Avant de commencer

Bienvenue dans le guide d'administration de Stormshield Data Security Enterprise version 11.1.

Dans la documentation, Stormshield Data Security Enterprise est désigné sous la forme abrégée : SDS Enterprise et Stormshield Data Management Center sous la forme abrégée : SDMC.

Ce guide contient les informations nécessaires à l'administration de la solution SDS Enterprise et à l'installation des agents SDS Enterprise dans votre environnement.

SDS Enterprise assure la protection et la confidentialité des données stockées sur les répertoires locaux, partagés, ou dans le Cloud, en s'appuyant sur le chiffrement de bout en bout transparent et intégré aux outils de communication et collaboration. Il permet également de maîtriser l'accès aux données protégées selon les groupes et les profils des utilisateurs.

La solution SDS Enterprise comprend la console d'administration SDMC depuis laquelle vous définissez les politiques de sécurité, ainsi qu'un agent installé sur les postes de travail des utilisateurs permettant d'appliquer les politiques et fournissant les fonctionnalités suivantes :

  • Le chiffrement transparent et en temps réel des fichiers, en vue d'un transfert par mail ou d'une sauvegarde sécurisée,
  • Le chiffrement de fichiers stockés sur des espaces synchronisés avec les hébergeurs en ligne OneDrive, DropBox, SharePoint et Oodrive,
  • Le chiffrement et la signature des courriers électroniques permettant de protéger les données qu'ils contiennent et de garantir leur provenance et l'intégrité de leur contenu,
  • Le partage des dossiers chiffrés sur le réseau de l'entreprise avec des collaborateurs,
  • L'effacement sécurisé et irréversible des données,
  • La signature électronique de fichiers et de dossiers, permettant de garantir leur provenance et l'intégrité de leur contenu,
  • Le chiffrement de disques virtuels, permettant de stocker des documents protégés. Ces disques virtuels peuvent être partagés entre collaborateurs.

La solution comprend également le composant Stormshield Data Connector, qui permet de piloter les fonctionnalités de la solution SDS Enterprise à travers un module PowerShell ou des API .NET.

La console d'administration SDMC est hébergée par les services Cloud de Stormshield. Depuis SDMC, vous pouvez :

  • Créer et configurer les politiques de sécurité appliquées par les agents SDS Enterprise installés sur les postes de travail des utilisateurs,

  • Déclarer les autorités de certification dont dépendent les certificats des utilisateurs,

  • Déclarer les annuaires LDAP de l'entreprise afin de gérer les échanges de certificats,

  • Télécharger les packages d'installation des agents SDS Enterprise.

Pour utiliser la console SDMC, commencez par créer un compte d'entreprise, puis un ou plusieurs comptes administrateur comme décrit dans la section Se connecter à SDMC.

Vous pouvez également configurer une politique de sécurité directement dans un fichier .json et l'intégrer au package d'installation de SDS Enterprise. Pour plus d'informations sur la configuration de ce fichier, consultez le Guide de configuration avancée.

Prérequis
Vous devez posséder votre propre infrastructure pour la génération des clés de chiffrement et de signature des utilisateurs de l'entreprise. Vous pouvez ensuite les diffuser auprès des utilisateurs avec le moyen de votre choix, par exemple via des cartes à puce.

SDS Enterprise met en œuvre des moyens cryptographiques dits “à clé publique”.

Chaque utilisateur possède au moins un couple de clés : une clé privée et une clé publique. La clé privée doit être conservée de façon confidentielle par son propriétaire. En revanche, la clé publique est destinée à être distribuée.

Un couple de clés différent est nécessaire pour chaque usage :

  • un couple de clés de chiffrement pour le chiffrement et le partage de documents confidentiels ou de messages électroniques,

  • un couple de clés de signature pour la signature de documents et de messages.

Pour sécuriser les clés privées de vos utilisateurs, vous pouvez les stocker sur des supports cryptographiques supportant la norme PKCS#11. Dans le cadre de l'authentification Single Sign-on des utilisateurs, vous devez stocker les clés dans le Magasin de certificats Windows.

Pour chiffrer des fichiers ou envoyer des messages chiffrés à des correspondants, l'utilisateur doit connaître la clé publique de chiffrement de ses correspondants.

Les clés publiques sont distribuées aux utilisateurs sous forme de certificat. Un certificat est un document électronique qui associe une clé publique à son propriétaire. SDS Enterprise supporte le format de certificat X.509 V3. Ces certificats sont stockés dans l'annuaire de confiance des utilisateurs, comme expliqué dans la section Comprendre la notion d'annuaire de confiance.

Les clés des utilisateurs et des autorités de certification sont de type RSA et doivent avoir une taille maximale de 4096 bits, avec un exposant public strictement supérieur à 65536. Les certificats et les listes de révocation doivent être signés avec l'algorithme d'empreinte SHA-512.

IMPORTANT
En cas de renouvellement des clés de chiffrement, veillez à conserver les anciennes clés des utilisateurs de manière sûre dans leur compte SDS Enterprise. L'utilisateur pourra ainsi toujours déchiffrer les données chiffrées avec une ancienne clé.
Pour plus d'informations, reportez-vous aux sections Déchiffrer les données d'un utilisateur avec une ancienne clé ou une clé de délégation et Déchiffrer les données d'un utilisateur avec une clé de recouvrement.

Pour plus d'informations sur la gestion des certificats, reportez-vous aux sections Gérer les certificats des autorités de certification et les certificats de recouvrement dans SDMC et Définir les paramètres de création de comptes.

Vous pouvez déployer SDS Enterprise sur les postes des utilisateurs avec des solutions de télédistribution comme la solution Microsoft Endpoint Configuration Manager. Vous devez déployer sur les postes :

  • le package d'installation des agents SDS Enterprise au format .msi. Vous pouvez le télécharger depuis la console SDMC en français et en anglais.

  • le fichier de la politique de sécurité signée et le certificat correspondant. La politique est créée et paramétrée dans la console SDMC. Vous devez la télécharger depuis la console puis la faire signer par l'administrateur ayant le rôle de signataire de politique de sécurité. L'utilitaire de signature est disponible dans SDMC également.

À chaque redémarrage, l'agent SDS Enterprise vérifie si une nouvelle mise à jour est disponible sur le serveur jouant le rôle de point de distribution des politiques. Si tel est le cas, il l'applique automatiquement.

Pour plus d'informations sur le déploiement des agents, reportez-vous à la section Installer les agents SDS Enterprise sur les postes des utilisateurs et déployer les politiques de sécurité.

SDS Enterprise permet de gérer un annuaire de confiance sur les postes des utilisateurs : vous y insérez les certificats (clés publiques) des utilisateurs et des autorités auxquels vous faites confiance.

L'annuaire de confiance peut être alimenté automatiquement par un annuaire LDAP.

Pour plus d'informations, reportez-vous aux sections Gérer les annuaires LDAP dans SDMC et Configurer les annuaires d'entreprise.

Architecture SDS Enterprise