Livre Blanc

BYOD : les mesures rapides pour protéger le SI

Le SAAS et la mobilité permettent enfin de populariser l’usage de l’authentification

forte... Pour accompagner le mouvement de la prolifération des outils personnels au

travail.

© 2012 – In-Webo Technologies

www.in-webo.com

2 BYOD : les mesures rapides pour protéger le SI

Table des matières

................................................................... 1 BYOD : les mesures rapides pour protéger le SI

Les défis du BYOD (« Bring Your Own Device ») .............................................................. 3

BYOD, usages et risques : état des lieux ........................................................................... 4

L’accès au SI à l’heure du BYOD et de la mobilité ............................................................. 6

Le cahier des charges pour une l’authentification des utilisateurs adaptée au BYOD ........ 8

Adéquation des méthodes d’authentification du marché au cahier des charges du BYOD 10

Qu’est-ce que l’authentification forte SaaS ? ....................................................................11

Quid de la disponibilité du service ? ..............................................................................11

Quid de la sécurité des données stockées dans la plate-forme d’authentification en

mode SaaS ? ................................................................................................................11

Quid de la capacité à changer de fournisseur ? .............................................................12

Quid de la politique de sécurité ? ..................................................................................12

La solution InWebo ...........................................................................................................13

Du point de vue de l’utilisateur.......................................................................................13

Du point de vue de l’entreprise ......................................................................................13

En matière de sécurité ..................................................................................................14

Pour aller plus loin … ........................................................................................................15

3 BYOD : les mesures rapides pour protéger le SI

Les défis du BYOD (« Bring Your Own Device »)

Le périmètre du SI explose, les smartphones sont partout, les tablettes s’imposent

rapidement. Les utilisateurs, les partenaires, les clients, exigent de pouvoir se connecter à

tout moment, depuis n’importe où, avec leurs outils personnels.

Ces changements modifient les processus des entreprises en matière informatique et

télécoms, mais surtout ils remettent en cause les fondamentaux sur lesquels la sécurité du

SI avait été pensée et organisée : des périmètres « interne » et « externe » bien identifiés,

des postes de travail fixes (ou à la limite nomades) inventoriés et « masterisés ».

En inversant les rôles, le BYOD introduit tout d’abord une problématique d’inventaire et

d’autorisation : faut-il autoriser tout type de terminaux et d’OS ? Quelles règles peut-on fixer

en matière d’outils de sécurisation (anti-virus, filtrage, etc.) pour des terminaux n’appartenant

pas à l’entreprise ? Comment en contrôler la bonne application ?

Toutefois, le défi majeur à la sécurité du SI lancé par le BYOD et la mobilité généralisée est

bien celui du contrôle de l’accès au SI.

Le défi est quantitatif : comment maintenir un contrôle alors que les demandes de

connexions externes et mobiles explosent ? Comment maintenir une politique de sécurité

alors que les points d’accès au SI (VPN, Cloud, Extranets, etc.) se multiplient ? Comment

gérer les risques liés à la prolifération des mots de passe découlant de ces évolutions ?

Le défi est également qualitatif : comment maintenir le principe d’une authentification

renforcée pour les accès externes au SI alors que les solutions traditionnelles en la matière

(tokens, cartes à puce … voire SMS) ne sont plus adaptées aux nouveaux équipements, OS

et usages ?

Le BYOD n’est pas une nouvelle menace qu’il faudrait repousser, mais une tendance qu’il

faut accompagner efficacement - sans perdre le contrôle. Si possible au fil de l’eau, sans

avoir à déployer une infrastructure de plus, ni mécontenter le business ou les utilisateurs !

Ce document fait le point sur les méthodes de contrôle d’accès disponibles, et leur

adaptation au nouveau contexte. Il propose les grandes lignes thématiques pour se repérer

parmi le foisonnement des technologies et faire son choix.

4 BYOD : les mesures rapides pour protéger le SI

BYOD, usages et risques : état des lieux

Le thème du BYOD est omniprésent, mais quelle réalité cela recouvre-t-il ?

Selon une étude Forrester, une majorité des employés des entreprises sondées utilisent 3

terminaux ou plus pour travailler et choisissent leurs outils eux-mêmes ; par ailleurs, 60%

des outils utilisés ont un usage mixte, professionnel et personnel.

Source : Forrester

Ces chiffres traduisent qu’il s’agit bel et bien d’un phénomène de masse en terme d’usage,

dont l’origine se situe à l’extérieur de l’Entreprise (« consumérisation »), mais dont

l’Entreprise n’a pas encore pris la complète mesure.

72% des salariés équipés d’un smartphone en profitent pour travailler avec sur leur

temps personnel, selon une étude IDC pour Bouygues Telecom Entreprises

réalisée au premier semestre 2012

51% des salariés utilisent leur smartphone personnel à des fins professionnelles

61% des salariés équipés de smartphones « télétravaillent » alors que le télétravail

officiel est de 9%

Tandis que 65% des responsables informatiques interrogés déclarent ne pas

autoriser la connexion au système d’information via les outils personnels des

salariés (principalement pour des raisons de sécurité).

5 BYOD : les mesures rapides pour protéger le SI

Source : Orange

5 ans après le lancement de l’iPhone, la

pénétration des smartphones continue de

progresser à un rythme élevé. 2 ans

après le lancement de l’iPad, les ventes

de tablettes sont en passe de dépasser

celles des PC. Le succès des

« nouveaux » terminaux auprès du Grand

Public bouscule l’organisation

informatique et télécoms des Entreprises.

Concept inconnu il y a 18 mois, le

« BYOD » est au cœur des

préoccupations des DSI. Il ne s’agit plus

tant de résister, mais d’accompagner et

de maîtriser les risques.

Vol des terminaux, équipement

conçus – et sécurisés – pour des

usages Grand Public

(communication, réseaux sociaux) et

non pour des usages professionnels

nécessitant d’assurer la

confidentialité des données,

hétérogénéité et rythme d’évolution

rapide des plates-formes renforçant

la difficulté d’évaluer et de

circonscrire les risques … L’accès au

SI par les terminaux personnels

entraîne à la fois de nouveaux

risques et l’obsolescence des

approches en matière de sécurisation

du SI employées jusqu’ici.

6 BYOD : les mesures rapides pour protéger le SI

L’accès au SI à l’heure du BYOD et de la mobilité

La nature des risques posés par le BYOD est diverse (risques techniques, juridiques,

organisationnels, …) ; dans tous les cas, les risques portent d’une part sur les terminaux -

quid des données qui s’y trouvent en cas de vol ? -, d’autre part sur l’accès au SI - comment

ne donner accès qu’aux seuls utilisateurs et terminaux autorisés ?

Les deux questions sont complémentaires, mais celle de l’accès est primordiale : en effet,

les utilisateurs dont les entreprises ne donnent pas accès au SI – notamment à la

messagerie - depuis l’extérieur ou depuis les terminaux personnels, « recréent »

complètement le SI (documents sur dropbox ou sugarsync, mails sur un webmail personnel,

etc.) en marge du SI officiel afin de pouvoir travailler efficacement.

Si elle souhaite conserver un contrôle minimal sur les données, il est donc essentiel pour

l’Entreprise d’ouvrir l’accès à l’extérieur et aux terminaux personnels, tout en le sécurisant.

C’est également là où l’Entreprise peut agir le plus simplement et le plus rapidement.

Les besoins d’accès au SI exprimés dans le monde professionnel se confondent

progressivement avec les demandes de connectivité observées dans le Grand Public et

dans la sphère personnelle ; c’est le désormais fameux « Any time, Anywhere, Any device ».

Le contrôle d’accès au SI doit donc progressivement prendre en compte toutes ces

dimensions, auxquelles s’ajoute le fait que le SI lui-même n’est plus un périmètre

homogène : bon nombre d’applications support sont fournies en ligne (« Cloud ») et

consommées à l’usage (« SaaS »).

En termes de stratégie d’accès, la « consumérisation de l’IT » peut donc être caractérisée

comme suit :

Contexte, besoin Exigences des métiers Impacts et contraintes IT

« Any device »

Les utilisateurs peuvent accéder au SI par de multiples moyens (PC pro, PC privé, voire public, smartphones, tablettes, etc…)

Accès aux applications banalisé et indépendant du type d’équipement

Flexibilité de l’ajout d’équipements

Sécurisation de l’accès depuis des équipements non validés par l’entreprise

Méthodes d’authentification techniquement et « philosophiquement » compatibles avec les nouveaux terminaux

Traçabilité

7 BYOD : les mesures rapides pour protéger le SI

« Any time, anywhere »

Les utilisateurs peuvent accéder au SI en tout lieu et toutes circonstances

Disponibilité des accès et des applications

Disponibilité des accès et des applications

Traçabilité

« Any resource »

Les utilisateurs peuvent accéder simultanément à des applications métier et à des informations situées à l’intérieur ou à l’extérieur du périmètre de l’entreprise

Simplicité et homogénéité des procédures de connexion, d’identification et d’authentification

Rationalisation des méthodes d’authentification

Interopérabilité des méthodes d’authentification (fédération d’identité)

Traçabilité

« Business ready »

Les utilisateurs peuvent appartenir simultanément à plusieurs organisations, travailler sur des projets transverses, intervenir ponctuellement sur des missions

Simplicité et homogénéité des procédures de connexion, d’identification et d’authentification

Orienté métier, flexible

Réactivité aux besoins du métier

Provisioning à la volée, pour des durées limitées

Traçabilité

Par ailleurs, pour ce qui est des applications, le déploiement du modèle client-léger (déport

d’affichage applicatif, virtualisation du poste de travail) permet de s’affranchir du problème de

sécurité des terminaux, a minima pour les PC ou les tablettes, et donc de reporter la

question sur la sécurité de l’accès.

Dans tous les cas, on cherchera à avoir le moins d’adhérence possible avec le terminal de

l’utilisateur, afin de pouvoir gérer son cycle de vie « professionnel » de manière totalement

indépendante, et s’affranchir des risques juridiques liés à la confusion des moyens.

Encore faut-il que l’utilisateur qui accède au SI soit bien celui qu’il prétend être, c’est-à-dire

pouvoir réellement l’identifier. Malheureusement, les moyens classiques sont mis à mal par

l’utilisation des terminaux personnels :

Les mots de passe additionnels sont insuffisamment sécurisés dans le contexte d’un accès externe ou mobile, et ingérables de façon durable

Les outils d’authentification renforcée traditionnels (tokens, cartes, SMS) sont

incompatibles avec l’ergonomie et la « philosophie » des outils personnels et ne possèdent pas la flexibilité exigée ; ils se heurtent à un rejet de l’utilisateur, voire une crainte d’intrusion dans leur vie privée ou de « pistage » par l’entreprise (géolocalisation, biométrie)

Les solutions d’authentification « en silo » sont également inadaptées à la multiplication des points d’entrée du SI (VPN, mobilité, Cloud, extranets), entraînant une redondance des investissements et un multi-équipement des utilisateurs

La sécurisation de l’accès au SI par une solution d’authentification adaptée – sous tous

points de vue – au BYOD est donc une étape clé. C’est cette question que nous examinons

dans les sections suivantes.

8 BYOD : les mesures rapides pour protéger le SI

Le cahier des charges pour une l’authentification des

utilisateurs adaptée au BYOD

Conformément à ce qui ressort du tableau précédent, une telle solution doit répondre

aux critères clés suivants :

Simplicité et universalité

Côté utilisateur, les moyens d’authentification doivent s’intégrer naturellement et « masquer » la complexité éventuelle de l’architecture sous-jacente. Ils doivent notamment apporter une réponse à la problématique cruciale pour l’utilisateur de la multiplication des mots de passe ;

Les moyens d’authentification doivent être disponibles dans les équipements

personnels, smartphones mais également téléphones ‘simples’, les tablettes, voire directement dans les navigateurs et les applications, afin de permettre, dans chaque contexte d’utilisation, un accès sécurisé et le plus transparent possible ;

L’utilisateur doit pouvoir en posséder autant qu’il le souhaite – ou qu’on l’y autorise -

et passer librement d’un environnement un autre en retrouvant un confort d’utilisation identique ;

La mise en œuvre par l’utilisateur doit être très aisée. Il doit pouvoir obtenir et activer

lui-même le service d’authentification dans le respect de la politique de sécurité de l’entreprise, comme il le fait quotidiennement sur les magasins d’applications du marché ;

L’utilisateur doit pouvoir résoudre lui-même l’essentiel des problèmes éventuels

d’utilisation (changement, vol ou perte d’un terminal, oubli du mot de passe principal), de façon simple et intuitive.

La mise en place d’une politique de BYOD dans l’Entreprise est une initiative

complexe tant sur le plan technique que sur les plans organisationnel et social. Sa

mise en œuvre prendra nécessairement le temps de la concertation. Dans

l’immédiat il est donc primordial de pouvoir déployer rapidement un filet de sécurité

simple et efficace à l’interface entre les outils de l’utilisateur et le système

d’information.

La mise en œuvre d’une solution adaptée d’authentification nous semble donc être

le bon point de départ pour accompagner le phénomène du BYOD, répondre aux

attentes des utilisateurs et des métiers, et protéger le SI.

9 BYOD : les mesures rapides pour protéger le SI

Agilité et flexibilité

La solution choisie doit être indépendante d’une infrastructure technique interne ; elle doit être toujours disponible, partout, et être insensible aux effets de charge ;

Elle doit permettre de connecter de façon unifiée l’utilisateur aux applications, que

celles-ci soient dans le réseau de l’entreprise ou non (Cloud), que les utilisateurs fassent partie de l’entreprise ou non. En cela, la solution d’authentification est complémentaire de l’éventuel SSO (Single Sign On) qui, déployé seul, n’apporte pas la sécurité nécessaire lors de connexions externes ou mobiles, et par ailleurs restreint la mobilité des utilisateurs lors de connexions aux applications hébergées hors de l’entreprise ;

Elle doit permettre d’accompagner les évolutions du métier, par exemple provisionner

et déprovisionner rapidement des utilisateurs dans le cadre d’un projet, ou déployer auprès de milliers de clients ou partenaires.

La gestion du cycle de vie des utilisateurs et de leurs outils doit être simple,

automatisée, et intégrée avec l’annuaire de gestion des identités ; Les mises à jour doivent se propager immédiatement à tous les utilisateurs, quels

que soient leur outils.

Sécurité :

Le moyen d’authentification doit apporter un niveau de sécurité supérieur à celui des mots de passe et donc en particulier être insensible au reverse engineering, c’est à dire à la possibilité pour un hacker de capturer les éléments permettant d’usurper une identité ;

Le système doit être flexible et doit permettre d’implémenter la politique de sécurité

de l’entreprise de façon fine. On sera notamment vigilant sur le choix de la procédure d’enrôlement des utilisateurs et les droits qui leur sont accordés.

Economie

Un coût soit par outil personnel, soit par connexion, est à proscrire. Le service doit pouvoir être facturé en fonction de son usage. De manière générale, le coût par utilisateur de la solution doit être très bas afin de permettre de ne pas faire de compromis sur la sécurité en restreignant la diffusion de la solution.

10 BYOD : les mesures rapides pour protéger le SI

Adéquation des méthodes d’authentification du marché

au cahier des charges du BYOD

L’analyse des méthodes du marché par rapport aux critères tels que définis précédemment

est schématiquement la suivante.

Biométrie PKI Tokens

Tokens

logiciels et

OTP SMS

Identifiants /

mots de

passe

Simplicité et universalité

Agilité et flexibilité

Sécurité

Economie

Côté utilisateurs, parmi les diverses technologies disponibles, les systèmes à base de mots

de passe à usage unique (One Time Password - OTP) sont les plus répandus. Ils permettent

notamment de s’affranchir de la mise en place d’une architecture de confiance à base

d’échanges de certificats complexe, lourde et onéreuse.

Au moment de se connecter, l’utilisateur est amené à saisir un code dédié à chaque

utilisation, qui lui est fourni par un dispositif spécialisé de type token, clé USB ou calculette,

ou une application de son équipement.

Cependant, avec les technologies d’OTP classiques, la sécurité ne peut être garantie

qu’avec la distribution d’un dispositif matériel entraînant des frais d’acquisition et de gestion

importants. Dans le contexte du BYOD, il est également difficile d’imaginer l’emploi de ces

dispositifs avec les nouveaux terminaux, tablettes et smartphones, et de demander aux

utilisateurs de toujours avoir le dispositif avec soi. Enfin, provisionner des contractants

extérieurs peut tourner au cauchemar : la procédure peut parfois prendre plus de temps que

la mission elle-même !

11 BYOD : les mesures rapides pour protéger le SI

Côté serveur, la doivent pouvoir s’intégrer dans tout type d’environnement (accès réseau,

extranets, SSO pour les applications internes, fédération d’identité avec les applications en

mode SaaS, etc.), posséder une forte disponibilité, et permettre une réactivité métier

importante … tout cela à coûts réduits.

Tous ces arguments militent désormais pour la mise en œuvre de l’authentification forte sous

forme d’un service.

Qu’est-ce que l’authentification forte SaaS ?

Le modèle gagnant est celui d’une solution permettant de combiner les avantages de la

dématérialisation sécurisée des outils d’authentification, avec la mutualisation d’une

infrastructure informatique spécialisée, disponible sous forme d’un service en mode SaaS

(software as a service).

Dans un tel service, la fonction d’authentification est délivrée par un opérateur tiers

spécialisé, ce qui entraîne plusieurs questions :

Quid de la disponibilité du service ?

L’architecture du SaaS doit être multi-redondée auprès de d’hébergeurs de 1er niveau

(disposant des certifications les plus avancées), avec un SLA minimum de 99,9%. La

disponibilité d’un serveur Cloud ou SaaS est généralement supérieure à celle d’une

architecture propriétaire non-dédiée.

Quid de la sécurité des données stockées dans la plate-forme

d’authentification en mode SaaS ?

Le service SaaS doit être transparent sur son architecture et sur sa politique de sécurité. Il

doit donner toutes les garanties sur le caractère anonyme des données, ainsi que sur leur

stockage sécurisé. Dans l’attente de standards similaires à ceux imposés aux émetteurs de

certificats électroniques, une bonne pratique amenée à émerger sur le marché est la mise en

Tout cela va à l’encontre des demandes des métiers, pour plus d’agilité et de

disponibilité des moyens informatiques, cela est d’ailleurs vrai avant le BYOD. Pour être

largement adoptables, les technologies à base d’OTP doivent pouvoir être

dématérialisées (apportant simplicité, universalité, agilité, flexibilité, économie), mais

de façon sécurisée.

12 BYOD : les mesures rapides pour protéger le SI

œuvre par l’opérateur d’équipements de sécurité1, associée à une politique de sécurité

plaçant le service rendu sous le contrôle de l’entreprise cliente.

Ce type de dispositifs spécialisés et de bonnes pratiques entraîne des investissements

importants. Il constitue un niveau de sécurité qui n’est pas accessible conventionnellement

auprès des acteurs traditionnels de l’authentification, récemment convertis à la mode du

Cloud.

Quid de la capacité à changer de fournisseur ?

Côté serveur : l’adhérence technique au SaaS est minime car les éléments sensibles

tels qu’identités, données, et éléments de sécurité, sont sous le contrôle du client ;

Côté utilisateur : les applications logicielles peuvent être remplacées du jour au

lendemain. Se pose quand même la question des procédures organisationnelles liées

au déploiement et à l’utilisation du service ;

Côté financier : le modèle de coût étant basé sur l’usage, l’entreprise est affranchie

des contraintes habituelles d’amortissement et de maintenance.

Quid de la politique de sécurité ?

La politique de sécurité doit rester intégralement sous le contrôle de l’entreprise. Elle doit

être paramétrable par les divers responsables de services (métiers) sous le contrôle de la

politique générale de sécurité de l’entreprise.

1 Hardware Security Modules, HSM

Cas d’usage : « En choisissant une méthode d’authentification forte en SAAS, le

service informatique d’un opérateur de transports français peut s’assurer de

l’authentification forte de ses employés et contractants lorsqu’ils appellent un support

technique pour une opération sensible, n’importe où dans le monde, depuis leur

mobile ».

En sécurité comme ailleurs, le SaaS introduit un vrai changement de paradigme : il

est désormais possible de se protéger efficacement et à moindre coûts contre

l’usurpation d’identité dans un monde ouvert et agile. Ce faisant, la sécurité devient un

moteur du business au lieu d’être vécue comme un frein.

13 BYOD : les mesures rapides pour protéger le SI

La solution InWebo

InWebo est une solution d’authentification forte et multi-facteurs, basée sur le principe du

Mot de passe à Usage Unique (OTP).

Du point de vue de l’utilisateur

InWebo est soit une application, téléchargeable gratuitement directement dans le téléphone

portable, le smartphone, la tablette ou l’ordinateur (via Appstore et équivalents), soit une

technologie intégrée de façon transparente pour lui à ses applications. Lors de l’activation

initiale, l’utilisateur crée son propre code PIN respectant la politique de l’entreprise, et le tour

est joué.

InWebo est vu comme un service permettant de retrouver tous ses services sur tous ses

terminaux et équipements, et de ne se rappeler que d’un mot de passe maître ou PIN.

InWebo fournit un mot de passe unique (OTP) dédié à chaque service et respectant sa

politique de sécurité propre.

Sur un téléphone portable, l’OTP est obtenu sans connexion ni SMS, supprimant les

limitations techniques et économiques inhérentes à ces dispositifs ; l’utilisateur doit le

ressaisir sur son écran d’ordinateur. Sur les terminaux utilisés pour se connecter

(smartphones, tablettes, ordinateurs personnels), InWebo remplit automatiquement tous les

champs de saisie pour l’utilisateur, évitant la ressaisie.

L’utilisateur peut disposer d’autant de dispositifs qu’il le souhaite (PC bureau, PC maison,

téléphone portable, tablette) ou qu’on l’y autorise. Il aura accès à tous ses services où qu’il

soit. Les moyens d’authentification InWebo sont donc particulièrement adaptés à la vague du

BYOD.

Du point de vue de l’entreprise

InWebo est un service d’autorisation externe, opéré dans un data center hautement

sécurisé. La mise en œuvre d’In-Webo ne nécessite pas l’achat d’une infrastructure

informatique, et son intégration technique est une affaire d’heures.

L’entreprise dispose d’un jeu de connecteurs, sous forme de webservices facilement

intégrables ou configurables, permettant de gérer le cycle de vie complet des utilisateurs et

des applications In-Webo, de synchroniser avec les annuaires internes, et d’inter-fonctionner

avec les points d’accès internes (VPN, Extranets, mobilité) et externes (Cloud) de

l’entreprise. Celle-ci n’est facturée que pour son usage réel du service d’authentification.

14 BYOD : les mesures rapides pour protéger le SI

En matière de sécurité

InWebo est basée sur des technologies de génération et de synchronisation de clés

aléatoires qui rendent impossible pour un hacker de recréer des OTP valides sur la base

d’informations qu’il aurait pu obtenir par reverse engineering, même en mobilisant des

ressources computationnelles importantes.

L’infrastructure de services InWebo est conçue pour assurer une haute disponibilité (multi-

sites, multi-hébergeurs). Elle intègre des équipements de sécurité (HSM) et est mise en

œuvre selon une politique de sécurité permettant en particulier de placer le service rendu

sous le contrôle exclusif de l’entreprise cliente.

Cette architecture de sécurité fait l’objet de brevets et a été certifiée par l’ANSSI.

15 BYOD : les mesures rapides pour protéger le SI

Pour aller plus loin …

Une vidéo qui présente l’authentification forte dématérialisée In-Webo

Une description succincte des cas d’usages de la solution InWebo Enterprise

La fiche produit des solutions InWebo

La mise en place en quelques clics de la solution Enterprise pour un test gratuit

www.in-webo.com

A propos d’In-Webo Technologies :

Créé en 2008, In-Webo Technologies propose une solution unique d’authentification forte multi-facteurs reposant sur une architecture de sécurité brevetée et certifiée par l’ANSSI.

In-Webo France, EMEA & Asie :

3 rue de Montyon 75009 Paris France

Tél. : +33 (0)1 46 94 68 38

In-Webo US & Canada :

11 Marty Drive Merrimack, NH – 03054 USA

Tél : +1 (603) 429-9402