Sécuriser SharePoint signifie :
- Sécuriser le système d’exploitation Windows (2003 ou 2008)
- Sécuriser le moteur web IIS, et l’application elle même
- Sécuriser les données stockées sur MOSS : le challenge !
Certaines contre-mesures sont directement liées à Sharepoint comme le positionnement des permissions, les logs… d’autres contre-mesures seront en revanche du ressort de Intelligent Application Gateway. A titre d’exemple, un même serveur physique peut à la fois contenir des données sans réelle valeur marchande (en bleu dans notre diagramme de la figure 6) mais aussi des documents beaucoup plus attrayants pour des voleurs (en rouge) comme de recherche et développement, de plan marketing, de données financières, etc.
En cas de vol, cela pourrait compromettre l’activité de l’entreprise mais nous allons y remédier. L’enjeu ici est donc de trouver un ensemble de contre-mesures pour éviter ce vol, ou cette perte d’information. Comment éviter cela ? Prenons des cas simples pour illustrer la démarche. Ces scénarios renferment tous des risques de sécurité que IAG va être en mesure de modéliser.
Pour tous ces exemples, nous allons positionner une politique de sécurité sur l’évènement « DOWNLOAD » illustrée dans la capture écran sous le nom de « FEPosteConforme ». Notre politique indique qu’un poste d’entreprise doit avoir l’antivirus Microsoft d’installé, le composant AttachmentWiper de IAG (efface le cache après utilisation d’une application, ou crash de l’OS), et Windows Vista. L’analyse du poste est extensible très facilement, vous pouvez donc imaginer n’importe quel critère comme une clé de registre, un nom de domaine AD…
Dans notre premier exemple, l’utilisateur connecté est conforme à la politique d’accès car conforme à la politique « FEPosteConforme ».
Pour le second en revanche, télécharger un document à forte valeur depuis un poste « non managé » renferme trop de risques. Nous bloquons le flux, mais affichons à l’écran une explication pour l’utilisateur. En effet, mettre l’utilisateur « au centre » de la problématique de sécurité est une obligation pour être efficace dans la durée. �
Cette notion de « poste d’entreprise » est possible grâce à la capacité d’IAG de modéliser le poste de travail (analyse d’environ 300 points de contrôle). Ensuite, par application et/ou par fonction (notre DOWNLOAD par exemple), nous allons positionner des politiques de sécurité pour chaque contre-mesure. Notez également qu’il est possible de faire des politiques différentes pour les postes Windows, Macintosh et Linux.
Dans le troisième cas (en fait une variante de notre cas 1) nous voulons éviter le vol du document par vol du support physique, c’est-à-dire de l’ordinateur. Pour réaliser cela, il suffit de vérifier si le disque dur de l’utilisateur est protégé par bit locker de Windows Vista. Dans ce cas, le disque est chiffré et donc illisible pour le voleur.
Le 4ème cas est très intéressant. Les financiers (notre exemple) pourraient nous indiquer qu’ils ont besoin de lire ces documents depuis n’importe où. Ils pourraient également indiquer qu’ils ont besoin d’échanger ces documents à travers différents médias, par clé USB par exemple.
Dans ce cas 2 « bis » l’approche sera différente. Vous allez protéger numériquement les documents exposés grâce à RMS, Windows Right Management Services. Le document est stocké dans une librairie SharePoint sur laquelle nous avons activé RMS. Lors de la demande de téléchargement, IAG va laisser passer le flux et Sharepoint/RMS va à la fois chiffrer et protéger ce document par des droits d’usage (lecture ok, mais pas impression, pas modification,…).
Ainsi en web café, sur une clé USB ou autre, l’accès au contenu du document sera lié à la capacité de l’utilisateur (votre financier, ou votre voleur) à préalablement prouver son identité. Par « prouver son identité » je veux dire ici « s’authentifier » pour obtenir un droit d’usage (droit de lire le document). Ainsi, même en cas de vol du fichier, il est inexploitable.
