Académique Documents
Professionnel Documents
Culture Documents
Cloudi-Fi
Avec la transformation numérique, les entreprises sont de plus en plus confrontées au défi de fournir
un accès Internet à des appareils non gérés et, par conséquent, non fiables : invités, consultants, BYOD
et IoT :
● Fournir un accès Wi-Fi invité à partir de vos sites d'entreprise peut engager la responsabilité
de l'entreprise
● Les accès non fiables peuvent utiliser des ressources partagées et limitées (Wi-Fi, bande
passante Internet)
● De nombreux pays à travers le monde ont des réglementations strictes en termes de fourniture
d'accès à Internet avec stockage des journaux et confidentialité des données.
● Les postures de sécurité traditionnelles sont insuffisantes pour sécuriser l'IoT connecté au
cloud.
● Avec l'adoption de points d'accès Internet locaux, les anciennes architectures centralisées
deviennent obsolètes.
En plus de toute sécurité physique, le réseau invité ne doit pas être ouvert à un utilisateur inconnu.
L'identité du visiteur est également nécessaire pour profiler sa politique Internet (sécurité, quota,
QOS...) et se conformer à de nombreuses réglementations nationales.
La première étape pour assurer la sécurité du réseau consiste à gagner en visibilité sur tous les IoT qui
tentent de se connecter au réseau. Comme la plupart des appareils ne peuvent pas s'authentifier, leurs
signatures et leurs flux de données peuvent être utilisés et exploités pour les identifier.
⇨ Cloudi-Fi identifie avec précision tout type d'appareil en fonction de sa signature réseau et
de son trafic.
Mettre en œuvre la politique de confiance zéro
L'IoT n'est pas managé par nature, et ceci met au défi les entreprises qui doivent leur fournir une
connectivité Internet sécurisée.
L’approche Zero Trust est une brique fondamentale dans la cybersécurité et pour être efficace, elle
doit être appliquée à l'IoT. Le principe de base peut être simplifié comme suit : « ne faire confiance à
rien et ne considérer aucun segment de réseau intrinsèquement sûr ». Il stipule que toutes les
personnes, appareils, services, etc., doivent être considérés comme non fiables et ne doivent pas être
autorisés à accéder au réseau tant que leur fiabilité n'a pas été prouvée.
Une architecture Zero Trust Network Access (ZTNA) renforce la sécurité en fonction du contexte de la
transaction : qui est l'utilisateur ? quel appareil est utilisé? A quelle application accède-t-on ? Où se
trouve l' utilisateur/l'appareil ? Comment l'utilisateur/l'appareil est-il connecté au réseau ?
Prévenir les responsabilités légales et les atteintes à la réputation grâce à une application puissante
des politiques de sécurité
La fourniture d'un accès Wi-Fi public peut exposer votre organisation à une foule de
responsabilités légales et nuire à sa réputation si l'entreprise ne fait pas preuve d'une
diligence raisonnable pour arrêter les actes illégaux ou indésirables sur le réseau.
⇨ Cloudi-Fi est une solution SaaS 100 % cloud particulièrement pertinente pour les
entreprises ayant des succursales et adoptant des points d'accès Internet locaux.
Table des matières
1.1 Déclaratif
1.2 E-mail
L'authentification par e-mail nécessite un e-mail vérifié pour recevoir les informations
d'identification.
● Tous les champs supplémentaires peuvent être ajoutés pour collecter plus de données
comme le nom complet, le pays ou un numéro de téléphone.
● Cette méthode nécessite que l'utilisateur puisse accéder à sa boîte aux lettres pour
recevoir les informations d'identification. La validation peut être obtenue en cliquant sur
un lien ou en utilisant un identifiant/mot de passe ou un mot de passe.
1.3 SMS
Les réseaux sociaux sont un moyen rapide et sûr d'enregistrer des utilisateurs.
1.5 Sponsor
● Seuls les invités approuvés par un sponsor peuvent avoir des informations d'identification
pour se connecter.
● Ce compromis offre une sécurité maximale pour les réseaux sensibles tels que les sites
d'entreprise.
● Les QR codes peuvent également être utilisés pour parrainer l'accès des invités
1.6 Personnalisé
Certains clients décident d'utiliser leur propre code, Cloudi-Fi accepte n'importe quel code
HTML/CSS/JS.
L'équipe du Creative Lab les accompagne dans la création de leur propre contenu.
La modification d’un template est généralement un bon point de départ pour comprendre la
structure du contenu, plus de détails ici : http://help.cloudi-fi.net/portals/basics/modify-the-
content-of-a-captive-portal -modèle
● Interface administrateur
● Interface Lobby
● Parrainage des employés
● Auto-enregistrement des invités par SMS ou par e-mail
● Réseaux sociaux (Facebook, Google, Twitter, YouTube, LinkedIn, Instagram…)
● BYOD avec Google/O365/tout SAML (limité au(x) domaine(s) de l'entreprise)
Un compte de lobby est un compte administrateur dont les droits sont limités à la création de
comptes.
Un compte de lobby peut être associé à un individu ou à un lobby.
Plusieurs comptes de lobby peuvent être définis dans l'interface d'administration comme dans
l'exemple ci-dessous :
Une durée maximale des identifiants invités (par défaut : 90 jours) est définie lors de la
configuration et peut être modifiée à tout moment.
Dans l'exemple ci-dessous, Chris Moorman, un employé, crée des identifiants d'invité pour John
Doe. John Doe pourra utiliser l'accès Internet du 10/10/2017 au 12/10/2017 avec le profil "invité".
L'entreprise peut décider d'autoriser les invités à s'inscrire eux-mêmes pour accéder à Internet.
Les détaillants ou toute entreprise qui fournit des hotspots recherchent souvent un moyen
pratique de fournir un accès Internet efficace et rapide à leurs clients.
Par défaut, Cloudi-Fi n'a besoin que du profil public de l'invité et le stockera dans son système.
Cependant, vous pouvez décider de demander plus de détails enregistrés sur le réseau social
concernant l'invité.
Les visiteurs sont informés par le réseau social des informations requises lors du processus
d'authentification.
Vous trouverez ci-dessous des informations supplémentaires sur les détails des invités ainsi que
leurs niveaux de confidentialité dans les principales applications de réseaux sociaux.
Une fois le visiteur authentifié, ses coordonnées sont conservées dans nos systèmes. Ces détails
sont exportables manuellement depuis l'interface utilisateur d'administration ou avec la fonction
RESTAPI pour être intégrés dans votre logiciel de Business Intelligence.
Les employés utilisant leurs appareils personnels ou tout autre appareil, qui auront accès au
réseau invité, peuvent également être authentifiés et sécurisés de manière transparente. Les
employés utilisent leurs informations d'identification d'entreprise pour s'authentifier et être
profilés en tant qu'employés.
Si l'entreprise a souscrit à une solution de messagerie cloud telle que Google ou O365, les
employés utilisent leurs identifiants de messagerie pour s'authentifier. Cette authentification sera
transparente car l'appareil connaît déjà et a mis en cache les informations d'identification (les e-
mails sont reçus sur l'appareil).
L'employé n'aura qu'à cliquer sur le bouton de connexion pour accepter les conditions
d'utilisation.
2.7 Lancer et gérer des événements
Votre entreprise peut être amenée à proposer le Wi-Fi invité à plus de personnes que
d'habitude lors d'événements (showroom, rendez-vous client, lancement de produit…) et pour
une durée déterminée.
La solution Cloudi-Fi permet aux entreprises de gérer leurs événements spéciaux depuis un site
dédié ou depuis leur compte administrateur.
2.8 Résumé des données collectées avec les modules d'authentification
MÉTHODE
DÉCLARATIF* E-MAIL SMS RÉSEAUX SOCIAUX
D'AUTHENTIFICATION
*Déclaratif signifie toute méthode d'authentification qui ne nécessite pas de confirmer l'identité
de l'utilisateur (par exemple, e-mail sans informations d'identification ou uniquement la validation
des conditions d'utilisation)
Des données supplémentaires peuvent également être récupérées sur votre page de destination
si vous décidez d'en créer une.
3 Parcours utilisateur typique
Pour la première visite
● l'invité recevra une page pop-up (ou portail captif) lorsqu'il se connectera au réseau. Selon
les méthodes d'authentification choisies, le visiteur s'enregistrera ou non.
● le visiteur atterrira sur la page de réussite d’authentification.
● Cette page de réussite, obligatoire pour les appareils IOS, confirmera à l'utilisateur qu'il
est connecté à Internet.
● L'utilisateur sera alors redirigé vers la page de destination (landing page) ouverte dans le
navigateur par défaut de l'appareil.
● il verra la page de Notification de l'Utilisateur Final l'informant qu'il ne peut pas accéder
à cette page Web.
Pour toute visite future, sur n'importe quel site couvert par Cloudi-Fi, l'utilisateur sera authentifié
de manière transparente et n'aura pas à se réinscrire.
Selon la solution de sécurité choisie par le client, ce profil peut être utilisé différemment.
Avec le partenaire technologique le plus avancé, les politiques associées peuvent être définies
avec les détails suivants :
À titre d'exemple, les invités quotidiens d'entreprise ci-dessous ont un quota quotidien de 200
Mo ou 120 minutes et ne peuvent utiliser le réseau que pendant les heures ouvrables, bien que
les autres types d'invités (consultants et BYOD) n'aient aucune restriction.
Les profils et les emplacements sont utilisés pour définir des politiques granulaires et
spécifiques pour chaque type de visiteurs.
Chaque organisation peut facilement mettre en place sa propre politique basée sur l'exemple
ci-dessous.
5 Identification et sécurité IoT
Cloudi-Fi sécurise l'IoT avec une identification et une sécurité basées sur le cloud.
La solution est fournie par un serveur DHCP Cloudi-Fi, unique et basé sur le cloud, avec une
capacité d'empreinte digitale et des API pour les fournisseurs de sécurité répertoriés.
Le service DHCP est disponible globalement sur Internet et accessible depuis n'importe quel
site avec un tunnel IPSEC. Un sous-réseau global dédié /29 est attribué au service.
Une fois le service DHCP configuré, tous les IoT filaires et sans fil se connectant au réseau
seront visibles avec leurs adresses MAC et seront associés à des adresses IP.
6 Sécurité et conformité
L'administration des politiques de sécurité et de conformité est simple, que vous gériez un ou
des milliers d'emplacements Wi-Fi et un ou plusieurs SSID et profils d'invités.
Vous pouvez définir vos politiques avec une simple sélection de politique de type « pointer et
cliquer », et vous pouvez facilement attribuer différentes politiques à différents SSID, sites ou
zones géographiques.
Notre pare-feu cloud et notre proxy Web cloud vous offrent une visibilité, une gestion et une
sécurité complètes en fonction des individus, des profils, des applications et des sites. Cela facilite
grandement la compréhension de ce qui se passe sur votre réseau, améliore considérablement
votre posture de sécurité et vous aide à gérer les risques de manière plus approfondie et à mieux
garantir la conformité.
Cloudi-Fi fonctionne avec différentes solutions de sécurité pour offrir le meilleur rapport
prix/performance en fonction des besoins du client.
Cloudi-Fi est livré en standard avec la sécurité DNS Cleanbrowsing.
Cependant, cela peut être remplacé par une solution de sécurité premium basée sur le cloud telle
que Zscaler, Palo Alto Networks Prisma Access ou Cisco Umbrella.
La configuration de la sécurité est facile en configurant un DNS récursif dans le serveur DHCP.
Comme alternative, Cloudi-Fi propose un service DHCP dans le cloud qui inclut également la
configuration DNS à pousser vers les postes de travail.
Un tableau de bord simple et clair présente l'utilisation de l'accès à Internet.
Des informations plus détaillées sont également présentes concernant les sites bloqués.
ð Transparent pour l'utilisateur
Les IP DNS sont reçues par l'équipement de l'utilisateur lors de l'attribution de l'IP.
Cette affectation est bien évidemment totalement transparente pour les utilisateurs : les utilisateurs
ne découvriront la sécurité du flux que lorsqu'ils seront avertis lors de la visite d'un site interdit.
Veuillez noter que cette page est entièrement personnalisable.
La protection par pare-feu basé sur le cloud est une option qui peut être activée lors de la
souscription à un pare-feu de nouvelle génération basé sur le cloud.
Il est particulièrement intéressant pour les organisations distribuées car il élimine le besoin de
déployer, de gérer et de maintenir des appliances de pare-feu de nouvelle génération coûteuses
dans les succursales, les magasins, les sites de fabrication ou tout emplacement distant.
Lorsqu'il est combiné avec le reste de notre plate-forme de sécurité Internet, il offre des
fonctionnalités supérieures, une meilleure sécurité et des performances plus rapides - avec un
déploiement et une gestion beaucoup plus faciles et à un coût total de possession bien inférieur
à celui des appliances matérielles ou des logiciels.
Les fonctionnalités suivantes sont disponibles pour faciliter la configuration de votre stratégie :
● Visibilité, gestion et contrôle exceptionnels du réseau et du trafic
● Identification, visibilité et gestion de milliers d'applications, y compris le port et l'adresse
IP, les applications mobiles et cloud
● Contrôle granulaire des ports et des protocoles de tout le trafic et des applications
● Services réseau personnalisés avec la possibilité d'autoriser ou de bloquer tous les ports
et protocoles
● Application Peer-to-Peer comme Skype, BitTorrent et Tor
● Porter des applications évasives et des anonymiseurs comme Ultrasurf
● Fonctionnalité NAT de destination : redirige le trafic vers les serveurs que vous spécifiez
● Contrôle de niveau DNS offrant une autre option de gestion de votre trafic
Dans notre exemple ci-dessous, seuls le BYOD et les consultants peuvent utiliser les protocoles
IPSEC tandis que tous les utilisateurs authentifiés peuvent utiliser les protocoles de messagerie
(en plus de HTTP/HTTPS).
Le pare-feu de nouvelle génération offre une visibilité sur les systèmes, les appareils, les
applications et les utilisateurs qui envoient du trafic sur Internet. Et cela vous donne un contrôle
granulaire avec des politiques de type "autoriser" ou "bloquer".
Les politiques peuvent être définies à l'aide d'un large éventail de critères, notamment :
● Nom d'utilisateur
● Groupe
● Département
● Localité
● Temps
● Application (Microsoft Office 365, Google Apps, BitTorrent, etc.)
● Services réseau (SSH, FTP, POP, port 8080, etc.)
● Adresse IP source ou groupes d'adresses
● Adresse IP de destination ou groupes d'adresses
Exemple d'édition de politique ci-dessous :
6.3 Contrôle de bande passante
L'algorithme de bande passante permet à une classe d'application d'utiliser pleinement la bande
passante jusqu'à ce qu'une classe de trafic avec une priorité plus élevée soit en compétition pour
la bande passante.
Lorsque des classes d'application se disputent la bande passante, le service agit en fonction des
multiples contrôles QoS que vous avez configurés dans la stratégie de contrôle de la bande
passante, comme indiqué ci-dessous :
Le service équilibre la bande passante en temps réel et met en mémoire tampon les paquets des
classes d'application qui atteignent la limite de quota de bande passante pendant des intervalles
d'une seconde.
Ce comportement garantit que les applications critiques pour l'entreprise s'exécutent à pleine
vitesse, sans dégrader la qualité.
Descriptif de la prestation
1. Tout d'abord, vous spécifiez les limites maximales de bande passante de chargement et de
téléchargement pour chaque emplacement de votre organisation.
Notez qu'environ 5 % du trafic TCP est un surdébit, comme les en-têtes de paquet. Nous ne les
incluons pas dans ses calculs de bande passante. Nous n'incluons que le trafic des applications.
Par exemple, dans l'exemple ci-dessous :
- La société dispose de 3 SSID (BYOD, Consultants et Invités quotidiens) et d'une bande
passante de 100/50 mb/s disponible (Download/Upload).
- L'entreprise a décidé de limiter le débit de chaque SSID : si l'un des réseaux atteint ce
niveau, la politique QOS sera déclenchée.
Chaque règle définit une bande passante maximale et minimale pour les classes d'application de
la règle ainsi que d'autres paramètres, tels que le nombre maximal de connexions simultanées,
l'emplacement et l'heure de la journée.
- La bande passante maximale spécifie le pourcentage maximal de la bande passante totale
que la classe d'application configurée peut utiliser à un moment donné.
- La bande passante minimale spécifie le pourcentage de bande passante minimal garanti
disponible pour la classe d'application.
Le service permet à une classe d'application d'utiliser pleinement la bande passante jusqu'à ce
qu'une classe de trafic avec une priorité plus élevée soit en concurrence pour la bande passante.
- Lorsque des classes d'application se disputent la bande passante, le service alloue les
pourcentages de bande passante minimum garantis aux classes d'application et alloue la
bande passante restante en fonction des règles de priorité.
- Par conséquent, la bande passante minimale totale doit être inférieure à 100 %.
● La classe de bande passante Productivity (productivité) est une classe de bande passante
personnalisée qui inclut des applications critiques pour l'entreprise, telles que Salesforce,
les applications Office 365, NetSuite et Box. Il est toujours garanti 30% de la bande
passante et peut utiliser jusqu'à 100%.
● La classe de bande passante Business & Economy est toujours garantie à 20 % de la bande
passante et peut utiliser jusqu'à 100 %. La classe de bande passante Business & Economy
est une classe de bande passante personnalisée qui inclut la catégorie Business &
Economy et d'autres domaines liés à l'entreprise.
● La classe de bande passante Large Files (fichiers volumineux) est toujours garantie d'un
minimum de 10 % de la bande passante et peut utiliser jusqu'à 100 %.
● La règle par défaut, qui inclut tout le reste du trafic Internet, n'est pas garantie de bande
passante, mais elle peut consommer jusqu'à 100 % de la bande passante, lorsqu'elle est
disponible.
En cas de conflit de bande passante, le service garantit toujours la bande passante minimale
spécifiée. Ainsi, dans cet exemple :
- La classe Productivity est garantie 30%
- La classe Business & Economy est garantie 20%
- La classe Large Files est garantie à 10 %.
- Le service alloue les 40 % restants de chaque bande passante en fonction du trafic
provenant d'autres classes d'applications au cours de chaque intervalle d'une seconde.
- Lorsqu'une classe d'application utilise moins que sa bande passante minimale, le service
alloue la bande passante inactive aux autres classes, en fonction des règles de priorité.
7 Comment ça marche?
7.1 Fournissez en toute transparence la sécurité du Wi-Fi invité dans le
monde entier
La protection Cloudi-fi Guest Wi-Fi peut être configurée rapidement sur n'importe quel site dans
le monde.
1. déploiement natif avec les éditeurs qui nous soutiennent (API, redirection URL, SAML…)
2. déploiement de routage (IPSEC, GRE), également pris en charge par de nombreux
fournisseurs
Une base de connaissance des fournisseurs supportant le déploiement natif est disponible ici :
https://help.cloudi-fi.net/en/collections/1875129-deployment
7.2 Confidentialité de l'identité du client
● Les détails des invités sont uniquement stockés dans les journaux d'authentification.
L'identité de l’invité (e-mail, numéro de mobile ou ID de réseau social) est mappé à un
jeton par la table d'index dans les journaux d'authentification.
● Les jetons sont partagés, l'horodatage est utilisé pour identifier à quel invité appartient la
demande.
● La nécessité d'avoir accès aux journaux d'authentification et aux journaux de transactions
dans deux systèmes différents garantit une confidentialité appropriée des données
collectées.
● De plus, les conditions d'utilisation qu'un invité doit valider doivent préciser que ses
journaux de transactions sont conservés conformément aux réglementations locales.
● Notre tokenisation des journaux authentifiés et des journaux de transactions garantit un
bon niveau de confidentialité pour se conformer aux réglementations locales.
Exemple de stockage de logs et de tokenisation pour une entreprise française :
8 Rapports
Un tableau de bord intuitif fournit un aperçu instantané de la posture de sécurité, des activités
malveillantes et des tendances de navigation sur Internet, consolidant et corrélant ces
informations dans toute l'organisation en temps réel.
Vous pouvez obtenir un aperçu rapide des modèles d'utilisation de votre réseau à travers les
emplacements, les principales menaces bloquées, les principaux invités, les principaux
emplacements, les principales catégories...
En quelques clics, vous pouvez modifier la période des rapports ou accéder à des emplacements
spécifiques. ou incidents. Vous pouvez même utiliser des requêtes de recherche pour obtenir les
données dont vous avez besoin, comme vous le feriez avec n'importe quel moteur de recherche
Internet.
8.1 Tableaux de bord
8.2 Rapports
Exemple de logs stockés avec l'identité du visiteur, le token associé, le profil, l'IP source et le
sponsor.
Vous pouvez nous contacter par e-mail ou par web aux coordonnées suivantes :
● Courriel : support@cloudi-fi.com
● Web depuis l'interface d'administration Cloudi-Fi dans le menu du haut :
Notre équipe d'assistance opère depuis la région EMEA et l'APAC sept jours sur sept de 7h00 à
20h00 GMT.
Cloudi-Fi s'assurera également que le client récupère les politiques et les journaux actuels
(transaction et authentification).
3. À la demande du client et si nécessaire, Cloudi-Fi offrira une assistance sur place pendant
la phase de transfert.
4. Chaque fois que cela sera demandé, Cloudi-Fi continuera à fournir les services sur une
base renouvelable mensuellement, pour une période maximale de 6 mois après la date
de fin du contrat.
● Si le transfert n'est pas effectif à la date définie dans le plan de transfert de service,
les deux parties renégocieront une nouvelle date.