Wednesday, November 21, 2007

La sécurité : Jusqu’à quel point?

La sécurité : Jusqu’à quel point?

La sécurité soulève plusieurs points qui sont à débattre. Toutes les mesures de sécurités technologiques ont leurs limites. Elles peuvent être contournées par le facteur humain parce que n'importe quelle personne assez déterminée pour obtenir des informations va y parvenir (Au moyen d’une caméra, en l’écrivant sur un bout de papier ou encore en la mémorisant). Ces moyens ne font que limiter, et ne peuvent empêcher les fuites.

Le but ultime de ces actions est d’empêcher la transmission accidentelle ou négligente des données sensibles tout en ayant un moyen de suivre le parcours d’un document (Types d’actions posées sur un document, Historique d’accès sur un document, etc.)

Les organisations ne devraient pas s'attendre au contrôle total de l'utilisation de document et l'accès, Cependant, les applications de gestion de droits fournissent des outils de vérifications importants, et elles peuvent empêcher la transmission accidentelle ou négligente des données sensibles.

De là, l'importance que le détenteur de l’information établisse des règles claires quant à l'utilisation des données. Par la suite, ces règles devraient être communiquées aux utilisateurs, par divers moyens, afin de les sensibiliser sur l’importance des données qu’ils manipulent.

Le logiciel Lotus Notes d’IBM est un produit sécuritaire s’il est utilisé dans les règles de l’art. La sécurité Lotus Notes s’applique à plusieurs niveaux. Pour n’en nommer que quelques uns :

L’accès réseau
Chiffrement des ports de communications
L’accès au serveur Domino
Utilisation d’un identifiant autorisé (Certificat)
L’accès aux bases Lotus Notes
Liste de contrôle d’accès
Base chiffrée
L’accès aux documents
Utilisation de champs Lecteurs et Auteurs
Clés de chiffrement privées (Encryptions)
L’accès aux valeurs contenues dans les champs
Clés de chiffrement privées sur les champs (Encryptions)


Des moyens supplémentaires pourraient être envisagés.
• Implantation d’un processus de gestion de la sécurité;
• Implantation d’une gestion centralisée des accès;
• Implantation d’un module de journalisation des accès des utilisateurs;
• Implantation d’un module de journalisation des accès et des actions posées par les administrateurs et le pilote.
• Implantation d’un système de DRM (Digital Right Management).

Implantation d’un processus de gestion de la sécurité

Un questionnement doit être effectué relativement à ces processus de gestion de la sécurité. Il faut se questionner entre sur :

• Les processus de gestion actuellement en place;
• Le type de gestion désiré en fonction de l’importance des données;
• Les efforts de mise en œuvre;
• Les impacts de ne pas avoir de processus de gestion de la sécurité;
• Les risques reliés;
• Comment implanter une gestion de la sécurité
 Politique de sécurité de l'information

Pour mettre en œuvre votre politique de sécurité de l'information, il faut communiquer régulièrement avec vos employés pour les sensibiliser à l'importance et à la valeur des données détenues par votre organisation, aux obligations légales que vous devez respecter dans l'utilisation de ces renseignements et aux comportements qu'ils doivent adopter afin d'en assurer la sécurité en tous temps.

Au-delà du protocole prévu lors de l'embauche et de la déclaration annuelle d'engagement que vous pouvez intégrer à la gestion de vos ressources humaines, il est important d'informer régulièrement vos employés en utilisant une gamme de moyens qui renforceront vos messages et les inciteront à adopter des comportements sécuritaires.

Pour rentabiliser vos efforts de communication, il est important de bien les planifier.

Votre plan de communication doit permettre de préciser vos objectifs ainsi que les publics que vous devez atteindre. Vous devez aussi établir vos stratégies et le programme des activités qui se réaliseront sur une période déterminée et respecteront les contraintes et la culture de votre entreprise. Le choix des outils et des activités qui auront le meilleur impact dépend souvent de la qualité et de la rigueur de votre effort de planification.

 Informer les utilisateurs
 Des notes de confidentialité dans les applications
 Des formulaires d’engagement renouvelés annuellement
 L’implantation de module de journalisation des accès

Selon les choix précédents, communiquer cette information aux clientèles ciblées en leur mentionnant une description des nouveaux processus, des avantages, bref du pourquoi d’une telle décision. Cette gestion de la sécurité permettrait d’établir des balises et des règles claires connues de tous.


Implantation d’une gestion centralisée des accès


Un nouveau processus de gestion de la sécurité serait à mettre en place permettrant de gérer la sécurité de façon centralisée au moyen d’une table de pilotage.

Ces accès seraient définis en regard de la liste de contrôle d’accès (LCA). Chaque base de documents Lotus Notes contient une liste de contrôle d'accès, que Notes utilise pour déterminer le niveau d'accès des différents serveurs et utilisateurs. Les niveaux d'accès attribués aux utilisateurs déterminent les tâches qu'ils sont en droit d'effectuer sur la base de documents. Seuls les utilisateurs bénéficiant de l'accès Gestionnaire peuvent modifier une LCA.


Implantation d’un module de journalisation des accès.

Ce type de modules est en place dans plusieurs applications Lotus Notes de divers organismes. Ces mécanismes de sécurité additionnels ont été ajoutés aux systèmes afin de rendre ces systèmes conformes aux exigences de la Commission des accès à l'information du Québec (CAIQ). Chaque action effectuée par un intervenant - lecture, écriture, impression, suppression - est automatiquement journalisée et conservée pour une période minimale de deux ans. Ceci n’est qu’un exemple de ce qui pourrait être accompli. Il faut entre tenir compte de la période de conservation qui doit être celle déterminée par le calendrier de conservation (Loi sur les archives).

De plus, la Loi sur l’accès à l’information fut récemment modifiée. Il est important de mentionner l’article 63.1 :
63.1. Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

Ainsi, il est possible de savoir facilement si un intervenant a pris connaissance d’un dossier et les actions que ce dernier a effectuées.

Selon les mesures de la CAIQ, voici le type d’informations qui peut être colligées dans le réseau RSSSS (-http://www.cai.gouv.qc.ca/06_documentation/01_pdf/exigences_rsss.pdf),

Tous les accès aux renseignements nominatifs doivent être journalisés. La journalisation permettra obligatoirement de connaître :
• le code d’identification de l’utilisateur;
• le nom du fichier auquel il a eu accès;
• le numéro du dossier concerné;
• l’accès en cause (création, lecture, modification, destruction d’un dossier);
• le code de transaction ou le nom du programme (indiquer le plus précis des deux);
• la date (année, mois, jour) de l’accès;
• l’heure (heure, minute, seconde) de l’accès.
Ces informations peuvent être emmagasinées dans les dossiers des usagers ou dans un fichier séparé.
• Les accès non autorisés doivent être vérifiés.
• Pour les tâches d’impression des données nominatives de tous les dossiers d’un fichier, il n’est pas nécessaire de journaliser les numéros de dossiers concernés;
• les autres items mentionnés précédemment doivent cependant l’être.
• Ces journalisations doivent être conservées pendant deux ans; cependant, si une enquête ou des procédures judiciaires sont instituées, elles devront être conservées tant que l’affaire ne sera pas réglée.
• Avec la journalisation des accès, l’informatisation des dossiers des bénéficiaires permet de repérer aisément l’employé qui aurait pris connaissance sans raison du dossier d’un bénéficiaire. Des sanctions peuvent donc être prises à l’endroit de ces personnes.





L’implantation d’un système de journalisation des accès comporte des avantages et des inconvénients :

Avantages

Les bénéfices pour l’organisation se situent à plusieurs niveaux:

Pour l’Organisation :
• Protection des informations. Toutes les activités réalisées sont enregistrées.
• Sauve du temps car si une intrusion se produit, nous sommes en mesure de trouver plus rapidement des éléments d’enquête.
Pour responsable de la sécurité de l’information
• Gestion plus facile car il peut valider en temps réel les accès et répondre plus rapidement aux requêtes de sécurité, en tenant compte des limites imposées par la loi.
Pour les Administrateurs
• Support plus facile car il peut fournir l’information plus rapidement à savoir par exemple pourquoi un document est disparu. Évidemment, ces types d’interventions sont consignées et se font selon une procédure établie;
Pour les Développeurs
o Permet de se concentrer sur le développement de l’application et non pas sur le support dans le cas par exemple d’une suppression de documents. Dans certains cas, il est impossible de reproduire un cas fictif dans un environnement de développement. Bien qu’un développeur ne devrait pas intervenir en production, ni utiliser des données de production pour fins de tests (Voir (page 7 - 5.6): http://www.cai.gouv.qc.ca/06_documentation/01_pdf/guide.pdf, l’accès aux données de production est parfois requis.



Comme mentionné précédemment, cette journalisation permet de connaitre :
• Qui a accédé au document?
• Quelle action fut accomplie?
• Qui a modifié le document?
• Quand la modification a-t-elle eu lieu?
• Qu’est-ce qui fut modifié exactement (Valeurs avant et après)?





Inconvénients

La journalisation a un coût :

• En acquisition logiciel (S’il y a lieu)
• En implantation
o Efforts requis pour le déploiement technique de ce type de module;
o Communiqués aux utilisateurs;
o Suivis et mises-à-jour des processus administratifs.
• En performance du système
o Tout dépendant de ce que l’on désire enregistrer. Si on décide de garder toutes les traces d’ouverture de chacun des documents, cela peut devenir pénalisant pour le serveur car c’est l’action la plus fréquente.
• En espace disque
o Le journal des accès grossit au fil du temps et tout dépendant de la durée de rétention des accès, il grossit d’autant plus. Il faut alors prévoir un mécanisme d’archivage et/ou de purge des documents de journalisation.
• En temps d’analyse et de traitement des données
o Il faut idéalement prévoir un mécanisme de production de rapports sur les accès. Comme mentionné précédemment, le volume de données produit peut devenir assez important dépendant de l’action de journalisation réalisée.
• En maintenance
o Il faut prévoir du temps pour valider que le système répond encore au besoin (Tests d’intrusions, amendements aux lois, règles de la CAIQ, etc.).

Un module est actuellement disponible sur Internet et est parfaitement intégré au logiciel Lotus Notes. Il est géré directement au niveau du serveur, donc aucun moyen pour l’utilisateur de le contourner. Les tests préliminaires sont très concluants et les rapports produits sont très précis sur le type d’actions accompli ainsi que les heures où ces actions se sont produites.
Qui plus est, cette solution est entièrement gratuite et ne nécessite pas l’acquisition de licences spéciales autant pour les utilisateurs, le pilote, les administrateurs Lotus Notes .

Implantation d’un système de DRM (Digital Right Management)
L’acronyme DRM (Digital Right Management) désigne les systèmes qui permettent de gérer les usages d’un fichier. Ces solutions permettent ainsi de spécifier que :
• Le fichier ne pourra être copié ;
• Le fichier ne pourra être modifié
• Le fichier ne pourra être consulté au delà d’une certaine date
• Etc.

Besoin à combler par les DRM

• Intégration avec Lotus Notes ;
• Empêcher certaines actions (Copie, Impression, autres);
• Notion d’approbation avant altération;
• Intégration avec tous les types de formats de fichiers :
• Le produit doit être aussi facile à employer AVEC que SANS la sécurité;
• Facile à déployer et entretenir.

Architecture technique
La difficulté majeure de mise en place d’une architecture fonctionnelle d’un système de DRM réside dans le fait qu’elle doit être : « divided in three areas: content creation, content management and content usage. Content creation includes the creation of the media and defining the rights. Content management is about content distribution and trading of the rights. Finally, content usage is used to enforce that rights are adhered to and to track content usage ».





Divers types de produits furent regardés dans le domaine du DRM (Digital Right Management).Tout d’abord, mentionnons que des initiatives « Open source » sont actuellement en cours. Nous pouvons citer par exemple, l’initiative de SUN « Open Media Commons » (http://www.openmediacommons.org/). Par contre, ces dernières en sont au stade embryonnaire n’ayant pas atteint un niveau de maturité (fiabilité) suffisant.
De plus, un débat est parallèlement en cours concernant les DRM et l’accès aux fichiers de types « Open Source ».
http://www.zdnet.com.au/news/software/soa/NZ_government_defends_DRM_policy/0,130061733,339270909,00.htm

Cette liste s’est volontairement limitée aux plus connus et qui étaient dans la même gamme de fonctionnalité que le produit « Adobe LifeCycle Policy Server ». Ils sont présentés ici avec une description sommaire ainsi que lorsque disponible, une évaluation des coûts d’acquisition étant donné ces produits ne sont pas « Open Source ».


« Adobe LiveCycle Policy Server 7.01»




Sommaire :
« Adobe LiveCycle Policy Server» (www.adobe.com) est outil puissant et flexible de gestion des accès. C’est le seul produit offrant le support pour les clients MAC. Le système offre aussi une bonne journalisation des accès.
Ce produit ne fonctionne qu’avec Acrobat 7.0 et est inutilement compliqué lors de l’intégration avec le répertoire d’entreprise (Active directory)

Coûts:
Le coût de la licence serveur débute à environ 60000$ canadiens. Selon les recherches, cela inclurait 500 licences à un coût de 100$ par utilisateurs.

Licences par usager
Moins de 500 licences Environ 100$ Canadiens par usagers
1000 à 5000 licences Environ 80$ Canadiens par usagers
5001 licences et + Environ 65$ Canadiens par usagers
Licences par types de documents
Environ 15 600$ Canadiens par types d’extension
Si plus de 50 types d’extension, le coût par extension diminue environ de moitié.

Apparu avec la version 7.0 d’Acrobat. Cet outil est basé sur Java et peut donc être utilisé de façon multi-plate-frome pour Linux, Unix and Windows. Il fonctionne aussi avec les serveurs JBoss, IBM WebSphere et BEA WebLogic. Il offre le support pour les serveurs relationnels tels MySQL, Oracle, IBM DB/2 et Microsoft SQL Server.
Le pré-requis essentiel est l’utilisation d’un répertoire LDAP compatible. Adobe recommande l’utilisation de l’Active Directory de Microsoft, Sun One Directory Server ou Novell eDirectory. L’installation est simple et clairement documentée.
Le « Policy Server » est un système « Standalone » et tous les utilisateurs doivent avoir accès au serveur et doivent de plus être inscrits dans le répertoire LDAP.
Note :
La liste des contrôles possibles est assez vaste. On peut déterminer un cycle de vie sur un fichier même si l’utilisateur est hors-ligne. Même hors-ligne, on document peut être protégé contre la copie ou le suivi.
L’accès recommandé est l’accès en ligne pour un niveau supérieur de sécurité.
Toute cette sécurité est importante car elle rend difficile la copie, mais pas impossible. Avec un logiciel de capture d’écran ou un OCR, il est possible de reconstruire un document. Malgré la diversité des contrôles possibles, étant donné que l’on pourrait photographier le document, le seul avantage de ce logiciel est de permettre la journalisation et le suivi des documents







« Authentica Active Rights Management »



Sommaire:

« Active Rights Management » d’Authentica » (www.authentica.com) est en mesure de coller à plusieurs applications de type Windows et peut s’intégrer à plusieurs types de systèmes d’authentification.
L’interface d’administration est dénudée mais permet tout de même une variété étendue de possibilités de gestion des accès.

Coûts:
Les coûts sont comparables aux autres options sur le marché et sont dépendant de la plate-forme et du nombre de clients. Les prix débutent à 30 000$ Canadiens. Ce qui inclurait une licence pour 200 utilisateurs.

Fichiers traités: .Word ,. ppt ,xls

« Liquid Machine Document Control 5.0 »



Sommaire:
« Liquid Machines Document Control » (www.liquidmachines.com) est un produit flexible. Pour l’élaboration d’un système de gestion des accès, l’outil client contient beaucoup d’options intéressantes. La production de rapports et les possibilités de journalisation des accès sont très bonnes.
Ce produit offre une gestion de la sécurité pour une multitude de produits.
Ce produit ne fonctionne pas avec les clients Mac.

Coûts :
Le serveur « Liquid Machines Document Control » se détaille environ 17000$ Canadiens. Les licences clients se détaillent entre 10 et 120$ canadiens basées sur le nombre de clients. Un achat minimum de 100 licences est requis.
Le mode de fonctionnement déconnecté est possible mais le client doit parfois se connecter au serveur de politiques afin de rafraîchir la liste des permissions.
L’installation est parfois compliquée. L’installation requiert l’utilisation de SQL server 2000. Il semble aussi que la version 2005 serait supportée. L’authentification se fait normalement au moyen de l’Active Directory.
Ce produit supporte plus de 65 types d’extension de fichiers différents tels que les produits Office et Adobe.
Note :
Un point faible concerne la documentation. Cette documentation prend pour acquis un certain niveau d’expertise entre autre pour l’installation des certificats SSL.
Un déploiement type débute au environ de 40 000$ canadiens. Le support n’est pas inclus dans ce prix et il doit être ajouté à ce coût.

« Microsoft Windows Rights Management Services SP1»






Sommaire:
« Windows Rights Management Services» de Microsoft (www.microsoft.com) est plus une plate-forme de développement qu’un outil de gestion complet des accès se basant plus sur les développeurs pour ajouter du support et des fonctionnalités aux clients. L’intégration ne se fait qu’avec OutLook et Microsoft Office.
Coûts :
« Windows Rights Management Services » de Microsoft fait partie de Windows 2003 mais pour être utilisé, des licences clients doivent être acquises. Afin de créer des documents sécurisés, le coût des licences est de 43$ Canadiens par utilisateur. De plus, si une compagnie désire exposer la gestion des documents à l’extérieur de son organisation, un connecteur est requis. Le coût de ce connecteur est d’environ 21 000$ Canadiens. La licence ne mentionne pas si cela est requis pour chaque site externe.

Note :
• Nécessite l’emploi de programmeurs afin de développer des modules de gestion.
• Ce produit est mieux adapté pour les entreprises qui effectuent leur communication au moyen des produits Microsoft.
• La cohabitation n’est qu’avec Outlook et Office 2003;
• Se base entre autre sur des certificats chez disponible chez Microsoft.
• Génération de rapports déficients.

Méthode d’évaluation

Si la voie envisagée est l’acquisition d’un logiciel de « DRM », voici quelques points à prendre en considération outre son intégration avec le système de gestion documentaire. Cette liste n’est pas exhaustive :

Disponibilité:
Est-ce que le système est toujours accessible?
Il est sujet aux pannes ou aux arrêts?

Facilité d’utilisation:
Est-ce que le système est intuitif?
Est-ce facile pour les utilisateurs courants?

Interopérabilité:
Est-ce que le système s’intègre bien avec tous les types de serveur/logiciels?
Est-ce qu’il supporte plusieurs standards?

Gestion:
Est-ce facile de gérer le système dans son ensemble sur une base régulière?

Performance:
Est-ce que le produit répond aux attentes?

Sécurité:
Est-ce que la solution est sécuritaire?
Ouvre-t-elle des brèches potentielles de sécurité?

Fiabilité:
Est-ce que les résultats attendus sont conformes aux tests exécutés?

Évolutive:
Est-ce que la solution peut s’accommoder d’un nombre croissant d’utilisateurs? A-t-elle une limite?

Mise en place:
Est-ce que l’implantation de la solution et le temps requis d’implantation est similaire aux produits de même gamme?

Support:
Est-ce que le niveau de support est adéquat?
(Documentation, support en ligne, support direct du fournisseur)

Valeur:
Comment est la valeur globale du produit en relation des produits similaires offrant de possibilités similaires?

Points complémentaires

Advenant le cas où la gestion de la sécurité en un lieu central, l’implantation d’un module de journalisation des accès ainsi que l’implantation d’un DRM ne suffisaient pas, d’autres mesures pourraient s’ajouter. Ces dernières ne sont pas présentées par leur ordre d’importance :

 Interdiction d’utiliser des clés USB ou désactivation de ces ports de communications.
 Si des clés USB sont autorisées, elles devraient être chiffrées et ne fonctionner que sur certains postes de travail pré-identifiés;
 Chiffrement des bases sur le serveur;
 S’assurer que les ports de communications sont chiffrés.
 Déployer de nouvelles clés de chiffrements conjointement avec la mise en place d’une gestion de la distribution des clés de chiffrement ;
 Mettre en place une procédure formelle de gestion des demandes d’accès car aucune demande verbale ne devrait être acceptée.
 Consigné par écrit et conservé ces demandes avec certaines informations telles que l’approbation du supérieur, date de la demande, motifs des cette demande, etc.
 Revoir la méthode d’accès aux fichiers attachés
o C’est souvent dans ces documents que se trouvent les informations les plus sensibles. Plusieurs méthodes pourraient être employées. Il faudrait retirer l’accès direct aux documents attachés. Ces derniers seraient dans une section sécurisée du formulaire. La liste des fichiers attachés disponibles serait affichée aux utilisateurs. Ce dernier devrait choisir le fichier désiré. Cette consultation serait journalisée,
 La sécurité sur les documents empêcherait l’utilisation des menus d’impression traditionnels. Toute demande d’impression serait aussi journalisée.
 Cette sécurité empêcherait aussi les utilisateurs de faire suivre les documents par courrier électronique.
 Toutes tentatives d’altération des documents seraient journalisées.
 Tous les documents pourraient contenir un filigrane au nom de l’utilisateur courant. Donc, si une photographie, une capture d’écran ou une impression avait lieu, le nom de l’utilisateur serait présent en arrière-plan du document.


Note sur les captures d’écrans

Sachant que ce type de logiciel ne pourrait être retiré sans provoquer de remous chez les utilisateurs, un logiciel est présentement à l’étude afin de capturer les combinaisons de touches qui activent ce type de logiciel. Ce produit est offert à coût minime et est compatible avec Lotus Notes sur les postes Windows. Cet outil permettrait, sans désactiver la possibilité de capturer l’écran pour les autres logiciels, de journaliser cette action dans les bases Lotus Notes.


L’utilisation de tous ces moyens, sans empêcher les problèmes de confidentialité permettrait de décourager la plupart des utilisateurs d’effectuer des actions compromettantes.

Des solutions plus robustes

Si on désire pousser plus loin la sécurité, voici des avenues qui seraient à envisager :

 Accès à seulement certaines adresses IP;
 Accès aux applications dans les heures ouvrables;
 Accès à seulement quelques postes de travail localisé dans un endroit fermé avec accès consigné.
 Accès téléphone interdit dans ce local (De table, cellulaire ou autres);
 Accès à une imprimante dédié est envisagée;
 Les fichiers temporaires des postes devraient être supprimés après impression;
 Afin d’obtenir la copie papier, l’imprimante serait sous scellée accessible que de certains personnes (ou autre comme un gardien de sécurité). Encore une fois, l’impression des documents seraient consignées;
 Aucun accès au courrier électronique (Interne ou externe);
 Aucun accès Internet;
 Communication que via le port Domino (NRPC port 1352);
 Utilisation de postes de type Citrix\Terminal server






En conclusion, l’amélioration de la sécurité apporte plusieurs points de discussion. Toutes les mesures technologiques peuvent être contournées par le facteur humain. De là, l'importance d'établir des règles claires sur l'utilisation des données en notre possession. Par la suite, ces règles devraient être communiquées aux utilisateurs, par divers moyens, afin de les sensibiliser sur l’importance des données en leur possession


Liens

Enterprise DRM products protect documents from prying eyes
http://www.infoworld.com/article/06/08/31/36TCdrm_3.html

« Authentica Active Rights Management »
http://www.eweek.com/article2/0,1895,1830984,00.asp

« Microsoft Windows Rights Management Services SP1»
http://www.eweek.com/article2/0,1895,1830816,00.asp

« Adobe LiveCycle Policy Server 7.01»
http://www.eweek.com/article2/0,1895,1830962,00.asp

« Liquid Machine Document Control 5.0 »
http://www.eweek.com/article2/0,1895,1830901,00.asp

Why Document DRM will Replace Encryption as the Standard for Document Protection
http://hosteddocs.ittoolbox.com/SH010705Avoco10705.pdf