Bernard Ourghanlian (Microsoft) "Windows 7 se connectera au SI à distance, de façon transparente pour l'utilisateur"

Combinant IPv6 et IPSec, Direct Connect ouvrira des accès distants et sécurisés au système d'information. Parmi d'autres nouveautés, Windows 7 héritera du patrimoine de Vista.

Direct Access doit être intégré dans Windows 7. De quoi s'agit-il exactement ?

Direct Access ou Direct Connect est une fonctionnalité qui sera intégrée en standard dans Windows 7, et dont l'objectif est de permettre, sans l'établissement d'un VPN, en utilisant IPv6 et IPSec, d'accéder à l'ensemble des ressources du système d'information.

Cette fonctionnalité permettra ainsi d'authentifier le poste qui se connecte à travers IPSec. L'accès sera transparent pour l'utilisateur. En termes de sécurité, l'utilisateur, connecté au contrôleur de domaine, héritera de l'ensemble des politiques de groupes, et potentiellement aussi d'un contrôle d'état de santé via NAP.

Cette fonctionnalité présage-t-elle la fin du VPN ?

Le VPN en tant que tel va continuer de subsister pour tous les usages pré-Windows 7 et pour tous les usages dans lesquels il n'est pas possible, pour diverses raisons, de mettre en œuvre IPSec dans l'entreprise.

Tel que nous l'imaginons, IPSec va se déployer progressivement. Il présente des avantages évidents, à la fois parce que c'est un des éléments protocolaires standards d'IPv6, et parce qu'il permet de s'affranchir complètement des contraintes de topologie réseau. L'accès est octroyé en fonction des droits associés à un ordinateur, au sein du réseau.

Sous réserve que l'utilisateur ait pu s'authentifier sur l'ordinateur, de préférence par un mécanisme d'authentification forte, il est possible d'établir une connexion au sens IPSec du terme et d'accéder à l'ensemble des informations auxquelles il est censé avoir accès.

Dans ce cadre, si pour une raison ou pour une autre, la politique de sécurité change, les utilisateurs sont automatiquement mis dans une situation de conformité vis-à-vis de la nouvelle politique. L'avantage est donc de pouvoir définir dynamiquement des politiques d'isolation de domaine et de les appliquer instantanément.

direct access
Schéma d'architecture avec Direct Connect/Direct Access. © C. Auffray / JDN Solutions

Comment s'intègre la passerelle UAG dans cette architecture ?

UAG est la passerelle d'accès au réseau. Typiquement, dans un contexte où justement IPv6 et IPSec sont absents, UAG va permettre de créer des VPN SSL pour présenter à l'utilisateur l'ensemble des applications auxquelles il a droit. Mais aussi de faire tous les contrôles de l'état de santé du poste de travail dont il ne peut pas, en principe, bénéficier à distance.

UAG va ainsi vérifier que l'utilisateur dispose d'un pare-feu opérationnel, de la dernière version de tel ou tel correctif, que la base de signatures antivirus est à jour, etc. Il va aussi imposer un certain nombre de mécanismes de contrôle pour faire en sorte que par exemple, si un mail comporte une pièce jointe confidentielle, celle-ci soit bloquée.

"Si l'élément a été autorisé à passer le filtrage, il reste à encadrer les utilisations qui en seront faites"

UAG s'assurera par exemple aussi, lors d'une connexion sur un réseau Wi-fi public, que le cache d'Internet Explorer soit bien vidé. Ainsi le poste de travail ne conservera pas des données résultantes du réseau d'entreprise. L'application UAG intègre des filtres en VBScript personnalisables pour permettre à l'entreprise de définir ses propres règles.

UAG s'apparente donc à une solution de DLP ?

Oui, à condition toutefois de rajouter une fonctionnalité au DLP qui est celle de la gestion des droits numériques, RMS chez Microsoft. Une fois un document récupéré, il faut aussi contrôler ce qu'il en est fait. Si l'élément a été autorisé à passer le filtrage, il reste à encadrer les utilisations qui en seront faites.

Imaginons un scénario d'entreprise étendue dans lequel PSA en tant que fabricant se connecte avec des sous-traitants. Dans leur relation, ils seront amenés à partager des plans pour pouvoir fabriquer des pièces automobiles. Or, ce sont des informations confidentielles pour PSA. En ajoutant la gestion de droits numériques, l'entreprise peut autoriser son sous-traitant à avoir accès à ces données, mais interdire parallèlement une lecture en mode offline, l'impression, le transfert par messagerie, etc.

Cette brique de gestion des droits numériques s'insère donc dans votre stratégie de sécurité au plus près des données ?

La gestion de droits numérique s'avère très utile à partir du moment où la notion de périmètre de système d'information défini disparaît, au travers de l'établissement de liens toujours plus étroits avec les partenaires, clients, fournisseurs, etc.

Dans ce contexte, le besoin de protection des documents s'intensifie. De tels outils de sécurité permettent de s'assurer que les partenaires ne transféreront pas des documents sensibles, éventuellement à des concurrents.

"Une version bêta 2 de Stirling est déjà disponible"

Peut-on dès lors parler de gestion du cycle de vie de l'information ?

C'est un tout petit peu plus délicat. Cela nécessite notamment de disposer d'un logiciel supplémentaire couplé à l'outil de gestion des droits numériques. L'entreprise peut par exemple parfaitement intégrer SharePoint, une de nos briques en matière de gestion de contenu, avec RMS.

Ce couplage offre la possibilité de faire en sorte qu'un document présenté au sein d'un répertoire de contenus hérite dynamiquement et automatiquement des modèles de gestion de droits. Dans le cas par exemple d'un répertoire Voitures comprenant un sous-répertoire confidentiel, tous les documents crées et évoluant dans ce répertoire hériteront du modèle de droits associé. Ainsi tout document déposé est chiffré, et il lui est associé la liste des utilisateurs autorisés, avec leurs droits.

Quelle est la feuille de route de Microsoft en sécurité ?

Stirling est la version de Forefront intégrée de la partie pare-feu, antivirus, anti-malware, poste de travail, antivirus Exchange, Forefront Exchange.

La sortie est prévue pour le premier semestre de l'année prochaine, probablement en juin. Une version bêta 2 de Stirling est déjà disponible et a fait l'objet d'une démonstration à l'occasion des Assises de la sécurité de Monaco.

Quid de la sécurité de Windows 7 ?

Windows 7 va déjà hériter des nouvelles fonctionnalités de sécurité introduites dans Vista, mais intégrera aussi d'autres nouveautés importantes, dont Direct Connect.