Informations importantes & pré-requis

Informations Importantes

Comprendre ce qu'est Olfeo SaaS

Olfeo SaaS est une solution de sécurité web basée dans le cloud, proposée sous forme de service.

Elle agit en tant que passerelle de sécurité en filtrant les requêtes HTTP et HTTPS provenant de vos utilisateurs via un Agent de poste installé sur leurs postes en appliquant les règles de routage que vous avez définies. Olfeo SaaS authentifie, déchiffre et applique vos politiques de filtrage avant transmettre la requête à la destination demandée. Les réponses sont ensuite analysées puis chiffrées avant d'être renvoyées aux utilisateurs.

Voici une représentation schématique du fonctionnement d'Olfeo SaaS :

Déchiffrement TLS

Le déchiffrement TLS du trafic est au cœur du fonctionnement du produit : ne pas l'activer vous priverait de fonctionnalités-clés du produit (filtrage avancé, antivirus, pages de sensibilisation).

Cependant, soyez conscients que dans certains cas, le déchiffrement du trafic web peut soulever des questionnements légitimes de la part de vos partenaires sociaux. SI ce n'est pas déjà le cas, veillez à engager les consultations nécessaires avant la mise en place de Olfeo SaaS. Retrouvez dans notre livre blanc sur le déchiffrement les éléments réglementaires et les éclaircissements juridiques autour de ce sujet.

Olfeo SaaS dans l'écosystème des services de sécurité.

Si Olfeo SaaS est bien sur un maillon essentiel de votre stratégie de sécurité, ne perdez cependant jamais de vue que l'usage de notre produit N'EXONERE PAS de la mise en place d'une stratégie plus large de sécurité passant notamment par l'usage de pare-feux, d'antivirus de postes (EDR) ou d'analyse de menaces (XDR) et d'anti-spams.

Enfin, et malgré tous nos efforts pour offrir une protection la plus transparente possible pour vos utilisateurs, conservez toujours en tête que, comme pour tout produit de sécurité, l'efficacité de la protection restera toujours la résultante d'un compromis à trouver entre utilisabilité et sécurité :)

Bonne installation !

Pré-requis à l'usage de Olfeo SaaS dans votre organisation

L'usage de Olfeo SaaS pour protéger efficacement votre organisation suppose quelques pré-requis propres à sa nature.

L'installation et l'usage d'un Agent de poste Olfeo SaaS sur les postes de vos utilisateurs pour les authentifier sur notre plateforme et router le trafic selon vos attentes -plus d'informations par ici
L'autorisation de cet Agent sur vos points de terminaison EDR / XDR pour que son fonctionnement ne soit pas entravé.
Attention
Si Olfeo SaaS filtre et analyse le trafic web de vos utilisateurs, l'usage d'un antivirus de poste en complément est absolument indispensable pour couvrir les cas d'usages hors de notre champ d'action (clés USB par ex.).

L'ouverture de certaines destinations et ports dans vos pare-feux pour permettre le passage du trafic

Sur les ports 80 et 443	.trustlane.xyz et .trustlane-qa.xyz (pour le monitoring et la métrologie) ainsi que detectportal.firefox.com (pour les mires d'accès à Internet)
	storage.gra.cloud.ovh.net/* (pour la récupération de la configuration, des certificats TLS et du proxy.pac) Astuce Si vous ne souhaitez pas ouvrir tout ce domaine et que vous êtes en capacité de restreindre plus finement l'accès à un ensemble de ressources, contactez notre Support pour que nous vous donnions les informations nécessaires.
Sur les ports 80, 443 et 3128	*.trustlane.io (pour le rafraichissement des jetons et pour la gestion du trafic passant par Olfeo SaaS).

L'ouverture de certaines destinations complémentaires dans vos pare-feux pour permettre à vos utilisateurs de s'authentifier auprès de votre fournisseur d'identité quand ils sont sur votre réseau.
Selon le type de fournisseur d'identité que vous utilisez (Azure ou ADFS), ces destinations peuvent différer. Reportez-vous à cette section de la documentation de l'Agent de poste pour plus de précisions.
Enfin, pour accéder à l'interface d'administration d'Olfeo SaaS, l'accès à saas.trustlane.io ainsi qu'à fonts.googleapis.com sur le port 443 sont requis.

Configurations minimales

Configuration minimale pour l'interface d'administration

L'interface d'administration est accessible via un navigateur web depuis un ordinateur personnel connecté à Internet. La configuration recommandée pour un usage fluide est :

CPU : 1,7Ghz
RAM : 16Go
Ecran : 24" - le contexte d'usage principal de l'interface d'administration est prévu sur un poste fixe avec un écran de grande taille. L'interface a donc été pensée dans ce contexte et n'est pas adaptée aux "petits" écrans, notamment sous Windows lorsque l'autoscaling est activé.

Navigateur : Chrome (stable)

NB : bien que nous recommandions une configuration de cet ordre, il est possible d'utiliser une configuration matérielle moindre mais le confort d'usage sera alors peut-être dégradé.

NB 2 : bien que nous testions et validions notre interface d'administration avec Chrome (stable), l'usage de navigateurs autres (Edge, Firefox, Safari, Opéra) est tout à fait possible dès lors qu'ils supportent javascript et HTML5.

Configuration minimale pour l'Agent de poste

L'Agent de poste est disponible et validé pour :

Windows 10 - Navigateurs : Edge, Chrome (stable)
macOS 12.5 (Architecture: Apple Silicon) - Navigateurs : Chrome (stable)

NB : bien que non-officiellement supportés, l'Agent tourne sous Windows 11 et sous les différentes versions de macOS depuis la 10.14,

NB2 : pareillement, bien que non-officiellement supportés, les principaux navigateurs alternatifs (Firefox, Safari, Opéra) fonctionnent généralement très bien avec l'Agent de poste, avec parfois quelques limites liées à leurs spécificités (par ex. la procédure d'authentification ne fonctionne pas sous Safari en raison de limitations propres à la plateforme macOS)

Si vous utilisez l'un de ces navigateurs, veillez également noter que vous devrez peut être définir des paramétrages spécifiques, notamment concernant le support des magasins de certificats d'autorités de l'OS avec Firefox par exemple.. N'hésitez pas à vous reporter à la documentation de ces navigateurs..

Configuration minimale pour l'Agent de synchronisation d'annuaires

Pour pouvoir installer et utiliser Agent de synchronisation d'annuaires, les pré-requis suivants doivent être satisfaits :

Vous devez disposer d'un compte client chez Olfeo ainsi que d'une licence valide pour notre produit de sécurité Agent de synchronisation d'annuaires ou de sensibilisation (Campus)
Vous devez disposer d'un annuaire d'entreprise compatible LDAP - typiquement Microsoft Active Directory - ainsi que d'un compte disposant de droits de lecture sur cet annuaire.
Important
Par mesure de sécurité, ce compte NE DOIT PAS DISPOSER de droits d'écriture sur votre annuaire.
Vous devez disposer d'une machine (physique ou virtuelle) ainsi que d'un compte administrateur pour installer l'VariantsNames: SyncAgent. Cette machine doit respecter les contraintes suivantes :
- Avoir accès à l'annuaire (référez-vous à votre référentiel d'entreprise pour les ports à ouvrir (389 ou 636 par défaut) et les règles de sécurité à respecter)
- Avoir accès à internet et en particulier aux domaines *.trustlane.io (synchronisation et remontée des configurations) et *.trustlane-qa.xyz (métrologie et support) sur le port 443
- Etre équipé de Windows Server 2012 R2 ou supérieur (WS 2019 recommandé) ou de Windows 10 ou supérieur
- Disposer du framework .Net 4.7.2 ou supérieur

Limites d'usage

Nous mettons tout ce qui est en notre pouvoir pour assurer un accès à Internet et en toute sécurité pour vos utilisateurs à tout instant.

Cependant, de par sa nature, vous ne devirez pas installer l'Agent Olfeo SaaS sur un poste ou une machine dont l'accès à internet ou les enjeux de latence relèvent d'un besoin critique ou vital .

Dans cette section:

Documentation technique Olfeo SaaS