La sécurité au service de l’innovation BYOD, une question d’approche Serge Richard – CISSP...

download La sécurité au service de l’innovation BYOD, une question d’approche Serge Richard  – CISSP ®  Architecte Solution Sécurité serge.richard@groupe-ocealis.com

If you can't read please download the document

  • date post

    25-Feb-2016
  • Category

    Documents

  • view

    22
  • download

    1

Embed Size (px)

description

La sécurité au service de l’innovation BYOD, une question d’approche Serge Richard – CISSP ® Architecte Solution Sécurité serge.richard@groupe-ocealis.com. Grenoble, le 24 Avril 2014. Agenda. Le BYOD dans tous ses états Quels sont les défis ? - PowerPoint PPT Presentation

Transcript of La sécurité au service de l’innovation BYOD, une question d’approche Serge Richard – CISSP...

Prsentation PowerPoint

La scurit au service de linnovationBYOD, une question dapproche

Serge Richard CISSP Architecte Solution Scuritserge.richard@groupe-ocealis.com

Grenoble, le 24 Avril 2014www.adira.org

1

AgendaLe BYOD dans tous ses tats

Quels sont les dfis ?

Lapproche pour la scurisation des infrastructures de terminaux mobiles www.adira.org2AgendaLe BYOD dans tous ses tats

Quels sont les dfis ?

Lapproche pour la scurisation des infrastructures de terminaux mobiles www.adira.org3Le terminal mobile est un objet personnel !!!

http://www.slideshare.net/WSIdee/mettez-votre-entreprise-dans-le-tlphone-de-vos-clientswww.adira.orgLe paysage du BYOD et les entrepriseshttp://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat

www.adira.orgEt la tendance saccentuehttp://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat

www.adira.orgAppareils personnels utiliss sur le lieu de travail

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdfwww.adira.orgLa productivit des employs est elle en jeu ?

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdfwww.adira.orgLintrt dutiliser les terminaux de lentreprise

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdfwww.adira.orgBnfices que le BYOD apporte lentreprisehttp://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf

www.adira.orgAgendaLe BYOD dans tous ses tats

Quels sont les dfis ?

Lapproche pour la scurisation des infrastructures de terminaux mobiles www.adira.org11Problmatiques de lentrepriseLe type de terminaux ainsi que le type d'applications sont trs htroclites.

Augmentation drastique du nombre de terminaux grer.

Les utilisateurs ont en moyenne plus d'un terminal, les donnes de l'entreprise peuvent se trouver sur ceux-ci.

Pour de nombreux utilisateurs, l'intrt des terminaux mobiles rside dans leur capacit d'interaction et les nombreuses applications.

Les utilisateurs privilgient la facilit d'utilisation des terminaux en fonction de leurs prfrences.Les terminaux mobiles sont partags et donc peuvent avoir de multiples utilisations.Les appareils mobiles sont le plus souvent utiliss en dehors du rseau de l'entreprise et sur une grande varit de rseaux pour l'accs aux comptes utilisateurs.

Un contexte dans lequel les appareils mobiles peuvent changer considrablement d'une session l'autre.

Dans le but de saisir de nouvelles opportunits, les lignes mtiers mettent en place de nouvelles applications sur les terminaux.

Une entreprise ne peut dvelopper toutes les applications demandes par les lignes mtiers et doit donc supporter des applications tierces.

Nouvelles technologies pour construire des applications natives, hybrides et web pour les terminaux mobiles.

Les applications des terminaux mobiles ont souvent recours plusieurs services de collaboration et de canaux de communications.www.adira.org12Les risques et les challengeshttp://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat

www.adira.orgUne application mobile est un logiciel applicatif dvelopp pour tre install sur un appareil lectronique mobile, tel qu'un assistant personnel, un tlphone portable , un smartphone, ou un baladeur numrique.

Une telle application peut tre installe sur l'appareil ds la conception de celui-ci ou bien, si l'appareil le permet, tlcharge par l'utilisateur par le biais d'une boutique en ligne :

Une partie des applications disponibles sont gratuites tandis que d'autres sont payantes. [Wikipdia]Les applications mobiles : Fer de lance des terminaux mobiles !!!

http://www.mmaf.fr/barometre-trimestriel-du-marketing-mobile-en-france-0

www.adira.orgLes applications, le principal vecteur de risque ?

https://www.appthority.com/resourcesRisky Mobile App Behaviors by Category: Top 200 Apps for iOS and Android www.adira.orgLapplication gratuite est un vecteur de risquehttps://www.appthority.com/resources

Top 200 Risky App Behaviors (iOS & Android combined) Paid Vs Freewww.adira.orgLapplication gratuite versus lapplication payantehttps://www.appthority.com/resources

www.adira.orgLes systmes dexploitation, une autre problmatique ?http://bit.ly/1bgWnLp

www.adira.orgPrise en charge par les entreprises pour les priphriques appartenant aux employs

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdfwww.adira.orgDomaines couverts par les politiques de scurit mobilit

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdfwww.adira.orgQuel terminal pour lentreprise ? http://appleinsider.com/articles/14/02/27/apple-touts-secure-design-of-ios-as-google-chief-admits-android-is-best-target-for-malicious-hackers

www.adira.orgA propos des codes malicieux.97% sur Android !!!http://www.forbes.com/sites/gordonkelly/2014/03/24/report-97-of-mobile-malware-is-on-android-this-is-the-easy-way-you-stay-safe/

www.adira.orgQuelle est le vritable risque, aujourdhui, sur Android ?http://www.forbes.com/sites/gordonkelly/2014/03/24/report-97-of-mobile-malware-is-on-android-this-is-the-easy-way-you-stay-safe/

www.adira.org

Que trouvons nous rellement dans les bases de vulnrabilits ?http://nvd.nist.gov/home.cfm

Systme : 27 vulnrabilits Application : 1 vulnrabilit (Google Chrome) Systme : 5 vulnrabilits Application : 47 vulnrabilits www.adira.orgAgendaLe BYOD dans tous ses tats

Quels sont les dfis ?

Lapproche pour la scurisation des infrastructures de terminaux mobiles www.adira.org25Lapproche BYOD ncessite une approche complte

VPNQuels rseaux ?

Quels utilisateurs ?BYOD 2014+ChallengesComment conserver la scurit de mon rseau et de mes utilisateurs ?Comment fournir un service de qualit mes utilisateurs et mes invits?Comment minimiser limpact sur mon infrastructure et sur mon organisation du support ?

iOS Android Ultrabookswww.adira.org26Les recommandations du gouvernement Franais

www.adira.orgTravailler sur lapprciation des risques (Malicious Mobile Apps) http://banners.spiceworks.com/banners/webroot/june_2013/S-Webroot_MMA_Webinar.html

www.adira.orgLes diffrentes approches qui peuvent tre mises en uvre par les entrepriseshttp://www.itpro.fr/a/byod-byoa-pyca-cyode-cope-quel-modele-choisir/AppellationNom completDescriptionPropritaire du priphriquePropritaire des applicationsPropritaire du rseau poste de travailNiveau de gestion pour lentrepriseModle standardCe modle est celui classique qui considre que les priphriques dits mobiles sont grs comme des postes de travail bureautiques traditionnelsEntrepriseEntrepriseEntreprisePriphriqueBYODBring Your Own DeviceLentreprise permet aux utilisateurs dapporter leurs priphriques personnels pour se connecter aux services dlivrs par lentreprise. Lorsque cette stratgie est tendue dautres types dappareils (stockage, etc.) on parle alors de BYOT Bring Your Own TechnologyUtilisateurUtilisateuret EntrepriseEntreprisePriphrique (avec laccord de lutilisateur)BYOA ou BYONBring Your Own AccessBring Your Own NetworkLentreprise ne gre plus de parc informatique, ni de rseau de type poste de travail. Chaque utilisateur est libre de contracter avec un oprateur rseau et de choisir la nature de sa connexion (WiFi, femtocell, tethering). Ce modle se comprend si lensemble des applications de lentreprise sont accessibles via un accs par InternetUtilisateurUtilisateur et/ou EntrepriseUtilisateurApplicationPYCAPush Your Corporate ApplicationLentreprise ne gre plus de parc informatique au sens des priphriques utiliss, et se proccupe de mettre en uvre et de tenir jour un magasin dapplications qui lui appartient dans lequel lutilisateur vient se servir sil en a le droitUtilisateurEntrepriseEntrepriseApplicationCYODChoose Your Own DeviceLentreprise permet lutilisateur de choisir un priphrique dans une liste dlimite quelle tient dispositionEntrepriseEntrepriseEntreprisePriphriqueCOPECompany Owned, Personally EnabledLentreprise choisit le priphrique, mais permet lutilisateur de se servir des fins personnelles en y installant des applications dont il est le propritaireEntrepriseUtilisateur et/ou EntrepriseEntreprisePriphriqueBYOA ou BYOSBring Your Own ApplicationBring Your Own SoftwareLutilisateur peut se servir dapplications personnelles dont il est le propritaire ou lutilisateur lgal pour travailler dans le cadre de lentrepriseUtilisateur et/ou EntrepriseUtilisateurEntrepriseApplicationwww.adira.orgLa scurit des environnements des terminaux mobiles adresse des dimensions multiples dans le but d'tre conforme aux politiques de scurit de l'entrepriseData, Network & Access SecurityMobile Device ManagementApp/Test DevelopmentDevice Platformsi.e. iOS, Android, Windows Mobile, Symbian, etcMobile Application Platforms & Containers Mobile Applicationsi.e. Native, Hybrid, Web ApplicationMobileInformation Protection

Data encryption (device, file & app)Mobile data loss preventionMobile Threat Management

Anti-malwareAnti-spywareAnti-spamFirewall/IPSWeb filteringWeb ReputationMobile Network Protection

Secure Communications (VPN)Edge ProtectionMobile Identity& Access Management

Identity ManagementAuthorize & AuthenticateCertificate ManagementMulti-factorMobile Security IntelligenceMobile Device Security Management

Device wipe & lockdownPassword ManagementConfiguration PolicyComplianceMobile Device ManagementAcquire/DeployRegisterActivationContent MgmtManage/MonitorSelf ServiceReportingRetireDe-provisionSecure Mobile Application Development

Vulnerability testingMobile app testingEnforced by toolsEnterprise