|
Comment assurer
simultanément la sécurité et le partage
d'informations confidentielles,
stratégiques ou sensibles ? ... et ceci,
même sur Internet ! |
Contexte
Toute entreprise a certaines informations qu'elle
doit absolument protéger.
Il peut s’agir de clés de chiffrement, de certificats,
de procédures de sécurité, de rapports d'audit, ou
d’informations toutes aussi importantes et
confidentielles que des listes de clients, de rapports
financiers, de fichiers concernant le personnel, de
correspondances des membres de la Direction, la
préparation d'une fusion ou d'une acquisition, la
prochaine communication financière pour une société
cotée en Bourse, de brevets, de secrets de fabrication,
de codes sources, d'informations concernant la concurrence, etc.
La perte, l'inaccessibilité ou l'exposition de ces
documents sont préjudiciables à l'organisation.
Or ces
données sensibles sont souvent stockées dans des
dispositifs "standards" ( serveurs standard de fichiers,
ERP et/ou Systèmes de gestion de documents, protégés par
une sécurité traditionnelle de type firewall, IDS, ACL).
Cette approche présente des risques pour la sécurité des
documents.
Parallèlement, l'information n'a de sens que si elle est partagée. Bien que protégés, ces
mêmes
documents doivent pouvoir être accessibles à certaines
populations, souvent à distance. Or
le réseau est un environnement complexe, conçu
pour la fonctionnalité plutôt que la sécurité.
L'objectif est de garantir la disponibilité, la confidentialité,
et l’intégrité de ces informations confidentielles,
stratégiques et sensibles - indépendamment de la
sécurité complète du réseau - tout en permettant leur
accès par les seules personnes autorisées, qu'elles
soient à l'intérieur ou à l'extérieur de l'entreprise..
La solution retenue doit ainsi maintenir un contrôle
étroit de qui peut avoir accès aux données, ce que peut
faire cette personne avec ces données, et d’où les
données peuvent être accédées.
Certaines de ces exigences font l’objet et/ou sont les
conséquences de règlements ou de lois (Informatique et
Libertés, Sarbanes-Oxley, GLBA...).
A chaque département ses documents critiques
et confidentiels
Au sein de l'entreprise, chaque entité à ses propres
informations sensibles dont elle doit absolument assurer à la
fois la confidentialité et l'accès contrôlé aux personnes
autorisées. La solution doit donc s'adapter à cette réalité et
établir des périmètres pertinents de confidentialité : à titre
d'exemple, un DRH qui protège les informations concernant le
plan de carrières des collaborateurs n'a pas à pénétrer dans
l'espace sécurisé d'échanges qui concerne ses collègues du
département Recherches & Développements.
| Département |
Exemple de Document |
| Direction |
Communication financière, Préparation d'une acquisition, Préparation d'une fusion |
| IT |
Procédures de Disaster Recovery, Mots de passe de secours |
| R&D |
Brevets, Secrets de fabrication, Code source, CAO/DAO |
| RH |
Plans sociaux, Informations de carrière des collaborateurs, Données privées |
| Ventes, Marketing |
Plans de lancement des futurs produits, Analyse de la concurrence, Données privées |
| Secrétariat |
Correspondance de la Direction |
| Sécurité |
Politique
de Sécurité, Rapports d’évaluation de Sécurité, Clés de
Chiffrement, Certificats, Mots de Passe |
Un véritable
"coffre-fort virtuel"
Cortina a sélectionné une technologie de coffre-fort
virtuel.
Elle met en œuvre des zones de sécurité destinées à
accueillir les informations stratégiques de chacun de vos
départements. Ces données confidentielles peuvent être
partagées de façon sécurisée à travers l’entreprise,
indépendamment de la sécurité générale et de la topologie
physique du réseau utilisé, sans aucun compromis sur la
sécurité, l'accessibilité ou la performance. |
|
 |
La solution peut être positionnée directement sur le
réseau d'entreprise, permettant à des groupes de travail
dans une société de partager des données de façon
sécurisée. Elle peut aussi être positionnée en
périphérie (au sein d'une DMZ), permettant à des
partenaires, des travailleurs ou clients distants
l’accès aux coffres-forts virtuels sur l'Internet.
L'architecture de sécurité tient l'information sensible
et confidentielle hors de portée de toute personne non
désignée, y compris les administrateurs de votre
système d'information et vos spécialistes sécurité. En conséquence, la solution peut être totalement pilotée par l’équipe Informatique, sans toutefois lui permettre de contrôler l'information elle-même.
Une sécurité de bout en bout est mise en œuvre pour
partager des données à travers un réseau local, un
réseau étendu (Intranet, WAN), ou même Internet pour vous permettre de partager de manière sécurisée
des données entre vos groupes de travail ou vos
départements, vos agences distantes ou vos
partenaires externes…
En environnement étendu, les partenaires et agences
distantes vont distribuer, rassembler, transférer et
partager des fichiers avec un haut niveau de
sécurité, de performance et d'accessibilité.
Votre
Directeur Financier
Groupe peut
dès aujourd'hui partager des informations
confidentielles avec ses collaborateurs au sein de
chaque filiale, en toute sécurité. |
|
 |
Une Sécurité intégrée à dix niveaux de
protection
Cette solution est durcie et fortifiée par une sécurité
en couches comprenant VPN, firewall, contrôle d'accès de fichier, chiffrage et authentification, et peut être
alors configurée pour une utilisation interne ou externe.
Le coffre-fort électronique dispose de plusieurs couches de sécurité, qui permettent le
stockage à long terme, la gestion et l'accessibilité de
l'information critique.
De plus, tous
les fichiers de la zone sécurisée sont stockés dans un
format chiffré.
1. VPN
2. Firewall
3. Contrôle d’accès aux Données
4. Authentification (incluant PKI et Token).
5. Chiffrement
6. Inspection de Contenu
7. Backup sécurisé et Contrôle de version
8. Sécurité Visuelle
9.
Sécurité
Manuelle
10. Sécurité Géographique |
|
 |
Une sécurité de bout-en-bout et totalement intégrée à
dix niveaux est proposée sur le coffre-fort
électronique
Le
coffre-fort électronique supporte les standards
de chiffrement et les algorithmes de hashing suivants:
AES, 3DES, IDEA, Blowfish, RC2, RC4, RC5, RSA, SHA1,
MD5, ainsi qu'un large choix de mécanismes
d'authentifications : PKI, Jeton (RSA et Aladdin),
Domaine NT, Mot de Passe... Il s'intègre dans les
environnements LDAP.
Une option de haute disponibilité, y compris
géographique, est disponible.
Une fonction "Accès en double contrôle" permet même un
contrôle plus strict pour des documents hautement
confidentiels, situations dans lesquelles certains
utilisateurs ont besoin de l'autorisation d'un supérieur
chaque fois qu’ils veulent y accéder.
 |
|
Sécurité visuelle ?
Une zone de sécurité unique peut être segmentée en plusieurs coffres-forts, pour l'utilisation par des groupes différents.
Les utilisateurs ne voient que les coffres auxquels ils ont accès.
Le coffre-fort virtuel respecte ainsi le principe du cloisonnement.
Le dispositif de sécurité visuelle permet en outre aux utilisateurs de voir immédiatement les coffres sur lesquels une activité a eu lieu (ouverture du coffre, modification de son contenu, ajout ou suppression d'un document).
La technologie de Sécurité Visuelle permet le suivi complet de toute activité sur chaque document, et ce d'une manière intuitive. |
Administration
Les administrateurs des zones de sécurité (coffres-forts) créent et assignent des privilèges d'accès, et suivent les usages via l'interface de gestion.
Les administrateurs peuvent de plus limiter l'accès en mettant des conditions de sécurité géographiques (emplacement du réseau à partir duquel un utilisateur peut avoir accès à l'information sélectionnée) et des restrictions temporelles.
Traçabilité
Des fonctions d’audit permettent de fournir en temps réel des historiques et des rapports sur quels documents ont été accédés, par qui et quand, ainsi que des mécanismes de contrôle de version.
Des indications graphiques fournissent une notification sur les nouvelles arrivées de documents, ainsi que chaque mis à jour de document; signalent si un employé a réellement accédé à un document; et fournit la preuve que des individus non autorisés ont tenter d’accéder aux informations.
Un accès sécurisé à travers n'importe quel réseau, y compris Internet
Les partenaires autorisés peuvent avoir
accès à la zone sécurisée d'échange via un
simple navigateur Web ou via des
Connecteurs qui permettent des connexions
utilisant FTP, CIFS, et SMTP .
Les Connecteurs résident sur les
réseaux des partenaires et exécutent le
logiciel qui permet les connexions.
Ils servent de passerelles
transparentes pour l’utilisateur et les
applications entre les protocoles
standards (FTP, CIFS, SMTP) et le
protocole sécurisé de la solution. |
|
 |
Bénéfices
| Fonctionnalité |
Bénéfice |
| Séparation des Droits |
La solution peut être totalement pilotée par l’équipe Informatique, sans lui permettre toutefois de contrôler l'information elle-même |
| Contrôle de Version |
Assure l'archivage à long terme de chaque changement de version de chaque document |
| Réplication |
Permet de créer économiquement une copie de sauvegarde |
| Sécurité intégrée à dix niveaux |
Assure une protection optimale des informations confidentielles, en évitant d'assembler
soi-même des outils hétérogènes, au risque de failles de sécurité |
| Dépôt sécurisé de bout en bout |
Protection des documents critiques aussi bien pendant la transmission qu'au repos, pour assurer la sécurité des actifs de valeur |
| Contrôle d'accès Granulaire |
Permet de contrôler qui peut accéder à chaque document tout en permettant le partage de document |
| Double Contrôle |
Permet même un contrôle plus strict pour des situations où certains utilisateurs ont besoin de l'autorisation d'un supérieur chaque fois qu’ils veulent accéder aux documents |
| Audit étendu |
Suit à la trace les accès à chaque document via l'audit graphique complet |
| Gestion brevetée de clé |
Le système intégré de gestion de clé breveté assure que même les sauvegardes sont chiffrées pour ne pas risquer un accès aux données, même des années après la création de document |
Points forts de la Solution :
Un dépôt sûr pour la plupart des documents électroniques critiques
des entreprises, avec :
1. Sécurité indépendante de la sécurité globale du réseau
2. Inaccessibilité par les administrateurs du réseau et des
personnels informaticiens
3. Reprise d'Activité immédiate après sinistre
4. Disponibilité et Sauvegarde sécurisée à long terme des données
confidentielles
5. Audit rétrospectif et contrôle de conformité aux régulations
6. Double Contrôle pour les accès aux informations hautement
confidentielles
7. Contrôle Strict de Version de chaque document
Documents
 Témoignage : ING Direct sécurise ses ressources stratégiques en utilisant un "coffre-fort virtuel"
Article : "What are Digital Vault ?"
Guides et Livres Blancs
  |
