/2008

49 Fonctionnement TCP/IP Accès réseau Application Transport Réseau
Physique Application Liaison Réseau Transport Accès réseau TLS ou SSL IPSec 20/06/2008

50 Réseau d’accueil des Assurés
Au 31 Décembre 2006 : 286 agences 1404 points d’accueil 46 antennes relais et autres points d’accueil 20/06/2008

51 VPNSSL 20/06/2008

52 PLAN Présentation de la CNAV Présentation du VPNSSL
Présentation du projet Les enjeux Périmètre Cahier des charges Cinématique d’une connexion Les mécanismes de défense Portail d’accueil Les mécanismes d’accès distant Réécriture web Serveur de fichier webisé Windows Secure Application Manager Etat d’achèvement et Bilan Conclusion 20/06/2008

53 Serveur de Fichiers Webisé
20/06/2008

54 Serveur de Fichiers Webisé
Utilisateur Interface Web VPNSSL Protocoles : SMB/CIFS NFS Serveur de Fichiers 20/06/2008

55 Serveur de Fichiers Webisé
20/06/2008

56 Serveur de Fichiers Webisé
Avantages Inconvénients Jamais de connexion directement sur le serveur. Impossibilité d’attaquer directement le serveur de fichiers Empêche les connexion NetBIOS/CIFS L’utilisateur conserve ses propres droits sur les répertoires (SSO) Ergonomie notamment en cas de modification d’un fichier 20/06/2008

57 Cahier des Charges Les contraintes : Les risques :
Doit s’appuyer sur les outils déjà retenus par la CNAV notamment l’annuaire national → Forêt Active Directory multi-domaines Les flux devront respecter les règles de filtrage appliquées aux Firewall → Notamment les flux interdits Les risques : Ouverture du service conditionnée par le résultat de l’audit de sécurité Charge de déploiement du réseau Advenir V5 qui pourra impacter la date d’ouverture de la solution. 20/06/2008


Télécharger ppt "Mémoire d’ingénieur en Informatique"

Présentations similaires


Annonces Google