www.adira.org

La sécurité au service de l’innovationBYOD, une question d’approche

Serge Richard – CISSP® Architecte Solution Sécuritéserge.richard@groupe-ocealis.com

Grenoble, le 24 Avril 2014

www.adira.org

Agenda

Le BYOD dans tous ses états

Quels sont les défis ?

L‘approche pour la sécurisation des infrastructures de terminaux mobiles

www.adira.org

Agenda

Le BYOD dans tous ses états

Quels sont les défis ?

L‘approche pour la sécurisation des infrastructures de terminaux mobiles

www.adira.org

Le terminal mobile est un objet personnel !!!

http://www.slideshare.net/WSIdee/mettez-votre-entreprise-dans-le-tlphone-de-vos-clients

www.adira.org

Le paysage du BYOD et les entreprises

http://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat

www.adira.org

Et la tendance s’accentue…

http://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat

www.adira.org

Appareils personnels utilisés sur le lieu de travail

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdf

www.adira.org

La productivité des employés est elle en jeu ?

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdf

www.adira.org

L’intérêt d’utiliser les terminaux de l’entreprise

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdf

www.adira.org

Bénéfices que le BYOD apporte à l’entreprise

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf

www.adira.org

Agenda

Le BYOD dans tous ses états

Quels sont les défis ?

L‘approche pour la sécurisation des infrastructures de terminaux mobiles

www.adira.org

Problématiques de l’entreprise…

Le type de terminaux ainsi que le type d'applications sont très hétéroclites.

Augmentation drastique du nombre de terminaux à gérer.

Les utilisateurs ont en moyenne plus d'un terminal, les données de l'entreprise peuvent se trouver sur ceux-ci.

Pour de nombreux utilisateurs, l'intérêt des terminaux mobiles réside dans leur capacité d'interaction et les nombreuses applications.

Les utilisateurs privilégient la facilité d'utilisation des terminaux en fonction de leurs préférences. Les terminaux mobiles sont partagés et donc

peuvent avoir de multiples utilisations.

Les appareils mobiles sont le plus souvent utilisés en dehors du réseau de l'entreprise et sur une grande variété de réseaux pour l'accès aux comptes utilisateurs.

Un contexte dans lequel les appareils mobiles peuvent changer considérablement d'une session à l'autre.

Dans le but de saisir de nouvelles opportunités, les lignes métiers mettent en place de nouvelles applications sur les terminaux.

Une entreprise ne peut développer toutes les applications demandées par les lignes métiers et doit donc supporter des applications tierces.

Nouvelles technologies pour construire des applications natives, hybrides et web pour les terminaux mobiles.

Les applications des terminaux mobiles ont souvent recours à plusieurs services de collaboration et de canaux de communications.

www.adira.org

Les risques et les challenges

http://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat

www.adira.org

Une application mobile est un logiciel applicatif développé pour être installé sur un appareil électronique mobile, tel qu'un assistant personnel, un téléphone portable , un « smartphone », ou un baladeur numérique.

Une telle application peut être installée sur l'appareil dès la conception de celui-ci ou bien, si l'appareil le permet, téléchargée par l'utilisateur par le biais d'une boutique en ligne :

Une partie des applications disponibles sont gratuites tandis que d'autres sont payantes. […Wikipédia]

Les applications mobiles : Fer de lance des terminaux mobiles !!!

http://www.mmaf.fr/barometre-trimestriel-du-marketing-mobile-en-france-0

www.adira.org

Les applications, le principal vecteur de risque ?

https://www.appthority.com/resources

Risky Mobile App Behaviors by Category: Top 200 Apps for iOS and Android

www.adira.org

L’application gratuite est un vecteur de risque

https://www.appthority.com/resources

Top 200 Risky App Behaviors (iOS & Android combined) – Paid Vs Free

www.adira.org

L’application gratuite versus l’application payante

https://www.appthority.com/resources

www.adira.org

Les systèmes d’exploitation, une autre problématique ?

http://bit.ly/1bgWnLp

www.adira.org

Prise en charge par les entreprises pour les périphériques appartenant aux employés

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf

www.adira.org

Domaines couverts par les politiques de sécurité mobilité

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf

www.adira.org

Quel terminal pour l’entreprise ?

http://appleinsider.com/articles/14/02/27/apple-touts-secure-design-of-ios-as-google-chief-admits-android-is-best-target-for-malicious-hackers

www.adira.org

A propos des codes malicieux….97% sur Android !!!

http://www.forbes.com/sites/gordonkelly/2014/03/24/report-97-of-mobile-malware-is-on-android-this-is-the-easy-way-you-stay-safe/

www.adira.org

Quelle est le véritable risque, aujourd’hui, sur Android ?

http://www.forbes.com/sites/gordonkelly/2014/03/24/report-97-of-mobile-malware-is-on-android-this-is-the-easy-way-you-stay-safe/

www.adira.org

Que trouvons nous réellement dans les bases de vulnérabilités ?

http://nvd.nist.gov/home.cfm

Systéme : 27 vulnérabilités Application : 1 vulnérabilité (Google Chrome)

Systéme : 5 vulnérabilités Application : 47 vulnérabilités

www.adira.org

Agenda

Le BYOD dans tous ses états

Quels sont les défis ?

L‘approche pour la sécurisation des infrastructures de terminaux mobiles

www.adira.org

L’approche BYOD nécessite une approche compléte

VPN

Quels réseaux ?

Quels utilisateurs ?

BYOD 2014+ Challenges

Comment conserver la sécurité de mon réseau et de mes utilisateurs ?

Comment conserver la sécurité de mon réseau et de mes utilisateurs ?

Comment fournir un service de qualité à mes utilisateurs et à mes invités?

Comment fournir un service de qualité à mes utilisateurs et à mes invités?

Comment minimiser l’impact sur mon infrastructure et sur mon organisation du support ?

Comment minimiser l’impact sur mon infrastructure et sur mon organisation du support ?

iOS Android Ultrabooks

www.adira.org

Les recommandations du gouvernement Français

www.adira.org

Travailler sur l’appréciation des risques (Malicious Mobile Apps)

http://banners.spiceworks.com/banners/webroot/june_2013/S-Webroot_MMA_Webinar.html

www.adira.org

Les différentes approches qui peuvent être mises en œuvre par les entreprises

http://www.itpro.fr/a/byod-byoa-pyca-cyode-cope-quel-modele-choisir/

 Appellation Nom complet Description

Propriétaire du

périphérique

Propriétaire des

applications

Propriétaire du réseau poste de

travail

Niveau de gestion pour l’entreprise

 Modèle standard

Ce modèle est celui classique qui considère que les périphériques dits mobiles sont gérés comme des postes de travail bureautiques traditionnels

Entreprise Entreprise Entreprise Périphérique

BYODBring Your Own Device

L’entreprise permet aux utilisateurs d’apporter leurs périphériques personnels pour se connecter aux services délivrés par l’entreprise. Lorsque cette stratégie est étendue à d’autres types d’appareils (stockage, etc.) on parle alors de BYOT « Bring Your Own Technology »

UtilisateurUtilisateur

et EntrepriseEntreprise

Périphérique (avec l’accord de

l’utilisateur)

BYOA ou BYON

Bring Your Own AccessBring Your Own Network

L’entreprise ne gère plus de parc informatique, ni de réseau de type poste de travail. Chaque utilisateur est libre de contracter avec un opérateur réseau et de choisir la nature de sa connexion (WiFi, femtocell, tethering). Ce modèle se comprend si l’ensemble des applications de l’entreprise sont accessibles via un accès par Internet

UtilisateurUtilisateur

et/ou Entreprise

Utilisateur Application

PYCAPush Your Corporate Application

L’entreprise ne gère plus de parc informatique au sens des périphériques utilisés, et se préoccupe de mettre en œuvre et de tenir à jour un magasin d’applications qui lui appartient dans lequel l’utilisateur vient se servir s’il en a le droit

Utilisateur Entreprise Entreprise Application

CYODChoose Your Own Device

L’entreprise permet à l’utilisateur de choisir un périphérique dans une liste délimitée qu’elle tient à disposition

Entreprise Entreprise Entreprise Périphérique

COPE

Company Owned, Personally Enabled

L’entreprise choisit le périphérique, mais permet à l’utilisateur de se servir à des fins personnelles en y installant des applications dont il est le propriétaire

EntrepriseUtilisateur

et/ou Entreprise

Entreprise Périphérique

BYOA ou BYOS

Bring Your Own ApplicationBring Your Own Software

L’utilisateur peut se servir d’applications personnelles dont il est le propriétaire ou l’utilisateur légal pour travailler dans le cadre de l’entreprise

Utilisateur et/ou

EntrepriseUtilisateur Entreprise Application

www.adira.org

La sécurité des environnements des terminaux mobiles adresse des dimensions multiples dans le but d'être conforme aux politiques de sécurité de l'entreprise

Data, Network & Access SecurityMobile Device ManagementApp/Test

Development

Device Platformsi.e. iOS, Android, Windows Mobile, Symbian, etc

Mobile Application Platforms & Containers

Mobile Applicationsi.e. Native, Hybrid, Web Application

MobileInformation Protection

Data encryption (device, file & app)

Mobile data loss prevention

Mobile Threat Management

Anti-malware Anti-spyware Anti-spam Firewall/IPS Web filtering Web Reputation

Mobile Network Protection

Secure Communications (VPN)

Edge Protection

Mobile Identity& Access Management

Identity Management Authorize &

Authenticate Certificate Management Multi-factor

Mobile Security Intelligence

Mobile Device Security

Management

Device wipe & lockdown

Password Management

Configuration Policy Compliance

Mobile Device Management

Acquire/Deploy‒ Register‒ Activation‒ Content Mgmt

Manage/Monitor Self Service Reporting Retire De-provision

Secure Mobile Application

Development

Vulnerability testing Mobile app testing Enforced by tools Enterprise policies

www.adira.org

Comment sécuriser les environnements des terminaux mobiles ?

EnrôlerPropriétaires et services

ConfigurerPolitiques de sécurité

GérerConformité du terminal

ReconfigurerNouvelles politiques

SupprimerServices et données

AuthentifierUtilisateurs et terminaux

ChiffrerConnections réseaux

SurveillerJournaux d’événements

ContrôlerAccès aux applications

BloquerAttaques et vulnérabilités

DévelopperBonnes pratiques

TesterPrésence de vulnérabilités

SurveillerActivités des utilisateurs

ProtégerApplications

Mettre à jourCorrectifs

Sur les terminaux Sur les réseaux Sur les applications

Intranet Entreprise

Internet

Gestion de la stratégie de sécurité des environnements mobiles

IBM

Se

cu

rity

– C

ad

re d

e r

éfé

ren

ce

www.adira.org

Vue d’architecture générale

Smartphone

Mobile Phone

Tablet

Laptop

IDS/IPS IAM DLP Email Security Encryption Web Proxy Web/URL Filtering Certificate Authority

MDM Server App store

Layer 2 Switches Layer 3 Routers VPN Gateways Network Access Controllers Wireless controllers Policy Decision Point

Active Directory DNS/DHCP Corp Email

MobileEnterpriseApplication

Platform

CorporateApplication

Servers

Data Storage

Mobile Middleware Server

Mobile Client Application

Network Infrastructure

SecurityInfrastructure

Mobile DeviceManagement

B2C

B2E

B2B

IT Technology Applications

Network L2/L3 Core

NAS

SAN

Connection Broker

VDI

www.adira.org

Security Intelligence