Www.adira.org La sécurité au service de linnovation BYOD, une question dapproche Serge Richard –...

download Www.adira.org La sécurité au service de linnovation BYOD, une question dapproche Serge Richard – CISSP® Architecte Solution Sécurité serge.richard@groupe-ocealis.com.

If you can't read please download the document

  • date post

    04-Apr-2015
  • Category

    Documents

  • view

    114
  • download

    8

Embed Size (px)

Transcript of Www.adira.org La sécurité au service de linnovation BYOD, une question dapproche Serge Richard –...

  • Page 1
  • www.adira.org La scurit au service de linnovation BYOD, une question dapproche Serge Richard CISSP Architecte Solution Scurit serge.richard@groupe-ocealis.com Grenoble, le 24 Avril 2014
  • Page 2
  • www.adira.org Agenda Le BYOD dans tous ses tats Quels sont les dfis ? Lapproche pour la scurisation des infrastructures de terminaux mobiles
  • Page 3
  • www.adira.org Agenda Le BYOD dans tous ses tats Quels sont les dfis ? Lapproche pour la scurisation des infrastructures de terminaux mobiles
  • Page 4
  • www.adira.org Le terminal mobile est un objet personnel !!! http://www.slideshare.net/WSIdee/mettez-votre-entreprise-dans-le-tlphone-de-vos-clients
  • Page 5
  • www.adira.org Le paysage du BYOD et les entreprises http://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat
  • Page 6
  • www.adira.org Et la tendance saccentue http://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat
  • Page 7
  • www.adira.org Appareils personnels utiliss sur le lieu de travail http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdf
  • Page 8
  • www.adira.org La productivit des employs est elle en jeu ? http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdf
  • Page 9
  • www.adira.org Lintrt dutiliser les terminaux de lentreprise http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdf
  • Page 10
  • www.adira.org Bnfices que le BYOD apporte lentreprise http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf
  • Page 11
  • www.adira.org Agenda Le BYOD dans tous ses tats Quels sont les dfis ? Lapproche pour la scurisation des infrastructures de terminaux mobiles
  • Page 12
  • www.adira.org Problmatiques de lentreprise Le type de terminaux ainsi que le type d'applications sont trs htroclites. Augmentation drastique du nombre de terminaux grer. Les utilisateurs ont en moyenne plus d'un terminal, les donnes de l'entreprise peuvent se trouver sur ceux-ci. Pour de nombreux utilisateurs, l'intrt des terminaux mobiles rside dans leur capacit d'interaction et les nombreuses applications. Les utilisateurs privilgient la facilit d'utilisation des terminaux en fonction de leurs prfrences. Les terminaux mobiles sont partags et donc peuvent avoir de multiples utilisations. Les appareils mobiles sont le plus souvent utiliss en dehors du rseau de l'entreprise et sur une grande varit de rseaux pour l'accs aux comptes utilisateurs. Un contexte dans lequel les appareils mobiles peuvent changer considrablement d'une session l'autre. Dans le but de saisir de nouvelles opportunits, les lignes mtiers mettent en place de nouvelles applications sur les terminaux. Une entreprise ne peut dvelopper toutes les applications demandes par les lignes mtiers et doit donc supporter des applications tierces. Nouvelles technologies pour construire des applications natives, hybrides et web pour les terminaux mobiles. Les applications des terminaux mobiles ont souvent recours plusieurs services de collaboration et de canaux de communications.
  • Page 13
  • www.adira.org Les risques et les challenges http://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat
  • Page 14
  • www.adira.org Une application mobile est un logiciel applicatif dvelopp pour tre install sur un appareil lectronique mobile, tel qu'un assistant personnel, un tlphone portable, un smartphone , ou un baladeur numrique. Une telle application peut tre installe sur l'appareil ds la conception de celui-ci ou bien, si l'appareil le permet, tlcharge par l'utilisateur par le biais d'une boutique en ligne : Une partie des applications disponibles sont gratuites tandis que d'autres sont payantes. [Wikipdia] Les applications mobiles : Fer de lance des terminaux mobiles !!! http://www.mmaf.fr/barometre-trimestriel-du-marketing-mobile-en-france-0
  • Page 15
  • www.adira.org Les applications, le principal vecteur de risque ? https://www.appthority.com/resources Risky Mobile App Behaviors by Category: Top 200 Apps for iOS and Android
  • Page 16
  • www.adira.org Lapplication gratuite est un vecteur de risque https://www.appthority.com/resources Top 200 Risky App Behaviors (iOS & Android combined) Paid Vs Free
  • Page 17
  • www.adira.org Lapplication gratuite versus lapplication payante https://www.appthority.com/resources
  • Page 18
  • www.adira.org Les systmes dexploitation, une autre problmatique ? http://bit.ly/1bgWnLp
  • Page 19
  • www.adira.org Prise en charge par les entreprises pour les priphriques appartenant aux employs http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf
  • Page 20
  • www.adira.org Domaines couverts par les politiques de scurit mobilit http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf
  • Page 21
  • www.adira.org Quel terminal pour lentreprise ? http://appleinsider.com/articles/14/02/27/apple-touts-secure-design-of-ios-as-google-chief-admits-android-is-best-target-for-malicious-hackers
  • Page 22
  • www.adira.org A propos des codes malicieux.97% sur Android !!! http://www.forbes.com/sites/gordonkelly/2014/03/24/report-97-of-mobile-malware-is-on-android-this-is-the-easy-way-you-stay-safe /
  • Page 23
  • www.adira.org Quelle est le vritable risque, aujourdhui, sur Android ? http://www.forbes.com/sites/gordonkelly/2014/03/24/report-97-of-mobile-malware-is-on-android-this-is-the-easy-way-you-stay-safe /
  • Page 24
  • www.adira.org Que trouvons nous rellement dans les bases de vulnrabilits ? http://nvd.nist.gov/home.cfm Systme : 27 vulnrabilits Application : 1 vulnrabilit (Google Chrome) Systme : 5 vulnrabilits Application : 47 vulnrabilits
  • Page 25
  • www.adira.org Agenda Le BYOD dans tous ses tats Quels sont les dfis ? Lapproche pour la scurisation des infrastructures de terminaux mobiles
  • Page 26
  • www.adira.org Lapproche BYOD ncessite une approche complte VPN Quels rseaux ? Quels utilisateurs ? BYOD 2014+Challenges Comment conserver la scurit de mon rseau et de mes utilisateurs ? Comment fournir un service de qualit mes utilisateurs et mes invits? Comment minimiser limpact sur mon infrastructure et sur mon organisation du support ? iOS Android Ultrabooks
  • Page 27
  • www.adira.org Les recommandations du gouvernement Franais
  • Page 28
  • www.adira.org Travailler sur lapprciation des risques (Malicious Mobile Apps) http://banners.spiceworks.com/banners/webroot/june_2013/S-Webroot_MMA_Webinar.html
  • Page 29
  • www.adira.org Les diffrentes approches qui peuvent tre mises en uvre par les entreprises http://www.itpro.fr/a/byod-byoa-pyca-cyode-cope-quel-modele-choisir/ Appellation Nom completDescription Propritaire du priphrique Propritaire des applications Propritaire du rseau poste de travail Niveau de gestion pour lentreprise Modle standard Ce modle est celui classique qui considre que les priphriques dits mobiles sont grs comme des postes de travail bureautiques traditionnels Entreprise Priphrique BYOD Bring Your Own Device Lentreprise permet aux utilisateurs dapporter leurs priphriques personnels pour se connecter aux services dlivrs par lentreprise. Lorsque cette stratgie est tendue dautres types dappareils (stockage, etc.) on parle alors de BYOT Bring Your Own Technology Utilisateur Utilisateur et Entreprise Entreprise Priphrique (avec laccord de lutilisateur) BYOA ou BYON Bring Your Own Access Bring Your Own Network Lentreprise ne gre plus de parc informatique, ni de rseau de type poste de travail. Chaque utilisateur est libre de contracter avec un oprateur rseau et de choisir la nature de sa connexion (WiFi, femtocell, tethering). Ce modle se comprend si lensemble des applications de lentreprise sont accessibles via un accs par Internet Utilisateur Utilisateur et/ou Entreprise UtilisateurApplication PYCA Push Your Corporate Application Lentreprise ne gre plus de parc informatique au sens des priphriques utiliss, et se proccupe de mettre en uvre et de tenir jour un magasin dapplications qui lui appartient dans lequel lutilisateur vient se servir sil en a le droit UtilisateurEntreprise Application CYOD Choose Your Own Device Lentreprise permet lutilisateur de choisir un priphrique dans une liste dlimite quelle tient disposition Entreprise Priphrique COPE Company Owned, Personally Enabled Lentreprise choisit le priphrique, mais permet lutilisateur de se servir des fins personnelles en y installant des applications dont il est le propritaire Entreprise Utilisateur et/ou Entreprise EntreprisePriphrique BYOA ou BYOS Bring Your Own Application Bring Your Own Software Lutilisateur peut se servir dapplications personnelles dont il est le propritaire ou lutilisateur lgal pour travailler dans le cadre de lentreprise Utilisateur et/ou Entreprise UtilisateurEntrepriseApplication
  • Page 30
  • www.adira.org La scurit des environnements des terminaux mobiles adresse des dimensions multiples dans le but d'tre conforme aux politiques de scurit de l'entreprise Data, Network & Access Security Mobile Device Management App/Test Development Device Platforms i.e. iOS, Android, Windows Mobile, Symb