Rights Management System
Les Rights Management Services sont une technique développée par Microsoft. Ils sont semblables aux DRM et visent donc à gérer, pour un fichier donné, les droits accordés à l'utilisateur par son créateur.
DĂ©finitions
De nombreuses documentations proposées par Microsoft présentent la technique de protection de données. Néanmoins plusieurs termes distincts peuvent prêter à confusion. Voici les définitions des trois fonctions complémentaires :
- Microsoft Windows Rights Management (RM) est une fonctionnalité évolutive de protection des données dans Windows qui aide à protéger les informations sensibles ;
- Information Rights Management (IRM) est une extension de RM dans les applications Office 2003 et dans internet Explorer ;
- Rights Management Services (RMS) est un service présent sur Windows 2003 server qui permet de faire fonctionner des applications compatible RM telles qu’Office 2003.
La mise en place d’un serveur de gestion de droits implique donc l’implémentation des trois fonctionnalités.
RM est une fonctionnalité de protection d’information qui interagit avec les applications afin de protéger des informations sensibles. IRM est une technique de protection des informations qui étend la fonctionnalité RM aux applications office 2003. IRM permet de maintenir le contrôle sur les personnes autorisées à utiliser les fichiers ou messages électroniques. Ainsi IRM aide les entreprises à protéger les informations sensibles contre la copie, le transfert ou l’impression non autorisée. De plus étant donné que les autorisations sont associées aux fichiers on dit que la protection est persistante. Cela a pour conséquence l'application des restrictions d’accès et d’utilisations de ces fichiers, quel que soit l’emplacement des informations, même au-delà du réseau interne de l’entreprise.
Avantages
Le service RMS permet de répondre à un besoin fondamental en termes de confidentialité, de contrôle et d’intégrité des informations.
- La suite logicielle Office 2003 présente nativement une interface conviviale de gestion des droits et rend ainsi l’utilisation abordable pour l’ensemble des utilisateurs.
- L’intégration au domaine Active Directory permet une transparence complète du service avec une gestion centralisée des mots de passe.
- Il est également possible de créer puis d’utiliser des modèles de stratégies facilitant ainsi l’action pour l’utilisateur tout en garantissant un niveau de sécurité élevé.
- Diverses options permettent de personnaliser les droits.
- Le cryptage des données rend la protection persistante.
Inconvénients
La solution présente des inconvénients :
- Seuls les utilisateurs inscrits dans le domaine Active directory sont en mesure de déchiffrer les documents protégés. Ainsi il n’est pas possible de protéger un document et de l’envoyer à un tiers.
- La mise en place du serveur de gestion de droit impose une architecture lourde.
- Le niveau de criticité du serveur est élevé. Si le serveur tombe en panne et si la configuration n’est pas récupérée, les fichiers protégés ne pourront être décryptés.
Architecture nécessaire
RMS nécessite l'utilisation de Windows 2003 Server, Active directory, Internet Information Services (IIS), SQL Server 2000 ou supérieur et des applications compatible RMS (Office 2003 pro ou supérieur). Les trois services principaux (SQL server, AD, serveur RMS) peuvent, en fonction de la taille du réseau, être dissociés ou regroupés sur un seul serveur physique.
Le tableau suivant donne les recommandations matérielles de Microsoft :
| Minimum | Recommandation |
|---|---|
| Pentium III 800 Mhz ou plus | Deux Pentium 4 1500 MHz ou plus |
| 256Mo de mémoire RAM | 512Mo de mémoire RAM |
| 20 Go d'espace libre sur le disque dur | 40 Go d’espace libre sur le disque dur |
Fonctionnement
Création
À l'aide d'une application compatible RMS (Word, Excel, Outlook…), l'utilisateur appose des droits sur son document. Ces droits sont inscrits dans une licence de publication attachée au fichier. L'application chiffre ensemble les informations et la licence de publication assurant ainsi une protection totale même au-delà de l'intranet de l'entreprise.
Distribution
Le document peut être mis à disposition (mail, dossier partagé, clé usb…). Grâce à la protection RMS, seuls les utilisateurs ou groupes d’utilisateurs spécifiés par le créateur du document seront en mesure de décrypter le fichier et auront un accès restreint ou non.
Exploitation
Lorsqu'un destinataire ouvre un document protégé, une requête est envoyée au serveur RMS afin de vérifier les droits d'utilisations. Ensuite le serveur émet une licence d'utilisation spécifiant les droits s'appliquant au document. Puis l'application met en œuvre les droits spécifiés par le créateur du document.