Prim’X ZoneCentral : Logiciel de chiffrement des données « IN PLACE »

Primx_Logo_Zone_Central_baseline_large

 

PRIMX_Logo_Make_Encryption_Happen

ZoneCentral est un logiciel de sécurité des données pour l’entreprise, qui, une fois déployé, offre à l’utilisateur une pratique transparente et à l’administrateur une interface automatique.

Cette solution chiffre les données et en réserve l’accès aux seuls utilisateurs autorisés et identités.

 

NOTIONS DE BASE

L’utilisation de ZoneCentral tourne autour de 3 grands axes :

  • Zones : une zone est un dossier, et tout ce qu’il contient sur N niveaux.
    • Une zone peut être chiffrée : tous ses accès sont bloqués
    • Une zone peut être « en clair » : explicite (Contenant un fichier de contrôle nécessaire pour indiquer un dossier clair dans une zone chiffrée), ou implicite (sans fichier de control indiquant que le dossier n’est pas dans une zone chiffrée)
    • Une zone contient une tête de zone qui décrit les caractéristiques de la zone et de ses sous dossiers
  • Liste d’accès : une liste d’accès permet d’unifier la gestion des accès pour une personne (liste d’accès personnelle, idéale pour les PME, chaque utilisateur à sa liste) ou pour un groupe. Elle permet aussi de gérer les accès sans avoir à mettre à jour les zones, comme un changement de mot de passe ou renouvellement de certificat. Les listes d’accès sont des fichiers.
  • Accès : ZoneCentral gère 2 types d’accès :
    • Les accès direct : par mot de passe (idéal pour les toutes petites entreprises, un mot de passe type SSO permet de tout débloquer), par certificat (RSA, couple clef publique, clef privée, carte à puce, token, fichiers de clefs.. idéal pour des organismes utilisant la technologie PKI)
    • Les accès indirect : lien vers un fichier « liste d’accès »

 

OPERATIONS SUR LES ZONES

ZoneCentral permet aux entreprises de :

  • Chiffrer des zones : Appliquer des listes d’accès sur des dossiers. Une clef symétrique AES 256 est utilisée pour chiffrer les données. Cette clef est chiffrée par une clef asymétrique RSA
  • Déchiffrer : L’utilisateur entre sa clef sur son poste, qui récupère la clef symétrique puis déchiffre les données
  • Ajouter/Retirer des accès
  • Dissocier : transformer un sous dossier chiffré en tête de zone chiffrée, pour gérer indépendamment ses accès
  • Regrouper : inverse de dissocier
  • Rendre un dossier clair ‘explicite’ : pour qu’il ne soit pas chiffré
  • Transchiffrer : pour les entreprises très vigilantes, en cas de doute, il est toujours possible de renouveler les clefs de chiffrement des zones

 

RÔLES DES ACCÈS

Un des avantages de ZoneCentral est le fait d’associer plusieurs rôles à ses accès.

Par exemple, un accès normal permet d’ouvrir une zone et accéder aux fichiers, changer le mot de passe ou encore appliquer des consignes de chiffrements.

Un accès administratif permet d’effectuer toutes les opérations de chiffrements/déchiffrement.

Un accès HELPDESK (en cas de perte de mot de passe) permet de fournir un laisser passer temporaire pour les utilisateurs qui ont perdu leur mot de passe.

En cas de perte ou de suppression malencontreuse d’une liste d’accès, des emplacements « sauvegarde » sont prévus à cet effet. A la création de la liste d’accès, elle est sauvegardée dans 3 emplacements :

  • Un emplacement personnel : local
  • Un emplacement de référence : généralement  sur un serveur
  • Un emplacement en cache

ATTENTION : Il ne faut absolument pas supprimer les 3 fichiers de sauvegarde,  si la liste n’est pas trouvée, l’accès est noté comme irrésolu, et la zone peut être IMPOSSIBLE à ouvrir.

ZoneCentral contient plusieurs outils annexes qui permettent de compléter et rajouter de nouvelles fonctionnalités comme :

  • Un outil de vérification périodique « Agent Crypt Update » de l’état des postes pour voir si les consignes de chiffrement sont bien respectées, si les clefs ne sont pas faibles, ou si les mots de passe de secours sont configurés
  • Un assistant de chiffrement « ZCApply » pour appliquer une liste d’accès sur un ou plusieurs  emplacements. Il faut savoir qu”une fois qu’on applique une liste d’accès à plusieurs emplacements d’un coup, les fichiers système sont épargnés
  • Un moniteur ZoneCentral « ZCGU », qui permet à l’utilisateur d’avoir un affichage des zones et des clefs ouvertes ou changer son mot de passe.
  • Un espace chiffré  « ZoneBoard » installé par défaut qui permet la visualisation simple de tous les utilisateurs d’une zone, ou de toutes les zones d’un utilisateur, la gestion des utilisateurs ou encore le chiffrement/ déchiffrement des zones, la gestion des listes d’accès de groupe, la gestion de groupes LDAP et le renouvellement de certificat dans des zones ou des listes d’accès
  • Un gestionnaire de zones « ZCEdit », installé avec les outils d’administration de ZoneCentral, qui permet d’éditer les accès d’une zone et est surtout utile pour créer et gérer des listes d’accès
  • Un outil de signature de GPO « GPOSign », installé avec les composants de déploiement de ZoneCentral et s’exécutant de manière autonome, qui permet de créer des stratégies de groupes et importer/exporter des fichiers de politiques (qui pourront être appliquées à l’Active Directory et à ses utilisateurs)

 

DÉPLOIEMENT DE ZONECENTRAL

La première question à se poser est : Que veut on chiffrer ?

  • En local, plusieurs possibilités : un dossier particulier, un profil utilisateur  (documents, fichiers temporaires, Cache IE..), tout le disque.
  • En réseau : partages sur des serveurs de fichiers
  • Supports amovibles (clefs mémoire, CD, DVD..)

Pour accompagner l’utilisateur un assistant de chiffrement est à la disposition de ce dernier. Cet assistant analyse automatiquement  les postes et les dossiers ne devant pas êtres chiffrés. Pour les chiffrements locaux, l’utilisateur définit des consignes de chiffremenr qui seront vérifiées à chaque login. Dans ce cas, le chiffrement est propre à l’utilisateur. Pour les chiffrements en réseau, le chiffrement est fait par l’administrateur, il n’a pas forcement besoin des clefs des utilisateurs.

 

COMMENT CHIFFRER ?

ZoneCentral offre deux possibilités :

  • Le choix est laissé à l’utilisateur final : il choisit de créer sa liste d’accès personnelle,  puis choisit le type de clef de chiffrement (mot de passe, RSA…)
  • L’administrateur décide de la clef utilisée, en générant à l’avance des listes d’accès personnelles, accessibles sur un partage réseau. Il est tout à fait possible aussi d’utiliser les certificats des utilisateurs publiés dans les annuaires LDAP.

 

STRATEGIE DE SÉCURITÉ: GPO

ZoneCentral est configuré depuis les GPO Windows. L’administrateur du domaine configure les politiques ZoneCentral comme l’organisation des types d’accès, le contrôle des mots de passe et certificats, les accès aux volumes amovibles et aussi, les droits utilisateurs.

Les politiques sont créées et préparées puis sont diffusées et appliquées par le produit.

L’installation des politiques se fait à l’aide d’un simple copié collé dans le contrôleur du domaine.

Pour conclure, ZoneCentral est un logiciel de chiffrement assez complet,  le coté administrateur et GPO doit être exclusivement géré par des profils administrateurs et connaisseurs des contrôleurs de domaines. L’existence de plusieurs outils annexes peut quelques fois dérouter les utilisateurs, mais il faut juste prendre son temps et comprendre l’utilité de chacun d’entre eux, car ils ont des rôles précis.

Certes, il ne faut pas s’amuser à jouer avec les fichiers de sauvegardes des listes d’accès au risque de bloquer complètement l’accès à la zone chiffrée, mais le fait d’avoir trois emplacements de sauvegarde permet à l’utilisateur de se rattraper en cas de mauvaise manipulation.

Une version d’évaluation est disponible sur demande sur le site de l’éditeur ici.

La version d’évaluation contient un moteur de chiffrement bridé avec des clefs relativement faibles, tandis que la version release contient un moteur non bridé, et des clefs qui se génèrent automatiquement.

Article mis à jour le 9 juin 2022.