Comment protéger les données contre le vol et garantir leur

Comment protéger les données contre le vol et garantir leur
confidentialité, quel que soit leur emplacement de stockage
Les données constituent l'un des actifs les plus précieux des entreprises. Aujourd'hui, de
plus en plus d'informations sensibles et confidentielles sont manipulées et échangées par
les employés, il est donc plus important que jamais de les protéger. Le pare-feu central
parfaitement efficace au sein de l'entreprise s'avère inutile pour les clients mobiles.
En effet, les clients mobiles (ordinateurs portables, netbooks, assistants personnels, etc.) et
les supports de stockage amovibles (clés USB, cartes mémoire...), font souvent l'objet de vols
ou de pertes, constituant un maillon faible dans les infrastructures informatiques modernes.
Les entreprises ont besoin d'une solution de sécurité qui non seulement les protège contre
cette menace mais qui garantisse également qu'aucune personne non autorisée ne puisse
accéder aux données sauvegardées ou à toute autre partie de l’infrastructure IT.
Ce livre blanc présente SafeGuard Enterprise 5.40, une solution innovante de Sophos, qui
répond à toutes les conditions requises pour assurer une protection efficace des données
confidentielles sur les ordinateurs et les supports de stockage amovibles.
Livre blanc Sophos
Septembre 2009
Livre blanc Sophos
Comment protéger les données contre le vol et garantir leur confidentialité, quel que soit leur emplacement de stockage
Comment protéger les données contre le vol et garantir leur
confidentialité, quel que soit leur emplacement de stockage
SafeGuard Enterprise a été conçu
pour s'intégrer en toute simplicité à
l'environnement informatique existant.
SafeGuard Enterprise (SGN) assure la protection
des données en cas de perte ou de vol, et garantit
qu'elles demeurent confidentielles, quel que soit
leur emplacement de stockage.
L'architecture de SGN a été développée de manière
à s'adapter parfaitement à l'environnement
informatique existant, tout en garantissant
qu'aucune restriction d'utilisation ne soit imposée
ni à l'administrateur, ni aux utilisateurs dans leur
travail quotidien.
Grâce à l'administration centralisée et aux
fonctions d'édition de rapports de SGN,
l'administrateur peut mettre en œuvre les
directives de sécurité sur tous les périphériques à
tout moment, depuis une console centralisée, et
procéder ensuite à un audit de l'environnement
sécurisé. SGN fonctionne en toute transparence,
ce qui signifie aucun impact pour l'utilisateur final,
ni aucune formation spécifique nécessaire.
SafeGuard Enterprise permet de combiner le
chiffrement transparent des fichiers et des médias
de stockage (via Smart Media Encryption) et
l'administration efficace des clés, offrant un niveau
de souplesse incomparable sur le marché pour
la sécurisation des supports de données et des
informations qui y sont sauvegardées.
Le portefeuille des méthodes d'identification de
SGN pour les utilisateurs est constamment mis
à jour, ce qui permet d'intégrer et d'utiliser les
infrastructures existantes de cartes à puce et de PKI
ou de fournir un moyen simple de changer si besoin
est.
SafeGuard Enterprise est le fruit des nombreuses
années d'expérience de Sophos dans l'industrie
de la sécurité informatique. Ce produit à
été développé dans le respect des normes
actuellement en vigueur et présente une structure
modulaire. Ces facteurs garantissent le meilleur
niveau d'interopérabilité et de flexibilité pour les
futures mises à jour.
Toutes les fonctions de SafeGuard Enterprise
sont conçues pour être utilisées dans des
environnements professionnels et peuvent être
administrées depuis une console centralisée.
SafeGuard Enterprise ne nécessite pas la
création de nouveaux comptes d'utilisateurs ni
l'installation de périphériques. Il utilise à la place
les informations présentes dans Active Directory.
Le Management Center est conçu pour des
environnements multi plates-formes, permettant
à la fois aux ordinateurs de bureau et aux
autres périphériques mobiles d'être administrés
simultanément depuis la même console.
Figure 1 :
Présentation
de SafeGuard
Enterprise
Livre blanc Sophos
Comment protéger les données contre le vol et garantir leur confidentialité, quel que soit leur emplacement de stockage
SafeGuard Management Center
Le Management Center est le module de contrôle
centralisé de SafeGuard Enterprise. Ses principales
fonctions sont :
» Offrir des possibilités d'administration déléguée
(par ex. pour le responsable de la sécurité et le
responsable des audits)
•
» En mode centralisé, créer et administrer les
directives de sécurité (politiques de sécurité)
dans des unités modulaires
•
Le SafeGuard Management Center permet
la création de politiques même dans les
environnements à grande échelle.
» Appliquer les politiques sur tous les
clients de SafeGuard Enterprise à l'aide de
communications directes via des services Web
sécurisés (SOAP)
» Surveiller l'état de SafeGuard Enterprise
Management Servers via un Management
Pack optionnel pour Microsoft System Center
Operations Manager (SCOM) 2007
•
» Le SafeGuard Management Center garantit que
les politiques centralisées sont mises en œuvre
rapidement sur tous les clients.
» Réutiliser les données d'infrastructure
existantes en les important d'Active Directory
•
Parce que SafeGuard Management Center
exploite les données existantes, nul besoin
d'administrer de nouveaux utilisateurs ou
de nouvelles machines. L'enregistrement
automatique peut être utilisé comme
alternative à la fonction "Importer" d'Active
Directory. Cette option ne requiert pas
l'existence d'un système de répertoire. De
plus, le SGN Management API offre une
seconde alternative pour l'importation de
machine/utilisateur et permet de connecter
SGN à n'importe quel système de répertoire
(par ex. Novell eDirectory) via des scripts
personnalisés.
» Enregistrer et rapporter les statuts et les
informations de licence de manière centralisée
•
•
Le SafeGuard Management Center
utilise les infrastructures PKI existantes
le cas échéant. La présence d’une
telle infrastructure n’est cependant pas
obligatoire.
Dans les grandes infrastructures IT qui sont
surveillées avec SCOM 2007, ce contrôle
peut être étendu à SafeGuard Enterprise.
Pour plus de détails, consultez le livre blanc
consacré à ce module.
SafeGuard Device Encryption
Le module SafeGuard Device Encryption (SG
DE) et le Management Center sont les principaux
modules de SafeGuard Enterprise. Le module
Device Encryption protège les périphériques
d'extrémité (par ex. les ordinateurs de bureau,
les ordinateurs portables, les netbooks et les
PDA) et tout autre type de support de mémoire
échangeable. Ce module succède à SafeGuard
Easy.
Ses principales fonctions sont :
» Chiffrer toutes les données sauvegardées sur le
support de données externe ou local
•
Le SafeGuard Management Center fournit
des informations sur les procédures réseau
pouvant compromettre la sécurité et permet
de fournir aux autorités compétentes les
preuves de chiffrement des systèmes
d'extrémité (dans le cadre par ex. de la
réglementation sur la conformité aux EtatsUnis).
» Administrer les certificats et les cartes à puce
Le SafeGuard Management Center
permet de répartir les droits en toute
simplicité entre l'administrateur
réseau, l’administrateur de sécurité
pour le chiffrement et les autres rôles
administratifs.
SafeGuard Device Encryption protège les
données en cas de perte ou de vol du
périphérique ou du support de stockage
des données. Parce qu'il fonctionne en
toute transparence, les utilisateurs peuvent
simplement continuer à travailler en
utilisant leurs applications habituelles,
telles que Microsoft Office. Le logiciel
SafeGuard garantit automatiquement que
toutes les données sauvegardées sont
sécurisées.
» Permettre le chiffrement transparent par
secteur (chiffrement par volumes)
•
SafeGuard Device Encryption garantit que
toutes les données sont chiffrées (y compris
les fichiers de démarrage, les fichiers Comment protéger les données contre le vol et garantir leur confidentialité, quel que soit leur emplacement de stockage
Livre blanc Sophos
d'échange, les fichiers de mise en veille, les
fichiers temporaires, etc.) sans demander
aux utilisateurs de modifier leurs habitudes
de travail ou même de se soucier de la
sécurité. Cette méthode est généralement
utilisée pour le partage de supports chiffrés
exclusivement au sein de la société.
» Permettre le chiffrement transparent par fichier
(Smart Media Encryption, qui est couvert par
le module SafeGuard Data Exchange décrit
ci-dessous)
•
SafeGuard Device Encryption garantit que
toutes les données sont chiffrées (excepté le
support de démarrage et les informations de
répertoire) et offre la possibilité de chiffrer
les supports optiques tels que les CD/
DVD et d'échanger des données avec des
systèmes externes sur lesquels SafeGuard
n'est pas installé (si la politique l'autorise).
» Permettre l'administration souple des clés
•
SafeGuard Device Encryption permet
d'échanger des supports de données
amovibles chiffrés de manière simple et
rapide au sein de groupes d'utilisateurs
spécifiques. Il facilite également les
procédures de récupération dans les cas
d'urgence (par ex. un disque dur qui ne
démarre plus peut être inséré dans un autre
ordinateur qui possède la bonne clé).
» Offrir la dernière authentification avant
démarrage graphique 32 bits (Power On
Authentication [POA]) avant même que le
système d'exploitation ne soit lancé, et prendre
en charge l'authentification d'empreintes
biométriques avec système d'authentification
unique (SSO) pour Windows avant démarrage.
•
SafeGuard Device Encryption empêche
le système d'exploitation d'être manipulé
de l'extérieur et protège également contre
l'utilisation des outils de piratage des
mots de passe. SafeGuard Enterprise
POA offre une interface graphique
utilisateur avec prise en charge intégrale
d'Unicode pour les langues asiatiques ainsi
qu'une gamme importante de dispositifs
d'authentification (par ex. cartes à puce,
jetons d'authentification, empreintes
digitales). SafeGuard Enterprise utilise
également les comptes Windows et les mots
de passe dans son POA. Cela évite d'avoir à
administrer les utilisateurs individuellement
pour le POA, condition exigée par de
nombreux produits concurrents.
» Intégrer Windows Vista BitLocker Drive
Encryption (BDE)
•
SafeGuard Device Encryption permet
l'administration centralisée des clients
BitLocker dans le SGN Management
Center, avec les clients SGN natifs. Il étend
les capacités de BitLocker en utilisant le
chiffrement par fichier pour les supports
amovibles.
SafeGuard Data Exchange
Le module SafeGuard Data Exchange (SG DX)
chiffre en toute transparence tous les types
de supports amovibles et permet l'accès à
ces supports via un mot de passe même sur
les ordinateurs où aucun logiciel SafeGuard
n'est installé. Toutes ses fonctions et clés sont
administrées de manière centralisée via le
SafeGuard Enterprise Management Center .
Lorsque le module SafeGuard Data Exchange
est utilisé en association avec SafeGuard Device
Encryption, il rajoute d'importantes fonctionnalités
aux fonctions de chiffrement des supports
amovibles :
» Les supports chiffrés peuvent être utilisés en
dehors de l'organisation. Les utilisateurs peuvent
définir leurs propres clés ou mots de passe pour
leurs périphériques amovibles ou les fichiers
sauvegardés sur ces supports, puis échanger ces
clés ou mots de passe avec leurs partenaires.
Ces clés sont alors enregistrées et stockées sur
le serveur centralisé de SafeGuard ou peuvent
être attribuées à d'autres utilisateurs par
l'administrateur à des fins de récupération ou de
partage.
» Selon la politique définie, il est possible de
stocker des fichiers chiffrés et non chiffrés
(texte clair) sur le même support. » Les médias optiques tels que CD, DVD, et
disques Blu-ray peuvent être chiffrés avec le
module DX.
Livre blanc Sophos
Comment protéger les données contre le vol et garantir leur confidentialité, quel que soit leur emplacement de stockage
» Le composant portable du module SafeGuard
Data Exchange peut aussi être stocké sur
le support de données. Cela permet aux
supports amovibles chiffrés d'être utilisés sur
les ordinateurs où SafeGuard Enterprise n'est
pas installé. Les clés générées avec SafeGuard
Portable peuvent être aussi importées dans
le porte-clés de l'utilisateur pour être utilisées
dans SafeGuard Enterprise. Des règles de
mot de passe fortes et cohérentes et des
délais d'échec de connexion sont également
disponibles pour la fonctionnalité portable.
Il est également possible de déployer le module
SafeGuard Data Exchange en mode autonome
sans besoin du SafeGuard Management Center. L'utilisation de SafeGuard Data Exchange en
solution autonome est particulièrement adaptée
pour les clients qui souhaitent chiffrer les médias
amovibles (SG DX) sur l’ensemble de leur parc,
mais n’envisagent d’adopter le chiffrement des
disques durs (SG DE et SG DX) que sur un
ensemble de systèmes restreint (par ex. tous les
ordinateurs portables).
SafeGuard Configuration Protection
SafeGuard Configuration Protection (SG
CP) empêche l'ordinateur de recevoir du
code potentiellement malveillant et garantit
la prévention des fuites de données en
limitant l'exportation non autorisée de
données confidentielles via certains ports
de communication ou périphériques. Toutes
ses fonctions et clés sont administrées de
manière centralisée par le SafeGuard Enterprise
Management Center.
peut aussi configurer des politiques basées sur
les types de périphériques, les types de fichiers
ou même les périphériques individuels. Pour ces
derniers, SafeGuard Auditor, un outil fourni simple
à utiliser, examine les clients sur le réseau et édite
des rapports centralisés sur tous les périphériques
qui sont ou qui ont été connectés, afin d’alimenter
la liste blanche pour la mise en place de la
politique de sécurité.
SafeGuard Enterprise Security Engine
Le SafeGuard Enterprise Security Engine est le
moteur de toutes les opérations de chiffrement.
Il a été conçu pour répondre à toutes les normes
actuelles dans le souci d'obtenir un niveau optimal
de souplesse et de sécurité. Le Security Engine de
SGN garantit que :
» Des algorithmes de chiffrement puissants
sont présents sur toutes les plates-formes
prises en charge, y compris les pilotes des
périphériques.
» Toutes les normes, algorithmes et protocoles
utilisés dans ce cadre-là sont disponibles de
manière centralisée.
» Les certificats de sécurité (par ex. FIPS)
s'appliquent pour tous les composants.
» Les nouveaux algorithmes (par ex. les
algorithmes spécifiques aux clients ou
aux pays) et les dispositifs de chiffrement
(par ex. les cartes à puce ou les jetons
d'authentification, les modules Trusted
Platform) peuvent être connectés à SafeGuard
Enterprise de manière simple et efficace.
En plus des restrictions de lecture/écriture sur les
ports de type USB, FireWire, WLAN ou Bluetooth,
pour n'en citer que quelques-uns, l'administrateur
Livre blanc Sophos
Comment protéger les données contre le vol et garantir leur confidentialité, quel que soit leur emplacement de stockage
Boston, Etats-Unis | Oxford, Royaume-Uni
© Copyright 2009. Sophos Plc.
Toutes les marques déposées et tous les copyrights sont compris et reconnus par Sophos.
Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou
transmise, sous quelque forme ou par quelque moyen que ce soit sans le consentement préalable écrit de l'éditeur.