usage en ligne : solutions alternatives sécurisées · •upmc : sharepoint, ent, redmine,...
TRANSCRIPT
Usage en ligne : solutions alternatives sécurisées
Assemblée des CSSI 02/02/2016
Ludovic BILLARD, Paulo MORA DE FREITAS, You-Heng EA
Introduction
• Multiplicité des offres « gratuites » et « grand public »
• Existe-t-il des alternatives plus sécurisées?
• Voici une partie des réponses…
• Outils proposés par les tutelles (CNRS, ENS, INSERM, UPMC) et RENATER
2 AG CSSI 02/02/2016
Messageries et listes de diffusion
• Beaucoup, BEAUCOUP de comptes gmail, hotmail, autres FAI etc..
• Confier ses emails professionnels à un tiers : Pourquoi? Volume de stockage? Accessibilité n’importe où? Fonctionnalités annexes?
• Mélange du privé et du professionnel (données et mots de passe)
• Pas de sauvegarde en cas de suppression des emails!
• Usage de la messagerie comme espace d’archivage (mots de passe, documents sensibles, etc.)
• Ces comptes sont aussi la cible d’attaques, et en général les incidents ne sont pas remontés
3 AG CSSI 02/02/2016
Messageries et listes de diffusion
Nos tutelles nous proposent des services de messagerie :
• CNRS : Messagerie centralisée Exchange, gratuit jusqu'à un seuil défini par la taille de l’unité, adhésion par unité
• ENS : Messagerie par départements et CRI : sendmail/postfix, listes de diffusion, antispam, antivirus, sauvegardes
• UPMC : Exchange (administration), sendmail, sauvegarde, listes de diffusion, antispam RENATER (domaine @upmc.fr)
4 AG CSSI 02/02/2016
Hébergement & partage de fichiers : le CLOUD
• Définition (Wikipédia) : « ..ensemble de matériel, de raccordements réseau et de logiciels qui fournit des services sophistiqués que les individus et les collectivités peuvent exploiter à volonté depuis n'importe où dans le monde.. »
• Aujourd’hui de nombreuses offres grand public existent : dropbox, google drive, icloud, onedrive etc…
• Plusieurs Go gratuits, plus d’espace en version payante
• Question : que risque t’on à utiliser ces outils?
5 AG CSSI 02/02/2016
Hébergement & partage de fichiers : le CLOUD
• Quelles données peut-on y stocker?
Rien de CONFIDENTIEL, NOMMINATIF ou SENSIBLE pour le métier (confier des données au n°1 mondial de la recherche par mot clef??)
• Législation floue (patriot act) et dépendante du pays hébergeur
• Si VRAIMENT pas le choix : CHIFFRER!
6 AG CSSI 02/02/2016
Hébergement & partage de fichiers : le CLOUD
Les alternatives de nos tutelles :
• CNRS - MyCore : Owncloud, 20 Go / utilisateurs, authentification Labintel, adhésion individuelle
• ENS - Owncloud : Serveurs CRI + départements
• RENATER - Filesender : envoi de fichiers volumineux (20Go max), adhésion individuelle
• UPMC - Filesender : envoi de fichier volumineux (4Go max), authentification fédération identité + CAS, ENT (Alfresco)
7 AG CSSI 02/02/2016
Hébergement WEB
• Externalisation : hébergeurs gratuits (FAI ou avec publicité) ou payants (GANDI, OVH etc.).
• Problème : CMS mis à jour de façon payante (contrat), peu / pas de remontée d’incidents, bande passante non garantie
• Pas accès direct/simple aux logs en cas d’incident • Prévoir les clauses contractuelles adaptées (qui patche? Audit possible du
prestataire? Procédures de traitement des incidents)
OU • Hébergement des serveurs dans les unités : gestion des mises à jour (serveurs,
sgbd) et/ou CMS, applications souvent compliqué (ressources humaines)
8 AG CSSI 02/02/2016
Hébergement WEB
Offres d’hébergement de nos tutelles :
• CNRS : fermes SPIP, JOOMLA, DRUPAL ou LAMP libre, adhésion par unité. 3 packs gratuits. URL en .cnrs.fr non obligatoire
• ENS : serveurs au CRI et par départements
• UPMC – AMETYS : gratuit
• RENATER : peut enregistrer les noms de domaines! (.fr, .info, .eu ..)
9 AG CSSI 02/02/2016
Conférence audio / vidéo : Skype
• Rappel de la réglementation dans l’enseignement supérieur et la recherche : note du HFDS sur l’interdiction d’utiliser skype dans notre environnement.
Les causes :
• Code source propriétaire (écoute possible)
• Sans garantie de service
• En somme, PARFAIT …
10 AG CSSI 02/02/2016
Conférence audio / vidéo : Skype
• Rappel de la réglementation dans l’enseignement supérieur et la recherche : note du HFSD sur l’interdiction d’utiliser skype dans notre environnement.
Les causes :
• Code source propriétaire (écoute possible)
• Sans garantie de service
• En somme, PARFAIT … pour parler avec Tata Jeannine!
11 AG CSSI 02/02/2016
Conférence audio / vidéo : Skype
Alternatives proposées par nos tutelles : • CNRS – MyCom : Service Skype Pro privé, gratuit, ouvert à tout
personnel dans Labintel. Mise en production au niveau national premier semestre 2016. Adhésion individuelle.
• RENATER – RENAVISIO : H323 et/ou téléphone, clients légers, gratuit. Adhésion individuelle
• RENATER - RENdez-vous : WebRTC, limité actuellement aux navigateurs Chrome, Chromium et Opéra. Gratuit, Adhésion individuelle.
• UPMC - Seevogh, Skype Pro privé (administration), salles de visioconférence
12 AG CSSI 02/02/2016
Calendriers partagés
• Google Calendar? => largement utilisé car beaucoup de personnes disposent d’un compte gmail (et/ou android?)
• Impacts moindres en cas d’utilisation de ce service
• « offert » avec un compte gmail
13 AG CSSI 02/02/2016
Calendriers partagés
Néanmoins il existe quelques solutions :
• CNRS – messagerie : agendas associés à l’offre de messagerie centralisée, adhésion par unité
• ENS – Owncloud : agendas associés, par CRI et départements, gestion des salles
• RENATER – Partage : Zimbra, payant, adhésion par établissement
• UPMC – exchange : agendas associés à la messagerie (adminsitration)
14 AG CSSI 02/02/2016
Planification de réunion
• Doodle, doodle et doodle et Framadate
• Pas d’impact majeur, mais des alternatives existent, pourquoi s’en priver?
Les alternatives
• ENS – RDV : adhésion individuelle
• RENATER – foodle : adhésion individuelle, fédération d’identité et invitation de personnes extérieures par email
15 AG CSSI 02/02/2016
Clustering, calcul, VMs..
• Les acteurs grand public (payant) : OVH, AMAZON
Des solutions existent dans notre environnement
• CNRS : location de VM et stockage
• Grilles de calcul
• ENS : serveurs de calcul
• UPMC : Offre d’hébergement en cours de réalisation, DSI/ICS pour le calcul
16 AG CSSI 02/02/2016
Sauvegardes en ligne
• Offres grand public, pourquoi pas mais attention, toujours exclure les données professionnelles!
• Confier ses sauvegardes à un tiers : Confidentialité? Disponibilité? Intégrité? Qui peut y accéder et comment?
Nos tutelles nous proposent quelques solutions : • CNRS : Sauvegarde à distance de document PRA (Plan de Reprise
d’Activité). Adhésion par unité, payant • ENS : Par départements et CRI, stockage à distance, sauvegarde de
postes de travail, sauvegarde de serveurs sur LTO. • UPMC : Sauvegarde sur bande et disques (en cours d’étude)
17 AG CSSI 02/02/2016
Collaboration et partages structurés
• Wikis, forums, Office 365, DropBox entreprise, EndNote…
Les tutelles nous proposent les services suivants :
• CNRS : CoRe (SharePoint) : espaces gratuits jusqu’à 22 Go / unité. Adhésion par unité
• ENS : fermes de wikis (mediawiki / dokuwiki)
• UPMC : SharePoint, ENT, Redmine, Esup-Portail, OAE
18 AG CSSI 02/02/2016
Cahiers de laboratoire
Une plateforme existe (certainement d’autres) : Blenching. Problème principal, la confidentialité des données et le partage facilité avec des liens vers dropbox.
L’INSERM travaille actuellement sur un projet de cahier de laboratoire.
L’ENS est en test avec la plateforme ElabFTW
19 AG CSSI 02/02/2016
Sondage
• Google est encore là avec ses GoogleForms, ou d’autres moins connus (sites hébergeant parfois du phishing )
Nos tutelles nous proposent des implémentations l’hébergement de questionnaires via LimeSurvey (ENS, UPMC) : déclaration CIL intégré aux demandes
20 AG CSSI 02/02/2016
Conclusion
• Beaucoup d’offres grand public alléchantes (gratuites) existent, mais gare aux clauses et à leurs conséquences!
• Nos tutelles nous proposent de services qui évoluent plus lentement que les offres grand public, mais sont garantis!
Si un service est gratuit, la philanthropie des grands acteurs du web état une légende, donc le produit c’est soit vous, soit vos données!
21 AG CSSI 02/02/2016
Merci
Liens :
• http://www.offres-de-services-labos.net (CNRS)
• http://partage.spi.ens.fr (ENS)
• http://www.renater.fr/services (RENATER)
• UPMC : en catalogue en cours de réalisation
22 AG CSSI 02/02/2016