Upload
amadour-renou
View
115
Download
8
Embed Size (px)
Citation preview
www.adira.org
La sécurité au service de l’innovationBYOD, une question d’approche
Serge Richard – CISSP® Architecte Solution Sécurité[email protected]
Grenoble, le 24 Avril 2014
www.adira.org
Agenda
Le BYOD dans tous ses états
Quels sont les défis ?
L‘approche pour la sécurisation des infrastructures de terminaux mobiles
www.adira.org
Agenda
Le BYOD dans tous ses états
Quels sont les défis ?
L‘approche pour la sécurisation des infrastructures de terminaux mobiles
www.adira.org
Le terminal mobile est un objet personnel !!!
http://www.slideshare.net/WSIdee/mettez-votre-entreprise-dans-le-tlphone-de-vos-clients
www.adira.org
Le paysage du BYOD et les entreprises
http://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat
www.adira.org
Et la tendance s’accentue…
http://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat
www.adira.org
Appareils personnels utilisés sur le lieu de travail
http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdf
www.adira.org
La productivité des employés est elle en jeu ?
http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdf
www.adira.org
L’intérêt d’utiliser les terminaux de l’entreprise
http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdf
www.adira.org
Bénéfices que le BYOD apporte à l’entreprise
http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf
www.adira.org
Agenda
Le BYOD dans tous ses états
Quels sont les défis ?
L‘approche pour la sécurisation des infrastructures de terminaux mobiles
www.adira.org
Problématiques de l’entreprise…
Le type de terminaux ainsi que le type d'applications sont très hétéroclites.
Augmentation drastique du nombre de terminaux à gérer.
Les utilisateurs ont en moyenne plus d'un terminal, les données de l'entreprise peuvent se trouver sur ceux-ci.
Pour de nombreux utilisateurs, l'intérêt des terminaux mobiles réside dans leur capacité d'interaction et les nombreuses applications.
Les utilisateurs privilégient la facilité d'utilisation des terminaux en fonction de leurs préférences. Les terminaux mobiles sont partagés et donc
peuvent avoir de multiples utilisations.
Les appareils mobiles sont le plus souvent utilisés en dehors du réseau de l'entreprise et sur une grande variété de réseaux pour l'accès aux comptes utilisateurs.
Un contexte dans lequel les appareils mobiles peuvent changer considérablement d'une session à l'autre.
Dans le but de saisir de nouvelles opportunités, les lignes métiers mettent en place de nouvelles applications sur les terminaux.
Une entreprise ne peut développer toutes les applications demandées par les lignes métiers et doit donc supporter des applications tierces.
Nouvelles technologies pour construire des applications natives, hybrides et web pour les terminaux mobiles.
Les applications des terminaux mobiles ont souvent recours à plusieurs services de collaboration et de canaux de communications.
www.adira.org
Les risques et les challenges
http://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat
www.adira.org
Une application mobile est un logiciel applicatif développé pour être installé sur un appareil électronique mobile, tel qu'un assistant personnel, un téléphone portable , un « smartphone », ou un baladeur numérique.
Une telle application peut être installée sur l'appareil dès la conception de celui-ci ou bien, si l'appareil le permet, téléchargée par l'utilisateur par le biais d'une boutique en ligne :
Une partie des applications disponibles sont gratuites tandis que d'autres sont payantes. […Wikipédia]
Les applications mobiles : Fer de lance des terminaux mobiles !!!
http://www.mmaf.fr/barometre-trimestriel-du-marketing-mobile-en-france-0
www.adira.org
Les applications, le principal vecteur de risque ?
https://www.appthority.com/resources
Risky Mobile App Behaviors by Category: Top 200 Apps for iOS and Android
www.adira.org
L’application gratuite est un vecteur de risque
https://www.appthority.com/resources
Top 200 Risky App Behaviors (iOS & Android combined) – Paid Vs Free
www.adira.org
L’application gratuite versus l’application payante
https://www.appthority.com/resources
www.adira.org
Les systèmes d’exploitation, une autre problématique ?
http://bit.ly/1bgWnLp
www.adira.org
Prise en charge par les entreprises pour les périphériques appartenant aux employés
http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf
www.adira.org
Domaines couverts par les politiques de sécurité mobilité
http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf
www.adira.org
Quel terminal pour l’entreprise ?
http://appleinsider.com/articles/14/02/27/apple-touts-secure-design-of-ios-as-google-chief-admits-android-is-best-target-for-malicious-hackers
www.adira.org
A propos des codes malicieux….97% sur Android !!!
http://www.forbes.com/sites/gordonkelly/2014/03/24/report-97-of-mobile-malware-is-on-android-this-is-the-easy-way-you-stay-safe/
www.adira.org
Quelle est le véritable risque, aujourd’hui, sur Android ?
http://www.forbes.com/sites/gordonkelly/2014/03/24/report-97-of-mobile-malware-is-on-android-this-is-the-easy-way-you-stay-safe/
www.adira.org
Que trouvons nous réellement dans les bases de vulnérabilités ?
http://nvd.nist.gov/home.cfm
Systéme : 27 vulnérabilités Application : 1 vulnérabilité (Google Chrome)
Systéme : 5 vulnérabilités Application : 47 vulnérabilités
www.adira.org
Agenda
Le BYOD dans tous ses états
Quels sont les défis ?
L‘approche pour la sécurisation des infrastructures de terminaux mobiles
www.adira.org
L’approche BYOD nécessite une approche compléte
VPN
Quels réseaux ?
Quels utilisateurs ?
BYOD 2014+ Challenges
Comment conserver la sécurité de mon réseau et de mes utilisateurs ?
Comment conserver la sécurité de mon réseau et de mes utilisateurs ?
Comment fournir un service de qualité à mes utilisateurs et à mes invités?
Comment fournir un service de qualité à mes utilisateurs et à mes invités?
Comment minimiser l’impact sur mon infrastructure et sur mon organisation du support ?
Comment minimiser l’impact sur mon infrastructure et sur mon organisation du support ?
iOS Android Ultrabooks
www.adira.org
Travailler sur l’appréciation des risques (Malicious Mobile Apps)
http://banners.spiceworks.com/banners/webroot/june_2013/S-Webroot_MMA_Webinar.html
www.adira.org
Les différentes approches qui peuvent être mises en œuvre par les entreprises
http://www.itpro.fr/a/byod-byoa-pyca-cyode-cope-quel-modele-choisir/
Appellation Nom complet Description
Propriétaire du
périphérique
Propriétaire des
applications
Propriétaire du réseau poste de
travail
Niveau de gestion pour l’entreprise
Modèle standard
Ce modèle est celui classique qui considère que les périphériques dits mobiles sont gérés comme des postes de travail bureautiques traditionnels
Entreprise Entreprise Entreprise Périphérique
BYODBring Your Own Device
L’entreprise permet aux utilisateurs d’apporter leurs périphériques personnels pour se connecter aux services délivrés par l’entreprise. Lorsque cette stratégie est étendue à d’autres types d’appareils (stockage, etc.) on parle alors de BYOT « Bring Your Own Technology »
UtilisateurUtilisateur
et EntrepriseEntreprise
Périphérique (avec l’accord de
l’utilisateur)
BYOA ou BYON
Bring Your Own AccessBring Your Own Network
L’entreprise ne gère plus de parc informatique, ni de réseau de type poste de travail. Chaque utilisateur est libre de contracter avec un opérateur réseau et de choisir la nature de sa connexion (WiFi, femtocell, tethering). Ce modèle se comprend si l’ensemble des applications de l’entreprise sont accessibles via un accès par Internet
UtilisateurUtilisateur
et/ou Entreprise
Utilisateur Application
PYCAPush Your Corporate Application
L’entreprise ne gère plus de parc informatique au sens des périphériques utilisés, et se préoccupe de mettre en œuvre et de tenir à jour un magasin d’applications qui lui appartient dans lequel l’utilisateur vient se servir s’il en a le droit
Utilisateur Entreprise Entreprise Application
CYODChoose Your Own Device
L’entreprise permet à l’utilisateur de choisir un périphérique dans une liste délimitée qu’elle tient à disposition
Entreprise Entreprise Entreprise Périphérique
COPE
Company Owned, Personally Enabled
L’entreprise choisit le périphérique, mais permet à l’utilisateur de se servir à des fins personnelles en y installant des applications dont il est le propriétaire
EntrepriseUtilisateur
et/ou Entreprise
Entreprise Périphérique
BYOA ou BYOS
Bring Your Own ApplicationBring Your Own Software
L’utilisateur peut se servir d’applications personnelles dont il est le propriétaire ou l’utilisateur légal pour travailler dans le cadre de l’entreprise
Utilisateur et/ou
EntrepriseUtilisateur Entreprise Application
www.adira.org
La sécurité des environnements des terminaux mobiles adresse des dimensions multiples dans le but d'être conforme aux politiques de sécurité de l'entreprise
Data, Network & Access SecurityMobile Device ManagementApp/Test
Development
Device Platformsi.e. iOS, Android, Windows Mobile, Symbian, etc
Mobile Application Platforms & Containers
Mobile Applicationsi.e. Native, Hybrid, Web Application
MobileInformation Protection
Data encryption (device, file & app)
Mobile data loss prevention
Mobile Threat Management
Anti-malware Anti-spyware Anti-spam Firewall/IPS Web filtering Web Reputation
Mobile Network Protection
Secure Communications (VPN)
Edge Protection
Mobile Identity& Access Management
Identity Management Authorize &
Authenticate Certificate Management Multi-factor
Mobile Security Intelligence
Mobile Device Security
Management
Device wipe & lockdown
Password Management
Configuration Policy Compliance
Mobile Device Management
Acquire/Deploy‒ Register‒ Activation‒ Content Mgmt
Manage/Monitor Self Service Reporting Retire De-provision
Secure Mobile Application
Development
Vulnerability testing Mobile app testing Enforced by tools Enterprise policies
www.adira.org
Comment sécuriser les environnements des terminaux mobiles ?
EnrôlerPropriétaires et services
ConfigurerPolitiques de sécurité
GérerConformité du terminal
ReconfigurerNouvelles politiques
SupprimerServices et données
AuthentifierUtilisateurs et terminaux
ChiffrerConnections réseaux
SurveillerJournaux d’événements
ContrôlerAccès aux applications
BloquerAttaques et vulnérabilités
DévelopperBonnes pratiques
TesterPrésence de vulnérabilités
SurveillerActivités des utilisateurs
ProtégerApplications
Mettre à jourCorrectifs
Sur les terminaux Sur les réseaux Sur les applications
Intranet Entreprise
Internet
Gestion de la stratégie de sécurité des environnements mobiles
IBM
Se
cu
rity
– C
ad
re d
e r
éfé
ren
ce
www.adira.org
Vue d’architecture générale
Smartphone
Mobile Phone
Tablet
Laptop
IDS/IPS IAM DLP Email Security Encryption Web Proxy Web/URL Filtering Certificate Authority
MDM Server App store
Layer 2 Switches Layer 3 Routers VPN Gateways Network Access Controllers Wireless controllers Policy Decision Point
Active Directory DNS/DHCP Corp Email
MobileEnterpriseApplication
Platform
CorporateApplication
Servers
Data Storage
Mobile Middleware Server
Mobile Client Application
Network Infrastructure
SecurityInfrastructure
Mobile DeviceManagement
B2C
B2E
B2B
IT Technology Applications
Network L2/L3 Core
NAS
SAN
Connection Broker
VDI