Protéger et Contrôler l’information avec Exchange 2010 06/01/2010 Matthieu PARFUS Consultant Senior II – MCM 2003 & 2007 Microsoft Consulting Services

Agenda Cas d’usage et Contexte Etablissement des règles de conformités Contrôle de la diffusion Classifier les messages Journalisation Règles de transports Contrôle du stockage Protection des droits numériques Gestion des enregistrements de messagerie Recherche sur plusieurs boîtes aux lettres Règles d’archivage

Cas d’usage : Contrôle de la diffusion Réponse à un appel d’offre sensible Souhait de contrôler tous les échanges avec l’extérieur d’un groupe de travail Souhait d’éviter une sortie malencontreuse de document sensible Domaine militaire Les lois nationales s’imposent dans les règles d’échange au sein d’un groupe : “Export Control” => Toute donnée qui sort du pays doit avoir une copie accessible “Country Eyes only” => La donnée ne peut pas sortir du pays Domaine de la santé (Dossiers Médicaux)

Cas d’usage : Contrôle du stockage Société de consulting avec des messages / données clientes confidentielles : Être sur d’avoir les données sur un espace protégé et sauvegardé. Être sur de retrouver la donnée. Connaître les actions de l’utilisateur sur la donnée (suppression, diffusions, etc.) Emplacement des archives locales des utilisateurs : sauvegarde, vol de portable, etc. Quotas trop limités amènent parfois à l’utilisation d’une messagerie externe publique… Savoir retrouver facilement une trace ou preuve d’échange

Contexte Légal, régulation, impacts financiers La loi peut imposer des règles strictes Le non respect des règles peut avoir des impacts de plusieurs millions d’euros Besoin de traçabilité et de preuve Risque de donner une mauvaise image et perte de crédibilité Risque de perte de compétitivité Perte de plan stratégique Perte de capital intellectuel / recherche Perte de marché

Règles de conformité Définition des règles de conformité dans une organisation : Règle de rétention concernant les données Besoin de respect de confidentialité et de vie privée Besoin de frontière de communication entre entités Obligation de fournir des informations échangées Discussion interne dans l’entreprise : Disposons nous de données clientes ? La messagerie permet elle l’échange de données confidentielles ? Quel contrôle y est associé concernant les destinataires ? Avons-nous déjà définis des procédures, et règles internes ? Avons-nous des obligations légales ou de régulation? Combien de temps devons nous garder les données ?

Contrôle de la diffusion Classification des messages http://technet.microsoft.com/fr-fr/library/bb124705.aspx L’administrateur configure les classifications au niveau serveur Multi-langage possible Permission d’accès à la classification en lecture Intégration OWA, Outlook 2007-2010 (clé à activer + fichier xml à déployer) Possibilité de définir de règle de transport sur cette classification

Contrôle de la diffusion Règles de transport http://technet.microsoft.com/en-us/library/aa995961.aspx Configurer des actions sur le flux de message Condition / Exception / Action Contrôle d’échange entre différentes entités Evite la sortie de message classifié Permettre d’appliquer des droits numériques automatiquement

Contrôle de la diffusion Droits Numériques http://technet.microsoft.com/en-us/library/dd351035.aspx Implémentation Microsoft : RMS (Right Management Service) Empêcher le transfert, l’édition, la copie ou l’impression d’information Limiter les utilisateurs autorisés de lire le message Protection persistante de l’information (attaché au message et aux pièces jointes)

Contrôle de la diffusion RMS est une technologie de Digital Rights Management (DRM) plus exactement c’est un sous-ensemble appelé Enterprise Rights Management (ERM) RMS utilise des certificats, de façon similaire aux systèmes de chiffrement basés sur une PKI (Public Key Infrastructure) comme SSL ou IPSec précisément, RMS utilise des certificats XrML (Extensible Rights Markup Language) pas de nécessité de déployer une PKI RMS est embarquée dans l’application l’adoption par les utilisateurs en est facilitée

Contrôle de la diffusion Intégration OWA Pas de téléchargement / installation Support de Firefox, Safari, Macintosh, Windows Fenêtre de prévisualisation

Contrôle de la diffusion Règles IRM IRM permission Description Contrôle total Donne à l’utilisateur tous les droits listés plus bas, et de modifier les permissions associer au contenu. Voir/Lire Autorise l’utilisateur d’ouvrir un contenu IRM. Cela correspond à l’accès en lecture dans l’interface Office. Editer Autorise l’utilisateur d’éditer un contenu IRM. Sauver Autorise l’utilisateur de sauvegarder un fichier. Extraire Autorise l’utilisateur de copier une parti du contenu pour les coller dans une autre application. Exporter Autorise l’utilisateur de sauvegarder dans un autre emplacement ou un autre format pouvant ne pas supporter l’IRM. Imprimer Autorise l’utilisateur d’imprimer le contenu d’un fichier. Autoriser Macro Autorise l’utilisateur d’exécuter des macros sur le contenu d’un fichier. Transmettre Autorise les destinataires de transmettre le message. Répondre Autorise un destinataire à répondre au message. Répondre à tous Autorise un destinataire à répondre à tous les destinataires du message initial. Voir les permissions Autorise l’utilisateur de voir les permissions. (Office ignore cette permission).

Contrôle de la diffusion Règle de protection automatique Outlook 2010 http://technet.microsoft.com/en-us/library/dd638178.aspx L’administrateur définit des règles Clientes qui protègent automatiquement les données sensibles Les règles sont obligatoires ou optionnelles en fonction des besoins Les critères peuvent être sur : L’émetteur, le destinataire, le membre d’un groupe ou d’un département Une émission au sein de l’organisation ou non Les règles sont automatiquement mises à jour via l’Autodiscover et les Exchange Web Services

Démo Classification des messages Règles de Transport Règles de Transport avec RMS Règles de protection Outlook 2010

Contrôle du stockage Emplacement de la donnée aujourd’hui : Serveur actif interne ou hébergé Archives locales (pst) => Où ? Sauvegardé ? Perfs ? Outil d’archivage tiers (légal ou non)=> Coût? Intégration? Sauvegardes Apport d’Exchange 2010 : Boîte aux lettres et archive avec un gros quota Suppression ou limitation du besoin d’archive locale Limite le risque d’une perte de l’archive locale (corruption de fichier, vol, etc.) Facilite la traçabilité, les recherches (contentieux, etc.) Facilite la gestion de données sensibles http://technet.microsoft.com/fr-fr/library/dd979795.aspx

Contrôle du stockage Configuration de la boîte aux lettres d’archive sur Exchange 2010 RTM http://technet.microsoft.com/fr-fr/library/dd776121.aspx L’archive est sur la même base de données que la boîte aux lettres primaire Une boîte aux lettre primaire ne peut avoir qu’une archive Les délégués ne peuvent pas accéder aux archives L’accès à l’archive s’effectue en mode connecté (pas de synchronisation mode cache, donc pas d’accès en mode « non connecté ») Possibilité d’appliquer des stratégies de rétention : Dossiers Gérés : http://technet.microsoft.com/fr- fr/library/dd335093.aspx Notion de durée de vie (tag) : http://technet.microsoft.com/fr-fr/library/dd297955.aspx

Contrôle du stockage Mise sous contrôle d’une boîte aux lettres Fonctionnalités Avantages Accès basé par rôle Délégation à des personnes non informaticienne (Juriste, RH, etc.) et accès au travers d’une console simple Garder une copie des éléments lus et supprimés Mécanisme traité automatiquement dans le moteur Exchange Notification automatique Prévenir automatiquement les personnes concernées Recherches Recherche sur la boîte ou l’archive pour retrouver les éléments lus et supprimés Implémentation : http://technet.microsoft.com/fr- fr/library/ee861123.aspx Déléguer la recherche dans une ou plusieurs boîtes aux lettres : http://technet.microsoft.com/fr- fr/library/dd298014.aspx

Ne pas oublier… Sécuriser le flux SSL, TLS, S/MIME, Encryption Outlook Limiter l’open relay Utilisation de « Modérateur » qui permet de valider l’envoi d’un mail http://technet.microsoft.com/fr- fr/library/dd297936.aspx Sécuriser le stockage Contrôle d’accès Datacenter Sécurité d’accès à la donnée lorsque l’espace de stockage est mutualisé Bande de sauvegarde en lieu sécurisé Délégation d’administration adaptée (RBAC) Archivage au travers du Journaling Données sur le poste de travail (Bitlocker ou produit tiers)

Contrôle des messages Préserver Centraliser les archives PST dans une archive en ligne Appliquer une rétention par éléments ou dossiers Conserver les éléments lus et supprimés pour des besoins de contrôle Lire les données protégées pour le journalisation Protéger Protéger automatiquement par stratégie Autoriser les partenaires et les clients de lire des messages protégés Autoriser un responsable de valider des messages avant envoi Rechercher Interface de recherche simple Délégation de la recherche Exporter les données suite à des requêtes pour une analyse future Rapporter Fournir des étâts de l’activité des boîtes et des systèmes

Sessions Exchange EXC201 Comment développer des solutions autour de Microsoft Exchange Server 2010 Sébastien Bovo, Benjamin Talmard 08/02/2010 * 11:00 – 12:00 EXC207 Vue d'ensemble de Microsoft Exchange 2010 Damien Caro 09/02/2010 * 11:00 – 12:00 EXC302 Comment évoluer vers Exchange Server 2010 : upgrade et coexistence Guillaume Bordier 09/02/2010 * 14:30 – 15:30 EXC303 Haute disponibilité avec Microsoft Exchange Server 2010 Christophe Leroux 10/02/2010 * 11:00 – 12:00 EXC205 MS Exchange Server 2010 : opérations, administration et délégation des rôles Laurent Teruin 10/02/2010 * 13:00 – 14:00 EXC205 La messagerie unifiée avec Microsoft Exchange Server 2010 Damien Caro 10/02/2010 * 14:30 – 15:30 EXC306 Protection et contrôle de l'information avec Exchange Server 2010 Matthieu Parfus 10/02/2010 * 16:00 – 17:00

Sessions OCS UCO301 Considérations réseau pour réussir son déploiement de OCS 2007 R2 Denis Arditti 09/02/2010 * 16:00 – 17:00 UCO202 Les dix écueils à éviter pour réussir son déploiement de OCS 2007 R2 Leonardo Wormull 10/02/2010 * 13:00 – 14:00 UCO202 Quelle interopérabilité pour OCS 2007 R2 ? Pascal Clerc 10/02/2010 * 14:30 – 15:30 UCO403 OCS 2007 R2 Edge Server : fonctionnement et mise en oeuvre Eric Scherlinger 10/02/2010 * 16:00 – 17:00

Sessions Microsoft Online Services BPO202 Mise en oeuvre et implémentation de Microsoft Online Services Christian Fumey, Cyril Sultan 09/02/2010 * 16:00 – 17:00 BPO203 Retours d'expériences et bonnes pratiques : la migration vers Microsoft Online Services Christophe Vallée, Julien Frerot (AI3) 10/02/2010 * 11:00 – 12:00 BPO203 Cloud Computing et Sécurité Bernard Ourghanlian 10/02/2010 * 13:00 – 14:00 BPO201 Comment réussir son administration de Exchange Online ? Cyril Sultan, Christian Fumey 10/02/2010 * 14:30 – 15:30 BPO204 SharePoint Online et gouvernance : comment mixer son environnement SharePoint dans une démarche S+S Emmanuel Bergerat, Damien Caro 10/02/2010 * 16:00 – 17:00