eKeynoxThe Smart Device Management System

eKeynox est un « Device Management System » permettant de déployer et maintenir via un réseau (local ou Internet) des parcs de périphériques USB de sécurité. Il configure leur puce de sécurité – le plus souvent de type « carte à puce » – ainsi que leur mémoire de stockage – le plus souvent de type « flash » – et manage leurs contenus. Ces derniers peuvent être de différentes sortes :

• Applications portables (mémoire de stockage) ;
• Documents publiés par l’organisme (mémoire de stockage) ;
• Adresses (URL) de services en ligne (mémoire de stockage) ;
• Clés cryptographiques et certificats numériques associés (puce de sécurité) ;
• Fichiers de configuration et politique de sécurité (puce de sécurité ou mémoire de stockage).

Avantages et services rendus

Si les services eKeynox sont maîtrisés par l’organisme qui les met en œuvre, ils n'en sont pas moins totalement dédiés aux personnes. Ainsi, l'utilisateur d'un périphérique eKeynox a la garantie que son identité numérique ne peut être frauduleusement exploitée. De même, il lui assure la confidentialité de ses transactions et de ses données personnelles.

L'organisme qui a choisi eKeynox est quant à lui en mesure de gérer très simplement ses périphériques sur la totalité de leur cycle de vie. L’objectif étant de maximiser leur usage et leur durée de vie pour améliorer leur retour sur investissement.

eKeynox offre également une couche d’abstraction fonctionnelle permettant de créer son service sans le lier à un périphérique en particulier. La composition du parc peut ainsi facilement évoluer dans le temps ou dès le départ être constituée de modèles hétérogènes. Cela permet notamment :

• De bénéficier immédiatement des nouvelles générations de périphériques ;
• De proposer une gamme de périphériques au rapport fonctionnalité/coût/sécurité variable ;
• De réduire sa dépendance à un fournisseur de matériel et d'accroître ainsi sa marge de négociation.

Le coût d’intégration d’un nouveau périphérique étant ainsi rendu négligeable, eKeynox réduit les coûts à l’entrée et permet de tester rapidement les différentes solutions du marché.

Enfin, eKeynox permet aux organismes de se focaliser sur le service qu'ils veulent rendre sans se soucier des contraintes techniques liées à la mobilité. Dans ce contexte, c'est notamment eKeynox qui détecte les proxys HTTP/S du réseau local (permettant de sortir sur le réseau Internet) et qui ensuite modifie à la volée la configuration des applications que l'organisme a embarqué sur le périphérique.

eKeynox et le cycle de vie des périphériques USB de sécurité

Définition des groupes de périphériques eKeynox (à déployer)

eKeynox définit un groupe de périphériques par chacun de ses contenus.

La politique de sécurité contraint le groupe de périphériques à certains usages. C’est notamment par son intermédiaire que l’on définit la politique de code PIN (nombre et type de caractères, essais autorisés avant blocage, etc.) et la politique de mise à jour de la partition managée par eKeynox (prise en compte du contexte d'exécution).

Les clés cryptographiques et les certificats numériques associés peuvent être attribués, soit à un groupe d’utilisateurs, soit à un groupe de périphériques. Dans le premier cas, ils sont par défaut générés côté serveur et séquestrés pour pouvoir être poussés vers plusieurs périphériques. Dans le second, ils sont par défaut générés dans la puce de sécurité du périphérique (« on board ») et n’en sortiront jamais.

Les applications, documents et adresses (URL) attribués à un groupe de périphériques eKeynox définissent leur « spectre fonctionnel ». Un navigateur web, un client Citrix® ou un client VPN sont des applications couramment publiées via eKeynox. Ils sont accessibles par l’utilisateur via le menu du périphérique eKeynox et ne sont pas modifiables. Les documents sont chiffrés pour assurer leur confidentialité.

Déploiement des périphériques eKeynox

Dans le cas de petits déploiements (inférieurs à 100 unités / mois), l’interface du « web manager » permet à un opérateur de mettre à disposition les périphériques via plusieurs stratégies de déploiement. L’enrôlement du périphérique peut ainsi, soit majoritairement être effectué par l’opérateur, soit majoritairement par l’utilisateur final (jusqu'à son « auto enrôlement »).

Dans le cas de déploiement plus importants, l’opérateur va généralement déléguer en totalité l’enrôlement effectif des périphériques pour ne pas avoir à les manipuler lui-même. Après avoir enregistré par lot (« batch ») les informations des futurs utilisateurs, il sera en mesure de déléguer la personnalisation du périphérique, soit à l’usine (« flashage »), soit à l’utilisateur final.

Il est à noter que le niveau de sécurité lié au déploiement des périphériques peut différer d’un scénario à l’autre.

Opérations de maintenance sur les périphériques eKeynox (déployés)

Tout service étant amené à évoluer au cours du temps, eKeynox permet de modifier un groupe de périphériques déjà déployés. Ainsi, chaque périphérique eKeynox prend régulièrement soin de se connecter à son service eKeynox pour télécharger les éventuelles mises à jour :

• De l’agent eKeynox embarqué ;
• Du « firmware » du périphérique ;
• De l’ensemble des contenus précités (certificats, applications, etc.).

Les mises à jour sont différentielles (notamment pour les applications lourdes) et peuvent être effectuées en tâche de fond ou au contraire obliger l’utilisateur à les appliquer immédiatement.

L’organisme conserve ainsi une totale maîtrise des périphériques déployés via eKeynox. Les opérations courantes de maintenance sont effectuées rapidement et simplement par l’opérateur ou la personne dédiée au support utilisateur. eKeynox offre ainsi la possibilité de bloquer à distance un périphérique pour en interdire l’usage et, inversement, de le débloquer lorsqu'il aura été bloqué, soit par l’opérateur, soit par l’utilisateur qui aura oublié son code PIN.