Description du service

Cloudi-Fi

À usage de nos partenaires et clients

v1.0
Service cloud d’accès à Internet, sécurisé et
conforme pour chaque utilisateur et appareil IoT
Les entreprises fournissent un accès sécurisé à leur réseau pour les appareils et les employés digne de
confiance. La confiance de ces appareils repose sur la gestion des appareils par l'entreprise.

Avec la transformation numérique, les entreprises sont de plus en plus confrontées au défi de fournir
un accès Internet à des appareils non gérés et, par conséquent, non fiables : invités, consultants, BYOD
et IoT :

● Fournir un accès Wi-Fi invité à partir de vos sites d'entreprise peut engager la responsabilité
de l'entreprise
● Les accès non fiables peuvent utiliser des ressources partagées et limitées (Wi-Fi, bande
passante Internet)
● De nombreux pays à travers le monde ont des réglementations strictes en termes de fourniture
d'accès à Internet avec stockage des journaux et confidentialité des données.
● Les postures de sécurité traditionnelles sont insuffisantes pour sécuriser l'IoT connecté au
cloud.
● Avec l'adoption de points d'accès Internet locaux, les anciennes architectures centralisées
deviennent obsolètes.

Cloudi-Fi aborde ces sujets et fournit un service cloud mondial :

● Les utilisateurs non approuvés sont authentifiés et profilés
● Les IoT sont identifiés et profilés
● Mise en place d’une sécurité Internet de type Zero Trust, profilée en fonction du contexte, et
conforme aux réglementations locales
● Réduction de la complexité et des coûts de sécurisation des réseaux non fiables

Authentifier et profiler les invités

En plus de toute sécurité physique, le réseau invité ne doit pas être ouvert à un utilisateur inconnu.
L'identité du visiteur est également nécessaire pour profiler sa politique Internet (sécurité, quota,
QOS...) et se conformer à de nombreuses réglementations nationales.

⇨ Cloudi-Fi propose des portails captifs personnalisables permettant aux entreprises de

s'authentifier en toute transparence et par conséquent de profiler tout type de visiteurs.

Identifier et profiler l'IoT

La première étape pour assurer la sécurité du réseau consiste à gagner en visibilité sur tous les IoT qui
tentent de se connecter au réseau. Comme la plupart des appareils ne peuvent pas s'authentifier, leurs
signatures et leurs flux de données peuvent être utilisés et exploités pour les identifier.

⇨ Cloudi-Fi identifie avec précision tout type d'appareil en fonction de sa signature réseau et
de son trafic.
Mettre en œuvre la politique de confiance zéro

L'IoT n'est pas managé par nature, et ceci met au défi les entreprises qui doivent leur fournir une
connectivité Internet sécurisée.

L’approche Zero Trust est une brique fondamentale dans la cybersécurité et pour être efficace, elle
doit être appliquée à l'IoT. Le principe de base peut être simplifié comme suit : « ne faire confiance à
rien et ne considérer aucun segment de réseau intrinsèquement sûr ». Il stipule que toutes les
personnes, appareils, services, etc., doivent être considérés comme non fiables et ne doivent pas être
autorisés à accéder au réseau tant que leur fiabilité n'a pas été prouvée.

Une architecture Zero Trust Network Access (ZTNA) renforce la sécurité en fonction du contexte de la
transaction : qui est l'utilisateur ? quel appareil est utilisé? A quelle application accède-t-on ? Où se
trouve l' utilisateur/l'appareil ? Comment l'utilisateur/l'appareil est-il connecté au réseau ?

⇨ Cloudi-Fi implémente ZTNA par :

● L’authentification des utilisateurs et l’identification des appareils.
● La mise en œuvre des politiques de moindre accès qui peuvent être personnalisées
sous plusieurs prismes pour les utilisateurs, les groupes, les emplacements, les
caractéristiques des appareils et, qui peuvent interopérer avec les solutions de
sécurité Internet existantes.

Prévenir les responsabilités légales et les atteintes à la réputation grâce à une application puissante
des politiques de sécurité

La fourniture d'un accès Wi-Fi public peut exposer votre organisation à une foule de
responsabilités légales et nuire à sa réputation si l'entreprise ne fait pas preuve d'une
diligence raisonnable pour arrêter les actes illégaux ou indésirables sur le réseau.

⇨ Les services Cloudi-Fi permettent aux entreprises de restreindre le contenu et les

sites auxquels les utilisateurs et appareils non fiables sont autorisés à accéder. Les
journaux de transaction et d'authentification sont stockés dans les pays locaux avec
une durée variable pour se conformer aux réglementations locales.

Réduire la complexité et les coûts pour sécuriser un réseau non fiable

La compatibilité Cloudi-Fi avec de nombreux fournisseurs d'infrastructure et de sécurité

permet un déploiement facile et évolutif d'une solution unique dans le monde entier, sans
ajout de matériel ou de logiciel sur aucun site.

⇨ Cloudi-Fi est une solution SaaS 100 % cloud particulièrement pertinente pour les
entreprises ayant des succursales et adoptant des points d'accès Internet locaux.
Table des matières

1 Méthodes d'authentification du portail captif pour les visiteurs 6

1.1 Déclaratif 6
1.2 E-mail 6
1.3 SMS 6
1.4 Réseaux sociaux 7
1.5 Sponsor 7
1.6 Personnalisé 7
2 Création et enregistrement des informations d'identification des invités Authentification et
profilage des invités 9
2.1 Interface administrateur 9
2.2 Interface Lobby 10
2.3 Parrainage d'employés (sponsorship) 10
2.4 Auto-enregistrement des invités 11
2.5 Authentification des réseaux sociaux 12
2.6 BYOD - Apportez votre équipement personnel de communication 13
2.7 Lancer et gérer des événements 14
2.8 Résumé des données collectées avec les modules d'authentification 15
3 Parcours utilisateur typique 16
3.1 Exemple de parcours utilisateur sur le WiFi invité d'entreprise 16
3.2 Exemple de parcours client sur un hotspot 17
4 Profilage de la politique des invités 17
5 Identification et sécurité IoT 19
5.1 Service DHCP 19
5.2 Service IoT sécurisé 19
6 Sécurité et conformité 20
6.1 Filtrage d'URL 20
6.2 Protection par pare-feu cloud 23
6.3 Contrôle de bande passante 26
7 Comment ça marche? 28
7.1 Fournissez en toute transparence la sécurité du Wi-Fi invité dans le monde entier 28
7.2 Confidentialité de l'identité du client 29
8 Rapports 30
8.1 Tableaux de bord 31
8.2 Rapports 32
 8.3 Journaux d'authentification 33
8.4 Journaux des transactions 33
9 Soutien 34
9.1 Comment nous contacter 34
9.2 Quand nous contacter 34
10 Réversibilité des services 35
1 Méthodes d'authentification du portail captif pour les
visiteurs
Cloudi-Fi fournit diverses méthodes d'authentification pour enregistrer les visiteurs.
Les capacités d'authentification, décrites ci-dessous, peuvent être mixées dans le même portail
captif et traduire les problématiques de confidentialité ou de sécurité de l’entreprise via une
approche utilisateur. (Voir partie 2 pour plus de détails)
Ainsi, le service Cloudi-Fi répond de manière unique à tout type de besoins.

1.1 Déclaratif

C'est le moyen le plus simple d'authentifier vos utilisateurs.

● Rien n'est obligatoire au-delà de l'acceptation des conditions d'utilisation.

● Tous les champs supplémentaires peuvent être ajoutés pour collecter plus de données
comme le nom complet, le pays ou un numéro de téléphone.
● L'expérience utilisateur peut varier en fonction du nombre de champs requis pour
s'inscrire
● Le niveau de sécurité de cette méthode est très faible car l'adresse MAC peut être
usurpée et tout détail saisi par l'utilisateur peut être faux.

Pour en savoir davantage ? http://help.cloudi-fi.net/portals/register-your-users/letting-your-

users-login-with-direct-registration

1.2 E-mail

L'authentification par e-mail nécessite un e-mail vérifié pour recevoir les informations
d'identification.

● Tous les champs supplémentaires peuvent être ajoutés pour collecter plus de données
comme le nom complet, le pays ou un numéro de téléphone.
● Cette méthode nécessite que l'utilisateur puisse accéder à sa boîte aux lettres pour
recevoir les informations d'identification. La validation peut être obtenue en cliquant sur
un lien ou en utilisant un identifiant/mot de passe ou un mot de passe.

Pour en savoir davantage ? http://help.cloudi-fi.net/portals/register-your-users/letting-your-

users-register-themselves-with-email-verification

1.3 SMS

L'authentification des utilisateurs par SMS est rapide et sécurisée.

 ● Tous les champs supplémentaires peuvent être ajoutés pour collecter plus de données
comme le nom complet, le pays ou un numéro de téléphone.
● Les SMS sont pratiques pour les utilisateurs qui ont l’habitude de confirmer leur identité
avec SMS, et la livraison ne repose pas sur la connectivité des données.
● Le SMS est une authentification sécurisée. Elle est obligatoire dans de nombreux pays
pour les hotspots comme la Chine ou la Russie. Le SMS peut utiliser un lien pour cliquer
ou se connecter via un login et un mot de passe ou via un mot de passe.

Pour en savoir davantage ? http://help.cloudi-fi.net/portals/register-your-users/letting-your-

users-register-themselves-with-phone-number-verification

1.4 Réseaux sociaux

Les réseaux sociaux sont un moyen rapide et sûr d'enregistrer des utilisateurs.

● L'identifiant social, les données démographiques et l'e-mail sont collectés.

● L'expérience utilisateur est excellente car l'utilisateur peut s'inscrire et se connecter en
quelques secondes.
● Le niveau de sécurité avec les réseaux sociaux est moyen. La plupart des réseaux sociaux
vérifient généralement leurs utilisateurs et collaborent avec les gouvernements sur
demande.

Pour en savoir davantage ? http://help.cloudi-fi.net/portals/register-your-users/letting-your-

users-register-themselves-with-social-networks

1.5 Sponsor

L'authentification sponsorisée est un moyen de contrôler étroitement l'accès au réseau.

● Seuls les invités approuvés par un sponsor peuvent avoir des informations d'identification
pour se connecter.
● Ce compromis offre une sécurité maximale pour les réseaux sensibles tels que les sites
d'entreprise.
● Les QR codes peuvent également être utilisés pour parrainer l'accès des invités

Pour en savoir davantage ? http://help.cloudi-fi.net/portals/register-your-users/letting-your-

users-register-with-a-sponsor

1.6 Personnalisé

Certains clients décident d'utiliser leur propre code, Cloudi-Fi accepte n'importe quel code
HTML/CSS/JS.
L'équipe du Creative Lab les accompagne dans la création de leur propre contenu.
La modification d’un template est généralement un bon point de départ pour comprendre la
structure du contenu, plus de détails ici : http://help.cloudi-fi.net/portals/basics/modify-the-
content-of-a-captive-portal -modèle

Vous trouverez ci-dessous deux exemples de portails captifs (hotspot et corporate).

2 Création et enregistrement des informations
d'identification des invités
Authentification et profilage des invités
Cloudi-Fi propose une large sélection de création et d'enregistrement d'identifiants d'invités
pour répondre aux réglementations locales et aux besoins des entreprises.

● Interface administrateur
● Interface Lobby
● Parrainage des employés
● Auto-enregistrement des invités par SMS ou par e-mail
● Réseaux sociaux (Facebook, Google, Twitter, YouTube, LinkedIn, Instagram…)
● BYOD avec Google/O365/tout SAML (limité au(x) domaine(s) de l'entreprise)

2.1 Interface administrateur

Notre interface d'administration permet aux administrateurs de visualiser et de contrôler toutes

les créations d'informations d'identification des invités, ainsi que leur parrainage et leur profil. Les
administrateurs peuvent créer, modifier et supprimer toutes les informations d'identification
d'invité.
2.2 Interface Lobby

Notre interface lobby permet à un administrateur de lobby de créer des informations

d'identification d'invité avec la durée et le profil :

Un compte de lobby est un compte administrateur dont les droits sont limités à la création de
comptes.
Un compte de lobby peut être associé à un individu ou à un lobby.

Plusieurs comptes de lobby peuvent être définis dans l'interface d'administration comme dans
l'exemple ci-dessous :

2.3 Parrainage d'employés (sponsorship)

La page web de parrainage des employés permet de déléguer la création d'informations

d'identification d'invités aux employés. Les administrateurs définissent la liste des profils et leurs
politiques associées.

Une durée maximale des identifiants invités (par défaut : 90 jours) est définie lors de la
configuration et peut être modifiée à tout moment.

Dans l'exemple ci-dessous, Chris Moorman, un employé, crée des identifiants d'invité pour John
Doe. John Doe pourra utiliser l'accès Internet du 10/10/2017 au 12/10/2017 avec le profil "invité".

2.4 Auto-enregistrement des invités

L'entreprise peut décider d'autoriser les invités à s'inscrire eux-mêmes pour accéder à Internet.

Les invités seront autorisés à utiliser Internet pendant une

durée personnalisable, par exemple le jour en cours, puis ils
seront associés au profil « accès quotidien ».

Les invités peuvent s'inscrire directement depuis le portail

captif par SMS ou par parrainage salarié (email, IM ou QR
code).
 Le parrainage par e-mail garantit que
l'employé valide les détails de l'invité avant la
livraison des informations d'identification.

L'employé reçoit un e-mail avec les

informations d'identification de l'invité.

2.5 Authentification des réseaux sociaux

Les détaillants ou toute entreprise qui fournit des hotspots recherchent souvent un moyen
pratique de fournir un accès Internet efficace et rapide à leurs clients.

Cloudi-Fi offre une expérience d'authentification transparente grâce à ses modules

d'authentification de réseau social. Le visiteur peut accéder instantanément à Internet pendant
que l'entreprise récupère son identifiant de réseau social et son email.

Par défaut, Cloudi-Fi n'a besoin que du profil public de l'invité et le stockera dans son système.
Cependant, vous pouvez décider de demander plus de détails enregistrés sur le réseau social
concernant l'invité.

Les visiteurs sont informés par le réseau social des informations requises lors du processus
d'authentification.

Vous trouverez ci-dessous des informations supplémentaires sur les détails des invités ainsi que
leurs niveaux de confidentialité dans les principales applications de réseaux sociaux.
Une fois le visiteur authentifié, ses coordonnées sont conservées dans nos systèmes. Ces détails
sont exportables manuellement depuis l'interface utilisateur d'administration ou avec la fonction
RESTAPI pour être intégrés dans votre logiciel de Business Intelligence.

2.6 BYOD - Apportez votre équipement personnel de communication

Les employés utilisant leurs appareils personnels ou tout autre appareil, qui auront accès au
réseau invité, peuvent également être authentifiés et sécurisés de manière transparente. Les
employés utilisent leurs informations d'identification d'entreprise pour s'authentifier et être
profilés en tant qu'employés.

Si l'entreprise a souscrit à une solution de messagerie cloud telle que Google ou O365, les
employés utilisent leurs identifiants de messagerie pour s'authentifier. Cette authentification sera
transparente car l'appareil connaît déjà et a mis en cache les informations d'identification (les e-
mails sont reçus sur l'appareil).

L'employé n'aura qu'à cliquer sur le bouton de connexion pour accepter les conditions
d'utilisation.
2.7 Lancer et gérer des événements

Votre entreprise peut être amenée à proposer le Wi-Fi invité à plus de personnes que
d'habitude lors d'événements (showroom, rendez-vous client, lancement de produit…) et pour
une durée déterminée.

La solution Cloudi-Fi permet aux entreprises de gérer leurs événements spéciaux depuis un site
dédié ou depuis leur compte administrateur.
 2.8 Résumé des données collectées avec les modules d'authentification

MÉTHODE
DÉCLARATIF* E-MAIL SMS RÉSEAUX SOCIAUX
D'AUTHENTIFICATION

Identité recueillie lors de la Numéro de E-mail vérifié avec

Rien d'obligatoire E-mail vérifié
session de connexion téléphone vérifié identifiant social

Toute information (email, Toute

Données supplémentaires Toute information
nom, prénom, pays, information peut Aucun
collectées (facultatif) peut être ajoutée
numéro de téléphone…) être ajoutée
Un clic pour accepter les
conditions d'utilisation
Avec peu
dans le déclaratif de base. Nécessite que
d'appareils,
l'utilisateur ait déjà
l'utilisateur peut
Des champs accès à sa boîte aux
avoir besoin de
Expérience utilisateur (UX) supplémentaires peuvent lettres pour Efficace et pratique
se déconnecter
être ajoutés pour recevoir les
pour copier le
collecter plus de informations
mot de passe de
données. L'UX dépendra d'identification.
son SMS.
du nombre de champs
demandés.
Fort. Moyen.
Obligatoire dans La plupart des
Très pauvre Pauvre. certains pays fournisseurs de réseaux
Adresse MAC et/ou tout L'e-mail est vérifié pour les hotspots sociaux vérifient
Niveau d'identification du
détail basé sur les mais il est facile comme la Chine généralement l'identité
client
commentaires des d'avoir un e-mail ou la Russie de leurs utilisateurs et
utilisateurs. actif anonyme. E-mail : e-mail collaborent avec les
médiocre et gouvernements sur
vérifié, mais demande.

*Déclaratif signifie toute méthode d'authentification qui ne nécessite pas de confirmer l'identité
de l'utilisateur (par exemple, e-mail sans informations d'identification ou uniquement la validation
des conditions d'utilisation)

Des données supplémentaires peuvent également être récupérées sur votre page de destination
si vous décidez d'en créer une.
3 Parcours utilisateur typique
Pour la première visite

● l'invité recevra une page pop-up (ou portail captif) lorsqu'il se connectera au réseau. Selon
les méthodes d'authentification choisies, le visiteur s'enregistrera ou non.
● le visiteur atterrira sur la page de réussite d’authentification.
● Cette page de réussite, obligatoire pour les appareils IOS, confirmera à l'utilisateur qu'il
est connecté à Internet.
● L'utilisateur sera alors redirigé vers la page de destination (landing page) ouverte dans le
navigateur par défaut de l'appareil.

Si l'utilisateur essaie d'accéder à une URL interdite

● il verra la page de Notification de l'Utilisateur Final l'informant qu'il ne peut pas accéder
à cette page Web.

Pour toute visite future, sur n'importe quel site couvert par Cloudi-Fi, l'utilisateur sera authentifié
de manière transparente et n'aura pas à se réinscrire.

3.1 Exemple de parcours utilisateur sur le WiFi invité d'entreprise

3.2 Exemple de parcours client sur un hotspot

4 Profilage de la politique des invités

Le profilage des invités permet d'utiliser différentes politiques pour différentes catégories
d'invités.
De nouveaux profils peuvent facilement être ajoutés dans l'interface d'administration pour
être disponibles pour les personnes qui créent des informations d'identification d'invité.

Selon la solution de sécurité choisie par le client, ce profil peut être utilisé différemment.

Avec le partenaire technologique le plus avancé, les politiques associées peuvent être définies
avec les détails suivants :

● Politique de filtrage d'URL

● Protocoles supplémentaires et politique d'application
● Quotas
● Plages horaires
● Possibilité d’adaptation (page d'avertissement au lieu de page de blocage).

À titre d'exemple, les invités quotidiens d'entreprise ci-dessous ont un quota quotidien de 200
Mo ou 120 minutes et ne peuvent utiliser le réseau que pendant les heures ouvrables, bien que
les autres types d'invités (consultants et BYOD) n'aient aucune restriction.
Les profils et les emplacements sont utilisés pour définir des politiques granulaires et
spécifiques pour chaque type de visiteurs.

Chaque organisation peut facilement mettre en place sa propre politique basée sur l'exemple
ci-dessous.
5 Identification et sécurité IoT
Cloudi-Fi sécurise l'IoT avec une identification et une sécurité basées sur le cloud.
La solution est fournie par un serveur DHCP Cloudi-Fi, unique et basé sur le cloud, avec une
capacité d'empreinte digitale et des API pour les fournisseurs de sécurité répertoriés.

5.1 Service DHCP

Le service DHCP est disponible globalement sur Internet et accessible depuis n'importe quel
site avec un tunnel IPSEC. Un sous-réseau global dédié /29 est attribué au service.

Le service fournit des adresses IP à partir de 2 pools d'adresses IP différents :

- Le premier pool est dédié à l'IoT
- le deuxième pool est utilisé pour les ordinateurs humains et les smartphones.

La requête au serveur DHCP doit provenir d'un relais DHCP .

- Si plusieurs relais sont utilisés, chaque adresse IP de relais DHCP doit être unique.
- Chaque relais DHCP doit être enregistré dans la configuration DHCP Cloudi-Fi.

Les fonctionnalités standard DHCP sont disponibles :

- Passerelle par défaut et configuration IP DNS
- Adresses MAC Réservation IP
- Plages IP configurables par relais DHCP
- Catégorisation des appareils basée sur les attributs de requête DHCP

5.2 Service IoT sécurisé

Le service DHCP est une condition préalable à la reconnaissance IoT.

La phase de découverte est passive et totale (le protocole de diffusion est utilisé).
Il n'est pas nécessaire d'ajouter une sonde sur site : le relais DHCP est la sonde et est
extrêmement précis.

Une fois le service DHCP configuré, tous les IoT filaires et sans fil se connectant au réseau
seront visibles avec leurs adresses MAC et seront associés à des adresses IP.

Le service IoT peut :

● classer automatiquement l'IoT
● mapper les plages d'adresses IP aux catégories d'IoT
● accorder un accès Internet spécifique par catégorie
● mettre en quarantaine les IoT non préautorisés

La gestion de l'IoT comprend :

● Empreinte DHCP
 ● Catégorisation basée sur la communauté Cloudi-Fi
● Profilage IoT du trafic Internet
● Gestion de la quarantaine
● Plage DHCP configurable par catégorie pour correspondre aux politiques de
sécurité profilées : la plage spécifique à chaque catégorie d'IoT peut
correspondre à une politique IoT spécifique. Par exemple, les caméras de
sécurité ne peuvent avoir accès qu'à leur serveur de streaming Internet
autorisé pour le stockage vidéo.

6 Sécurité et conformité
L'administration des politiques de sécurité et de conformité est simple, que vous gériez un ou
des milliers d'emplacements Wi-Fi et un ou plusieurs SSID et profils d'invités.

Vous pouvez définir vos politiques avec une simple sélection de politique de type « pointer et
cliquer », et vous pouvez facilement attribuer différentes politiques à différents SSID, sites ou
zones géographiques.

Notre pare-feu cloud et notre proxy Web cloud vous offrent une visibilité, une gestion et une
sécurité complètes en fonction des individus, des profils, des applications et des sites. Cela facilite
grandement la compréhension de ce qui se passe sur votre réseau, améliore considérablement
votre posture de sécurité et vous aide à gérer les risques de manière plus approfondie et à mieux
garantir la conformité.

6.1 Filtrage d'URL

Cloudi-Fi fonctionne avec différentes solutions de sécurité pour offrir le meilleur rapport
prix/performance en fonction des besoins du client.
Cloudi-Fi est livré en standard avec la sécurité DNS Cleanbrowsing.
Cependant, cela peut être remplacé par une solution de sécurité premium basée sur le cloud telle
que Zscaler, Palo Alto Networks Prisma Access ou Cisco Umbrella.

La configuration de la sécurité est facile en configurant un DNS récursif dans le serveur DHCP.
Comme alternative, Cloudi-Fi propose un service DHCP dans le cloud qui inclut également la
configuration DNS à pousser vers les postes de travail.
Un tableau de bord simple et clair présente l'utilisation de l'accès à Internet.

Des informations plus détaillées sont également présentes concernant les sites bloqués.
 ð Transparent pour l'utilisateur
Les IP DNS sont reçues par l'équipement de l'utilisateur lors de l'attribution de l'IP.
Cette affectation est bien évidemment totalement transparente pour les utilisateurs : les utilisateurs
ne découvriront la sécurité du flux que lorsqu'ils seront avertis lors de la visite d'un site interdit.
Veuillez noter que cette page est entièrement personnalisable.

ð Liste blanche, liste noire et catégories personnalisées

Les catégories interdites/autorisées sont entièrement personnalisables.
Les URL et les adresses IP peuvent également être personnalisées sur liste blanche ou sur liste noire.
 ð Aucune restriction sur la bande passante disponible
Veuillez noter que le filtrage DNS, contrairement à un proxy ou un pare-feu, n'a pas de limite de
débit physique puisque le trafic n'est sécurisé que lors de la requête DNS.
En option, plusieurs requêtes peuvent être envoyées à un proxy pour améliorer la sécurité du
contenu.

6.2 Protection par pare-feu cloud

La protection par pare-feu basé sur le cloud est une option qui peut être activée lors de la
souscription à un pare-feu de nouvelle génération basé sur le cloud.
Il est particulièrement intéressant pour les organisations distribuées car il élimine le besoin de
déployer, de gérer et de maintenir des appliances de pare-feu de nouvelle génération coûteuses
dans les succursales, les magasins, les sites de fabrication ou tout emplacement distant.
Lorsqu'il est combiné avec le reste de notre plate-forme de sécurité Internet, il offre des
fonctionnalités supérieures, une meilleure sécurité et des performances plus rapides - avec un
déploiement et une gestion beaucoup plus faciles et à un coût total de possession bien inférieur
à celui des appliances matérielles ou des logiciels.

Les fonctionnalités suivantes sont disponibles pour faciliter la configuration de votre stratégie :
● Visibilité, gestion et contrôle exceptionnels du réseau et du trafic
● Identification, visibilité et gestion de milliers d'applications, y compris le port et l'adresse
IP, les applications mobiles et cloud
● Contrôle granulaire des ports et des protocoles de tout le trafic et des applications
● Services réseau personnalisés avec la possibilité d'autoriser ou de bloquer tous les ports
et protocoles
● Application Peer-to-Peer comme Skype, BitTorrent et Tor
● Porter des applications évasives et des anonymiseurs comme Ultrasurf
 ● Fonctionnalité NAT de destination : redirige le trafic vers les serveurs que vous spécifiez
● Contrôle de niveau DNS offrant une autre option de gestion de votre trafic

Dans notre exemple ci-dessous, seuls le BYOD et les consultants peuvent utiliser les protocoles
IPSEC tandis que tous les utilisateurs authentifiés peuvent utiliser les protocoles de messagerie
(en plus de HTTP/HTTPS).

Le pare-feu de nouvelle génération offre une visibilité sur les systèmes, les appareils, les
applications et les utilisateurs qui envoient du trafic sur Internet. Et cela vous donne un contrôle
granulaire avec des politiques de type "autoriser" ou "bloquer".

Avec ce niveau de contrôle, nous vous permettons de déployer rapidement de nouvelles

applications qui peuvent utiliser des ports spécifiques par utilisateur, groupe, service ou
emplacement de manière systématique et contrôlée.

Les politiques peuvent être définies à l'aide d'un large éventail de critères, notamment :
● Nom d'utilisateur
● Groupe
● Département
● Localité
● Temps
● Application (Microsoft Office 365, Google Apps, BitTorrent, etc.)
● Services réseau (SSH, FTP, POP, port 8080, etc.)
● Adresse IP source ou groupes d'adresses
● Adresse IP de destination ou groupes d'adresses
Exemple d'édition de politique ci-dessous :
6.3 Contrôle de bande passante

En option, le contrôle de la bande passante peut être activé à deux niveaux :

• Au premier niveau, le service fournit un contrôle de la bande passante par localisation.
o Une localité peut être un site (défini par son adresse IP publique) ou un sous-
réseau privé ou SSID (défini par une plage d'adresses IP privées).
o Vous configurez les limites maximales de bande passante de chargement et de
téléchargement pour chaque localité de votre organisation : ces limites
s'appliquent à l'ensemble de la bande passante de la localité, quel que soit le
trafic des applications Web circulant sur le réseau.
• Au deuxième niveau, pour chaque localité, vous pouvez configurer des règles de mise en
forme de la bande passante en fonction des classes d'application, telles que :
o Streaming, VoIP ou conférence Web, catégories d'URL ou classes d'applications
personnalisées que vous définissez.

L'algorithme de bande passante permet à une classe d'application d'utiliser pleinement la bande
passante jusqu'à ce qu'une classe de trafic avec une priorité plus élevée soit en compétition pour
la bande passante.
Lorsque des classes d'application se disputent la bande passante, le service agit en fonction des
multiples contrôles QoS que vous avez configurés dans la stratégie de contrôle de la bande
passante, comme indiqué ci-dessous :

Le service équilibre la bande passante en temps réel et met en mémoire tampon les paquets des
classes d'application qui atteignent la limite de quota de bande passante pendant des intervalles
d'une seconde.
Ce comportement garantit que les applications critiques pour l'entreprise s'exécutent à pleine
vitesse, sans dégrader la qualité.

Descriptif de la prestation

1. Tout d'abord, vous spécifiez les limites maximales de bande passante de chargement et de
téléchargement pour chaque emplacement de votre organisation.

Notez qu'environ 5 % du trafic TCP est un surdébit, comme les en-têtes de paquet. Nous ne les
incluons pas dans ses calculs de bande passante. Nous n'incluons que le trafic des applications.
Par exemple, dans l'exemple ci-dessous :
- La société dispose de 3 SSID (BYOD, Consultants et Invités quotidiens) et d'une bande
passante de 100/50 mb/s disponible (Download/Upload).
- L'entreprise a décidé de limiter le débit de chaque SSID : si l'un des réseaux atteint ce
niveau, la politique QOS sera déclenchée.

2. Ensuite, vous définissez la politique de contrôle de la bande passante - un ensemble de règles

prioritaires qui indiquent au service comment allouer la bande passante en cas de conflit.

Chaque règle définit une bande passante maximale et minimale pour les classes d'application de
la règle ainsi que d'autres paramètres, tels que le nombre maximal de connexions simultanées,
l'emplacement et l'heure de la journée.
- La bande passante maximale spécifie le pourcentage maximal de la bande passante totale
que la classe d'application configurée peut utiliser à un moment donné.
- La bande passante minimale spécifie le pourcentage de bande passante minimal garanti
disponible pour la classe d'application.

Le service permet à une classe d'application d'utiliser pleinement la bande passante jusqu'à ce
qu'une classe de trafic avec une priorité plus élevée soit en concurrence pour la bande passante.
- Lorsque des classes d'application se disputent la bande passante, le service alloue les
pourcentages de bande passante minimum garantis aux classes d'application et alloue la
bande passante restante en fonction des règles de priorité.
- Par conséquent, la bande passante minimale totale doit être inférieure à 100 %.

Voici un exemple de politique pour une organisation :

● La classe de bande passante Productivity (productivité) est une classe de bande passante
personnalisée qui inclut des applications critiques pour l'entreprise, telles que Salesforce,
les applications Office 365, NetSuite et Box. Il est toujours garanti 30% de la bande
passante et peut utiliser jusqu'à 100%.
 ● La classe de bande passante Business & Economy est toujours garantie à 20 % de la bande
passante et peut utiliser jusqu'à 100 %. La classe de bande passante Business & Economy
est une classe de bande passante personnalisée qui inclut la catégorie Business &
Economy et d'autres domaines liés à l'entreprise.
● La classe de bande passante Large Files (fichiers volumineux) est toujours garantie d'un
minimum de 10 % de la bande passante et peut utiliser jusqu'à 100 %.
● La règle par défaut, qui inclut tout le reste du trafic Internet, n'est pas garantie de bande
passante, mais elle peut consommer jusqu'à 100 % de la bande passante, lorsqu'elle est
disponible.

En cas de conflit de bande passante, le service garantit toujours la bande passante minimale
spécifiée. Ainsi, dans cet exemple :
- La classe Productivity est garantie 30%
- La classe Business & Economy est garantie 20%
- La classe Large Files est garantie à 10 %.
- Le service alloue les 40 % restants de chaque bande passante en fonction du trafic
provenant d'autres classes d'applications au cours de chaque intervalle d'une seconde.
- Lorsqu'une classe d'application utilise moins que sa bande passante minimale, le service
alloue la bande passante inactive aux autres classes, en fonction des règles de priorité.

7 Comment ça marche?
7.1 Fournissez en toute transparence la sécurité du Wi-Fi invité dans le
monde entier

La protection Cloudi-fi Guest Wi-Fi peut être configurée rapidement sur n'importe quel site dans
le monde.

Cloudi-Fi propose deux types de déploiement basé sur le cloud,

1. déploiement natif avec les éditeurs qui nous soutiennent (API, redirection URL, SAML…)
2. déploiement de routage (IPSEC, GRE), également pris en charge par de nombreux
fournisseurs

Une base de connaissance des fournisseurs supportant le déploiement natif est disponible ici :
https://help.cloudi-fi.net/en/collections/1875129-deployment
7.2 Confidentialité de l'identité du client

● Les détails des invités sont uniquement stockés dans les journaux d'authentification.
L'identité de l’invité (e-mail, numéro de mobile ou ID de réseau social) est mappé à un
jeton par la table d'index dans les journaux d'authentification.
● Les jetons sont partagés, l'horodatage est utilisé pour identifier à quel invité appartient la
demande.
● La nécessité d'avoir accès aux journaux d'authentification et aux journaux de transactions
dans deux systèmes différents garantit une confidentialité appropriée des données
collectées.
● De plus, les conditions d'utilisation qu'un invité doit valider doivent préciser que ses
journaux de transactions sont conservés conformément aux réglementations locales.
● Notre tokenisation des journaux authentifiés et des journaux de transactions garantit un
bon niveau de confidentialité pour se conformer aux réglementations locales.
Exemple de stockage de logs et de tokenisation pour une entreprise française :

8 Rapports
Un tableau de bord intuitif fournit un aperçu instantané de la posture de sécurité, des activités
malveillantes et des tendances de navigation sur Internet, consolidant et corrélant ces
informations dans toute l'organisation en temps réel.

Vous pouvez obtenir un aperçu rapide des modèles d'utilisation de votre réseau à travers les
emplacements, les principales menaces bloquées, les principaux invités, les principaux
emplacements, les principales catégories...

En quelques clics, vous pouvez modifier la période des rapports ou accéder à des emplacements
spécifiques. ou incidents. Vous pouvez même utiliser des requêtes de recherche pour obtenir les
données dont vous avez besoin, comme vous le feriez avec n'importe quel moteur de recherche
Internet.
8.1 Tableaux de bord
8.2 Rapports

Exemple de rapports sur les classes/catégories/domaines d'URL

Exemple de rapports sur les emplacements

8.3 Journaux d'authentification

Exemple de logs stockés avec l'identité du visiteur, le token associé, le profil, l'IP source et le
sponsor.

8.4 Journaux des transactions

Les journaux de transactions permettent à l'administrateur d'accéder à plus de détails :

9 Soutien
Notre équipe d'assistance se fera un plaisir de vous répondre si vous avez des questions, des
commentaires ou des suggestions concernant l'utilisation de notre service .

9.1 Comment nous contacter

Vous pouvez nous contacter par e-mail ou par web aux coordonnées suivantes :

● Courriel : support@cloudi-fi.com
● Web depuis l'interface d'administration Cloudi-Fi dans le menu du haut :

9.2 Quand nous contacter

Notre équipe d'assistance opère depuis la région EMEA et l'APAC sept jours sur sept de 7h00 à
20h00 GMT.

Délai de réponse du service client :

Niveau La description Cible de réponse (en heures)

1 Critique L'accès à Internet est affecté 1 heure

2 majeur Échecs intermittents ou fonctionnalité ne 4 heures
fonctionnant pas comme prévu
3 Mineur Question ou demande de provisionnement Un jour
10 Réversibilité des services
En cas de résiliation du contrat, soit par démission contractuelle, soit par rupture normale de
la durée du contrat, une procédure de réversibilité peut être demandée à la demande du client.

L'objectif principal de ce processus est de permettre au client de continuer ou de transférer à un

autre fournisseur de services une partie ou la totalité des services en cours.

Cloudi-Fi s'assurera également que le client récupère les politiques et les journaux actuels
(transaction et authentification).

Le processus de réversibilité est décrit ici :

1. La demande d'initiation de la phase de réversibilité doit être adressée à Cloudi-Fi

support@cloudi-fi.com & sales@cloudi-fi.com .

2. Dans les 20 jours ouvrables suivant la confirmation de la réception de l'e-mail, Cloudi-Fi

fournira un plan de transfert de service qui comprendra les éléments suivants :
● Outils techniques en place pour fournir les services
● Tâches obligatoires pour le client
● Tâches obligatoires pour Cloudi-Fi
● Jalons de la phase de réversibilité
● Coûts impliqués
Cloudi-Fi s'engage à coopérer et à offrir toute l'assistance nécessaire au client pour
continuer à utiliser les services.

3. À la demande du client et si nécessaire, Cloudi-Fi offrira une assistance sur place pendant
la phase de transfert.

4. Chaque fois que cela sera demandé, Cloudi-Fi continuera à fournir les services sur une
base renouvelable mensuellement, pour une période maximale de 6 mois après la date
de fin du contrat.
● Si le transfert n'est pas effectif à la date définie dans le plan de transfert de service,
les deux parties renégocieront une nouvelle date.

5. A la date finale de la période de transfert, les deux parties signeront un formulaire

d'acceptation constatant officiellement la fin de la phase de réversibilité.