Informations importantes & prérequis

Informations Importantes

Comprendre ce qu'est Olfeo SaaS

Olfeo SaaS est une solution de sécurité web basée dans le cloud, proposée sous forme de service.

Elle agit en tant que passerelle de sécurité en filtrant les requêtes HTTP et HTTPS provenant de vos utilisateurs via un Agent de poste installé sur leurs postes en appliquant les règles de routage que vous avez définies. Olfeo SaaS authentifie, déchiffre et applique vos politiques de filtrage avant de transmettre la requête à la destination demandée. Les réponses sont ensuite analysées puis chiffrées avant d'être renvoyées aux utilisateurs.

Voici une représentation schématique du fonctionnement d'Olfeo SaaS :

Olfeo SaaS est particulièrement adaptée pour les organisations à la recherche d'une passerelle de sécurité mandataire permettant de restreindre au maximum les règles de pare-feu en sortie du WAN.

Olfeo SaaS Lite

Une implémentation plus légère de cette proposition de valeur, Olfeo SaaS Lite, existe aussi pour répondre à des cas d'usages où ce mode est moins approprié. Sauf exceptions indiquées, ces guides d'utilisation s'appliquent aux deux produits.

Reportez-vous à cette page pour en savoir plus, notamment à propos des différences fonctionnelles et des pré-requis spécifiques et avertissements d'usages.

Déchiffrement TLS

Le déchiffrement TLS du trafic est au cœur du fonctionnement du produit : ne pas l'activer vous priverait de fonctionnalités-clés du produit (filtrage avancé, antivirus, pages de sensibilisation).

Cependant, soyez conscients que dans certains cas, le déchiffrement du trafic web peut soulever des questionnements légitimes de la part de vos partenaires sociaux. SI ce n'est pas déjà le cas, veillez à engager les consultations nécessaires avant la mise en place de Olfeo SaaS. Retrouvez dans notre livre blanc sur le déchiffrement les éléments réglementaires et les éclaircissements juridiques autour de ce sujet.

Olfeo SaaS dans l'écosystème des services de sécurité.

Si Olfeo SaaS est bien sur un maillon essentiel de votre stratégie de sécurité, ne perdez cependant jamais de vue que l'usage de notre produit N'EXONÈRE PAS la mise en place d'une stratégie plus large de sécurité passant notamment par l'usage de pare-feux, d'antivirus de postes (EDR) ou d'analyse de menaces (XDR) et d'anti-spams.

Enfin, et malgré tous nos efforts pour offrir une protection la plus transparente possible pour vos utilisateurs, conservez toujours en tête que, comme pour tout produit de sécurité, l'efficacité de la protection restera toujours la résultante d'un compromis à trouver entre utilisabilité et sécurité. :)

Bonne installation !

Prérequis à l'usage de Olfeo SaaS dans votre organisation

L'usage de Olfeo SaaS pour protéger efficacement votre organisation suppose quelques prérequis propres à sa nature.

Prérequis pour l'interface d'administration

Pour accéder à l'interface d'administration d'Olfeo SaaS, les points suivants sont requis :

utiliser un ordinateur et un navigateur internet satisfaisant les configurations minimales (voir ci-dessous)
accepter l'usage des cookies pour l'authentification à l'interface

les ressources suivantes ne doivent pas être bloquées par un pare-feu

Port / protocole	Ressources	Motif
443 TCP	saas.trustlane.io livelogs-client.trustlane.io trustlane.matomo.cloud fonts.googleapis.com	interface d'administration Interface de l'outil de diagnostic de trafic statistiques et métrologie d'usage de l'interface d'administration dépendances de rendu (icônes, polices) de l'interface d'administration

Port / protocole

Ressources

Motif

443

TCP

saas.trustlane.io

livelogs-client.trustlane.io

trustlane.matomo.cloud

fonts.googleapis.com

interface d'administration

Interface de l'outil de diagnostic de trafic

statistiques et métrologie d'usage de l'interface d'administration

dépendances de rendu (icônes, polices) de l'interface d'administration

Prérequis à l'utilisation de l'Agent de poste

Prévention de conflits avec vos EDR/ XDR

L'Agent de poste doit être considéré comme autorisé par votre EDR / XDR à être exécuté avec des privilèges administrateur pour que son fonctionnement ne soit pas entravé.

Le dossier contenant les données de configuration et ces fichiers ne doivent pas être altérés par vos outils d'EDR/XDR.

Accès locaux sur les postes

Ports réservés pour l'Agent

L'Agent doit pouvoir communiquer localement sur les ports 3128 et 8090.

Assurez-vous que ces ports soient bien disponibles sur les postes de vos utilisateurs. Le cas échéant, n'hésitez pas à contacter notre équipe Support.

Autoriser l'accès au réseau local pour Chrome et Edge

Important !

Depuis le 29 Septembre 2025, une nouvelle option de sécurité introduite dans les navigateurs Google Chrome et Microsoft Edge (tous deux basés sur Chromium) permet de restreindre l’accès aux ressources du réseau local. Cette option, nommée Local Network Access Check, peut empêcher l’Agent de fonctionner correctement si elle est activée.

Étapes à suivre

Ouvrez votre navigateur (Chrome ou Edge).
Allez à la page suivante :
- Chrome : chrome://flags/#local-network-access-check
- Edge : edge://flags/#local-network-access-check
Recherchez l’option Local Network Access Check.
Sélectionnez Disabled dans le menu déroulant.
Redémarrez le navigateur pour appliquer les modifications.

Automatisation de la configuration

Vous pouvez automatiser cette configuration via une GPO. Apprenez-en plus à ce sujet dans notre base de connaissance..

Ouverture de destinations et de ports sur vos pare-feux d'entreprise pour le trafic

L'ouverture des destinations par ports suivantes dans vos pare-feux est requise pour permettre le passage du trafic

Port(s)	Ressource(s)	Motif
443, TCP	saas.trustlane.io authagent-telemetry.trustlane.io health.trustlane.io	Accès des agents de postes de vos utilisateurs aux points de terminaison d'authentification du Olfeo SaaS et de métrologie
443, TCP	storage.gra.cloud.ovh.net cdn.trustlane.io	Accès aux ressources de configuration de l'agent de poste (binaire, configurations, certificats)
80, TCP	proxy-pki.saas.trustlane.io	Contrôle des certificats (CRL) pour le déchiffrement TLS par les navigateurs/clients HTTP
3128, TCP	filtering-proxy-core-par3.trustlane.io	Points d'entrée de l'infrastructure principale pour la gestion du trafic envoyé à Olfeo SaaS
3128, TCP	elb1.failover.trustlane.io	Point d'entrée de l'infrastructure d'échappement en cas de panne de l'infrastructure principale.
80 et 443, TCP	detectportal.firefox.com www.msftconnecttest.com	Accès requis aux mires de détection d'accès à internet (utilisées par défaut par les navigateurs ou OS).
80 et 443, TCP	proxy-pages.saas.trustlane.io	Affichage des messages d'erreur et de sécurité du proxy distant.

Usage de pare-feux sans résolution DNS

Il est recommandé de configurer des règles de pare-feu utilisant des FQDN plutôt que des IP. Si toutefois le(s) pare-feu(x) de votre organisation ne supporte(nt) pas les règles avec FQDN, vous pouvez vous rapprocher de notre équipe Support pour obtenir les IP à autoriser,

Ouverture de destinations et de ports sur vos pare-feux pour l'authentification de vos utilisateurs sur votre fournisseur d'identité (IDP)

Par définition, l'accès aux ressources d'authentification n'est pas "proxifié" par notre plateforme, l'Agent doit donc pouvoir identifier qu'il n'a pas accès à internet mais pas d'accès autorisé à notre plateforme, puis il doit ensuite pouvoir négocier une authentification avec votre IDP.

L'accès non-proxifié aux ressources suivantes est automatiquement inclus dans le proxypac mais les ressources suivantes doivent également être autorisées dans vos pare-feux :

Port(s)	Ressource(s)	Motif
80 et 443	www.officehome.cdn www.office.net www.office.com login.microsoftonline.com www.live.com www.office365.com aadcdn.msftauth.net	Points de terminaisons requis pour l'authentification si vous utilisez Entra ID (ex Azure AD) comme IDP.
443	https://<votre_IDP/ressource_dathentification>	Points de terminaison requis pour l'authentification si vous utilisez un fournisseur d'identité maintenu par vos soins (type ADFS)

Port(s)

Ressource(s)

Motif

80 et 443

www.officehome.cdn

www.office.net

www.office.com

www.live.com

www.office365.com

aadcdn.msftauth.net

Points de terminaisons requis pour l'authentification si vous utilisez Entra ID (ex Azure AD) comme IDP.

443

https://<votre_IDP/ressource_dathentification>

Points de terminaison requis pour l'authentification si vous utilisez un fournisseur d'identité maintenu par vos soins (type ADFS)

Usage d'un fournisseur d'identité autre qu'Entra ID (ex Azure AD)

Vous utilisez un AD on-premises avec un ADFS : Il vous appartient de définir dans votre proxy.pac Olfeo SaaS les points de terminaisons publics de votre entreprise à ne pas proxyfier pour que vos utilisateurs puissent s'identifier et s'authentifier sur votre ADFS. Reportez-vous à cette section de la documentation pour voir comment faire pour ajouter une destination au proxy.pac.

Configurations minimales

Configuration minimale pour l'interface d'administration

L'interface d'administration est accessible via un navigateur web depuis un ordinateur personnel connecté à Internet. La configuration recommandée pour un usage fluide est :

CPU : 1,7Ghz
RAM : 16Go
Ecran : 24" - le contexte d'usage principal de l'interface d'administration est prévu sur un poste fixe avec un écran de grande taille. L'interface a donc été pensée dans ce contexte et n'est pas adaptée aux "petits" écrans, notamment sous Windows lorsque l'autoscaling est activé.

Navigateur : Chrome (stable)

NB : bien que nous recommandions une configuration de cet ordre, il est possible d'utiliser une configuration matérielle moindre mais le confort d'usage sera alors peut-être dégradé.

NB 2 : bien que nous testions et validions notre interface d'administration avec Chrome (stable), l'usage de navigateurs autres (Edge, Firefox, Safari, Opéra) est tout à fait possible dès lors qu'ils supportent javascript et HTML5.

Configuration minimale pour l'Agent de poste

L'Agent de poste est disponible et testé par nos équipes pour :

Windows 11 - Navigateurs : Edge, Chrome (stable)
macOS 15.6 (Architecture: Apple Silicon) - Navigateurs : Safari, Chrome (stable)

NB : bien que non-testés par nos équipes, l'Agent tourne sous Windows 10 et sous les différentes versions de macOS depuis la 10.14,

NB2 : pareillement, bien que non testés par nos équipes, les principaux navigateurs alternatifs (Firefox, Opéra, Brave etc.) apparaissent comme compatibles avec l'Agent de poste, avec parfois quelques limites liées à leurs spécificités.

Si vous utilisez l'un de ces navigateurs, veillez également noter que vous devrez peut être définir des paramétrages spécifiques, par exemple pour forcer l’utilisation du proxy système sur Firefox.. N'hésitez pas à vous reporter à la documentation de ces navigateurs et à contacter notre Support en cas de besoin.

Configuration minimale pour l'Agent de synchronisation d'annuaires

Pour pouvoir installer et utiliser Agent de synchronisation d'annuaires, les pré-requis suivants doivent être satisfaits :

Vous devez disposer d'un compte client chez Olfeo ainsi que d'une licence valide pour notre produit de sécurité Agent de synchronisation d'annuaires ou de sensibilisation (Campus)
Vous devez disposer d'un annuaire d'entreprise compatible LDAP - typiquement Microsoft Active Directory - ainsi que d'un compte disposant de droits de lecture sur cet annuaire.
Important
Par mesure de sécurité, ce compte NE DOIT PAS DISPOSER de droits d'écriture sur votre annuaire.
Vous devez disposer d'une machine (physique ou virtuelle) ainsi que d'un compte administrateur sur cette machine pour installer l'Agent de synchronisation d'annuaires. Cette machine doit respecter les contraintes suivantes :
- Avoir accès à l'annuaire (référez-vous à votre référentiel d'entreprise pour les ports à ouvrir (389 ou 636 par défaut), les bonnes pratiques et les règles de sécurité internes à respecter
- Avoir accès à internet et en particulier aux domaines *.trustlane.io (synchronisation et remontée des configurations) et *.trustlane-qa.xyz (métrologie et support) sur le port 443
- Etre équipé de WS 2022 ou supérieur ou de Windows 10 ou supérieur
  NB : si l'Agent de synchronisation d'annuaires peut fonctionner sur d'anciennes versions de Windows Server jusqu'à WS 2016, veuillez cependant noter que ces configurations (dépréciées par Microsoft) ne sont pas recommandées et l'usage de telles configuration n'est pas supporté de notre part.
- Disposer du framework .Net 4.8 ou supérieur

Limites d'usage

Nous mettons tout ce qui est en notre pouvoir pour assurer un accès à Internet et en toute sécurité pour vos utilisateurs à tout instant.

Cependant, de par sa nature, vous ne devirez pas installer l'Agent Olfeo SaaS sur un poste ou une machine dont l'accès à internet ou les enjeux de latence relèvent d'un besoin critique ou vital .

Déploiement de l'agent et gestion de droits

L'Agent nécessite des droits administrateur sur le poste pour être installé, supprimé ou appliquer les modifications de configuration réseau nécessaires à son foncitonnement.

Pour éviter que vos utilisateurs ne puissent contourner la protection d'Olfeo SaaS , assurez-vous que vos utilisateurs ne disposent pas des privilèges nécessaires pour inhiber/contourner son action et veillez à configurer les clients HTTP (navigateurs internet ou autres) de façon appropriée.

Plus d'infos sur les cas d'usages documentés par ici.

Documentation technique Olfeo SaaS