Parole dutilisateur Parole d'utilisateur

AXA multiplie les utilisations de la PKI

Thibault Chevillotte, Responsable de la scurit des systmes d'information d'AXA Tech Associ une PKI Microsoft et utilis exclusivement avec un certificat, EFS rpondait nos contraintes de cot, de rcupration simplifie des donnes et de dploiement.

Tmoignage Windows Server 2003 Tmoignage : Infrastructure

Cest dans le cadre dun projet de chiffrement des postes nomades quAXA Tech, la filiale d'AXA ddie la fourniture de services informatiques, a dploy une infrastructure cls publiques (PKI), base sur les outils Microsoft. lorigine brique essentielle du chiffrement avec la technologie EFS (Encrypting File System), la PKI a su depuis se rendre utile dans le cadre dautres projets du Groupe.
Cest par le biais du chiffrement que la PKI est dfinitivement entre dans le Groupe AXA. Une PKI, a doit se justifier. Et si nous avions effectivement par le pass dj tudi lide, elle ne se justifiait alors pas, se souvient Thibault Chevillotte, responsable de la scurit des systmes dinformation dAXA Tech. Pourtant le chiffrement des informations confidentielles sur les ordinateurs portables fait partie des exigences scurit du Groupe. Nous trouvions alors les technologies soit trop coteuses, soit trop limites. Dautres entits du Groupe sy taient dj essayes et staient trouves bloques par des soucis de performance, de gestion des cls, de rcupration des donnes ou encore dindustrialisation de la solution. Tous ces critres faisaient dfaut alors quils nous paraissaient essentiels. Lorsque Microsoft introduit avec Windows 2000 Server le systme de fichier chiffr EFS, AXA Tech dcide dobserver lvolution du produit. Et en 2004 la solution lui semble prte pour une tude srieuse. Associ une PKI Microsoft et utilis exclusivement avec un certificat, EFS rpondait alors nos contraintes de cot, de rcupration simplifie des donnes et de dploiement.

Deux projets en un
Ce sont donc deux chantiers parallles et complmentaires que lance AXA Tech : le dploiement dune PKI Groupe dun ct, et la mise en uvre de la technologie EFS, intgre Windows, de lautre. La PKI est la bote outils pour grer des certificats, et

en savoir plus... www.microsoft.com/france/temoignages/

Parole d'utilisateur

Tmoignage : Infrastructure

Panorama de la solution
Secteur
Services informatiques

EFS est une application parmi tant dautres qui a besoin de certificats pour fonctionner. La premire PKI dploye par AXA Tech pour lun de ses clients (une entit du Groupe AXA) la t en mme temps que celui du chiffrement EFS. Le projet avait pour objectif de valider les modles et de permettre lindustrialisation de la solution de chiffrement auprs des autres entits du groupe. La PKI devait galement tre rutilisable dans le cadre dautres projets. Notre PKI est base sur une autorit de certification centrale qui ne dlivre pas de certificat aux utilisateurs finaux. Lorsquune entit locale a besoin dune PKI parce quelle doit utiliser des certificats (quelle que soit lapplication concerne et non pas uniquement EFS, ndlr), nous lanons un projet dextension dune branche locale de la PKI, dtaille Omar Fzeri, lingnieur responsable du projet. Cela se traduit par une ou plusieurs autorits de certification dpendantes de lautorit de certification (AC) racine unique et dployes localement avec lannuaire Microsoft Active Directory du client. Plus dune dizaine sont dj en activit dans le monde.

Mission
Favoriser la rduction des cots, la standardisation des technologies et leur automatisation pour les diffrentes entits du Groupe AXA, et ce en offrant un service de qualit.

Enjeu du projet
Garantir la confidentialit des informations stockes sur les ordinateurs portables.

Bnfices
7 000 ordinateurs portables protgs, leurs donnes confidentielles chiffres Une PKI Groupe fonctionnelle Lindpendance dans la gestion du cycle de vie des certificats De nombreuses applications peuvent dsormais bnficier de la scurit accrue lie lutilisation de certificats numriques conomie dans lachat de certificats Web SSL

Du chiffrement transparent
Sur le front du chiffrement, le dploiement de la brique EFS sindustrialise aisment car il fait partie du systme dexploitation. Nous paramtrons les postes via les GPO ou des scripts. Lobjectif est que la protection des donnes soit incluse ds la construction dun nouveau poste, poursuit Omar Fzeri. Laspect organisationnel est en revanche plus complexe. Lobjectif premier tant de protger linformation, il nous faut videmment avoir les moyens de rcuprer ces dernires en cas de dpart dun collaborateur ou de changement dun ordinateur, explique

Technologies utilises
Microsoft Windows Server 2003 Microsoft Windows XP + Encrypted File System

en savoir plus... www.microsoft.com/france/temoignages/


Omar Fzeri. Le pivot technique de la rcupration consiste en des cls spciales capables de dchiffrer les donnes, mme en cas de perte de la cl utilisateur qui a servi chiffrer ces dernires. Lusage de ces cls de rcupration est bien entendu particulirement contrl. AXA Tech a dfini pour cela des procdures de rcupration : en cas de problme ou de ncessit de rcupration de donnes chiffres, le Help Desk peut soumettre une demande de rcupration. Une fois valide par la hirarchie, des agents de rcupration (des collaborateurs spcifiques autoriss utiliser ces cls particulires) procdent au dchiffrement des donnes. Dans le cas de la perte dune cl, une nouvelle est gnre, et le systme reprend son travail de manire transparente et rechiffre les donnes protger. Les procdures crites sont dailleurs fournies par AXA Tech aux clients, et adaptes lorganisation relle de ces derniers. Nous proposons un workflow complet lentit du Groupe chez qui nous dployons le projet. On associe chaque rle thorique des quipes concrtes qui correspondent lorganisation du client et son process interne de support, dtaille Omar Fzeri. Ces processus indiquent par exemple comment traiter les nouveaux arrivants ou traiter la perte ou le changement dune machine.

Nous paramtrons les postes via les GPO ou des scripts. Lobjectif est que la protection des donnes soit incluse ds la construction dun nouveau poste
Thibault Chevillotte, Ingnieur responsable du projet Chez AXA Tech

De nombreuses autres applications

Avec une PKI bord, il serait dommage de sarrter au seul chiffrement des postes de travail. Aprs tout, de nombreuses autres applications peuvent gagner utiliser des certificats numriques. Outre les certificats de chiffrement pour EFS, nous utilisons galement des certificats de signature pour le code dvelopp en interne, ajoute Thibault Chevillotte. Et AXA Tech gnre galement ses propres certificats serveur SSL. Nous

Parole d'utilisateur
Axa Tech en bref
AXA Tech est une socit du Groupe AXA dont la vocation est de fournir des services dinfrastructure informatique.

Tmoignage : Infrastructure

www.axa.com

Pour lavenir enfin, AXA Tech sintresse lauthentification forte base de cartes puce. La PKI nous permet de crer les certificats qui seront stocks dans les cartes, et donc den garder le contrle, justifie Thibault Chevillotte. Seule restriction lvolution de la PKI aujourdhui : AXA Tech ne compte pas dlivrer de certificats qui aient une quelconque valeur juridique en dehors du Groupe, ou qui engage ce dernier. Pour le reste, lusine certificats est au service de ses multiples applications !

en savoir plus... www.microsoft.com/france/temoignages/

Ralisation : Indexel 01 55 25 25 25 - www.indexel.biz

les utilisons sur certains serveurs Web Groupe, partout dans le monde. Ils viennent en remplacement des certificats commerciaux quil faudrait acheter sinon. Bien sr, il faut alors dposer le certificat racine sur tous nos postes de travail, mais cest une tche que nous avons rsolue 90 % en deux ans, poursuit le directeur de la scurit des systmes dinformation.