La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Gestion des droits numériques en entreprise Protection persistante de documents Cyril VOISIN Chef de programme Sécurité Microsoft France.

Présentations similaires


Présentation au sujet: "Gestion des droits numériques en entreprise Protection persistante de documents Cyril VOISIN Chef de programme Sécurité Microsoft France."— Transcription de la présentation:

1 Gestion des droits numériques en entreprise Protection persistante de documents Cyril VOISIN Chef de programme Sécurité Microsoft France

2 Sommaire Les 3 facettes de la sécurité Respect (?) de la politique de sécurité aujourdhui Limites classiques de la protection des données Gestion de droits numériques en entreprise Windows Rights Management Services (RMS) Scénarios dutilisation Composants de RMS Fonctionnalités Flux de publication Architecture client Certificats et licences Utilisation sur un portail / démo Implémentation dans Office (IRM) Limites

3 Pas simplement des technos…

4 Les 3 facettes de la sécurité Architecture sécurisée PersonnesAdmin. de lEntreprise Admin. Du Domaine Service/Support Développeur Utilisateur Archivage Politique daccès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident MicrosoftOperationsFramework Evaluation de risques Technologies Windows 2000/XP/2003 Active Directory Service Packs Correctifs IPSEC Kerberos PKI DFS EFS SSL/TLS Clusters Détection dintrusion SMS MOM ISA Antivirus GPO RMS

5 Respect (?) de la politique de sécurité aujourdhui

6 Protection des données Les limites des dispositifs classiques Permissions sur les partages de fichiers Portails avec authentification Messagerie électronique avec signature et chiffrement Filtrage des accès réseau par pare-feu (périmètre mouvant) Nempêchent pas les fuites (accidentelles ou volontaires) de documents ou de messages, induisant pertes de revenu, pertes davantages concurrentiels, de confiance… Augmenter la protection des données sensibles en contrôlant non seulement laccès mais aussi lusage via une technologie facile à déployer et à utiliser

7 Gestion de droits numériques en entreprise Principe : augmente le respect de la politique de sécurité de lorganisation en protégeant les données sensibles et en y joignant de manière persistante des politiques dutilisation, qui demeurent avec les données, où quelles aillent. Pourquoi gérer les droits au niveau du fichier / des données ? 32% des pire incidents de sécurité sont causées par des personnes à lintérieur de lorganisation; 48% dans les grandes entreprises – Information Security Breaches Survey 2002, PWC Le vol dinformations propriétaires est la plus grande source de dommages financiers parmi tous les incidents de sécurité – CSI/FBI Computer Crime and Security Survey, 2001

8 Rights Management Services Nouvelle technologie contribuant à la protection des données sensibles contre une utilisation non autorisée, à la fois en ligne et en mode déconnecté, sur votre réseau ou à lextérieur du périmètre de votre système dinformation Les utilisateurs peuvent définir exactement comment le destinataire pourra utiliser les données Les organisations peuvent créer des modèles de politiques de sécurité personnalisés et les gérer de manière centralisée (ex : politique « Confidentiel entreprise ») Permet aux développeurs de construire des solutions de protection des données flexibles et personnalisables

9 Scénarios dutilisation de RMS Messages et documents confidentiels : plans marketing, propositions de fusion/acquisition, contrats Contenu Web rapports de vente ou financiers, données DRH, service juridique, … RMS peut virtuellement sappliquer à nimporte quel type de données

10 Composants de RMS Windows Rights Management Services (RMS) Un service de Windows Server 2003 destiné à la protection des données Partie cliente Client Windows Rights Management (apporte les API pour Windows 98 ou ultérieur) Rights Management Add-on for Internet Explorer Applications utilisant RMS (exemple : application maison utilisant le SDK RM, Office System 2003)

11 Fonctionnalités Définir qui peut ouvrir, modifier, imprimer, transférer et / ou entreprendre dautres actions avec les données (possibilité dutiliser des listes de distribution contenues dans Active Directory) Fixer une date dexpiration sur des messages électroniques ou des documents… … à une date donnée … n jours après la publication … tous les n jours, en exigeant lacquisition dune nouvelle licence

12 Fonctionnalités Les modèles RMS : ensemble de droits, de groupes/utilisateurs, de conditions temporelles… Audit des requêtes vers le serveur (désactivé par défaut) Groupe « super users » pour accéder à tout contenu (individus ou groupes) Révocation (licences, certificats, manifestes dapplications) Exclusions (utilisateur, application, lockbox, versions de Windows) Certification croisée avec dautres organisations (solution Extranet) La fusion dentreprises est prévue Utilise XrML pour lexpression des droits (www.xrml.org) Approuvé par MPEG21 et OeBF En cours de revue

13 Flux de publication RMS Destinataire du fichier Auteur du fichier RMS Lauteur crée un fichier et définit un ensemble de droits et de règles Lappli chiffre le fichier et envoie une licence de publication non signée à RMS (Web Service); le serveur signe et retourne la licence de publication Lauteur distribue le fichier Fichie r Lapplication effectue le rendu du fichier et fait en sorte que les droits soient respectés Le destinataire clique sur le fichier pour louvrir, lapplication appelle RMS qui valide lutilisateur et la requête et distribue une licence dutilisation. SQL Active Directory

14 Application Lapplication hôte est responsable du respect des droits accordés à lutilisateur. Client RM Le client contient toute la logique pour interagir avec le serveur, pour publier de nouvelles licences et gérer le stockage des licences Architecture côté client Lockbox La lockbox (boîte à clé) contient les clés, réalise les opérations cryptographiques, et fournit des défenses contre les modifications (ex : anti debug)

15 Certificats et licences Machine Certificate – Identifie un PC de confiance et contient une clé publique unique (une par machine) RM Account Certificate – Publié daprès un Machine Certificate, il nomme lidentité dun utilisateur de confiance (adresse ) et contient la paire de clés privée/publique de cet utilisateur (un par utilisateur sur un PC donné) Client Licensor Certificate – publié daprès un RAC, il nomme un utilisateur de confiance qui est autorisé à publier hors connexion des informations protégées par des droits numériques, cest à dire signer des licences de publication hors ligne via la Lockbox (un par utilisateur sur un PC donné) Publishing License – fournie soit par le serveur RMS soit par la Lockbox (publication hors connexion) elle définit la politique (noms/principals, droits & conditions) pour acquérir une licence dutilisation dinformations protégées par des droits numériques et contient la clé symétrique qui a chiffré les données, chiffrée avec la clé publique du serveur RMS qui fournira les licences dutilisation Use License – publiée seulement par un serveur RMS, il accorde à un principal (utilisateur avec un RAC valide) les droits de consommer le contenu protégé basés sur la politique établie dans la licence de publication Revocation Lists – Enumère les principals (en général des clés publiques) auxquels on ne fait plus confiance. Les licences dutilisations peuvent exiger quune liste de révocation récente soit présnete avant dautoriser le déchiffrement RM Account Certificate MachineCertificate Client Licensor Certificate RM Account Certificate RM Publishing License RMS Licensor Certificate (or CLC) RM RM Use Use License License RM Publishing License MachineCertificate Lockbox DLL Revocation de la clé RAC RM RM Account Account Certificate Certificate Revocation List

16 Portail Back End FrontauxClients Base de données (ex :SQL Server) Bibliothèque documentaire RMS Permissions Couche RM Frontal Web

17 Demo

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41 IRM (Information Rights Management) Une implémentation de RMS, dans Office 2003

42 Empêche les messages de la direction darriver sur Internet Réduit le transfert dinformations confidentiels vers linterne/externe Modèles pour gérer de manière centralisée les politiques Message à ne pas transférer Les utilisateurs qui nont pas Office 2003 peuvent visualiser les fichiers protégés par des droits numériques Assure le respect des droits assignés : afficher, imprimer, exporter, copier/coller, limites de temps Compatibilité IE avec RMA, Windows RMS Contrôle laccès aux plans sensibles Définit le niveau daccès - afficher, modifier, imprimer... Détermine la durée daccès Protection de fichiers sensibles Word 2003, PowerPoint 2003 Excel 2003, Windows RMS Outlook 2003 Windows RMS IRM : Information Rights Management

43 HTML dans les documents RM Entête de document et métadonnées Licence de publication et Licence dutilisation Document chiffré (data stream ou MIME part) Rendu HTML chiffré (data stream ou MIME part) Pied de document Le document est protégé par des droits numériques et un rendu HTML, lui- même protégé, est créé RMA extrait le contenu HTML du fichier au format Office RMA récupère une Licence dutilisation et offre à lutilisateur les droits qui lui ont été accordés. Ne peut pas être utilisé pour éditer le contenu Lutilisateur crée un document Office 2003

44 Les limites…

45 Limites RMS NE fournit PAS … …une sécurité à toute épreuve, un rempart infranchissable pour les hackers …de protection contre les attaques analogiques Ne constitue pas un mécanisme de sécurité en soit mais contribue à améliorer le respect de la politique de sécurité pour les données sensibles

46 Résumé Améliore le respect de la politique de sécurité pour les données sensibles Intégrité des données sensibles Protection persistante pour les fichiers Amélioration de la collaboration, y compris hors du périmètre sous contrôle du système dinformation

47 Présentations Microsoft 9H15 à 10H15Défense en profondeur 10H30 à 11H30Gestion des correctifs de sécurité 11H30 à 12H30Sécurité des réseaux Wi-Fi 13H30 à 14H30NGSCB (ex-Palladium) 14H45 à 15H45Gestion de droits numériques en entreprise (RMS) 15H45 à 16H45Sécurité des réseaux Wi-Fi


Télécharger ppt "Gestion des droits numériques en entreprise Protection persistante de documents Cyril VOISIN Chef de programme Sécurité Microsoft France."

Présentations similaires


Annonces Google