Post on 12-Jul-2015
Sécurité
BYOD : les nouveaux scénarios
d’authentification adaptés au
monde de l’entreprise
William Houry, Versatile Security
Arnaud Jumelet, Microsoft France
william.houry@versatilesecurity.com, @whoury
arnaud.jumelet@microsoft.com, @arnaud_jumelet
#mstechdays Sécurité
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
Donnez votre avis !
#mstechdays Sécurité
Agenda
Les directions de solution pour l’entreprise
Un exemple
2 3
La situation
1
#mstechdays Sécurité
• Découvrir les solutions Microsoft pour le BYOD
adaptées au monde de l’entreprise
• Démontrer la mise en œuvre d’un scénario innovant :
inscription d’un appareil Windows 8.1 avec
authentification par téléphone puis création d’une carte
à puce virtuelle contenant les certificats numériques
associés à l’utilisateur
Objectifs de la session
Sécurité#mstechdays
LES DÉFIS DU BYOD
La situation
#mstechdays Sécurité
Le déploiement et la gestion des applications sur l’ensemble des plateformes est complexe.
Applications
Les défis liés au BYOD
Les utilisateurs veulent pouvoir travailler depuis n’importe où et avoir accès à toutes les ressources.
Utilisateurs Données
Les utilisateurs doivent être productifs tout en respectant la contraintes de conformité et en limitant les risques.
L’explosion et la diversité des appareils mobiles remet en cause l'approche basée sur les standards IT de l'entreprise.
Appareils
#mstechdays Sécurité
sur plusieurs appareils…
avec un accèsaux apps…
….même en situation de mobilité !
Tout débute
par une
personne ...
EMPLOYEE #0000000-000CONTOSO
dont l’identité est vérifiée…
Les utilisateurs veulent travailler depuis leur propre appareil et de
n’importe où
#mstechdays Sécurité
Donner accès de manière sécurisée aux apps et données métiersL’IT doit protéger les ressources
de l’entreprise…
tout en gardant le contrôle sur
les données et la sécurité.
DELIVERY TYPE
NATIVE APP
DELIVERY TYPE
WEB/SaaSAPP
.. En définissant comment les
applications sont délivrées
DELIVERY TYPE
VIRTUALDESKTOP
DELIVERY TYPE
REMOTEAPP
SSL/TLS
802.1x / IPsec
VPN / DirectAccess
#mstechdays Sécurité
Des bénéfices et des risques
IT PROComment donner accès de manière sécurisée aux
applications et données de l’entreprise ?
UtilisateursComment accéder facilement aux outils de l’entreprise
avec mon appareil personnel et depuis n’importe où ?
Sécurité#mstechdays
QUELQUES SOLUTIONS
MICROSOFT POUR LE BYOD
#mstechdays Sécurité
DELIVERY TYPE
NATIVE APP
DELIVERY TYPE
WEB/SaaSAPP
DELIVERY TYPE
VIRTUALDESKTOP
DELIVERY TYPE
REMOTEAPP
Solutions BYOD dans Windows Server 2012 R2
#mstechdays Sécurité
Publication des applications web avec WAP + AD FS
Les utilisateurs peuvent enregistrer leurs appareils pour accéder aux apps et données d'entreprise avec une expérience SSO grâce à l'authentification de l'appareil
L’accès conditionnel avec l'authentification multi-facteur est fourni avec une granularité par application, en s'appuyant sur l'identité de l'utilisateur, l'enregistrement de l'appareil, l’emplacement réseau et d’autres informations de contexte
Les améliorations apportées sur le nouvel AD FS comprennent un déploiement et une gestion simplifiée
ApplicationspubliéesFirewall
DELIVERY TYPE
WEB/SaaSAPP
#mstechdays Sécurité
Principe du contrôle d’accès contextuel
Utilisateur
Authentification
Appareil Lo
giq
ue
Expérience utilisateur
(ex. règle : appareil connu et géré)
. Accès complet au réseau
. Accès natif aux applications Web et classiques
Complet
(ex. règle : appareil connu depuis le réseau interne à
l’aide d’une authentification forte)
. Accès à certaines Applications Web
. Accès à des applications classiques en mode RDP
Limité
(ex. règle : appareil inconnu)
. Aucun accès au réseau interne
. Accès internet invité Bloqué
Contexte
Lieu
Le contexte d’accès inclut les caractéristiques de l’identité présentée, la force de l’authentification, le niveau de confiance de l’appareil mobile et l’emplacement géographique. et
Les politiques d’accès définissent les règles d’accès en fonction du contexte et de la sensibilité des services, applications et données accédés
#mstechdays Sécurité
Les caractéristiques de l’identité
présentée– Appartenance à un/des groupes de
sécurité
– Appartenance à un rôle spécifique
– Attribut particulier,…
Utilisateur
Utilisateur
Authentification
Appareil
Contexte d’accès
Lieu
#mstechdays Sécurité
Lieu
En situation
de mobilité
Depuis
l’interneUtilisateur
Authentification
Appareil
Contexte d’accès
Lieu
#mstechdays Sécurité
Authentification
Fo
rce
Certificat
Certificat protégé par TPM
Carte à puce + Code PIN
Mot de passe simple
Mot de passe
+ Téléphone
Mot de passe + Téléphone
+ Voix
Code confidentiel****
Mot de passe image
Empreinte digitale
Utilisateur
Authentification
Appareil
Contexte d’accès
Lieu
Carte à puce virtuelle
+ Code PIN
#mstechdays Sécurité
• Les Intérêts– Authentification forte à 2 ou 3 facteurs basée sur des certificats numériques
(X.509)
– Cryptographie isolée (Opérations effectuées par la carte)
– Anti « Force brute » (Carte bloquée après N tentatives)
– Nombreux cas d’utilisation (Windows logon, Accès à distance, Chiffrement, Signature…)
• Pas toujours adapté dans un environnement BYOD– Lecteur intégré, lecteur externe (USB, Bluetooth ou autre), Clé USB, Carte NFC…
• La Carte à puce virtuelle offre une complémentarité à la carte à puce physique en gardant les avantages de celle-ci sans les contraintes de déploiement de matériel
Carte à puce
#mstechdays Sécurité
• La fonctionnalité carte à puce virtuelle est présente sur toutes éditions de Windows 8.X
• Utilise la puce TPM d’un appareil Windows 8.x
• La présence d’un TPM sera obligatoire en 2015 pour obtenir le logo Windows
• Adaptée aux tablettes et appareils mobiles– Les Windows Phones possèdent un module TPM
• Déploiement simple et compatibilité optimale avec les logiciels existants.
Qu’est-ce qu’une carte à puce virtuelle ?
Le code PIN est ce que l’on connaît, l’appareil ce que l’on possède
#mstechdays Sécurité
La carte à puce virtuelle est faite pour le BYOD et la
mobilité
Authentification
Multi-facteurs
• Accès distant avec une connexion VPN
• Accès réseau interne Wi-Fi, IPSec
• Ouverture de session en mode RDP
• Accès à des applications Web avec authentification certificat client SSL
• Accès à des ressources via Kerberos
Protection des
documents et
des messages
• Chiffrement BitLocker sur des disques de données fixes et amovibles
• Chiffrement/Signature S/MIME
#mstechdays Sécurité
Appareils
Inconnu Connu Connu et géré
L’appareil est inconnu de
l’IT
L’appareil est joint au lieu
de travail (Workplace Join).
Il peut recevoir des
politiques de sécurité via
EAS. L’appareil est connu
est associé à son utilisateur
L’appareil est joint au lieu
de travail et géré par un
MDM (Mobile Device
Management) via le
protocole OMA-DM.
Administré
L’appareil est joint au
domaine Active
Directory et est
entièrement sous le
contrôle de l’IT avec des
GPO et outils de
supervision,
télédistribution logiciels.
Utilisateur
Authentification
Appareil
Contexte d’accès
Lieu
#mstechdays Sécurité
Fonctionnement du Workplace Join
Start
Active Directory
Start
Design/UX/UI#mstechdays Sécurité
WORKPLACE JOIN
Associer un appareil ou un ordinateur considéré
comme fiable
Sécurité#mstechdays
SCENARIO AVEC LA SOLUTION
VERSATILE SECURITY VSEC:CMS
#mstechdays Sécurité
Gestion du Cycle de Vie des Cartes à Puces
(Virtuelles)
#mstechdays Sécurité
Avantages de vSEC:CMS
Installation Rapide
Haut Niveau de Sécurité
Faible Coût de Possession
Intégration complète avec les infrastructures
Microsoft
#mstechdays Sécurité
Intégration avec l’Infrastructure Existante
#mstechdays Sécurité
Distribution carte à puce (virtuelle) et certificats
dans un contexte BYOD (Self-Service)
Récupération des règles d’accès : Authentification forte (carte à puce physique) Authentification par téléphone Azure MFA Questions / Réponses
…
Start
Design/UX/UI#mstechdays Sécurité
CRÉATION ET
PERSONNALISATION D’UNE
CARTE À PUCE VIRTUELLEAvec vSEC:CMS
#mstechdays Sécurité
Les étapes
Configuration de la Politique de PIN
Diversification de la Clé d’Administration
(PIN Admin)
Assignation à un Utilisateur Active
Directory
Enrôlement des Certificats Utilisateurs
#mstechdays Sécurité
• Enregistrer les appareils – Les appareils (Windows 8.x, iOS) peuvent être joint au lieu de
travail avec Windows Server 2012 R2
• Authentification forte et moderne– Activer les méthodes d’authentification fortes adaptées à la
mobilité : Windows Azure MFA et cartes à puce virtuelles
• Contrôle d’accès contextuel pour le BYOD– Prise en compte du contexte avec Windows Server 2012 R2
En résumé
#mstechdays Sécurité
Ressources
• Livre blanc « BYOD : Vision et solutions »
• Livre blanc « Windows Azure MFA »
• Site Web Versatile Security :
http://versatilesecurity.com
Sessions tech.days 2014 – Mercredi 12 février : 16h30-17h15 : Démonstration
du BYOD en entreprise
– Jeudi 13 février : 12h15-13h00 : Stratégie BYOD
et nouvelles directions de solutions
Aller plus loin
Digital is
business