WO2014053710A1

WO2014053710A1 - Passerelle d'accès sécurisé a un système d'information

Info

Publication number: WO2014053710A1
Application number: PCT/FR2012/000402
Authority: WO
Inventors: Jean-François TESSERAUD
Original assignee: Cassidian Sas
Priority date: 2011-10-06
Filing date: 2012-10-08
Publication date: 2014-04-10
Also published as: FR2981178B1; FR2981178A1

Abstract

L'invention concerne une passerelle (4) d'accès à un système d'information (1), comprenant : - un caisson (4) doté d'une alimentation, - un concentrateur (25) pour connecter la passerelle à un réseau local (12), - un pare-feu (26) pour connecter la passerelle au système d'information et à un réseau de communication externe de type Internet, et - une unité de traitement (27) comprenant : -un serveur pour bureau virtuel (28), accessible depuis le réseau de communication externe par déport d'affichage dans un tunnel sécurisé via le pare-feu, - un serveur pour nomade (29), accessible depuis le réseau de communication externe par liaison client-serveur avec échanges de données dans un tunnel sécurisé via le pare-feu, - un serveur d'authentification (31) pour une authentification forte de chaque utilisateur accédant au pare-feu, cette authentification forte étant réalisée à partir d'un identifiant unique du terminal de l'utilisateur.

Description

PASSERELLE D'ACCÈS SÉCURISÉ A UN SYSTÈME D'INFORMATION

La présente invention concerne une passerelle d'accès à un système d'information offrant l'interconnexion de plusieurs sites entre eux, l'accès à ce système d'information à partir de postes clients connus ou non du système d'information, l'accès à des services mutualisés (SaaS) et l'accès à des bibliothèques d'information (store).

Actuellement, la plupart des entreprises disposent d'un système d'information auquel les collaborateurs ont accès pour travailler. Lorsqu'un utilisateur est en déplacement à l'extérieur de l'entreprise, il est nécessaire d'assurer un accès complètement sécurisé au système d'information.

De nombreuses solutions existent pour accéder à distance à des ressources d'une entreprise. La présente invention a pour but le déploiement rapide d'un système d'information sans intervention de spécialiste sur site. Un autre but de l'invention est de permettre un travail collaboratif inter réseaux tout en garantissant un cloisonnement des réseaux et la ségrégation des données. L'invention a encore pour but de définir une solution pour se connecter à un système d'information quel que soit le terminal utilisé.

La présente invention a également pour but la mise en place d'une passerelle hautement intégrée, supportant l'ensemble des services nécessaires à l'accès à différents services (voix, données) à partir de n'importe quel type de terminal ou d'infrastructure distants.

L'invention a encore pour but une passerelle hautement disponible.

On atteint au moins l'un des objectifs précités avec une passerelle d'accès à un système d'information, comprenant :

- un caisson doté d'une alimentation,

- un concentrateur pour connecter la passerelle à un ou plusieurs réseaux locaux (réseaux locaux, réseaux invités, réseaux d'interconnexion de réseaux à réseaux),

- un pare-feu pour connecter la passerelle au système d'information et à un réseau de communication externe de type Internet, et

- une unité de traitement comprenant : - au moins un serveur de connexion à distance accessible depuis le réseau de communication externe dans un tunnel sécurisé via le pare-feu, et

- un serveur d'authentification, configuré pour interagir avec ledit au moins un serveur de connexion à distance pour une authentification forte de chaque utilisateur accédant au pare-feu, cette authentification forte étant réalisée à partir d'un identifiant unique du terminal de l'utilisateur.

Ledit au moins un serveur de connexion à distance peut comprendre :

- un premier serveur virtuel, dit serveur pour bureau virtuel, accessible depuis le réseau de communication externe par déport d'affichage dans un tunnel sécurisé via le pare-feu ; et/ou

- un deuxième serveur virtuel, dit serveur pour nomade, accessible depuis le réseau de communication externe par liaison client-serveur avec échanges de données dans un tunnel sécurisé via le pare-feu ; et/ou

- un troisième serveur virtuel, dit serveur pour voix, accessible depuis le réseau de communication externe par une liaison de voix sur IP dans un tunnel sécurisé via le pare-feu.

Par serveur pour bureau virtuel, on entend un serveur permettant d'accéder à un bureau virtuel, mais également à d'autres applications comme par exemple des applications WEB.

En particulier, le serveur pour bureau virtuel permet la connexion de tout terminal connu ou inconnu du système d'information . Il suffit que ce terminal soit capable de générer un identifiant d'authentification forte. Cet identifiant peut être intégré dans le terminal ou généré à partir d'un exécutable léger stocké au sein du terminal ou dans un moyen de stockage portatif comme une clé USB ou autre. La communication avec le serveur pour bureau virtuel se fait par déport d'affichage ce qui évite avantageusement le transfert de données, notamment malveillant qui pourraient transiter depuis le terminal utilisateur vers le système d'information .

Le serveur pour nomade permet la connexion de terminaux connus du système d'information et comportant de préférence une application cliente lourde permettant de dialoguer avec une application serveur dans la passerelle avec échange de données.

Avec la passerelle selon l'invention, le système d 'information d'une entreprise est accessible depuis Internet par tout terminal . Le concentrateur permet une connexion d'un terminai utilisateur en local. Les droits d'accès à tel ou tel élément du système d'information peuvent être gérés par le concentrateur et/ou le pare-feu.

La passerelle selon l'invention fait office d'aiguilleur intégrant des fonctions applicatives pour la distribution de services et pour l'authentification. Cette passerelle est un unique boîtier permettant l'interconnexion multi-services (différents types d'accès) multi-environnement (pour toute application dans le système d'information). Elle permet également la redirection vers des services mutualisés.

Grâce au troisième serveur virtuel, la passerelle selon l'invention permet à tout terminal d'accéder également aux applications voix du système d'information en plus des applications données.

Selon une caractéristique avantageuse de l'invention, le serveur pour bureau virtuel peut être configuré pour exécuter chaque session dans un environnement virtuel isolé. Ainsi, différentes sessions d'un même utilisateur ou de plusieurs utilisateurs sont cloisonnées les unes par rapport aux autres. Avec des sessions ainsi isolées, on préserve l'intégrité des données et applications du système d'information.

Avantageusement, le serveur pour bureau virtuel peut comprendre plusieurs navigateurs pour accéder au système d'information. Chaque navigateur peut être configuré pour accéder à un ensemble d'éléments spécifiques du système d'information. On définit ainsi plusieurs navigateurs, chacun dédié à une ou plusieurs applications spécifiques. Les navigateurs sont exécutés dans la passerelle et non localement dans le terminal utilisateur. Cela garantit l'intégrité du terminal utilisateur contre tout acte malveillant depuis Internet par exemple. Le serveur pour bureau virtuel permet notamment à un terminal utilisateur d'accéder à des applications Web, ou à des outils de publication d'applications comme par exemple Citrix® ou TSE (pour « Terminal Server » de Windows®) du système d'information.

Selon une caractéristique avantageuse de l'invention, les serveurs virtuels sont disposés dans un environnement isolé tel qu'une zone démilitarisée dite DMZ.

De préférence, les tunnels sécurisés peuvent être des tunnels VPN chiffrés SSL ou IPSEC Avec la passerelle selon l'invention, on assure la sécurité complète du système d'information et des données.

Selon d'autres caractéristiques avantageuses de l'invention, le serveur pour nomade comprend :

5 - un module serveur d'un composeur multi-accès, un module client du composeur étant contenu dans un terminal utilisateur,

- un module serveur d'une application d'accès à distance pour établir un tunnel VPN SSL, en particulier avec encapsulation des échanges en mode http sécurisé, et pour accéder au système d'information via une passerelle i o dédiée.

Le composeur multi-accès est un assistant de connexion permettant au terminal utilisateur de se connecter au serveur pour nomade à partir de différents réseaux physiques avec ou sans fil.

Selon un autre aspect de l'invention, il est proposé un système d'accès 15 à un système d'information contenu dans une architecture de réseau local d'une entité, ce système comprenant :

- une passerelle telle que définie ci-dessus,

- une pluralité de terminaux utilisateurs pour accéder au système d'information via un réseau de communication de type Internet et ladite 0 passerelle avec une authentification forte et des connexions par tunnels sécurisés,

- au moins un serveur virtuel distant de publication, dit serveur « SaaS », dédié à la publication d'applications, ce serveur « SaaS » étant accessible aux utilisateurs via la passerelle,

5 - au moins un serveur virtuel distant de stockage, dit serveur

« Store », dédié au stockage d'applications sous forme d'une bibliothèque, ce serveur « Store » étant accessible aux utilisateurs via la passerelle.

Avec le système selon l'invention, il est possible d'offrir des services à la demande à partir du serveur « SaaS » et via une installation d'applications 0 dans le système d'information à partir du serveur « Store ».

Un tel système peut évoluer et être facilement déployé. L'utilisation du système d'information est simple.

Avantageusement, le système comprend en outre un serveur virtuel distant de gestion centralisée de l'ensemble des serveurs virtuels du système. 5 On assure ainsi la gestion complète du système. Il s'agit notamment d'une gestion de la sécurité et des systèmes d'exploitation depuis une console unique.

Le système selon l'invention peut en outre comprendre un serveur virtuel distant de supervision centralisée de la sécurité des échanges dans ie système.

Bien entendu, les différentes caractéristiques, formes et variantes de réalisation de l'invention peuvent être associées les unes avec les autres selon diverses combinaisons dans la mesure où elles ne sont pas incompatibles ou exclusives les unes des autres.

D'autres avantages et caractéristiques de l'invention apparaîtront à l'examen de la description détaillée d'un mode de mise en oeuvre nullement limitatif, et des dessins annexés, sur lesquels :

- La figure 1 est une illustration schématique simplifiée d'un système d'accès à des systèmes d'information selon l'invention,

- La figure 2 est une illustration schématique simplifiée d'une passerelle d'accès sécurisé selon l'invention,

- La figure 3 est une illustration schématique simplifiée d'un processus d'authentification selon l'art antérieur,

- La figure 4 est une illustration schématique simplifiée d'un processus d'authentification selon l'invention,

- La figure 5 est une illustration schématique simplifiée d'un boîtier d'accès sécurisé intégrant un système d'information.

Sur les figures 1 à 5, les différents éléments communs aux diverses variantes ou formes de réalisation portent les mêmes références.

Sur la figure 1 on voit un schéma simplifié d'un système d'accès à des systèmes d'information selon l'invention. On distingue un système d'information 1 d'une entreprise. Ce système d'information est représenté par des serveurs physiques ou virtuels comprenant toutes les composantes d'un système d'information classiques notamment une publication d'applications, des moyens de stockage, des moyens de gestions centralisées des adresses IP, un gestionnaire d'impression et une application d'administration du système d'information de l'entreprise, des applications métiers, (liste non exclusive et non exhaustive). Ce système d'information est intégré dans un réseau local 2 qui peut être un réseau local avec ou sans fil ou un réseau étendu. Des terminaux utilisateurs 3 peuvent accéder au système d'information 1 via le réseau local. La passerelle selon l'invention a pour objectif de développer les usages suivants :

- mobilité individuelle,

- mobilité d'équipe,

- travail collaboratif,

- télétravail, et

- travail sédentaire.

Par ailleurs, le système selon l'invention permet de répartir un système d'information et de mettre en place une publication d'applications en mode « SaaS » pour « Software as a Service », application en tant que service permettant l'utilisation d'une application sans l'installer en local.

Pour ce faire, on utilise une nouvelle passerelle d'accès sécurisé 4 reliée d'une part au système d'information 1, et d'une autre part à Internet (5). La passerelle d'accès sécurisé 4 a pour objet de permettre l'accès au système d'information 1 à partir de terminaux 6 à 9 de différents types. Ces terminaux peuvent être connus du système d'information 1 car appartenant par exemple au réseau local 2, mais ils peuvent avantageusement être tout autre terminal utilisateur. D'autres terminaux 10 et un second réseau local 11 constituent un site déporté sans système d'information propre. La passerelle 4 permet de proposer à ce site tous les accès réseaux et les moyens de connexion disponibles sur le site local 2, mais au travers d'une liaison Internet ou WAN (accès Internet direct, accès distant, accès invité, ségrégation des réseaux clients ....)

La répartition du système d'information est obtenue en intégrant tout ou partie du système d'information dans un boîtier infrastructure 12 qui sera décrit plus en détail ci-dessous. Plusieurs boîtiers infrastructure peuvent être connectés en un groupe ou « cluster » 13 comprenant tout ou partie du système d'information. Les terminaux utilisateurs 6 à 9 se connectant au système d'information 1 peuvent également accéder, via la passerelle 4, à un serveur de publication d'applications en mode « SaaS » 14 pour bénéficier d'un certains nombres d'applications sans les télécharger localement sur le terminal utilisateur. Ces terminaux 6 à 9 peuvent également accéder via la passerelle 4 à un serveur de stockage 15. On prévoit un module gestion centralisée de services 16 et un module de supervision centralisée 17 de la sécurité des échanges dans le système. Sur la figure 2, on voit un peu plus en détail le contenu de la passerelle d'accès sécurisé 4 selon l'invention. Il s'agit d'un caisson contenant un concentrateur 25 qui est connecté à une architecture de réseaux locaux, représentée simplement ici par le réseau local 2. Ce concentrateur permet l'accès aux terminaux utilisateurs reliés au réseau local 2. Il s'agit généralement des terminaux de l'entreprise. Il permet également de gérer les droits d'accès à des services définis. Le pare-feu 26 permet de laisser passer des communications autorisées provenant du réseau local 2 via le concentrateur 25 ou provenant des terminaux distants 6 à 9 (sur la figure 1) via Internet 5, vers une unité de traitement 27 et/ou vers le système d'information 1. Le pare-feu permet également de contrôler les communications à destination d'Internet, (navigation standard avec filtrage d'URL, antivirus et sonde anti intrusion) ainsi que l'établissement des tunnels IPSEC à destination des différents sites ou administration. En particulier, les communications provenant d'Internet sont dirigées vers l*unité de traitement 27 pour établissement d'une communication sécurisée et pour une authentification forte des terminaux et utilisateurs. En fonction du terminal distant 6 à 9, la communication est dirigée vers un serveur pour bureau virtuel 28, un serveur pour nomade 29 ou un serveur pour voix 30. Chacun des serveurs virtuels 28 à 30 interagit étroitement avec un serveur d'authentification 31. A titre d'exemple non limitatif, le serveur pour bureau virtuel peut être obtenu à partir du produit Virtual Browser® de Common It, du produit Login Peopfe ® qui est un serveur d'authentification, ainsi que d'une interface développée pour permettre l'interaction entre le produit Virtual Browser® et le produit Login People®. Un produit Virtual Browser est notamment décrit dans le document WO 2010136317.

Le serveur pour nomade peut être de façon également non limitative implémenté au moyen du produit Nomadio® de la société Ibelem en tant que composeur 29A, associé au produit IPDIVA® en tant qu'application d'accès à distance 29B, ces produits étant adaptés pour collaborer avec le Login People® comme serveur d'authentification forte. Ces serveurs virtuels sont avantageusement disposés dans une zone démilitarisée pour protéger le système d'information contre toute intrusion malveillante.

Lorsqu'un utilisateur est au sein du réseau local 2, il peut se connecter 5 grâce à son terminal au concentrateur 25 pour identification. Ce dernier identifie l'utilisateur ainsi que le ou les réseaux pour lesquels il a un droit d'accès.

Lorsque cet utilisateur est à l'extérieur du réseau local 2, s'il utilise un terminal non connu, c'est-à-dire non répertorié dans le réseau local, tel que i o par exemple fa machine d'un cyber café ou un ordinateur personnel, ce sont les serveurs pour bureau virtuel et d'authentification qui vont intervenir.

Lorsque cet utilisateur est à l'extérieur du réseau local 2, s'il utilise un terminal connu, c'est le concentrateur 25 qui intervient pour l'identification du terminal .

15

La mise en œuvre du serveur pour bureau virtuel répond à la problématique de se connecter au système d'information quelque soit le terminal utilisé et de garantir que cette connexion ne permet pas la fuite de données ni l'attaque du système d'information . Ce mode permet un travail 0 collaboratif (accès à l'espace partagé et accès au système d'information personnel de l'utilisateur tout en garantissant qu'aucun transfert ne peut être effectué d'un espace à l'autre).

Comme mentionné précédemment, le serveur pour bureau virtuel peut être mis en œuvre au moyen du produit Virtuai Browser® en mode connecté 5 permettant l'accès à des applications en mode web à partir d'un navigateur virtuel installé sur une zone démilitarisée (DMZ) du pare-feu. L'accès à ce navigateur virtuel se fait au moyen d'exécutables stockés soit sur un terminal (PDA, Smartphone) soit sur clé de type USB (clé standard), disques externes ou autres.

0 Le serveur d'authentification peut être mis en œuvre avec le produit

LOGIN PEOPLE® permettant d'effectuer une authentification forte sans utilisation de « token » cryptographique ou de mécanisme cryptographique spécifique. Cette solution s'appuie sur des paramètres spécifiques d'un terminai afin de rendre son identification unique et non falsifiable. En mode bureau virtuel, le serveur pour bureau virtuel et le serveur d'authentification sont interopérables.

En pratique, le processus d'accès en mode bureau virtuel peut être tel que décrit ci-après.

L'utilisateur lance un exécutable bureau virtuel stocké soit sur le terminal soit sur une clé USB. Cet exécutable ne nécessite aucune installation ni de privilège particulier.

La communication entre le terminal et la passerelle est chiffrée, et authentifiée dans le cas d'utilisation de certificat.

Le chiffrement est effectué via OPENSSL.

Une fois la communication établie, l'utilisateur a accès au serveur pour bureau virtuel et aux différents services qui lui sont autorisés en fonction de son profil. Le choix d'un service ouvre automatiquement une session spécifique sur le système d'information concerné. Par défaut, il n'y a aucun transfert d'information entre fe client et (e serveur pour bureau virtuel. On peut envisager un échange de données en fonction du contexte.

En ce qui concerne l'implémentation du serveur d'authentification à partir du produit Login People®, l'authentification du terminal se fait au moyen de plusieurs paramètres intrinsèques au terminal. Cette authentification est effectuée au moyen d'un module d'extension ou « plugin » installé dans un navigateur (ActiveX/Applet Java ou composants spécifiques en fonction des navigateurs).

Sur la figure 3, on voit un processus d'authentification selon l'art antérieur dans lequel des terminaux utilisateurs 40 veulent accéder à un système d'information 39 à travers un serveur d'authentification 37 (ID_BOX) et une passerelle VPNSSL 38. La connexion s'effectue en général au travers d'une page web. A l'étape 32, l'utilisateur saisit un code PIN et envoie ce code pin et la signature du terminal utilisé pour la connexion (depuis son Smartphone, sa clé USB, son terminal, ...). Le serveur d'authentification vérifie le code pin et la signature et renvoie à l'utilisateur à l'étape 33 un mot de passe à valeur unique (OTP). Un client VPNSSL (non représenté) installé sur le terminal récupère ΙΌΤΡ et renvoie à l'étape 34 l'identifiant du terminal à la passerelle VPNSSL 38. Cette dernière renvoie, à l'étape 35 pour vérification, ΓΟΤΡ vers la passerelle d'authentification, en général selon le protocole RADIUS. La communication est ainsi authentifiée et chiffrée. La passerelle VPNSSL 38 autorise l'accès au système d'information à l'étape 36.

Sur la figure 4, ce processus d'authentification est modifié en combinaison avec le processus d'accès sécurisé par le serveur pour bureau virtuel.

Le processus combiné est indépendant du terminal (zéro adhérence) et fonctionne sur l'ensemble des terminaux. Il permet l'authentification de l'utilisateur et du terminal de manière unique et avant l'accès au système d'information. La communication peut être établie en filaire ou en radio (WiFi, 3G,...). Une authentification unique (SSO, « single sign on ») au niveau du système d'information est également possible.

En pratique, la mise en œuvre peut se faire, sans que cela ne soit limitatif aux produits mentionnés, grâce au développement d'une ou plusieurs interfaces permettant de faire dialoguer des produits Virtual Browser® et Login People®. D'autres développement et/ou produits peuvent être envisagés afin d'implémenter les fonctions définies selon l'invention.

Les interfaces rendent les deux produits interopérables. En particulier, dans le cas conventionnel, la génération de la signature issue de Login people® nécessite la mise en oeuvre d'un composant logiciel intégré dans le navigateur sur le poste client. Or Virtual Browser® utilise un navigateur installé en central, donc pas sur le poste client. Avec l'interfaçage entre Virtual Browser ® et Login People®, on récupère l'empreinte de signature sans installer de composant logiciel sur le poste client.

Sur la figure 4, le terminal 40 qui doit être identifié est celui ayant accès à un fichier exécutable adapté à initier une connexion avec le serveur de bureau virtuel (Virtual Browser®). Ce fichier exécutable est stocké dans le terminal 40 ou dans tout moyen de stockage comme une clé USB. Le terminal 40 est un appareil capable de se connecter à Internet, il peut s'agir d'un Smartphone ou d'un PC (tout OS confondu). Aucune installation n'est nécessaire sur le terminal.

- Lorsque l'utilisateur ouvre le fichier exécutable, un module client Virtual Browser® modifié s'exécute et se connecte à l'étape 41 au serveur Virtual Browser® modifié (serveur pour bureau virtuel) 28. Par Virtual Browser® modifié, on entend une application de type Virtual Browser® associée à une interface (une application dédiée) permettant l'échange de données entre l'application Virtual Browser® et une autre application telle que par exemple l'application Login People®. La communication est sécurisée par SSL mais non authentifiée.

- A l'étape 42, le serveur de bureau virtuel 28 demande un identifiant ou signature unique du terminal. Une page web spécifique s'ouvre. On calcule la signature du terminal par l'exécution d'un programme local au client et intégré dans le module client Virtual Browser® modifié. Un code pin est demandé à l'utilisateur. L'utilisateur saisit le code pin.

- Aux étapes 43 et 44, le code pin et la signature sont transmis pour authentification au serveur d'authentification 31 via le serveur de bureau virtuel.

- Le serveur d'authentification génère à l'étape 45 un mot de passe unique dit OTP (pour « One Time Password ») et le transmet au serveur de bureau virtuel.

- A l'étape 46 le serveur de bureau virtuel valide et renvoie le mot de passe ainsi que la signature vers le serveur d'authentification 31 pour demander une ouverture de session. On récupère éventuellement des groupes utilisateurs auprès d'un serveur LDAP (non représenté).

- A l'étape 47, le serveur d'authentification autorise l'ouverture d'une session pour le bureau virtuel en fonction des droits de l'utilisateur.

- A l'étape 48, le terminal 40 accède au système d'information, en particulier à des applications web, bureau et applications publiées.

Lorsque l'utilisateur utilise son termina! habituel de l'entreprise, ce terminal contient un module client apte à communiquer avec un module serveur selon un mode client-serveur avec échanges de données. Le processus de connexion peut être le suivant :

L'utilisateur initie une connexion en activant un assistant de connexion.

Cet assistant de connexion est par exemple un module client apte à communiquer avec un module serveur formant le composeur 29A, l'ensemble client-serveur peut être par exemple obtenu à partir du produit Nomadio®. L'assistant de connexion installé sur le terminal utilisateur détecte et propose tous les moyens de communication possible du terminal : 3G, WiFi,... L'utilisateur choisit un mode de communication. L'assistant peut indiquer un mode préférentiel en fonction de paramètres divers comme par exemple le lieu de connexion, la qualité, le moment de la connexion... L'assistant de connexion pointe le pare-feu 26 qui dirige la connexion vers le composeur 29. Ce dernier lance un processus d'authentification forte en s'interfaçant avec le serveur d'authentification 31. Ce dernier récupère un identifiant unique du terminal. Cet identifiant a été élaboré à partir des caractéristiques logicielles et matérielles permettant d'identifier simplement et rapidement chaque terminal. Lorsque l'authentifïcation est terminée et acceptée, on lance l'application d'accès à distance 29B, comme par exemple le produit IPDIVA® de façon à mettre en place un tunnel VPN SSL entre une application cliente dans le terminal utilisateur et la partie serveur de l'application d'accès à distance contenu dans l'unité de traitement 27. Le terminal utilisateur est ensuite connecté à une passerelle logicielle dans le système d'information pour permettre au terminal utilisateur d'accéder aux différents éléments du système d'information avec échange de données. Le serveur d'authentification utilise un identifiant du terminal, cet identifiant étant un identifiant léger, contrairement aux systèmes de certificat ou de jeton conventionnellement utilisés, qui sont des identifiants lourds en termes de tailles et de manipulation.

Sur la figure 5, on voit une passerelle d'accès sécurisé 4 intégrée dans un boîtier infrastructure 50 comprenant un système d'information. Il s'agit d'un boîtier qui, en plus de l'ensemble des composants de la passerelle 4 des figures 1 et 2, comprend en outre :

- un pare-feu 51 relié avec le pare-feu 26 (figure 2) présent dans la passerelle 4 pour permettre et surveiller la communication entre la passerelle 4 et les autres éléments du boîtier infrastructure ;

- un système d'information intégré 52 comprenant notamment une publication d'applications, un serveur web associé à un relais http, un serveur de dossiers et d'impression, des moyens de gestion centralisée d'adresses IP (DNS, DHCP, AD), et une application d'administration pour gérer la publication d'applications ;

- un serveur 53 de stockage en réseau NAS (« Network Attached Storage » en anglais) pour gérer des espaces disques ; - un commutateur 54 pour gérer la communication entre les différents éléments du boîtier infrastructure, il permet également de mettre en cascade plusieurs boîtiers infrastructure du même type ;

- une unité de traitement 55 pour administrer les autres éléments du boîtier infrastructure ; et

- une autre unité de traitement 56 pour gérer l'alimentation du boîtier infrastructure, en particulier l'arrêt et le démarrage séquentiel des éléments du boîtier infrastructure ; par exemple une séquence de démarrage peut être la suivante : le commutateur 54, l'unité de traitement 55, un serveur 53 de stockage en réseau NAS, le système d'information intégré 52, et la passerelle 4 d'accès sécurisé ; l'arrêt se faisant dans le sens inverse.

La mise en cascade des boîtiers infrastructures permet notamment de réaliser un système redondant. Les différents services sont ainsi toujours disponibles en cas de défaillance de l'un des boîtiers infrastructures.

D'une façon générale et en complément notamment de ce qui précède et conformément aux figures 1 à 4, le système selon l'invention peut être défini sous forme de kits pouvant être mis en œuvre pour chaque famille d'équipements à prendre en compte. Le système selon l'invention comprend au moins les composants suivants :

» Famille d'équipements client (distant ou local) :

o Pour le kit nomade : kit d'accès nomade permettant à un poste de l'entreprise d'accéder aux ressources de l'entreprise, au boîtier infrastructure intégrant un système d'information, au serveur SaaS et au serveur Store. Le kit comprend le composeur

(« dialer » en anglais), la sécurisation de la communication et l'authentification forte,

o Pour le kit bureau virtuel : solution permettant à un utilisateur d'accéder aux ressources de l'entreprise, au boîtier infrastructure intégrant un système d'information, au serveur SaaS et au serveur Store. Il permet également de stocker et utiliser des données stockées dans un espace sécurisé,

o Pour le kit voix mobile (Smartphone) : solution identique au serveur pour bureau virtuel et/ou au serveur pour nomade mais dédié au monde des Smartphones. • Famille d'équipements infrastructure

o Le boîtier infrastructure intégrant un système d'information : système d'information complet, intégré (réseau - applications publiées - stockage) évolutif (empilage ou mise en réseau) offrant des services de voix données images, intégrant des services de sécurité (sécurité des communications (voix et données), sécurité des accès Internet, sécurité des données (chiffrement et solution DLP (« Data Loss Prévention » pour prévention de perte de données) / Sauvegarde / Synchronisation), haute disponibilité), pouvant être facilement déployé.

o La passerelle d'accès sécurisé : Passerelle d'accès mutualisés, permettant aux solutions clients d'accéder à un système d'information client. Passerelle d'accès permettant à un site distant de s'intégrer dans l'architecture du système selon l'invention sans déploiement spécifique sur le site distant tout en gardant les fonctionnalités offertes dans le boîtier infrastructure intégrant un système d'information (multi VLAN accès invité, accès LAN to LAN)

« Famille service

o Serveur SaaS : Portail d'accès à des applications en mode service (publication d'applications et exécution distante) et compatible avec les solutions de la famille client. Le serveur SaaS est mutualisable entre plusieurs sociétés tout en garantissant un cloisonnement des communications et des données et des accès. Il est compatible avec des solutions d'authentification fortes.

o Serveur Store : Bibliothèque d'applications virtualisées pouvant être:

• utilisée par le serveur SaaS (à partir des solutions d'infrastructure et clientes)

• téléchargée et utilisée par les produits de la famille client utilisée sur un poste client sans installation spécifique

• Famille Management • Le serveur gestion centralisée de services : console de management centralisé permettant l'administration complète du système. Administration des clients, infrastructures, et services. La gestion comprend le management des services et la configuration / le déploiement des différentes solutions.

• Le serveur de supervision centralisée de la sécurité des échanges dans le système (remontée d'alarmes, corrélation, gestion des logs, vulnérabilité). Ce serveur assure également le management de la sécurité

(configuration des pare-feu, des liens inter systèmes, politique de sécurité et conformité, patch management....)

On va maintenant détailler ci-après, certains principes mis en œuvre au niveau matériel et applicatif :

Le système selon l'invention est une solution cohérente mais adaptable car conçue en mode brique.

L'architecture technique du système selon l'invention repose sur des briques assurant les différentes fonctions d'un système d'information allant de la communication (architecture réseau) à la mise à disposition d'application en mode SAAS ou local (virtualisation d'application, publication d'application) en intégrant des mécanismes d'authentification forte et un stockage/sauvegarde de données sécurisées soit dans l'infrastructure centrale soit sur un support distant (nomade, bureau virtuel, Smartphone).

Architecture des communications :

Toutes les communications entre les différents éléments du système sont sécurisées (chiffrement et authentification).

Cette architecture de communication entre les différents éléments est assurée par plusieurs tunnels IPSEC ( pour « Internet Protocol Security ») et/ou SSL (pour « Secure Socket Layer ») en fonction des éléments à connecter.

Toutes les communications sont gérées à partir du serveur de gestion centralisée de services. Une architecture selon l'invention peut être construite soit sur le réseau Internet soit sur un réseau privé, soit les deux. Le débit minimal dépend des services demandés.

Les architectures réseaux locaux, Implémentées dans la passerelle et dans le boîtier infrastructure permettent la mise à disposition de plusieurs réseaux pour différents usages répartis en trois classes:

• Accès au système d'information local: permet à un utilisateur d'accéder à partir d'un poste quelconque au SI local

• Accès invité: permet à une personne d'accéder à Internet (en mode invité) en assurant un contrôle des communications et une sauvegarde des données de connexion

• Accès LAN to LAN. Offre à un groupe d'utilisateurs une extension de son réseau d'entreprise sans utiliser les accès distants.

Chaque classe de réseau peut être subdivisée en plusieurs classes isolées les unes des autres.

Les architectures de réseaux s'appuient sur des technologies de VLAN et s'appuie sur des architectures WiFi ou filaire ou les deux rendant ainsi un déploiement rapide et aisé.

Toutes les communications clients / infrastructure sont chiffrées et authentifiées par différents mécanismes en fonction de la typologie des réseaux.

Virtualisation système:

Les différents serveurs du système fonctionnent sur des équipements spécifiques, intégrés sur mesure mais de base commune. Les systèmes de base fonctionnant sur les différents équipements s'appuient sur des technologies de virtualisation d'OS, permettant une évolution simple et une interopérabilité des éléments entre eux (dans une famille donnée). On peut utiliser la solution logicielle de virtualisation V Ware qui propose des fonctionnalités de haute disponibilité et de partage de charge.

Système d'information:

Le système d'information peut être par exemple un système Microsoft (Active Directory / File / Print...) avec une architecture dans le boîtier infrastructure capable de dialoguer avec l'architecture du serveur SaaS (mise en place de solution d'approbation de droits entre deux architectures Windows disjointes : fédération des identités)

Authentification forte:

Plusieurs mécanismes d'authentification forte peuvent être utilisés : Authentification forte à base de certificat (logiciel ou hardware)

Authentification forte sans certificat (par exemple empreinte terminal) L'enrôlement des utilisateurs ou la création des certificats peuvent être soit externe au système soit intégré dans l'architecture. L'authentification forte couplée à de l'identification unique (SSO) permet à un utilisateur donné d'accéder aux données et aux réseaux en n'utilisant qu'une séquence d'authentification . Des mécanismes de fédération d'identité permettent à un utilisateur d'accéder à des systèmes répartis ne disposant pas de cohérence de bases utilisateurs sans rejouer les mécanismes d'authentification. Les certificats implémentés peuvent également servir au chiffrement des données. Stockage:

Le boîtier infrastructure intégrant le système d'information offre des capacités de stockage par utilisateur, qui peuvent évoluer et être réparties sur plusieurs boîtiers. Des mécanismes de synchronisation permettent d'assurer la haute disponibilité des données en cas de dysfonctionnement de l'une des infrastructures. Les données peuvent être également sauvegardées/synchronisées sur des serveurs spécifiques tout en garantissant le même niveau de sécurité (confidentialité/intégrité) de la donnée initiale.

L'architecture de stockage permet également de synchroniser dans les deux sens des données stockées sur un poste local (nomade et Smartphone) ou sur une clé (bureau virtuel) en gardant les mêmes niveaux de sécurité. Dans ce cas, la synchronisation de données nécessite que le terminal soit connecté à une architecture du système (partiel ou complète).

Solution Voix : Le système offre une solution de voix sécurisée par défaut (chiffrement de la voix) permettant soit de reboucler sur un IPBX (PABX sur IP) d'entreprise soit d'avoir son propre accès aux réseaux commutés (ceci vaut pour le boîtier infrastructure uniquement). Les infrastructures voix sont compatibles avec le boîtier infrastructure et la passerelle et fonctionnent sur tous les clients du système ainsi que sur des téléphones standards (TOIP pour « Telephony over Internet Protocol »).

Protection des données :

Des briques spécifiques permettent d'assurer la protection des données stockées dans les différents produits du système. La protection des données comprend la protection de la donnée elle-même (confidentialité / intégrité) ainsi que l'audit / contrôle de l'utilisation de celle-ci. Publication d'application :

Le serveur SaaS et le boîtier infrastructure proposent des solutions de publication d'applications permettant à un utilisateur d'accéder à une application sans installation sur le poste distant. Cette solution est compatible avec tous les clients du système et quel que soit l'endroit où se trouve l'application. Les mécanismes de virtualisation d'applications sont identiques pour le boîtier infrastructure et le serveur SaaS.

Virtualisation du terminai :

Cette solution couplée à la publication d'application permet à un utilisateur d'accéder au système d'information à partir d'un terminal quelconque ou à partir d'un terminal spécifique mais appartenant à un autre système d'information. La solution garantit par défaut qu'aucune donnée ne pourra être stockée sur le poste client. Il s'agit d'une configuration par défaut qui peut être modifiée en fonction du groupe auquel appartient le poste client (politique adaptative en fonction du contexte). La politique d'utilisation peut être liée au mécanisme d'authentificatïon forte.

Application virtualisée :

Il s'agit d'une solution permettant de virtualiser des applications afin de faire fonctionner localement (sur le poste d'un utilisateur) sans avoir à installer ces applications. Les applications sont accessibles en téléchargement à partir par exemple du serveur Store.

Sécurité:

Tous les éléments de la gamme bénéficient du même niveau de sécurité. On assure ainsi une cohérence du niveau de sécurité. Ce niveau est défini en fonction des risques connus et des exigences des utilisateurs. La sécurité est globale. Dans le cas où cette dernière s'applique à un système d'information existant, elle peut soit être indépendante de ce dernier avec une spécification du niveau de sécurité pour les interfaces, soit intégrée avec des mécanismes de sécurité de l'utilisateur.

La sécurité englobe:

» La sécurité des systèmes et applications (gestion de patch, mise à jour, contrôle de conformité, gestion des outils de contrôles, ...)

« La sécurité des données (chiffrement, sauvegarde, contrôle des accès...)

o La gestion des utilisateurs et droits associés.

Administration/ supervision :

Cette solution couvre la supervision et l'administration des différents éléments du système:

« Provisionnement des comptes utilisateurs

• Démarrage arrêt de service

• Ajout de service supplémentaire

· Surveillance des systèmes

• Mise en production.

Modularité de la gamme :

La passerelle peut être intégrée dans le boîtier infrastructure ou être utilisée de façon indépendante.

Bien sûr, l'invention n'est pas limitée aux exemples qui viennent d'être décrits et de nombreux aménagements peuvent être apportés à ces exemples sans sortir du cadre de l'invention.

Claims

REVENDICATIONS

1. Passerelle (4) d'accès à un système d'information (1), comprenant :

- un caisson (4) doté d'une alimentation,

- un concentrateur (25) pour connecter la passerelle à un réseau local (12),

- un pare-feu (26) pour connecter la passerelle au système d'information (1) et à un réseau de communication externe de type Internet, et

- une unité de traitement (27) comprenant :

- au moins un serveur de connexion à distance (28, 29, 30) accessible depuis le réseau de communication externe dans un tunnel sécurisé via le pare-feu, et

- un serveur virtuel (31), dit serveur d'aut entification, configuré pour interagir avec ledit au moins un serveur de connexion à distance (28, 29, 30) pour une authentification forte de chaque utilisateur accédant au pare-feu, cette authentification forte étant réalisée à partir d'un identifiant unique du terminal de l'utilisateur.

2. Passerelle selon la revendication 1, caractérisée en ce que ledit au moins un serveur de connexion à distance (28, 29, 30) comprend un premier serveur virtuel (28), dit serveur pour bureau virtuel, accessible depuis le réseau de communication externe par déport d'affichage dans un tunnel sécurisé via le pare-feu.

3. Passerelle selon la revendication 2, caractérisée en ce que le serveur pour bureau virtuel (28) est configuré pour exécuter chaque session dans un environnement virtuel isolé.

4. Passerelle selon la revendication 2 ou 3, caractérisée en ce que le serveur pour bureau virtuel (28) comprend plusieurs navigateurs pour accéder au système d'information (1).

5. Passerelle selon la revendication 4, caractérisée en ce que chaque navigateur est configuré pour accéder à un ensemble d'applications du système d'information (1).

6. Passerelle selon la revendication 1 ou 2, caractérisée en ce que ledit au moins un serveur de connexion à distance (28, 29, 30) comprend un deuxième serveur virtuel (29), dit serveur pour nomade, accessible depuis le réseau de communication externe par liaison client-serveur avec échanges de données dans un tunnel sécurisé via le pare-feu.

7. Passerelle selon la revendication 6, caractérisée en ce que le serveur pour nomade (29) comprend :

- un module serveur (29A) d'un composeur multi-accès, un module client du composeur étant contenu dans un terminal utilisateur,

- un module serveur (29B) d'une application d'accès à distance pour établir un tunnel VPN SSL et pour accéder au système d'information.

8. Passerelle selon l'unê quelconque des revendications précédentes, caractérisée en ce que ledit au moins un serveur de connexion à distance (28,

29, 30) comprend un troisième serveur virtuel (30), dit serveur pour voix, accessible depuis le réseau de communication externe par une liaison de voix sur IP dans un tunnel sécurisé via le pare-feu.

9. Passerelle selon l'une quelconque des revendications précédentes, caractérisée en ce que les serveurs virtuels sont disposés dans un environnement isolé.

10. Passerelle selon l'une quelconque des revendications précédentes, caractérisée en ce que les tunnels sécurisés sont des tunnels VPN chiffrés

SSL

11. Système d'accès à un système d'information contenu dans une architecture de réseau local d'une entité, ce système comprenant :

- une passerelle (4) telle que définie dans l'une quelconque des revendications précédentes,

- une pluralité de terminaux utilisateurs (6-9) pour accéder au système d'information via un réseau de communication de type Internet et ladite passerelle avec une authentification forte et des connexions par tunnels sécurisés, - au moins un serveur virtuel distant de publication (14), dit serveur « SaaS », dédié à la publication d'applications, ce serveur « SaaS » étant accessible aux utilisateurs via la passerelle,

- au moins un serveur virtuel distant de stockage (15), dit serveur « Store », dédié au stockage d'applications sous forme d'une bibliothèque, ce serveur

« Store » étant accessible aux utilisateurs via la passerelle.

12. Système selon la revendication 11, caractérisé en ce qu'il comprend en outre un serveur virtuel distant (16) de gestion centralisée de l'ensemble des serveurs virtuels du système.

13. Système selon la revendication 11 ou 12, caractérisé en ce qu'il comprend en outre un serveur virtuel distant (17) de supervision centralisée de la sécurité des échanges dans le système.