FR2936628A1 - Plate-forme de reseau informatique - Google Patents

Plate-forme de reseau informatique Download PDF

Info

Publication number
FR2936628A1
FR2936628A1 FR0805305A FR0805305A FR2936628A1 FR 2936628 A1 FR2936628 A1 FR 2936628A1 FR 0805305 A FR0805305 A FR 0805305A FR 0805305 A FR0805305 A FR 0805305A FR 2936628 A1 FR2936628 A1 FR 2936628A1
Authority
FR
France
Prior art keywords
application
information system
data
computer network
network platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0805305A
Other languages
English (en)
Other versions
FR2936628B1 (fr
Inventor
Vincent Garnier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to FR0805305A priority Critical patent/FR2936628B1/fr
Priority to US13/121,349 priority patent/US20110321163A1/en
Priority to EP09747895A priority patent/EP2347367A1/fr
Priority to PCT/FR2009/051779 priority patent/WO2010034928A1/fr
Publication of FR2936628A1 publication Critical patent/FR2936628A1/fr
Application granted granted Critical
Publication of FR2936628B1 publication Critical patent/FR2936628B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6272Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database by registering files or documents with a third party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

Plate-forme (1) de réseau informatique destinée à la gestion et au partage de données pour la plupart non structurées transitant à travers ce réseau et dont l'infrastructure comporte un système d'information (2) comportant une base de données (14) et/ou des serveurs de données (14), ainsi que des terminaux (4, 5) à partir desquels des utilisateurs (6) créent, modifient ou consultent les données du système d'information (2), caractérisée en ce que le système d'information (2) comporte des données uniques destinées à être partagées, et est isolé des terminaux (4, 5) des utilisateurs (6) par une application (3) qui gère l'accessibilité à ce dit système d'information (2) et/ou la sécurisation des données uniques qu'il contient par une rupture physique (12) du protocole de réseau (7) utilisé pour la communication entre le système d'information (2) et les terminaux (4, 5) des utilisateurs (6).

Description

La présente invention concerne une plate-forme de réseau informatique dont l'infrastructure comporte un système d'information comportant des serveurs et des bases de données pour la plupart non structurées transitant à travers ce réseau, ainsi que des terminaux à partir desquels des utilisateurs créent, modifient ou consultent les données centralisées de ce système d'information. Chaque document du système d'information est identifié par son nom de fichier et transite dans le réseau et est stocké dans ce même système d'information sous forme de données. En informatique, la donnée est une représentation d'une information sous une forme conventionnelle destinée à faciliter son traitement. Actuellement, selon le Gartner Group, 85% du système d'information d'une entreprise au sens large (entreprise industrielle ou commerciale, mais aussi administration, autre service public, organisation, etc...) se trouve dans ses données non structurées. On y trouve entre autres toute la messagerie électronique, les fichiers textes, audio ou vidéo. Un problème qui se pose réside dans le fait que ces données ont tendance à doubler de volume tous les mois, occupant ainsi la majeure partie des ressources réseau et de stockage d'une entreprise. Une même donnée peut également avoir plusieurs provenances différentes et se retrouver alors dupliquée dans le système d'information de l'entreprise sur plusieurs postes de travail d'utilisateurs. Cette duplication introduit à son tour les problèmes d'identification des bons fichiers et de leur sécurisation. En effet, la duplication des données va à l'encontre d'une bonne politique de sécurisation de celles-ci et augmente les chances d'interception à travers un réseau.
Il existe à l'heure actuelle trois grands modèles de réseau informatique de communication : - l'Internet, réseau international de communication entre différentes entités généralement distantes telles qu'ordinateurs, caméras, imprimantes, serveurs, et utilisant un protocole de communication 30 comme langage pour communiquer, l'intranet, réseau interne à une entreprise, qui fonctionne sur le modèle technologique d'Internet, et l'extranet, zone d'un intranet d'accès restreint mais accessible de l'extérieur de l'entreprise à condition de disposer d'un identifiant 35 et d'un mot de passe.
Aujourd'hui, pour sécuriser les données transitant par le réseau selon un de ces trois modèles, on restreint l'utilisateur sur son poste de travail en lui affectant des droits. Le poste de travail ou ordinateur constitue la plupart du temps un terminal, c'est-à-dire un centre de communication en bout de ligne réseau pouvant échanger des informations avec un centre serveur. Ce modèle restrictif ainsi que la complexité et l'évolution des systèmes d'information d'aujourd'hui rend de plus en plus difficile la sécurisation des données transitant par l'un de ces réseaux. Paradoxalement, et alors même que certaines applications ne nécessitent plus d'être reconnues par le système d'exploitation pour pouvoir être installées et opérationnelles, la sécurité générale des systèmes d'information dépend de plus en plus du poste de travail et de son système d'exploitation. Les utilisateurs disposent même de plus en plus de clés techniques pour ouvrir des portes d'accès alors qu'ils n'ont bien souvent pas conscience des enjeux de sécurité et de confidentialité résultant de leurs actions. On peut citer à titre d'exemple les applications mobiles qui offrent la possibilité à un tiers d'accéder en toute discrétion à un réseau privé sans que celui-ci n'y ait été autorisé, lui donnant ainsi une chance d'accéder à la base de données du système d'information. De plus, les outils actuellement disponibles tels que les proxy, les pare-feu ou l'utilisation des technologies de cryptage conçus théoriquement pour parer à ces éventualités, et qui sont supposés sécuriser efficacement l'accès aux données du système d'information s'échangeant entre utilisateurs, représentent un coût important d'investissement dans la sécurité des données d'une entreprise ou d'un particulier sans pour autant offrir une protection efficace. En effet, ces outils n'assurent pas une rupture physique du protocole de communication entre la base de données et les utilisateurs. Un pare-feu a pour principale tâche le contrôle du trafic entre différentes zones de confiance en filtrant les flux de données qui y transitent, il fonctionne selon des règles préétablies par le seul administrateur réseau.
Un proxy quant à lui relaie des requêtes entre un poste client et un poste serveur. Concrètement, l'utilisateur s'identifie à l'aide d'un identifiant et d'un mot de passe, puis selon des règles là aussi déterminées à l'avance par le seul administrateur réseau, l'utilisateur passe ou non un pare-feu qui filtre les communications selon le port utilisé. Les ports peuvent être assimilés à des portes associées à un service ou une application réseau et donnant accès ou non au système d'exploitation de la machine client dans un modèle client/serveur, c'est-à-dire donnant accès ou non aux terminaux des utilisateurs et par la même occasion aux données qu'ils contiennent. Pour chaque port, un numéro est attribué, ce numéro est codé sur 16 bits, ce qui explique qu'il existe un maximum de 65 536 ports (216) par ordinateur.
Des problèmes de sécurité peuvent alors survenir lorsque certains programmes oublient de refermer ces dites portes (les ports ), ou même tout simplement lorsque la configuration mal maîtrisée de l'ordinateur autorise l'ouverture de ports sans aucune utilité. Cela donne lieu à des failles de sécurité informatiques, car si une porte n'est pas refermée, n'importe qui peut l'emprunter et accéder à la base de données du système d'information local. Par exemple, un pirate informatique utilise généralement un programme informatique qui émét des requêtes vers une machine cible en balayant l'ensemble de ses ports jusqu'à trouver une porte d'entrée lui permettant d'accéder au système d'information local de la machine.
Quant aux technologies de cryptage, elles ne font qu'encoder l'information suivant un algorithme préétabli, il suffit donc de s'approprier l'algorithme pour décoder l'information. II est à noter que si même la majorité des personnes n'a pas la connaissance requise pour effectuer ce genre d'acte illicite, cette même majorité n'a pas non plus les compétences requises pour utiliser correctement et efficacement un pare-feu ou un proxy, dont les paramétrages sont devenus trop complexes. L'évolution des systèmes de sécurité actuels n'a donc pas suivi l'ouverture au grand public de l'informatique La présente invention adopte une nouvelle vision du réseau informatique qui au lieu d'être basée sur le poste de travail de l'utilisateur en contrôlant ses actions par l'affectation de droits, est basée sur l'accès aux données regroupées au sein d'un système d'information central, ce qui la rend beaucoup plus facile à protéger. Un document unique est ainsi créé par un utilisateur qui le dépose dans le système d'information centralisé. Il affecte ensuite des droits d'utilisation sur ce document aux autres utilisateurs. On peut introduire à ce titre la notion de publication de document pour définir une mise à disposition d'un document généré par un des utilisateurs. On distinguera ainsi deux types d'utilisateurs : - les simples consultants de l'information publiée - les contributeurs qui ont un droit de création et/ou de modification de cette information.
Certains produits du commerce ont déjà tenté une telle approche de regroupement et de mise à disposition de données, on peut citer à ce titre les produits déposés sous la marque commerciale Microsoft SharepointTM ou bien IBM Lotus QuickRTM. Cependant le développement de ces solutions s'est plus tourné vers le partage de données à l'intérieur d'un réseau restreint, souvent l'intranet de l'entreprise, que sur un partage global et la sécurisation des données. Pour l'illustrer, il suffit de constater que ces solutions dépendent toujours du poste de travail sur lequel elles doivent être installées pour fonctionner et n'isolent pas par une rupture du protocole de communication l'accès aux données du système d'information par les utilisateurs. D'ailleurs, la politique de sécurité globale sur ces plate-formes se limite bien souvent à l'utilisation de simples pare-feu, proxy, ou à des technologies de cryptage. La présente invention a pour objectif de proposer une solution remédiant à ces inconvénients sans pour autant nuire à la qualité de service.
A cet effet, la présente invention a essentiellement pour objet une plate-forme de réseau informatique destinée à la gestion et au partage de données pour la plupart non structurées transitant à travers ce réseau et dont l'infrastructure comporte un système d'information comportant une ou plusieurs bases de données et/ou des serveurs de données, ainsi que des terminaux à partir desquels des utilisateurs créent, modifient ou consultent les données du système d'information, caractérisée en ce que le système d'information comporte des données uniques destinées à être partagées, et est isolé des terminaux des utilisateurs par une application qui gère l'accessibilité à ce dit système d'information et/ou la sécurisation des données uniques qu'il contient par une rupture physique du protocole de réseau utilisé pour la communication entre le système d'information et les terminaux des utilisateurs. Cette plate-forme de réseau informatique permet de centraliser des données uniques, en particulier les données non structurées d'une entreprise qui occupent habituellement une grande place sur les serveurs d'entreprise de par leurs éparpillements et leurs duplications. Elle permet également un accès sécurisé et facile à ces données en faisant abstraction d'une architecture en trois dimensions formée par les trois modèles de réseau existants et de recadrer toute la sécurité autour de la donnée. A cet effet, on pourrait qualifier l'application de proxy dynamique car elle ne comporte pas de règles de sécurité préétablies mais comporte au contraire des règles de sécurité établies à la demande pour chaque document contenue dans le système d'information.
Cela entraîne une simplification des architectures grâce à cette application interposée entre la base de données du système d'information et les terminaux des utilisateurs voulant y avoir accès. Dans la suite de la description, on suppose que le réseau de communication utilise la suite de protocoles TCP/IP, c'est-à-dire qu'il est basé sur le protocole TCP pour Transmission Control Protocol et sur le protocole Internet IP pour Internet Protocol . Il est clair que l'invention n'est pas limitée à ces types particuliers de protocoles de communication. Dans un mode de réalisation, la rupture physique du protocole de réseau est gérée par l'application qui contrôle deux sous-applications indépendantes et séparées physiquement entres elles de toutes connexions réseaux, concrètement l'une des sous-applications dite intérieure (I) est en relation permanente avec le réseau interne du système d'information, et l'autre sous-application dite extérieure (E) est en relation permanente avec le réseau dit extérieur auquel sont reliés l'ensemble des terminaux des utilisateurs. Dans un mode de réalisation, le passage des données entre les deux sous-applications qui est géré par l'application utilise la technique de réécriture à la volée ou parsing . Lorsque l'application prend l'information de (E) pour la déposer dans (I), l'information devient morte et non accessible en dehors de l'application. Si malgré tout, un virus venait à rester attaché au document, il prendrait le même état que le document inactif . Favorablement, l'édition des documents contenus dans le système d'information est indépendante des logiciels ou programmes installés sur les 25 terminaux des utilisateurs. Cela confère une indépendance des logiciels du poste de travail pour une plus grande efficacité utilisateur et permet notamment à des utilisateurs ayant des logiciels différents sur leur poste de travail et dont les formats ne sont habituellement pas compatibles entre eux, de travailler sur un 30 même document ayant un format de fichier différent sur chacune de leur machine. Ici encore, la plate-forme s'affranchit du contenu du poste de travail des terminaux des utilisateurs. Plusieurs utilisateurs peuvent donc travailler et modifier un même document publié par un contributeur, sans pour autant que ces utilisateurs possèdent tous sur leur poste de travail le logiciel ayant servi à 35 la création de ce document sous un certain format de fichier.
Dans un mode de réalisation, les données uniques sont uniquement stockées dans le système d'information, les terminaux des utilisateurs n'étant utilisés que pour leur interface graphique et leur capacité de calcul.
Cette centralisation des données dans le système d'information permet notamment d'éviter qu'un même document se retrouve sur plusieurs postes de travail avec des versions et des dates différentes sans pour autant que l'on sache lequel est réellement le bon document. Cette disposition est d'ailleurs tout à fait en accord avec le niveau de sécurité désiré sur ce type de plate-forme. Il reste cependant possible d'extraire un document du système d'information au travers de l'application si les droits spécifiques à cet action ont été affectés à l'utilisateur concerné. Cependant, pour des raisons de sécurité qui incombent au principe même de cette plate-forme, le document extrait ne pourra pas être remonté vers la base de données du système d'information sans autorisation. Selon un autre mode de réalisation, le système d'information ne contient pas de poste de travail. L'accès à la base de données du système d'information ne se fait donc qu'à travers l'application, un accès direct n'étant pas possible. Avantageusement, l'application est par ailleurs le seul moyen d'accéder directement aux données uniques stockées dans le système d'information. Ces données uniques génèrent un document unique. L'application est donc bien la seule à pouvoir gérer le contenu du système d'information. En fait, tout se passe comme si les documents étaient enfermées dans une chambre forte contenant une multitude de coffres, et dont l'accès à la chambre forte de la banque ne peut être réalisé que par un gardien que l'on peut comparer par analogie à l'application. L'adresse de la banque ainsi que la clé d'un ou plusieurs coffres se trouvant dans la chambre forte est donnée par un utilisateur à un autre avec lequel il veut partager des documents. Des clés de couleurs différentes sont utilisées pour différencier les différents droits auxquels peut prétendre un utilisateur. Le directeur de la banque assimilable à l'administrateur de l'application, donne les codes d'accès (identifiant et mot de passe) de la porte d'entrée de la banque aux divers utilisateurs. Une fois à l'intérieur, le gardien (application) identifie chaque utilisateur : il leur demande la clé du coffre de la chambre forte auquel ils ont un droit d'accès, identifie les droits de l'utilisateur en fonction de la couleur de la clé qui lui est remise, contrôle (par antivirus) si besoin, les documents apportés par un utilisateur destinés à intégrer un coffre dans la chambre forte. Cette clé peut lui être remise sur place dans le cas d'une location de coffre par analogie à une allocation d'espace dans le système d'information. Le gardien (application) est le seul a pouvoir rentrer dans la chambre forte (système d'information), il prend alors la clé de l'utilisateur et va chercher le contenu du coffre correspondant qui se trouve dans la chambre forte. Le gardien (application) ne peut ouvrir que le ou les coffres (fichiers) dont le client possède la clé (des droits) et uniquement ceux-là. Le gardien (application) ramène ensuite le contenu des coffres (fichiers) à l'utilisateur. Suivant la couleur de clé qui lui a été remise, le gardien affecte un droit de modification du document ou bien uniquement de consultation. Une fois la tâche de l'utilisateur terminée, le gardien (application) reprend le document qu'il va recontrôler (par antivirus) avant de le remettre dans son coffre respectif à l'intérieur de la chambre forte. L'utilisateur repart ensuite de la banque avec sa clé et cette clé peut lui être retirée à tout moment par l'utilisateur qui la lui a remis. A aucun moment l'utilisateur n'a pu avoir directement accès aux documents se trouvant à l'intérieur des coffres dans la chambre forte. Dans un mode de réalisation, les protocoles et/ou services fournis par l'application sont indépendants du type d'utilisation, tel qu'itinérante, mobile, à partir d'un poste fixe ou dans des espaces publics. En effet, la plate-forme peut supporter toute sorte de techniques de réseau informatique telles que par exemple le wifiTM ou bien la 3G. II est bien entendu que ces exemples sont ici cités à titre non exhaustif et que l'utilisation de toute autre technique de réseau est parfaitement envisageable. Avantageusement, l'application utilise uniquement des ports ouverts par défaut par un système d'exploitation installé sur les terminaux, de préférence uniquement les ports 80 pour HTTP (HyperText Transfert Protocol), 443 pour HTTPS (HyperText Transfert Protocol Securised) et 21 pour FTP (File Transfer Protocol). Seul ces trois ports sont ouverts sur l'application et les terminaux ne peuvent utiliser que ces ports sur l'adresse URL (Uniform Resource Locator) de l'application. La mise en place de l'application est ainsi fortement simplifiée puisqu'il suffit d'ouvrir ces trois ports sur tous les terminaux pour pouvoir communiquer avec l'application. II est à noter que ces trois ports sont par défaut ouverts quel que soit le système d'exploitation utilisé sur le poste de travail des terminaux des utilisateurs, Les utilisateurs pourront donc sans difficulté communiquer avec l'application tout en ayant d'autres ports ouverts nécessaires à d'autres applications en local. Dans un mode de réalisation, le système d'information contient au moins un document unique dont les droits de visualisation et/ou d'accès et/ou de modification pour/par chaque utilisateur sont donnés par l'utilisateur ayant créé le document.
Tout se passe donc comme si chaque contributeur était administrateur du document qu'il crée. C'est à lui qu'incombe l'affectation des droits de visualisation et de modification du document qu'il publiera dans la base de données du système d'information via l'application. On comprend que l'affectation de ces droits est simple et intuitive, sans quoi la volonté de simplification perdrait tout son sens. Dans un autre mode de réalisation, l'application gère un espace de stockage temporaire, de préférence FTP, créé dans la sous-application (E) lors de la commande de transfert de données d'un terminal vers l'application et/ou lors de la création de données directement à partir de l'application, et effacé aussitôt que la donnée a atteint le système d'information. Cet espace de stockage temporaire peut être constitué avantageusement par un cache FTP (File Transfer Protocol), capable d'emmagasiner de gros volumes d'informations, l'application prend alors l'information contenue dans ce cache FTP pour la déposer dans le système d'information en la réécrivant à la volée. L'information n'est alors accessible qu'à partir de l'application. Elle se retrouve ainsi protégée du reste du réseau. Avantageusement, l'espace de stockage temporaire est surveillé par au moins un antivirus mais de préférence deux. Cela permet de réduire les chances d'infection de la base de données dans le système d'information. Ce contrôle est effectué systématiquement lorsqu'un contributeur achemine des données vers l'espace de stockage temporaire de l'application, mais bien entendu cela n'empêche en rien les utilisateurs de procéder eux-mêmes à un contrôle des données se trouvant sur leur poste de travail à l'aide de leur propre antivirus.
Selon un mode de réalisation, l'application comprend une interface graphique.
Cette interface se substitue au système d'exploitation, est conviviale, simple et intuitive et ne nécessite pas de formation particulière pour l'utilisateur. Dans le cadre de ce mode de réalisation, l'interface graphique de l'application de la plate-forme se présente sous la forme d'une solution de partage universel de données sécurisées avec un espace de travail de préférence multilingue et accessible à partir de l'un quelconque des terminaux des utilisateurs répartis dans le monde et reliés à l'application. Contrairement aux produits cités de l'art antérieur, il n'est pas nécessaire ici d'installer un quelconque logiciel nécessaire au fonctionnement de l'application. De plus, l'interface graphique est prévue multilingue pour un accès plus aisé depuis tout point dans le monde, et elle est multi-serveurs, multi-bases, multi-sites et multi-carnets d'adresse pour faciliter l'affectation des droits. Cette plate-forme est donc universelle et facilement accessible à l'ensemble des utilisateurs potentiels. Avantageusement, un navigateur internet fait office de système d'exploitation pour l'interface graphique. Il suffit donc, pour accéder à la solution de partage universel de l'application, d'une simple connexion Internet, d'un navigateur Internet et de posséder l'adresse URL de l'application qui sera fournie à l'ensemble des utilisateurs du réseau. Un raccourci peut avantageusement être créé dans l'explorateur. La présente invention a également pour objet un ensemble comprenant une pluralité de plate-formes interconnectables entre elles et avec 25 une infrastructure telle que décrite précédemment. Plusieurs mêmes utilisateurs peuvent ainsi accéder à plusieurs systèmes d'information différents via plusieurs applications indépendantes ou non, une telle plate-forme remplace donc parfaitement les trois grands modèles de réseaux informatiques existants mentionnés précédemment en les 30 englobant suivant un seul modèle sans pour autant les faire disparaitre. De toute façon, l'invention sera bien comprise à l'aide de la description qui suit, en référence aux dessins schématiques annexés représentant, à titre d'exemple non limitatif, une forme d'exécution de cette plate-forme. 35 La figure 1 représente le schéma synoptique de la plate-forme.
La figure 2 représente un exemple d'application de cette plate-forme. Selon le schéma synoptique de fonctionnement de la plate-forme représenté à la figure 1, on peut voir que les utilisateurs 6 (contributeurs ou simples consultants) peuvent indifféremment se connecter à l'application 3 à partir de la toile 4 (World Wide Web) ou à partir du réseau intranet de l'entreprise 5 qui possède une connexion Internet 7 utilisant la suite de protocoles TCP/IP. Chacun des postes de travail 8 de ces deux réseaux est ouvert sur les ports 80, 443 et 21.
Ces postes de travail 8 sont reliés via Internet et sa suite de protocoles TCP/IP à l'application 3 et plus particulièrement à la sous-application extérieure (E) qui comprend une carte réseau 9 lui permettant de communiquer avec l'extérieur, un cache FTP 11 permettant de stocker temporairement des données pouvant occuper un gros volume et la solution de partage universel servant d'interface graphique 10 de l'application 3. La sous-application extérieure (E) est séparée physiquement de la sous-application intérieure (I) par une rupture 12 de la suite de protocoles TCP/IP. La sous application intérieure (I) comprend une ou plusieurs cartes réseaux 13 qui lui permettent de communiquer selon la suite de protocoles TCP/IP avec l'ensemble des ressources de stockage 14 du système d'information 2 via leurs cartes réseaux respectives. Le système d'information 2 contient donc l'ensemble des ressources de stockage 14 du système d'information 2 ; celles-ci comprennent des bases de données (DATA), et/ou des serveurs locaux unitaires ou regroupés dans une salle blanche informatique. Cependant, il ne contient pas de poste de travail. On considère maintenant le cas concret illustré par la figure 2 où un contributeur travaillant depuis un bureau d'études 15 en France veut créer un document 20, mais surtout veut par la suite le partager avec ses collaborateurs 16 en Chine sans que celui-ci ne s'éparpille en une multitude de fichiers et en prévoyant qu'ils puissent le modifier ; les différentes rnodifications apparaissant dans un document final unique 20 contenu dans le système d'information 2 géré par une même application 3.
Concernant tout d'abord la connexion à l'application 3, le contributeur 6 possède plusieurs possibilités : - le contributeur français se connecte à l'application 3 de l'entreprise à partir de la barre d'adresse de son navigateur Internet en saisissant l'adresse URL propre au serveur d'hébergement de son entreprise ou tout autre serveur d'hébergement 17, 18 par le biais duquel il veut partager des documents, comme par exemple le serveur d'hébergement des collaborateurs chinois, - le contributeur français se connecte à l'application 3 à travers un lien hypertexte que lui a envoyé son entreprise sur sa messagerie si celle-ci a activé le service, - le contributeur français s'est vu créé en tant que contact dans le carnet d'adresse d'un autre utilisateur 6, le contributeur désirant partager un document reçoit alors un message électronique l'informant de cette création ainsi qu'un lien direct à l'application 3 pour laquelle il a été affecté. Une fois connecté, le contributeur accède alors à la page d'accueil de l'interface graphique 10 de l'application 3 lui offrant la solution de partage universel des informations du document. L'administrateur de chaque application peut d'ailleurs définir les contextes de l'application (chartes graphiques, mises en pages, contenus de pages, traductions,...). Le contributeur a alors la possibilité de changer à sa convenance la langue du texte de l'interface graphique 10. Afin d'accéder aux services de l'application 3, lui sont demandés un identifiant et un mot de passe qui lui sont propres et qui lui a été remis par l'administrateur de l'application 3 sur laquelle il s'est connecté. Concernant la création d'information dans le système, là encore 25 plusieurs possibilités sont offertes au contributeur: - il crée directement un nouveau document via l'application 3 selon l'information qu'il veut partager (texte, tableur, diaporama...). Pour cela, la grande flexibité de l'application 3 lui propose une série de logiciels à partir desquels il lui est possible de définir le format de son document. Le document 30 créé est temporairement stocké dans le cache FTP 11 de la sous-application extérieure (E). - il importe dans le cache FTP 11 un document préexistant localement à travers l'explorateur de son poste de travail 8. Ce cache FTP est en permanence surveillé par deux antivirus 19 35 gérés par l'application 3.
Il est également important de noter que lors de la mise en place de ce type de plate-forme 1 pour une structure d'entreprise ou toute autre structure, la solution apportée par l'application 3 est capable d'intégrer massivement un ensemble de données préexistantes de l'entreprise.
L'étape suivante consiste à partager ce document, le contributeur affecte les droits d'utilisation de ce document 20 à d'autres utilisateurs 6 répertoriés dans son carnet d'adresse, comme par exemple les collaborateurs chinois ou qu'il aura créés ou importés dans ce même carnet d'adresse. Il peut alors affecter des droits de modification à certains utilisateurs, tandis qu'il n'affecte que des droits de visualisation à d'autres. Pour partager ce document, il ne lui reste plus qu'à le publier dans le système d'information 2 en appuyant sur le bouton publier . La publication consiste à transférer par parsing les informations créées dans le cache FTP 11 de la sous-application (E) vers une zone de stockage du système d'information 2 en passant par la carte réseau 13 de la sous-application (I). Cette disposition assure la rupture physique 12 de la suite de protocoles TCP/IP 7 entre le système d'information 2 et les différents terminaux 8 d'utilisateurs. Lorsque l'application 3 prend l'information de (E) pour la déposer dans (I), l'information devient morte et non accessible en dehors de l'application 3, le cache FTP 11 est d'ailleurs nettoyé par l'application 3 au moment où l'application 3 prend la donnée de (E) pour la déposer dans (I). Le contributeur français peut alors se déconnecter de l'application 3. Il est à noter qu'un document 20 publié n'est visible que par les utilisateurs 6 qui y ont été autorisés par le créateur du document 20.
Pour aller chercher le document, les utilisateurs 6 chinois se connectent chacun à partir de leur poste de travail 8 à l'application 3 de l'entreprise d'une des mêmes manières que pour le contributeur. L'utilisateur 6 se connecte ensuite à son compte à l'aide d'un identifiant et d'un mot de passe lui ayant été attribué par l'administrateur de cette application 3 de l'entreprise. Une fois connecté chaque utilisateur 6 voit les documents pour lesquels des droits lui ont été donnés et uniquement ceux-là. Les noms des fichiers et uniquement les noms apparaissent à l'écran et la charte graphique, adaptable selon les besoins de l'entreprise, présente directement sans avoir besoin de l'ouvrir, les droits afférents à un document. L'utilisateur 6 ne pointe jamais directement sur le document contenu dans la base de données du système d'information 2. D'une manière non limitative, l'application 3 présente via son interface graphique 10 trois possibilités de présentation : sous forme de liste, - sous forme d'objets, et sous forme de noms. Les droits afférents à chacun des fichiers apparaissant sous l'une de ces trois formes possèdent un code couleur permettant d'indiquer immédiatement de visu les droits de l'utilisateur sur un fichier. Cinq couleurs distinctes sont de préférence utilisées afin d'identifier les différents types de fichiers parmi lesquels on trouve classés hiérarchiquement par ordre décroissant de pouvoir sur le fichier : Vous êtes le créateur de ce document. Ce document vous a été publié. Ce document est actuellement en cours de modification par un autre utilisateur. Vous pouvez le consulter si le logiciel l'autorise. Plusieurs personnes peuvent ouvrir ce document simultanément. Ce document est en lecture. Vous pourrez le consulter. Lorsque l'utilisateur 6 veut ouvrir un document 20 sur lequel il possède des droits, il clique sur un bouton d' édition c'est-à-dire de visualisation du contenu du document 20. Il est alors possible que ce même document 20 soit au même moment modifié par un contributeur, auquel cas une fenêtre d'information de l'état du fichier s'ouvre. Dans ce cas, les utilisateurs 6 voient par le biais de cette fenêtre d'information que le fichier correspondant au document 20 est en cours de modification et n'ont pas l'option d'édition du document 20. Il faut donc attendre qu'un contributeur ait terminé ses modifications du document 20 et l'ait republié dans le système d'information 2 pour qu'un autre contributeur puisse à son tour accéder à ce même document 20 afin de le modifier lui-même. Le fichier correspondant au document 20 sera ainsi maintenu à jour par chacun des contributeurs et l'ensemble des modifications effectuées sur ce fichier apparaîtra sur un document unique 20 contenu dans le système d'information 2 géré par une même application 3 commune à tous les utilisateurs 6 du fichier.
Comme il va de soi, l'invention ne se lirnite pas à la seule forme d'exécution et d'application de cette plate-forme 1, décrite ci-dessus à titre d'exemple, mais elle embrasse au contraire toutes les variantes. 10 15 20 25 30 35

Claims (16)

  1. REVENDICATIONS1. Plate-forme (1) de réseau informatique destinée à la gestion et 5 au partage de données pour la plupart non structurées transitant à travers ce réseau et dont l'infrastructure comporte : un système d'information (2) comportant une ou plusieurs bases de données (14) et/ou des serveurs de données (14), et des terminaux (4, 5) à partir desquels des utilisateurs (6) créent, modifient 10 ou consultent les données du système d'information (2), caractérisée en ce que le système d'information (2) : - comporte des données uniques (20) destinées à être partagées, et est isolé des terminaux (4, 5) des utilisateurs (6) par une application (3) qui 15 gère l'accessibilité à ce système d'information (2) et/ou la sécurisation des données uniques (20) qu'il contient par une rupture physique (12) du protocole de réseau (7) utilisé pour la communication entre le système d'information (2) et les terminaux (4, 5) des utilisateurs (6).
  2. 2. Plate-forme (1) de réseau informatique selon la revendication 1 20 dans laquelle la rupture physique (12) du protocole de réseau (7) est gérée par l'application (3) qui contrôle deux sous-applications (E, I) indépendantes et séparées physiquement entres elles de toute connexion réseau, concrètement l'une des sous-applications (I) dite intérieure est en relation permanente avec le réseau du système d'information (2), et l'autre sous-application (E) dite 25 extérieure est en relation permanente avec le réseau dit extérieur auquel sont reliés l'ensemble des terminaux (4, 5) des utilisateurs (6).
  3. 3. Plate-forme (1) de réseau informatique selon la revendication 2 dans laquelle l'application (3) gère un espace de stockage temporaire (11), de préférence FTP, créé dans la sous-application (E) lors de la commande de 30 transfert de données d'un terminal (4, 5) vers l'application (3) et/ou lors de la création de données directement à partir de l'application (3), et effacé aussitôt que la donnée a atteint le système d'information (2).
  4. 4. Plate-forme (1) de réseau informatique selon la revendication 3 dans laquelle l'espace de stockage temporaire (11) est surveillé par au moins 35 un antivirus (19) mais de préférence deux.
  5. 5. Plate-forme (1) de réseau informatique selon l'une revendications 2 à 4 dans laquelle le passage des données qui est géré parl'application (3) entre les deux sous-applications (E, I) utilise la technique de réécriture à la volée ou parsing .
  6. 6. Plate-forme (1) de réseau informatique selon l'une des revendications précédentes dans laquelle l'édition des documents contenus dans le système d'information (2) est indépendante des logiciels ou programmes installés sur les terminaux (4, 5) des utilisateurs (6).
  7. 7. Plate-forme (1) de réseau informatique selon l'une des revendications précédentes dans laquelle les données uniques (20) sont uniquement stockées dans le système d'information (2), les terminaux (4, 5) des utilisateurs (6) n'étant utilisés que pour leur interface graphique et leur capacité de calcul.
  8. 8. Plate-forme (1) de réseau informatique selon l'une des revendications précédentes dans laquelle le système d'information (2) ne contient pas de poste de travail.
  9. 9. Plate-forme (1) de réseau informatique selon l'une des revendications précédentes dans laquelle l'application (3) est la seule capable d'accéder directement aux données uniques (20) stockées dans le système d'information (2).
  10. 10. Plate-forme (1) de réseau informatique selon l'une des revendications précédentes dans laquelle les protocoles et/ou services fournis par l'application (3) sont indépendants du type d'utilisation, tel qu'itinérante, mobile, à partir d'un poste fixe ou dans des espaces publics.
  11. 11. Plate-forme (1) de réseau informatique selon l'une des revendications précédentes dans laquelle l'application (3) utilise uniquement des ports ouverts par défaut par un système d'exploitation installé sur les terminaux (4, 5), de préférence uniquement les ports 80 pour HTTP, 443 pour HTTPS et 21 pour FTP.
  12. 12. Plate-forme (1) de réseau informatique selon l'une des revendications précédentes dans laquelle le système d'information (2) contient au moins un document unique (20) dont les droits de visualisation et/ou d'accès et/ou de modification pour/par chaque utilisateur (6) sont donnés par l'utilisateur (6) ayant créé le document.
  13. 13. Plate-forme (1) de réseau informatique selon l'une des revendications précédentes dans laquelle l'application (3) comprend une 35 interface graphique (10).
  14. 14. Plate-forme (1) de réseau informatique selon la revendication 13 dans laquelle l'interface graphique (10) de l'application (3) de la plate-forme (1) se présente sous la forme d'une solution de partage universelde données sécurisées (20) avec un espace de travail de préférence multilingue et accessible à l'un quelconque des terminaux (4, 5) des utilisateurs (6) reliés à l'application (3).
  15. 15. Plate-forme (1) de réseau informatique selon la 5 revendication 14 dans laquelle un navigateur internet fait office de système d'exploitation pour l'interface graphique (10).
  16. 16. Ensemble comprenant une pluralité de plate-formes (1) interconnectables entre elles avec une infrastructure selon l'une des revendications 1 à 15.
FR0805305A 2008-09-26 2008-09-26 Plate-forme de reseau informatique Active FR2936628B1 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
FR0805305A FR2936628B1 (fr) 2008-09-26 2008-09-26 Plate-forme de reseau informatique
US13/121,349 US20110321163A1 (en) 2008-09-26 2009-09-22 Platform for a computer network
EP09747895A EP2347367A1 (fr) 2008-09-26 2009-09-22 Plate-forme de reseau informatique
PCT/FR2009/051779 WO2010034928A1 (fr) 2008-09-26 2009-09-22 Plate-forme de reseau informatique

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0805305A FR2936628B1 (fr) 2008-09-26 2008-09-26 Plate-forme de reseau informatique

Publications (2)

Publication Number Publication Date
FR2936628A1 true FR2936628A1 (fr) 2010-04-02
FR2936628B1 FR2936628B1 (fr) 2011-04-01

Family

ID=40565330

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0805305A Active FR2936628B1 (fr) 2008-09-26 2008-09-26 Plate-forme de reseau informatique

Country Status (4)

Country Link
US (1) US20110321163A1 (fr)
EP (1) EP2347367A1 (fr)
FR (1) FR2936628B1 (fr)
WO (1) WO2010034928A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130086467A1 (en) * 2011-10-03 2013-04-04 Google Inc. System for sending a file for viewing on a mobile device

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001052473A1 (fr) * 2000-01-14 2001-07-19 Critical Path, Inc. Gestion sure de documents electroniques dans un environnement en reseau
EP1164766A2 (fr) * 2000-06-16 2001-12-19 Ionos Co., Ltd. Dispositif de contrôle de connections de commutation
US20060010323A1 (en) * 2004-07-07 2006-01-12 Xerox Corporation Method for a repository to provide access to a document, and a repository arranged in accordance with the same method
US20060101028A1 (en) * 2004-10-21 2006-05-11 Banks Lanette E Method and apparatus for efficient electronic document management
US20060184784A1 (en) * 2005-02-16 2006-08-17 Yosi Shani Method for secure transference of data

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4558413A (en) * 1983-11-21 1985-12-10 Xerox Corporation Software version management system
GB2272312A (en) * 1992-11-10 1994-05-11 Ibm Collaborative working in a network.
AU6161594A (en) * 1993-02-26 1994-09-14 Taligent, Inc. Collaborative work system
EP0622930A3 (fr) * 1993-03-19 1996-06-05 At & T Global Inf Solution Partage d'application pour système d'ordinateurs à collaboration.
US6204847B1 (en) * 1995-07-17 2001-03-20 Daniel W. Wright Shared virtual desktop collaborative application system
US6233600B1 (en) * 1997-07-15 2001-05-15 Eroom Technology, Inc. Method and system for providing a networked collaborative work environment
US6584466B1 (en) * 1999-04-07 2003-06-24 Critical Path, Inc. Internet document management system and methods
US20020147607A1 (en) * 2001-02-14 2002-10-10 Sarvajit Thakur Automated INS application filing system
US20040229199A1 (en) * 2003-04-16 2004-11-18 Measured Progress, Inc. Computer-based standardized test administration, scoring and analysis system
GB0404517D0 (en) * 2004-03-01 2004-03-31 Qinetiq Ltd Threat mitigation in computer networks
US20060075391A1 (en) * 2004-10-05 2006-04-06 Esmonde Laurence G Jr Distributed scenario generation
US8868628B2 (en) * 2005-12-19 2014-10-21 International Business Machines Corporation Sharing computer data among computers
US20070255861A1 (en) * 2006-04-27 2007-11-01 Kain Michael T System and method for providing dynamic network firewall with default deny
US20090313113A1 (en) * 2008-06-13 2009-12-17 Dye Thomas A Business method and process for commercial establishments to advertise directly into proprietary closed circuit networks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001052473A1 (fr) * 2000-01-14 2001-07-19 Critical Path, Inc. Gestion sure de documents electroniques dans un environnement en reseau
EP1164766A2 (fr) * 2000-06-16 2001-12-19 Ionos Co., Ltd. Dispositif de contrôle de connections de commutation
US20060010323A1 (en) * 2004-07-07 2006-01-12 Xerox Corporation Method for a repository to provide access to a document, and a repository arranged in accordance with the same method
US20060101028A1 (en) * 2004-10-21 2006-05-11 Banks Lanette E Method and apparatus for efficient electronic document management
US20060184784A1 (en) * 2005-02-16 2006-08-17 Yosi Shani Method for secure transference of data

Also Published As

Publication number Publication date
EP2347367A1 (fr) 2011-07-27
WO2010034928A1 (fr) 2010-04-01
FR2936628B1 (fr) 2011-04-01
US20110321163A1 (en) 2011-12-29

Similar Documents

Publication Publication Date Title
US9954965B2 (en) Method, system and computer program product for tagging content on uncontrolled web application
EP2643961B1 (fr) Communication entre deux applications web
US9628515B2 (en) Method, system and computer program product for enforcing access controls to features and subfeatures on uncontrolled web application
EP1704700B1 (fr) Procede et systeme pour l' exploitation d'un reseau informatique destine a la publication de contenu
EP2807815B1 (fr) Système et procédö de controle d'une requête dns
WO2004040873A2 (fr) Architecture informatique en reseau multi-etages
FR2936628A1 (fr) Plate-forme de reseau informatique
EP1530751A1 (fr) Systeme de gestion d'informations pour situation d'urgence
EP3644146B1 (fr) Dispositif d'enregistrement d'intrusion informatique
FR3093258A1 (fr) Procede de protection d’un reseau prive d’ordinateurs
EP2618285B1 (fr) Système de réseau informatique sécurisé pour la gestion de données personnelles
FR2809255A1 (fr) Procede et appareil de fourniture et d'administration de services sur le reseau internet
WO2002025508A2 (fr) Systeme d'accuse de reception automatique de courrier electronique
EP1834467A1 (fr) Procede de controle d'acces
EP2472818B1 (fr) Procédé de traitement de données pour contrôler l'accès à des contenus sur Internet.
FR2835132A1 (fr) Procede, systeme et dispositif pour securiser l'acces a un serveur
Walther et al. CYA: Securing Exchange Server 2003 and Outlook Web Access
Schultz Sidewinder Security Server 4.0
Edwards Security gets easier, cheaper
Paone GTE security for any ISP
Nowak et al. Tracking down trouble
FR2984560A1 (fr) Procede de gestion d'un document enrichi
FR2805625A1 (fr) Procede et systeme d'octroi de privileges par un gestionnaire d'acces au sein d'un reseau de communication
WO2010026195A1 (fr) Procede et dispositif pour la creation et la modification de pages internet in situ
FR2950716A1 (fr) Procede de communication entre applications executees dans des navigateurs distincts

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

PLFP Fee payment

Year of fee payment: 14

PLFP Fee payment

Year of fee payment: 15

PLFP Fee payment

Year of fee payment: 16