La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Cyril VOISIN Chef de programme Sécurité Microsoft France

Présentations similaires


Présentation au sujet: "Cyril VOISIN Chef de programme Sécurité Microsoft France"— Transcription de la présentation:

1 Cyril VOISIN Chef de programme Sécurité Microsoft France
Gestion des droits numériques en entreprise Protection persistante de documents Cyril VOISIN Chef de programme Sécurité Microsoft France

2 Sommaire Les 3 facettes de la sécurité
Respect (?) de la politique de sécurité aujourd’hui Limites classiques de la protection des données Gestion de droits numériques en entreprise Windows Rights Management Services (RMS) Scénarios d’utilisation Composants de RMS Fonctionnalités Flux de publication Architecture client Certificats et licences Utilisation sur un portail / démo Implémentation dans Office (IRM) Limites b

3 Pas simplement des technos…

4 Les 3 facettes de la sécurité
Technologies Windows 2000/XP/2003 Active Directory Service Packs Correctifs IPSEC Kerberos PKI DFS EFS SSL/TLS Clusters Détection d’intrusion SMS MOM ISA Antivirus GPO RMS Archivage Politique d’accès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Microsoft Operations Framework Evaluation de risques Protection Détection Défense Récupération Gestion Architecture sécurisée Personnes Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur

5 Respect (?) de la politique de sécurité aujourd’hui

6 Protection des données Les limites des dispositifs classiques
Permissions sur les partages de fichiers Portails avec authentification Messagerie électronique avec signature et chiffrement Filtrage des accès réseau par pare-feu (périmètre mouvant) N’empêchent pas les fuites (accidentelles ou volontaires) de documents ou de messages, induisant pertes de revenu, pertes d’avantages concurrentiels, de confiance… Augmenter la protection des données sensibles en contrôlant non seulement l’accès mais aussi l’usage via une technologie facile à déployer et à utiliser

7 Gestion de droits numériques en entreprise
Principe : augmente le respect de la politique de sécurité de l’organisation en protégeant les données sensibles et en y joignant de manière persistante des politiques d’utilisation, qui demeurent avec les données, où qu’elles aillent. Pourquoi gérer les droits au niveau du fichier / des données ? 32% des pire incidents de sécurité sont causées par des personnes à l’intérieur de l’organisation; 48% dans les grandes entreprises – Information Security Breaches Survey 2002, PWC Le vol d’informations propriétaires est la plus grande source de dommages financiers parmi tous les incidents de sécurité – CSI/FBI Computer Crime and Security Survey, 2001

8 Rights Management Services
Nouvelle technologie contribuant à la protection des données sensibles contre une utilisation non autorisée, à la fois en ligne et en mode déconnecté, sur votre réseau ou à l’extérieur du périmètre de votre système d’information Les utilisateurs peuvent définir exactement comment le destinataire pourra utiliser les données Les organisations peuvent créer des modèles de politiques de sécurité personnalisés et les gérer de manière centralisée (ex : politique « Confidentiel entreprise ») Permet aux développeurs de construire des solutions de protection des données flexibles et personnalisables

9 Scénarios d’utilisation de RMS
Messages et documents confidentiels : plans marketing, propositions de fusion/acquisition, contrats Contenu Web rapports de vente ou financiers, données DRH, service juridique, … RMS peut virtuellement s’appliquer à n’importe quel type de données

10 Composants de RMS Partie cliente
Windows Rights Management Services (RMS) Un service de Windows Server 2003 destiné à la protection des données Partie cliente Client Windows Rights Management (apporte les API pour Windows 98 ou ultérieur) “Rights Management Add-on for Internet Explorer” Applications utilisant RMS (exemple : application maison utilisant le SDK RM, Office System 2003)

11 Fonctionnalités Définir qui peut ouvrir, modifier, imprimer, transférer et / ou entreprendre d’autres actions avec les données (possibilité d’utiliser des listes de distribution contenues dans Active Directory) Fixer une date d’expiration sur des messages électroniques ou des documents… … à une date donnée … n jours après la publication … tous les n jours, en exigeant l’acquisition d’une nouvelle licence

12 Fonctionnalités Les modèles RMS : ensemble de droits, de groupes/utilisateurs, de conditions temporelles… Audit des requêtes vers le serveur (désactivé par défaut) Groupe « super users » pour accéder à tout contenu (individus ou groupes) Révocation (licences, certificats, manifestes d’applications) Exclusions (utilisateur, application, lockbox, versions de Windows) Certification croisée avec d’autres organisations (solution Extranet) La fusion d’entreprises est prévue Utilise XrML pour l’expression des droits ( Approuvé par MPEG21 et OeBF En cours de revue

13 Flux de publication RMS
L’auteur crée un fichier et définit un ensemble de droits et de règles L’appli chiffre le fichier et envoie une “licence de publication” non signée à RMS (Web Service); le serveur signe et retourne la licence de publication SQL RMS Active Directory L’auteur distribue le fichier Le destinataire clique sur le fichier pour l’ouvrir, l’application appelle RMS qui valide l’utilisateur et la requête et distribue une “licence d’utilisation”. L’application effectue le rendu du fichier et fait en sorte que les droits soient respectés Fichier Auteur du fichier Destinataire du fichier

14 Architecture côté client
Application L’application hôte est responsable du respect des droits accordés à l’utilisateur. Client RM Le client contient toute la logique pour interagir avec le serveur, pour publier de nouvelles licences et gérer le stockage des licences Lockbox La lockbox (boîte à clé) contient les clés, réalise les opérations cryptographiques, et fournit des défenses contre les modifications (ex : anti debug)

15 Certificats et licences
Machine Certificate – Identifie un PC de confiance et contient une clé publique unique (une par machine) RM Account Certificate – Publié d’après un Machine Certificate, il nomme l’identité d’un utilisateur de confiance (adresse ) et contient la paire de clés privée/publique de cet utilisateur (un par utilisateur sur un PC donné) Client Licensor Certificate – publié d’après un RAC, il nomme un utilisateur de confiance qui est autorisé à publier hors connexion des informations protégées par des droits numériques, c’est à dire signer des licences de publication hors ligne via la Lockbox (un par utilisateur sur un PC donné) Publishing License – fournie soit par le serveur RMS soit par la Lockbox (publication hors connexion) elle définit la politique (noms/principals, droits & conditions) pour acquérir une licence d’utilisation d’informations protégées par des droits numériques et contient la clé symétrique qui a chiffré les données , chiffrée avec la clé publique du serveur RMS qui fournira les licences d’utilisation Use License – publiée seulement par un serveur RMS, il accorde à un “principal” (utilisateur avec un RAC valide) les droits de consommer le contenu protégé basés sur la politique établie dans la licence de publication Revocation Lists – Enumère les “principals” (en général des clés publiques) auxquels on ne fait plus confiance. Les licences d’utilisations peuvent exiger qu’une liste de révocation récente soit présnete avant d’autoriser le déchiffrement Machine Certificate Lockbox DLL Machine Certificate RM Account Certificate RM Account Certificate Client Licensor Certificate RMS Licensor Certificate (or CLC) RM Publishing License RM Publishing License RM Use License Revocation List RM Account Certificate Revocation de la clé RAC Lockbox DLL

16 Base de données (ex :SQL Server) Bibliothèque documentaire
Portail Frontal Web Couche RM Base de données (ex :SQL Server) Permissions Bibliothèque documentaire RMS Back End Frontaux Clients

17 Demo

18 Windows desktop

19 Worldwide sales portal home page

20 Standard reports menu

21 Welcome to Rights Managed setup

22 Welcome to Rights Managed setup

23 Choose an account

24 Choose an account

25 Ready to open your documents (1 of 2)
Ready to open your documents (1 of 2)

26 Ready to open your documents (1 of 2)
Ready to open your documents (1 of 2)

27 Ready to open your documents (2 of 2)
Ready to open your documents (2 of 2)

28 Rights managed document – no printing (1 of 3)

29 Rights managed document – no printing (2 of 3)

30 Rights managed document – no printing (3 of 3)

31 Rights managed document – no printing (3 of 3)

32 Rights managed document – no printing (2 of 3)

33 Rights managed document – no printing (2 of 3)

34 Rights managed document – no printing (2 of 3)

35 Rights managed document – no printing (2 of 3)

36 Rights managed document – no printing (2 of 3)

37 Rights managed document – no printing (2 of 3)

38 Rights managed document – no printing (2 of 3)

39 Rights managed document – no printing (2 of 3)

40

41 IRM (Information Rights Management)
Une implémentation de RMS, dans Office 2003

42 Message à ne pas transférer Protection de fichiers sensibles
IRM : Information Rights Management Empêche les messages de la direction d’arriver sur Internet Réduit le transfert d’informations confidentiels vers l’interne/externe Modèles pour gérer de manière centralisée les politiques Outlook 2003 Windows RMS Message à ne pas transférer Word 2003, PowerPoint 2003 Excel 2003, Windows RMS Contrôle l’accès aux plans sensibles Définit le niveau d’accès - afficher, modifier, imprimer... Détermine la durée d’accès Protection de fichiers sensibles IE avec RMA, Windows RMS Les utilisateurs qui n’ont pas Office 2003 peuvent visualiser les fichiers protégés par des droits numériques Assure le respect des droits assignés : afficher, imprimer, exporter, copier/coller, limites de temps Compatibilité

43 HTML dans les documents RM
RMA récupère une Licence d’utilisation et offre à l’utilisateur les droits qui lui ont été accordés. Ne peut pas être utilisé pour éditer le contenu L’utilisateur crée un document Office 2003 Entête de document et métadonnées Licence de publication et Licence d’utilisation Document chiffré (data stream ou MIME part) RMA extrait le contenu HTML du fichier au format Office Rendu HTML chiffré (data stream ou MIME part) Le document est protégé par des droits numériques et un rendu HTML, lui- même protégé, est créé Pied de document

44 Les limites…

45 Limites RMS NE fournit PAS …
…une sécurité à toute épreuve, un rempart infranchissable pour les hackers …de protection contre les attaques analogiques Ne constitue pas un mécanisme de sécurité en soit mais contribue à améliorer le respect de la politique de sécurité pour les données sensibles

46 Résumé Améliore le respect de la politique de sécurité pour les données sensibles Intégrité des données sensibles Protection persistante pour les fichiers Amélioration de la collaboration, y compris hors du périmètre sous contrôle du système d’information

47 Présentations Microsoft
9H15 à 10H15 Défense en profondeur 10H30 à 11H30 Gestion des correctifs de sécurité 11H30 à 12H30 Sécurité des réseaux Wi-Fi 13H30 à 14H30 NGSCB (ex-Palladium) 14H45 à 15H45 Gestion de droits numériques en entreprise (RMS) 15H45 à 16H45


Télécharger ppt "Cyril VOISIN Chef de programme Sécurité Microsoft France"

Présentations similaires


Annonces Google