BYOD : les mesures rapides pour protéger le SI
-
Upload
zdnet-france -
Category
Technology
-
view
1.143 -
download
0
description
Transcript of BYOD : les mesures rapides pour protéger le SI
Livre Blanc
BYOD : les mesures rapides pour protéger le SI
Le SAAS et la mobilité permettent enfin de populariser l’usage de l’authentification
forte... Pour accompagner le mouvement de la prolifération des outils personnels au
travail.
© 2012 – In-Webo Technologies
www.in-webo.com
2 BYOD : les mesures rapides pour protéger le SI
Table des matières
................................................................... 1 BYOD : les mesures rapides pour protéger le SI
Les défis du BYOD (« Bring Your Own Device ») .............................................................. 3
BYOD, usages et risques : état des lieux ........................................................................... 4
L’accès au SI à l’heure du BYOD et de la mobilité ............................................................. 6
Le cahier des charges pour une l’authentification des utilisateurs adaptée au BYOD ........ 8
Adéquation des méthodes d’authentification du marché au cahier des charges du BYOD 10
Qu’est-ce que l’authentification forte SaaS ? ....................................................................11
Quid de la disponibilité du service ? ..............................................................................11
Quid de la sécurité des données stockées dans la plate-forme d’authentification en
mode SaaS ? ................................................................................................................11
Quid de la capacité à changer de fournisseur ? .............................................................12
Quid de la politique de sécurité ? ..................................................................................12
La solution InWebo ...........................................................................................................13
Du point de vue de l’utilisateur.......................................................................................13
Du point de vue de l’entreprise ......................................................................................13
En matière de sécurité ..................................................................................................14
Pour aller plus loin … ........................................................................................................15
3 BYOD : les mesures rapides pour protéger le SI
Les défis du BYOD (« Bring Your Own Device »)
Le périmètre du SI explose, les smartphones sont partout, les tablettes s’imposent
rapidement. Les utilisateurs, les partenaires, les clients, exigent de pouvoir se connecter à
tout moment, depuis n’importe où, avec leurs outils personnels.
Ces changements modifient les processus des entreprises en matière informatique et
télécoms, mais surtout ils remettent en cause les fondamentaux sur lesquels la sécurité du
SI avait été pensée et organisée : des périmètres « interne » et « externe » bien identifiés,
des postes de travail fixes (ou à la limite nomades) inventoriés et « masterisés ».
En inversant les rôles, le BYOD introduit tout d’abord une problématique d’inventaire et
d’autorisation : faut-il autoriser tout type de terminaux et d’OS ? Quelles règles peut-on fixer
en matière d’outils de sécurisation (anti-virus, filtrage, etc.) pour des terminaux n’appartenant
pas à l’entreprise ? Comment en contrôler la bonne application ?
Toutefois, le défi majeur à la sécurité du SI lancé par le BYOD et la mobilité généralisée est
bien celui du contrôle de l’accès au SI.
Le défi est quantitatif : comment maintenir un contrôle alors que les demandes de
connexions externes et mobiles explosent ? Comment maintenir une politique de sécurité
alors que les points d’accès au SI (VPN, Cloud, Extranets, etc.) se multiplient ? Comment
gérer les risques liés à la prolifération des mots de passe découlant de ces évolutions ?
Le défi est également qualitatif : comment maintenir le principe d’une authentification
renforcée pour les accès externes au SI alors que les solutions traditionnelles en la matière
(tokens, cartes à puce … voire SMS) ne sont plus adaptées aux nouveaux équipements, OS
et usages ?
Le BYOD n’est pas une nouvelle menace qu’il faudrait repousser, mais une tendance qu’il
faut accompagner efficacement - sans perdre le contrôle. Si possible au fil de l’eau, sans
avoir à déployer une infrastructure de plus, ni mécontenter le business ou les utilisateurs !
Ce document fait le point sur les méthodes de contrôle d’accès disponibles, et leur
adaptation au nouveau contexte. Il propose les grandes lignes thématiques pour se repérer
parmi le foisonnement des technologies et faire son choix.
4 BYOD : les mesures rapides pour protéger le SI
BYOD, usages et risques : état des lieux
Le thème du BYOD est omniprésent, mais quelle réalité cela recouvre-t-il ?
Selon une étude Forrester, une majorité des employés des entreprises sondées utilisent 3
terminaux ou plus pour travailler et choisissent leurs outils eux-mêmes ; par ailleurs, 60%
des outils utilisés ont un usage mixte, professionnel et personnel.
Source : Forrester
Ces chiffres traduisent qu’il s’agit bel et bien d’un phénomène de masse en terme d’usage,
dont l’origine se situe à l’extérieur de l’Entreprise (« consumérisation »), mais dont
l’Entreprise n’a pas encore pris la complète mesure.
72% des salariés équipés d’un smartphone en profitent pour travailler avec sur leur
temps personnel, selon une étude IDC pour Bouygues Telecom Entreprises
réalisée au premier semestre 2012
51% des salariés utilisent leur smartphone personnel à des fins professionnelles
61% des salariés équipés de smartphones « télétravaillent » alors que le télétravail
officiel est de 9%
Tandis que 65% des responsables informatiques interrogés déclarent ne pas
autoriser la connexion au système d’information via les outils personnels des
salariés (principalement pour des raisons de sécurité).
5 BYOD : les mesures rapides pour protéger le SI
Source : Orange
5 ans après le lancement de l’iPhone, la
pénétration des smartphones continue de
progresser à un rythme élevé. 2 ans
après le lancement de l’iPad, les ventes
de tablettes sont en passe de dépasser
celles des PC. Le succès des
« nouveaux » terminaux auprès du Grand
Public bouscule l’organisation
informatique et télécoms des Entreprises.
Concept inconnu il y a 18 mois, le
« BYOD » est au cœur des
préoccupations des DSI. Il ne s’agit plus
tant de résister, mais d’accompagner et
de maîtriser les risques.
Vol des terminaux, équipement
conçus – et sécurisés – pour des
usages Grand Public
(communication, réseaux sociaux) et
non pour des usages professionnels
nécessitant d’assurer la
confidentialité des données,
hétérogénéité et rythme d’évolution
rapide des plates-formes renforçant
la difficulté d’évaluer et de
circonscrire les risques … L’accès au
SI par les terminaux personnels
entraîne à la fois de nouveaux
risques et l’obsolescence des
approches en matière de sécurisation
du SI employées jusqu’ici.
6 BYOD : les mesures rapides pour protéger le SI
L’accès au SI à l’heure du BYOD et de la mobilité
La nature des risques posés par le BYOD est diverse (risques techniques, juridiques,
organisationnels, …) ; dans tous les cas, les risques portent d’une part sur les terminaux -
quid des données qui s’y trouvent en cas de vol ? -, d’autre part sur l’accès au SI - comment
ne donner accès qu’aux seuls utilisateurs et terminaux autorisés ?
Les deux questions sont complémentaires, mais celle de l’accès est primordiale : en effet,
les utilisateurs dont les entreprises ne donnent pas accès au SI – notamment à la
messagerie - depuis l’extérieur ou depuis les terminaux personnels, « recréent »
complètement le SI (documents sur dropbox ou sugarsync, mails sur un webmail personnel,
etc.) en marge du SI officiel afin de pouvoir travailler efficacement.
Si elle souhaite conserver un contrôle minimal sur les données, il est donc essentiel pour
l’Entreprise d’ouvrir l’accès à l’extérieur et aux terminaux personnels, tout en le sécurisant.
C’est également là où l’Entreprise peut agir le plus simplement et le plus rapidement.
Les besoins d’accès au SI exprimés dans le monde professionnel se confondent
progressivement avec les demandes de connectivité observées dans le Grand Public et
dans la sphère personnelle ; c’est le désormais fameux « Any time, Anywhere, Any device ».
Le contrôle d’accès au SI doit donc progressivement prendre en compte toutes ces
dimensions, auxquelles s’ajoute le fait que le SI lui-même n’est plus un périmètre
homogène : bon nombre d’applications support sont fournies en ligne (« Cloud ») et
consommées à l’usage (« SaaS »).
En termes de stratégie d’accès, la « consumérisation de l’IT » peut donc être caractérisée
comme suit :
Contexte, besoin Exigences des métiers Impacts et contraintes IT
« Any device »
Les utilisateurs peuvent accéder au SI par de multiples moyens (PC pro, PC privé, voire public, smartphones, tablettes, etc…)
Accès aux applications banalisé et indépendant du type d’équipement
Flexibilité de l’ajout d’équipements
Sécurisation de l’accès depuis des équipements non validés par l’entreprise
Méthodes d’authentification techniquement et « philosophiquement » compatibles avec les nouveaux terminaux
Traçabilité
7 BYOD : les mesures rapides pour protéger le SI
« Any time, anywhere »
Les utilisateurs peuvent accéder au SI en tout lieu et toutes circonstances
Disponibilité des accès et des applications
Disponibilité des accès et des applications
Traçabilité
« Any resource »
Les utilisateurs peuvent accéder simultanément à des applications métier et à des informations situées à l’intérieur ou à l’extérieur du périmètre de l’entreprise
Simplicité et homogénéité des procédures de connexion, d’identification et d’authentification
Rationalisation des méthodes d’authentification
Interopérabilité des méthodes d’authentification (fédération d’identité)
Traçabilité
« Business ready »
Les utilisateurs peuvent appartenir simultanément à plusieurs organisations, travailler sur des projets transverses, intervenir ponctuellement sur des missions
Simplicité et homogénéité des procédures de connexion, d’identification et d’authentification
Orienté métier, flexible
Réactivité aux besoins du métier
Provisioning à la volée, pour des durées limitées
Traçabilité
Par ailleurs, pour ce qui est des applications, le déploiement du modèle client-léger (déport
d’affichage applicatif, virtualisation du poste de travail) permet de s’affranchir du problème de
sécurité des terminaux, a minima pour les PC ou les tablettes, et donc de reporter la
question sur la sécurité de l’accès.
Dans tous les cas, on cherchera à avoir le moins d’adhérence possible avec le terminal de
l’utilisateur, afin de pouvoir gérer son cycle de vie « professionnel » de manière totalement
indépendante, et s’affranchir des risques juridiques liés à la confusion des moyens.
Encore faut-il que l’utilisateur qui accède au SI soit bien celui qu’il prétend être, c’est-à-dire
pouvoir réellement l’identifier. Malheureusement, les moyens classiques sont mis à mal par
l’utilisation des terminaux personnels :
Les mots de passe additionnels sont insuffisamment sécurisés dans le contexte d’un accès externe ou mobile, et ingérables de façon durable
Les outils d’authentification renforcée traditionnels (tokens, cartes, SMS) sont
incompatibles avec l’ergonomie et la « philosophie » des outils personnels et ne possèdent pas la flexibilité exigée ; ils se heurtent à un rejet de l’utilisateur, voire une crainte d’intrusion dans leur vie privée ou de « pistage » par l’entreprise (géolocalisation, biométrie)
Les solutions d’authentification « en silo » sont également inadaptées à la multiplication des points d’entrée du SI (VPN, mobilité, Cloud, extranets), entraînant une redondance des investissements et un multi-équipement des utilisateurs
La sécurisation de l’accès au SI par une solution d’authentification adaptée – sous tous
points de vue – au BYOD est donc une étape clé. C’est cette question que nous examinons
dans les sections suivantes.
8 BYOD : les mesures rapides pour protéger le SI
Le cahier des charges pour une l’authentification des
utilisateurs adaptée au BYOD
Conformément à ce qui ressort du tableau précédent, une telle solution doit répondre
aux critères clés suivants :
Simplicité et universalité
Côté utilisateur, les moyens d’authentification doivent s’intégrer naturellement et « masquer » la complexité éventuelle de l’architecture sous-jacente. Ils doivent notamment apporter une réponse à la problématique cruciale pour l’utilisateur de la multiplication des mots de passe ;
Les moyens d’authentification doivent être disponibles dans les équipements
personnels, smartphones mais également téléphones ‘simples’, les tablettes, voire directement dans les navigateurs et les applications, afin de permettre, dans chaque contexte d’utilisation, un accès sécurisé et le plus transparent possible ;
L’utilisateur doit pouvoir en posséder autant qu’il le souhaite – ou qu’on l’y autorise -
et passer librement d’un environnement un autre en retrouvant un confort d’utilisation identique ;
La mise en œuvre par l’utilisateur doit être très aisée. Il doit pouvoir obtenir et activer
lui-même le service d’authentification dans le respect de la politique de sécurité de l’entreprise, comme il le fait quotidiennement sur les magasins d’applications du marché ;
L’utilisateur doit pouvoir résoudre lui-même l’essentiel des problèmes éventuels
d’utilisation (changement, vol ou perte d’un terminal, oubli du mot de passe principal), de façon simple et intuitive.
La mise en place d’une politique de BYOD dans l’Entreprise est une initiative
complexe tant sur le plan technique que sur les plans organisationnel et social. Sa
mise en œuvre prendra nécessairement le temps de la concertation. Dans
l’immédiat il est donc primordial de pouvoir déployer rapidement un filet de sécurité
simple et efficace à l’interface entre les outils de l’utilisateur et le système
d’information.
La mise en œuvre d’une solution adaptée d’authentification nous semble donc être
le bon point de départ pour accompagner le phénomène du BYOD, répondre aux
attentes des utilisateurs et des métiers, et protéger le SI.
9 BYOD : les mesures rapides pour protéger le SI
Agilité et flexibilité
La solution choisie doit être indépendante d’une infrastructure technique interne ; elle doit être toujours disponible, partout, et être insensible aux effets de charge ;
Elle doit permettre de connecter de façon unifiée l’utilisateur aux applications, que
celles-ci soient dans le réseau de l’entreprise ou non (Cloud), que les utilisateurs fassent partie de l’entreprise ou non. En cela, la solution d’authentification est complémentaire de l’éventuel SSO (Single Sign On) qui, déployé seul, n’apporte pas la sécurité nécessaire lors de connexions externes ou mobiles, et par ailleurs restreint la mobilité des utilisateurs lors de connexions aux applications hébergées hors de l’entreprise ;
Elle doit permettre d’accompagner les évolutions du métier, par exemple provisionner
et déprovisionner rapidement des utilisateurs dans le cadre d’un projet, ou déployer auprès de milliers de clients ou partenaires.
La gestion du cycle de vie des utilisateurs et de leurs outils doit être simple,
automatisée, et intégrée avec l’annuaire de gestion des identités ; Les mises à jour doivent se propager immédiatement à tous les utilisateurs, quels
que soient leur outils.
Sécurité :
Le moyen d’authentification doit apporter un niveau de sécurité supérieur à celui des mots de passe et donc en particulier être insensible au reverse engineering, c’est à dire à la possibilité pour un hacker de capturer les éléments permettant d’usurper une identité ;
Le système doit être flexible et doit permettre d’implémenter la politique de sécurité
de l’entreprise de façon fine. On sera notamment vigilant sur le choix de la procédure d’enrôlement des utilisateurs et les droits qui leur sont accordés.
Economie
Un coût soit par outil personnel, soit par connexion, est à proscrire. Le service doit pouvoir être facturé en fonction de son usage. De manière générale, le coût par utilisateur de la solution doit être très bas afin de permettre de ne pas faire de compromis sur la sécurité en restreignant la diffusion de la solution.
10 BYOD : les mesures rapides pour protéger le SI
Adéquation des méthodes d’authentification du marché
au cahier des charges du BYOD
L’analyse des méthodes du marché par rapport aux critères tels que définis précédemment
est schématiquement la suivante.
Biométrie PKI Tokens
Tokens
logiciels et
OTP SMS
Identifiants /
mots de
passe
Simplicité et universalité
Agilité et flexibilité
Sécurité
Economie
Côté utilisateurs, parmi les diverses technologies disponibles, les systèmes à base de mots
de passe à usage unique (One Time Password - OTP) sont les plus répandus. Ils permettent
notamment de s’affranchir de la mise en place d’une architecture de confiance à base
d’échanges de certificats complexe, lourde et onéreuse.
Au moment de se connecter, l’utilisateur est amené à saisir un code dédié à chaque
utilisation, qui lui est fourni par un dispositif spécialisé de type token, clé USB ou calculette,
ou une application de son équipement.
Cependant, avec les technologies d’OTP classiques, la sécurité ne peut être garantie
qu’avec la distribution d’un dispositif matériel entraînant des frais d’acquisition et de gestion
importants. Dans le contexte du BYOD, il est également difficile d’imaginer l’emploi de ces
dispositifs avec les nouveaux terminaux, tablettes et smartphones, et de demander aux
utilisateurs de toujours avoir le dispositif avec soi. Enfin, provisionner des contractants
extérieurs peut tourner au cauchemar : la procédure peut parfois prendre plus de temps que
la mission elle-même !
11 BYOD : les mesures rapides pour protéger le SI
Côté serveur, la doivent pouvoir s’intégrer dans tout type d’environnement (accès réseau,
extranets, SSO pour les applications internes, fédération d’identité avec les applications en
mode SaaS, etc.), posséder une forte disponibilité, et permettre une réactivité métier
importante … tout cela à coûts réduits.
Tous ces arguments militent désormais pour la mise en œuvre de l’authentification forte sous
forme d’un service.
Qu’est-ce que l’authentification forte SaaS ?
Le modèle gagnant est celui d’une solution permettant de combiner les avantages de la
dématérialisation sécurisée des outils d’authentification, avec la mutualisation d’une
infrastructure informatique spécialisée, disponible sous forme d’un service en mode SaaS
(software as a service).
Dans un tel service, la fonction d’authentification est délivrée par un opérateur tiers
spécialisé, ce qui entraîne plusieurs questions :
Quid de la disponibilité du service ?
L’architecture du SaaS doit être multi-redondée auprès de d’hébergeurs de 1er niveau
(disposant des certifications les plus avancées), avec un SLA minimum de 99,9%. La
disponibilité d’un serveur Cloud ou SaaS est généralement supérieure à celle d’une
architecture propriétaire non-dédiée.
Quid de la sécurité des données stockées dans la plate-forme
d’authentification en mode SaaS ?
Le service SaaS doit être transparent sur son architecture et sur sa politique de sécurité. Il
doit donner toutes les garanties sur le caractère anonyme des données, ainsi que sur leur
stockage sécurisé. Dans l’attente de standards similaires à ceux imposés aux émetteurs de
certificats électroniques, une bonne pratique amenée à émerger sur le marché est la mise en
Tout cela va à l’encontre des demandes des métiers, pour plus d’agilité et de
disponibilité des moyens informatiques, cela est d’ailleurs vrai avant le BYOD. Pour être
largement adoptables, les technologies à base d’OTP doivent pouvoir être
dématérialisées (apportant simplicité, universalité, agilité, flexibilité, économie), mais
de façon sécurisée.
12 BYOD : les mesures rapides pour protéger le SI
œuvre par l’opérateur d’équipements de sécurité1, associée à une politique de sécurité
plaçant le service rendu sous le contrôle de l’entreprise cliente.
Ce type de dispositifs spécialisés et de bonnes pratiques entraîne des investissements
importants. Il constitue un niveau de sécurité qui n’est pas accessible conventionnellement
auprès des acteurs traditionnels de l’authentification, récemment convertis à la mode du
Cloud.
Quid de la capacité à changer de fournisseur ?
Côté serveur : l’adhérence technique au SaaS est minime car les éléments sensibles
tels qu’identités, données, et éléments de sécurité, sont sous le contrôle du client ;
Côté utilisateur : les applications logicielles peuvent être remplacées du jour au
lendemain. Se pose quand même la question des procédures organisationnelles liées
au déploiement et à l’utilisation du service ;
Côté financier : le modèle de coût étant basé sur l’usage, l’entreprise est affranchie
des contraintes habituelles d’amortissement et de maintenance.
Quid de la politique de sécurité ?
La politique de sécurité doit rester intégralement sous le contrôle de l’entreprise. Elle doit
être paramétrable par les divers responsables de services (métiers) sous le contrôle de la
politique générale de sécurité de l’entreprise.
1 Hardware Security Modules, HSM
Cas d’usage : « En choisissant une méthode d’authentification forte en SAAS, le
service informatique d’un opérateur de transports français peut s’assurer de
l’authentification forte de ses employés et contractants lorsqu’ils appellent un support
technique pour une opération sensible, n’importe où dans le monde, depuis leur
mobile ».
En sécurité comme ailleurs, le SaaS introduit un vrai changement de paradigme : il
est désormais possible de se protéger efficacement et à moindre coûts contre
l’usurpation d’identité dans un monde ouvert et agile. Ce faisant, la sécurité devient un
moteur du business au lieu d’être vécue comme un frein.
13 BYOD : les mesures rapides pour protéger le SI
La solution InWebo
InWebo est une solution d’authentification forte et multi-facteurs, basée sur le principe du
Mot de passe à Usage Unique (OTP).
Du point de vue de l’utilisateur
InWebo est soit une application, téléchargeable gratuitement directement dans le téléphone
portable, le smartphone, la tablette ou l’ordinateur (via Appstore et équivalents), soit une
technologie intégrée de façon transparente pour lui à ses applications. Lors de l’activation
initiale, l’utilisateur crée son propre code PIN respectant la politique de l’entreprise, et le tour
est joué.
InWebo est vu comme un service permettant de retrouver tous ses services sur tous ses
terminaux et équipements, et de ne se rappeler que d’un mot de passe maître ou PIN.
InWebo fournit un mot de passe unique (OTP) dédié à chaque service et respectant sa
politique de sécurité propre.
Sur un téléphone portable, l’OTP est obtenu sans connexion ni SMS, supprimant les
limitations techniques et économiques inhérentes à ces dispositifs ; l’utilisateur doit le
ressaisir sur son écran d’ordinateur. Sur les terminaux utilisés pour se connecter
(smartphones, tablettes, ordinateurs personnels), InWebo remplit automatiquement tous les
champs de saisie pour l’utilisateur, évitant la ressaisie.
L’utilisateur peut disposer d’autant de dispositifs qu’il le souhaite (PC bureau, PC maison,
téléphone portable, tablette) ou qu’on l’y autorise. Il aura accès à tous ses services où qu’il
soit. Les moyens d’authentification InWebo sont donc particulièrement adaptés à la vague du
BYOD.
Du point de vue de l’entreprise
InWebo est un service d’autorisation externe, opéré dans un data center hautement
sécurisé. La mise en œuvre d’In-Webo ne nécessite pas l’achat d’une infrastructure
informatique, et son intégration technique est une affaire d’heures.
L’entreprise dispose d’un jeu de connecteurs, sous forme de webservices facilement
intégrables ou configurables, permettant de gérer le cycle de vie complet des utilisateurs et
des applications In-Webo, de synchroniser avec les annuaires internes, et d’inter-fonctionner
avec les points d’accès internes (VPN, Extranets, mobilité) et externes (Cloud) de
l’entreprise. Celle-ci n’est facturée que pour son usage réel du service d’authentification.
14 BYOD : les mesures rapides pour protéger le SI
En matière de sécurité
InWebo est basée sur des technologies de génération et de synchronisation de clés
aléatoires qui rendent impossible pour un hacker de recréer des OTP valides sur la base
d’informations qu’il aurait pu obtenir par reverse engineering, même en mobilisant des
ressources computationnelles importantes.
L’infrastructure de services InWebo est conçue pour assurer une haute disponibilité (multi-
sites, multi-hébergeurs). Elle intègre des équipements de sécurité (HSM) et est mise en
œuvre selon une politique de sécurité permettant en particulier de placer le service rendu
sous le contrôle exclusif de l’entreprise cliente.
Cette architecture de sécurité fait l’objet de brevets et a été certifiée par l’ANSSI.
15 BYOD : les mesures rapides pour protéger le SI
Pour aller plus loin …
Une vidéo qui présente l’authentification forte dématérialisée In-Webo
Une description succincte des cas d’usages de la solution InWebo Enterprise
La fiche produit des solutions InWebo
La mise en place en quelques clics de la solution Enterprise pour un test gratuit
www.in-webo.com
A propos d’In-Webo Technologies :
Créé en 2008, In-Webo Technologies propose une solution unique d’authentification forte multi-facteurs reposant sur une architecture de sécurité brevetée et certifiée par l’ANSSI.
In-Webo France, EMEA & Asie :
3 rue de Montyon 75009 Paris France
Tél. : +33 (0)1 46 94 68 38
In-Webo US & Canada :
11 Marty Drive Merrimack, NH – 03054 USA
Tél : +1 (603) 429-9402