BYOD : vision sécurité et approche de solutions

Bring Your Own Device: Vision sécurité et approche de solutions

Microsoft France

Date de publication: mars 2013

Version: 1.0

Auteur: Jean-Yves Grasset, MicrosoftRelecteurs: Bernard Ourghanlian, Philippe Beraud, Arnaud Jumelet

Copyright

© 2013 Microsoft Corporation. All rights reserved.

Résumé

Le phénomène « Bring Your Own Device » est une tendance profonde née de l’avènement d’appareils personnels de plus en plus puissants qui sont désormais indispensables à notre lien avec l’extérieur. Ces nouveaux outils, pensés au départ pour le grand public, tendent à s’introduire dans la sphère professionnellepar le biais de la porosité de la frontière entre la vie privée et le travail. Il nous semble vain de tenter d’ignorer ou de rejeter ce phénomène lié à une véritable mutation que l’on peut qualifier de sociologique. Après une première analyse du phénomène BYOD, et la description d’une démarche plus globale, ce document propose une évolution du modèle de sécurité périmétrique à travers la notion de contexte d’accès – sécurité du terminal, confiance de l’identité, force de l’authentification et lieu de connexion – pour adapter les autorisations en fonction du niveau de sensibilité des données. Les directions de solutions sont recensées pour vous permettre d’accueillir ces nouveaux périphériques dans les infrastructures Microsoft en profitant au mieux des dernières fonctionnalités (contrôle d’accès dynamique, classification des données, protection des données sensibles, revendications utilisateur et terminal, etc.) et bâtir une solution permettant d’adresser les nouveaux défis liés au BYOD et les transformer en véritable opportunité business pour votre entreprise.

This document is provided “as-is”. Information and views expressed in this document, including URL and other Internet Web site references, may change without notice. You bear the risk of using it.

Some examples depicted herein are provided for illustration only and are fictitious. No real association or connection is intended or should be inferred.

This document does not provide you with any legal rights to any intellectual property in any Microsoft product. You may copy and use this document for your internal, reference purposes. You may modify this document for your internal, reference purposes.

© 2013 Microsoft Corporation. All rights reserved.

Microsoft, Active Directory, Internet Explorer, SQL Server, Windows, Windows PowerShell, and Windows Server are trademarks of theMicrosoft group of companies. All other trademarks are property of their respective owners

Bring Your Own Device: Vision sécurité et approche de solutions 3

Table des matières

1BRING YOUR OWN DEVICE: QUELLE RÉALITÉ, QUELLE DÉMA RCHE?.................................................4

1.1L’ENVOLÉE DES SMARTPHONES ET TABLETTES...............................................................................................41.2BYOD : CAUSES ET ADOPTION.....................................................................................................................41.3BYOD : LES RISQUES...................................................................................................................................41.4LES SCÉNARIOS D’USAGE..............................................................................................................................41.5DÉMARCHE GLOBALE ET CHECKLIST..............................................................................................................4

1.5.1Classification du patrimoine numérique..............................................................................................41.5.2Segmentation des utilisateurs.............................................................................................................41.5.3Analyse des besoins de conformité et de continuité d’activité............................................................41.5.4Architecture d’accès sécurisé..............................................................................................................41.5.5Structure des politiques de sécurité....................................................................................................51.5.6Inventaire des contrats de licences logicielles....................................................................................51.5.7Politique de support par l’informatique................................................................................................51.5.8Analyse d’impact financier, juridique, conditions de travail et ressources humaines.........................51.5.9Besoins matériels, logiciels et bande passante..................................................................................51.5.10Stratégie de communication..............................................................................................................5

2BRING YOUR OWN DEVICE: APPROCHE MICROSOFT......... .....................................................................6

2.1COMMENT ABORDER LE PROBLÈME ?.............................................................................................................62.2LES GRANDS PRINCIPES ET L’ÉVOLUTION DU MODÈLE.....................................................................................62.3LA CLASSIFICATION DES TERMINAUX..............................................................................................................62.4LE CONTEXTE D’ACCÈS.................................................................................................................................62.5POLITIQUES DE SÉCURITÉ: L’ÉQUATION COMPLÈTE.........................................................................................72.6RÔLE ET AUTORISATIONS...............................................................................................................................7

3LES DIRECTIONS DE SOLUTION........................ ..........................................................................................8

3.1MDM ET VDI : L’UNIQUE RÉPONSE ?...........................................................................................................83.2LES 4 NIVEAUX DE PROTECTION....................................................................................................................83.3AUTHENTIFICATION-IDENTIFICATION DU TERMINAL...........................................................................................83.4PROTECTION NIVEAU COUCHE PÉRIPHÉRIQUE................................................................................................8

3.4.1Gestion et contrôle des terminaux : Le MDM......................................................................................83.4.2Portail d’enregistrement.......................................................................................................................8

3.5PROTECTION AU NIVEAU COUCHE RÉSEAU.....................................................................................................93.5.1Contrôle d’accès réseau......................................................................................................................93.5.2Protection réseau.................................................................................................................................9

3.6PROTECTION AU NIVEAU COUCHE SERVICE....................................................................................................93.6.1Fédération- Accès aux applications Cloud..........................................................................................93.6.2Protection/Publication des applications...............................................................................................93.6.3Accès VPN...........................................................................................................................................9

3.7PROTECTION AU NIVEAU COUCHE DONNÉES................................................................................................103.7.1Contrôle d’accès dynamique.............................................................................................................103.7.2Classification......................................................................................................................................103.7.3Contrôle et protection des informations.............................................................................................10

4CONCLUSION................................................................................................................................................11

5BIBLIOGRAPHIE & RÉFÉRENCES........................ ......................................................................................12

Bring Your Own Device: Vision sécurité et approche de solutions 4

1 Bring Your Own Device: Quelle réalité, quelle déma rche?

1.1 L’envolée des smartphones et tablettes

Le phénomène “Bring Your Own Device” (BYOD) désigne le scénario par lequel les employés apportent leur propre matériel dans les locaux de l’entreprise pour un usage professionnel, en plus de leur utilisation dans un cadre purement privé, avec l’accord et éventuellement le support de l’employeur. C’est l’une des manifestations de la vague de consumérisation de l’informatique qui consacre l’imbrication de deux mondes :le monde du « grand public » et le monde de l’entreprise.

Ce phénomène peut s’expliquer par la conjonction de plusieurs facteurs. Nous vivons dans un monde de plus en plus connecté , que ce soit à la maison où l’internet est disponible en wifi depuis n’importe quelle pièce, à l’extérieur à travers le réseau 3G/4G, depuis l’hôtel, le hall d’aéroport, l’accès au web est partout disponible et a modifié de manière durable notre rapport au monde.

Dans son rapport sur le trafic et les données marché daté de juin 20121, Ericsson prédit une couverture 3G de 85% de la population mondiale en 2017 et de 50% pour la 4G. Les estimations sur le trafic de données pour la téléphonie mobile font état d’une multiplication par quinze entre 2011 et 2017.

Nous profitons de cette connexion omniprésente pour consommer l’information sous toutes ses formes : journaux d’information sous leur forme numérique plutôt que papier, messagerie personnelle ou privée, visualisation de vidéos, réseaux sociaux pour rester en contact avec un nombre de plus en plus impressionnant d’amis, chat en ligne avec les proches, jeux, etc. Ces nouveaux usages sont rendus disponibles par des équipements portables légers et de petite taille (smartphones), de la dimension d’une feuille de papier pour une meilleure lecture et doté d’une interface tactile (tablettes), équipés d’un écran et d’un clavier mais poids plume (Ultrabook). Le point commun entre ces différents équipements est leur puissance permettant de faire tourner des applications de plus en plus addictives , téléchargeables depuis des magasins d’applications et dont le nombre se calcule en centaines de milliers même si toutes n’ont pas le même intérêt.

Poussée par le marketing des fabricants leaders du marché et par une concurrence acharnée, la fréquence de renouvellement est stupéfiante même si les innovations ne sont pas toujours au rendez-vous des nouveaux modèles. Il faut dire que la taille du marché est phénoménale puisque, selon une source Gartner datant de février 20122, il s'est vendu près de 1,8 milliard de téléphones mobiles en 2011 dans un marché que l’on considère pourtant comme pratiquement saturé, dont 31% de smartphones soit 472 millions d’unités. Toujours selon le rapport Ericsson, si le nombre d’abonnement de smartphones était de 700 millions en 2011, il devrait atteindre 3 milliards en 2017. Le smartphone est, sans conteste, en train de devenir le moyen d’accès privilégié à internet.

Les prévisions de Forrester pour 2016 permettent d’établir la proportion d’équipements en tablettes et smartphones : rien que pour les Etats-Unis, Forrester anticipe que les foyers américains seront en possession de 126 millions de tablettes et 256 millions de smartphones3.

1 Traffic and Market report, Ericsson, June 2012: http://www.ericsson.com/res/docs/2012/traffic_and_market_report_june_2012.pdf

2 Market Share Analysis: Mobile Devices, Worldwide, 4Q11 and 2011, Gartner, published 14 February 2012

3 http://www.infodsi.com/articles/129050/mobiles-part-croissante-smartphones.html


5

Le facteur de forme est un élément privilégié dans le monde du grand public de même que l’attraction liée à la marque qui fait de vous quelqu’un dans l’air du temps par la simple possession de l’objet. Avec un tel engouement pour les terminaux intelligents, les utilisateurs technophiles sont à la fois de plus en plus autonomes, à la pointe de la technologie et deviennent eux-mêmes prescripteurs de technologies.

1.2 BYOD : Causes et adoption

Quel est le rapport entre ces chiffres mettant en évidence la progression phénoménale des équipements personnels intelligents et l’entreprise ?

S’il on en croit le Gartner, « L’émergence des programmes "Bring You Own Device" est tout simplement letournant le plus radical dans l’économie de l’informatique client pour les entreprises depuis que les PC ontenvahi le lieu de travail4».

L’adoption massive des nouveaux équipements intelligents provoque un véritable décalage entre le marché des consommateurs et les outils qui sont mis à disposition de leurs employés par les entreprises.

Dans son analyse « The BYOD Effect5 », la société Mobil8 décrit bien ce décalage: précédemment, l’adoption des périphériques par l’entreprise précédait sa diffusion en masse sur le marché de la consommation courante ; BlackBerry est l’exemple concret d’une innovation pensée pour l’entreprise qui a ensuite essaimé chez les particuliers. Cette tendance s’est complètement inversée avec l’arrivée des smartphones et tablettes Apple ou Android qui ont été ciblées uniquement pour le marché grand public. A présent, c’est lorsque ce marché a adopté ces nouveautés technologiques que l’entreprise se voit sollicitée par les employés devenus prescripteurs pour les intégrer dans son périmètre.

Cependant, les contraintes de l’entreprise dans le choix de ses équipements ne sont pas les mêmes que pour le particulier ; les critères de l’IT sont tournés vers la gestion, le contrôle et la sécurité. L’introduction denouveaux périphériques nécessite un minimum de qualification car l’entreprise aura la charge d’en assurer lesupport. Par mesure de rationalisation des dépenses, les achats sont faits par quantité importante avec un stock suffisant pour assurer les retours des périphériques défaillants. Une forte hétérogénéité des périphériques est synonyme de coût supplémentaire et de difficulté de maitrise par les équipes de HelpDesk.Pour respecter ce processus, l’entreprise s’inflige un deuxième décalage par rapport au cycle de mise sur le marché des nouveaux équipements.

Le collaborateur dispose pour son usage personnel d’un périphérique attrayant, qu’il a choisi personnellement, dont il maitrise parfaitement le fonctionnement: il va être incité en toute logique à étendre son utilisation dans le cadre de son travail pour éviter d’avoir à assumer un équipement supplémentaire fourni par l’entreprise et, de plus, déjà démodé. Il est prêt à assurer lui-même la maintenance de son équipement et à admettre un entrelacement ou une certaine porosité entre vie privée et professionnelle. L’entreprise peut entrevoir, en première approche, des bénéfices comme un gain de productivité des employés et une réduction des coûts liés à l’acquisition et la maintenance des terminaux. Même si la satisfaction des utilisateurs n’est toujours facilement quantifiable, l’adoption du BYOD peut également redorer le blason de l’IT.

Le BYOD correspond-il à un effet de mode ? Le taux d’adoption, selon l’étude Gartner déjà citée, évalue en moyenne que les CIO aux Etats-Unis s’attendaient à ce que 38% des effectifs utilisent des terminaux personnels en fin 2012 et environ la moitié de ce t aux pour l’Europe . Une enquête de Cisco datée de fin2011 menée auprès de 1500 décideurs aux Etats-Unis et en Europe, note un rapport de 3 entre les

4 Bring Your Own Device: New Opportunities, New Challenges, Gartner, August 2012.

5 The BYOD Effect, Mobil8, February 2012, http://www.mobil8.net/library.html


6

demandes de tablettes en proportion des téléphones. Ces chiffres confirment que, malgré leurs réticences, les entreprises ne peuvent ignorer ce qui devient bien plus qu’une tendance.

L’adoption du BYOD ne se résume pas au choix et à la mise en œuvre d’un outil de gestion de flotte de mobiles (« Mobile Device Management » ou MDM). Ceci explique que la majorité des entreprises (60%) continue encore sur le modèle où tous les périphériques sont fournis et gérés en interne – il se peut que des mobiles « pirates » soient connectés sur le réseau interne mais en dehors d’un programme accrédité –. Environ 20% implémentent un modèle hybride (c’est le cas de l’informatique interne de Microsoft) et 10% sont passées à un programme BYOD complet6.

1.3 BYOD : Les risques

Le défi majeur apporté par le BYOD tient au fait que ces périphériques ne sont pas conçus pour l’entreprise mais pour le grand public. Selon toute logique, le frein le plus important à l’adoption du BYOD est la sécurité.Tout responsable sécurité jugera inacceptable d’ouvrir l’accès à son réseau interne à des terminaux inconnus, en-dehors de tout contrôle de l’IT par le simple biais d’une authentification de l’utilisateur. L’exposition au risque pourrait sembler limitée s’il s’agit d’autoriser uniquement l’accès à la messagerie d’entreprise ; cependant le risque est loin d’être négligeable dès lors que l’utilisateur entre ses informations d’identification (identifiant et mot de passe) de l’entreprise sur un terminal pour lequel le niveau de confiance est limité et pouvant être compromis par un keylogger. De plus, l’accès à la messagerie d’entreprise est une porte ouverte vers la fuite d’information : si la tablette ou le smartphone sont utilisés par un VIP, les informations sensibles qu’il transfère sur son équipement seront à disposition de personnes malintentionnées en cas de perte.

L’ENISA dans son document “Consumerization of IT: Top Risks and Opportunities7” classe les risques liés auBYOD et la Consumérisation de l’IT en trois catégories : les risques relatifs au coût, les risques relatifs aux aspects légaux et réglementaires, et enfin ceux affectant les données (confidentialité, intégrité, disponibilité ou respect de la vie privée).

Dans les risques liés au coût, la fuite d’information par des comportements négligent s de la part des utilisateurs et ses impacts en termes d’image sont cités en premier lieu. La complexité et la diversité des périphériques, le vol des équipements peuvent être à l’origine de coûts supplémentaires. Enfin, des coûts sont à envisager pour que l’entreprise prenne en compte les modifications dans l’architecture de sécuritépour passer d’un modèle de protection périmétrique à une sécurité de bout-en-bout, l’adaptation des politiques de sécurité, la sensibilisation et la formation des utilisateurs.

Dans la catégorie des risques légaux, le manque de contrôle sur les terminaux détenus par les employés complexifie la traçabilité des actions vis-à-vis des actifs de l’entreprise, la gestion des incidents de sécurité et le respect de la conformité réglementaire . Par le mélange entre vie privée et vie professionnelle qu’implique le BYOD, il devient plus difficile pour l’entreprise de s’assurer du respect des contraintes réglementaires liées aux ressources humaines par exemple télétravail caché, dépassement des heures de travail. Le manque de distinction entre les données personnelle s et professionnelles peut ajouter de la difficulté dans la recherche de preuve au format électronique (e-discovery) et augmenter la probabilité de litiges entre les entreprises et leurs employés dans le domaine du respect de la vie privée.

La dernière catégorie de risques concerne les données proprement dites ce qui est, de notre avis, le point focal. L’augmentation du risque de fuite d’information est le risque le plus prégnant en cas de contrôle plus lâche de l’application des politiques de sécurité sur les périphériques ; la diversité des équipements ajoute à

6 Just How Hot Is BYOD? Étude conduite par CCMI pour Dimension Data et Xigo, July 2012.

7 Consumerization of IT: Top Risks and Opportunities, ENISA, 28 September 2012, http://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/consumerization-of-it-top-risks-and-opportunities/at_download/fullReport


7

la difficulté de leur contrôle ; leur inadaptation aux contraintes de l’entreprise par manque de maturité technologique favorise la diffusion incontrôlée de données sensibles. Par leur niveau de sécurité plus faible les rendant plus sensibles aux malwares et une forte exposition, ces terminaux peuvent devenir des cibles privilégiées pour obtenir l’accès à des données critiques de l’entreprise.

La citation de Tony Scott CVP & Microsoft CIO parlant de la consumérisation “This is a data, not a device discussion” – reflète bien que l’importance du défi est concentré sur la protection des données .

Les autres études comme celle produite par la Cloud Security Alliance «Top threats to Mobile Computing8 » relèvent les mêmes types de risques concentrés autour de la fuite de données que ce soit par perte, vol ou décomissionnement de terminaux, vol de données par malware ou négligence dans la protection ou le comportement des utilisateurs.

L’une des recommandations de Symantec dans son rapport sur l'utilisation des technologies mobiles en entreprise en 20129 met en évidence cette approche :

[Adoptez une] Sécurité exhaustive : dépassez le cadre des règles de mot de passe, d'effacement et de blocage d'applications. Concentrez-vous sur l'information et les endroits o ù elle est visualisée, transmise et stockée . Une intégration avec les règles existantes de prévention des pertes de données, de chiffrement et d'authentification garantit la conformité systématique avec les politiques internes et les réglementations.

Pour résumer, les défis posés par le BYOD sont relatifs au manque de contrôle des terminaux lié à leur diversité et au fait qu’ils ne soient pas la propriété de l’entreprise, un mélange entre les données privées et professionnelles, une inadaptation du modèle de protection périmétrique. Ceci expose aux risques de fuite d’information et de non-respect de conformité réglementaire.

Face à ces risques, la maturité de l’entreprise en termes de sécurité est structurante : quel est le fossé pour passer d’une infrastructure de sécurité où l’ensemble des terminaux était – dans le meilleur des cas – contrôlés et où tous les efforts étaient concentrés sur la protection périmétrique au détriment d’un contrôle d’accès concentré sur les données ? Si un système de classification des données est déjà en place et que lecontrôle d’accès aux données est basé sur une gestion des identités sérieuse et des principes d’authentification forte, le chemin à parcourir pour prendre en compte le BYOD sera nettement moins ardu. Acontrario, si la gestion de la sécurité de l’entreprise et la protection de l’accès à ses données est plus aléatoire, les risques auxquelles elle s’expose par l’ouverture aux scénarios de BYOD n’en seront que plus forts.

1.4 Les scénarios d’usage

Les utilisateurs des périphériques autorisés dans le cadre d’un programme BYOD en feront une utilisation mixte privée-professionnelle. Pour avoir une vision complète des scénarios, il est intéressant de disposer d’éléments sur les usages les plus communs dans un contexte privé pour comprendre l’utilisation qu’un collaborateur fait de l’équipement qu’il souhaite également utiliser dans le contexte de l’entreprise.

Si l’on se réfère à une étude de Technology Business Research, Consumer Tablet Study datant de juin 2012, les utilisations pour le cas des tablettes sont, par ordre de priorité, la navigation sur le Web, l’accès à la messagerie, les réseaux sociaux, la lecture de livres et de magazines puis les jeux, la musique et le

8 Top threats to Mobile Computing, Cloud Security Alliance, 2012, https://downloads.cloudsecurityalliance.org/initiatives/mobile/top_threats_mobile_CSA.pdf

9 2012 State of Mobility Survey, Symantec, http://www.symantec.com/en/uk/content/en/us/about/media/pdfs/b-state_of_mobility_survey_2012.en-us.pdf


8

visionnage de vidéos. On considère cependant qu’avec l’arrivée des technologies Ultrabook comme celle d’Intel, le facteur de forme tablettes sera concurrencé par ces nouveaux périphériques.

Le premier scénario d’usage dans un cadre professionnel des terminaux mobiles est sans conteste l’accès àla messagerie électronique ; puis vient la possibilité de se connecter à distance sur le réseau de l’entreprise (VPN ou déport d’écran). Ensuite vient la possibilité de stocker localement des données qui pourront être consultées offline une fois sur le terrain et enfin l’accès à des applications hébergées dans le Cloud.

Ces scénarios d’utilisation restent généraux et correspondent à des résultats d’enquêtes sur des centaines d’entreprise. Chaque entreprise devra définir ses propres scénarios d’usage. Le BYOD n’est pas censé s’appliquer à l’ensemble des employés : les rôles qui ne sont pas concernés par la mobilité et utilisent un ensemble réduit d’applications (task worker) ne feront vraisemblablement pas partie des populations d’employés éligibles à des solutions BYOD.

1.5 Démarche globale et checklist

Compte tenu des impacts que sa prise en compte entraine au niveau de l’entreprise, le BYOD ne peut pas être abordé uniquement sur sa facette technique ; il est illusoire de penser que le simple choix d’un outil de gestion de flotte de mobiles, quelques adaptations au niveau de l’équipe du HelpDesk et une détermination rapide des impacts financiers et légaux, suffiront à aborder cette transformation.

Le déploiement d’une solution BYOD doit être mené comme un véritable projet avec, comme tout projet, unou des sponsors, des parties prenantes non seulement dans l’IT mais dans les équipes juridiques et ressources humaines etc. sans parler des utilisateurs qui doivent rester les vrais bénéficiaires de la solution. Mais un projet doit, au final, s’appuyer et mettre en œuvre des solutions techniques qui constituent la déclinaison véritable des enjeux et doit correspondre aux objectifs visés d’un point de vue des utilisateurs – la solution doit être adoptée –, d’un point de vue business – la solution doit apporter les bénéfices escomptés –, tout en respectant les standards de sécurité de l’entreprise.

Ce paragraphe décrit, sous forme de checklist, un ensemble de sujets à traiter dans le cadre du projet BYODmais la suite du document se concentrera sur l’approche technique avec une « orientation sécurité » assumée car la sécurité constitue l’un des défis majeurs d’un projet BYOD.


9

Figure Etapes d'une démarche BYOD

1.5.1 Classification du patrimoine numérique

Cette première étape va permettre d’identifier quelles sont les données réellement sensibles de l’entreprise pour concentrer ensuite la protection d’accès en fonction du niveau de criticité de ces informations. Lorsque l’on pose la question, la plupart des clients estime le pourcentage des données sensibles entre 10 et 15%. Les retours d’expérience suite à la mise en place de la fonctionnalité de classification automatique de Dynamic Access Control de Windows Server 201210 que ce soit par l’IT interne Microsoft ou chez certains grands clients ont mis en évidence que le pourcentage de données critiques est plutôt de l’ordre de 1%. Il n’empêche que ce 1% doit être identifié pour pouvoir être protégé contre tout accès ou toute fuite.

Le projet BYOD en lui-même n’impose pas comme préalable de classifier l’ensemble du patrimoine numérique de l’entreprise, ce qui risque d’être un projet d’une toute autre envergure ; on s’intéressera aux données accédées par les populations ciblées par le déploiement du BYOD, quitte à élargir le périmètre si l’on décide d’étendre le nombre d’employés concernés.

1.5.2 Segmentation des utilisateurs

Le BYOD n’est pas censé concerner l’ensemble des employés de l’entreprise mais des franges particulières d’utilisateurs pour lesquels il apportera un réel bénéfice. La démarche consiste, dans un premier temps, à sélectionner un nombre limité (moins de cinq) de groupes d’employés, définir les scénarios d’utilisation, identifier les ressources et applications auxquelles ils devront avoir accès et déterminer la sensibilité des données accédées. Cela permet de déployer des premières solutions BYOD en ciblant les populations d’utilisateurs tout en limitant l’impact sur les applications concernées, leurs moyens de protection et d’accès11.

10 Dynamic Access Control: Scenario Overview, http://technet.microsoft.com/en-us/library/hh831717.aspx

11 Checklist for Determining Enterprise Readiness to Support Employee-Owned Devices, Gartner, Published: 18 June 2012


10

Parmi les critères de choix des groupes d’utilisateurs, on prendra en compte : la valeur apportée au métier par la mise à disposition de l’opportunité BYOD, les besoins de collaboration, la familiarité avec la technologie – pour s’assurer de l’autonomie de l’utilisateur en absence de support de la part de l’entreprise– et enfin les besoins de mobilité.

1.5.3 Analyse des besoins de conformité et de contin uité d’activité

Les scénarios BYOD envisagés doivent être examinés sous l’angle réglementaire impliquant le respect de lavie privé – conformité CNIL –, mais également la conformité par rapport aux règlements de l’entreprise ; la charte informatique permet, d’un côté, de préserver les droits de l’employeur par la description d’un certain nombre d’exigences en vue de garantir ses engagements en termes de sécurité, et de l’autre de respecter les droits au respect de la vie privée du salarié.

Le respect de la conformité par rapport au métier de l’entreprise est également nécessaire : par exemple, la protection des données personnelles médicales dans les métiers liés à la Santé pourra restreindre la mise en place de certains scénarios ou imposer des solutions de sécurité supplémentaires (chiffrement) à mettre en place pour être en accord avec ces exigences particulières.

Parmi ses devoirs et obligations, l’employeur doit fournir à ses employés les moyens d’effectuer leur tâche ; Dans le cadre d’un programme BYOD, l’utilisateur doit être en mesure de réaliser l’ensemble des tâches qui lui incombent qu’il soit à l’intérieur de l’entreprise, en situation de mobilité ou, depuis chez lui dans le cadre du télétravail. En conséquence, les applications et services qui lui sont nécessaires devront être accessibles dans les différentes situations à partir du ou de ses équipements personnels entrant dans le cadre du projet BYOD.

1.5.4 Architecture d’accès sécurisé

La sécurité est sans doute le sujet majeur à adresser dans le cadre du BYOD. Il implique une remise en cause de l’approche de protection périmétrique désormais inadaptée à la sécurisation du système d’information. Le BYOD nécessite d’autoriser sur le réseau interne de l’entreprise de nouveaux types d’équipements dont le niveau de sécurité ne correspond plus aux critères définies par la politique de sécuritépour les postes de l’entreprise. Des transformations sont à envisager pour accueillir ces tablettes, smartphones ou postes tout en leur fournissant un accès aux ressources et services de l’entreprise qui sera fonction de différents critères comme le niveau de sécurité du terminal, la force de l’authentification de l’utilisateur, etc. L’infrastructure en charge de la sécurité devra subir des transformations et adaptations pour prendre en compte les nouveaux scénarios autorisés par l’arrivée du BYOD et les défis en termes de sécurité qu’il fait émerger.

1.5.5 Structure des politiques de sécurité

Les politiques de sécurité déjà en place prennent en compte, selon toute probabilité, la mobilité en définissant un certain nombre d’exigences sur les postes de travail ou les téléphones directement gérés par l’entreprise ; par exemple la politique peut imposer l’utilisation du chiffrement des disques sur les postes mobiles pour limiter la fuite d’information en cas de perte, ou l’utilisation d’un code PIN et d’une possibilité d’effacement à distance pour les téléphones fournis par l’entreprise.

Les politiques de sécurité devront être étendues pour décrire les exigences propres à l’utilisation d’appareils personnels dans le cadre du BYOD, par exemple l’obligation pour l’utilisateur d’enregistrer sa tablette ou son smartphone à travers un portail et l’acceptation que son appareil soit géré par un outil de gestion de flotte de mobiles, l’utilisation obligatoire d’un code PIN d’une certaine longueur et complexité, les conditions d’utilisation d’applications (pas d’utilisation de messagerie instantanée non approuvée pour des discussions liées à l’entreprise) , conditions de stockage de données non chiffrées etc.


11

1.5.6 Inventaire des contrats de licences logicielle s

Le BYOD, par sa diversité des OS, des appareils, des types d’applications et des modes d’accès, draine de nouvelles questions sur le sujet des licences logicielles. Selon les éditeurs, les modes de licence sont différents et certains adaptent leurs contrats pour étendre l’utilisation de leurs logiciels sur plusie urs périphériques d’un même utilisateur . L’un des meilleurs exemples est le changement de la politique de Microsoft pour les licences Windows 8 : dans le cadre d’une Software Assurance (SA), sont attribués par le biais d’une licence appareil compagnon (Companion Device Licence) les droits d’accéder aux postes de l’entreprise soit à travers VDI (Virtual Desktop Infrastructure) ou par Windows To Go depuis quatre appareils personnels 12.

Concernant les applications, ces possibilités ne s’appliquent pas forcément : jusqu’à très récemment Office n’offrait qu’un principe de licences perpétuelles par appareil même si la suite Office 2013 est désormais disponible sous forme de location pour 5 PC ou Mac13. On devra également intégrer le cas des applications qui sont utilisables gratuitement dans le cadre privé et payantes dans une utilisation entreprise.

Dès lors que l’entreprise reste au final responsable du respect des conditions de licences, il est nécessaire de procéder à un inventaire précis des applications utilisées et des conditions d’applications des licences de chaque éditeur ; ceci peut s’avérer plus ou moins complexe et coûteux selon la prise en considération ou non du BYOD.

1.5.7 Politique de support par l’informatique

L’utilisateur apportant son appareil personnel et disposant d’une relative liberté dans son choix – même si l’entreprise peut intégrer des exigences pour la connexion et l’accès –, il ne peut prétendre au même niveau de support de la part du HelpDesk que lorsqu’il utilise un poste ou smartphone proposé par l’entreprise. La politique de support dans le cadre d’une offre BYOD doit décrire de manière précise quel niveau de support est effectif selon le périphérique, le système d’exploitation, le niveau de contrôle par l’entreprise (par ex. gestion par le MDM de l’entreprise), la possibilité d’appartenance ou non au domaine Active Directory de l’entreprise…

Par exemple, la politique de support de l’informatique interne de Microsoft stipule, à date d’écriture de ce livre blanc, que les matériels de type PC et Surface non gérés par l’entreprise ne bénéficient d’aucun supportde la part du HelpDesk, ni pour le matériel, le système d’exploitation ou les éventuelles applications métier qui seraient installées. Quant aux smartphones Windows (Windows Mobile ou Windows Phone), ils disposeront d’un support uniquement sur la partie logicielle et les applications métier installées ; aucun support pour les iPhone, iPad ou Android.

A contrario, pour les tablettes Surface RT, les PC et smartphones personnels dont la gestion est prise en charge par la solution de MDM Windows Intune, le support du matériel reste toujours à la charge du collaborateur mais le support logiciel et des applications métier sera effectué sur la base du « best effort ». Cette politique de support n’est pas gravée dans le marbre, la situation pouvant évoluer par exemple avec le support des iPad et iPhone par Windows Intune.

Chaque entreprise devra définir sa propre politique de support et la mettre à disposition des collaborateurs souhaitant souscrire à l’offre BYOD proposée en interne.

12 http://blogs.windows.com/windows/b/business/archive/2012/04/18/introducing-windows-8-enterprise-and-enhanced-software-assurance-for-today-s-modern-workforce.aspx

13 The new Office 365 subscriptions for consumers and small businesses http://blogs.office.com/b/office-news/archive/2012/09/17/the-new-office-365-subscriptions-for-consumers-and-small-businesses.aspx


12

1.5.8 Analyse d’impact financier, juridique, conditi ons de travail et ressourceshumaines

Les impacts financiers doivent être examinés car ils peuvent influer sur des choix techniques, de périmètre de déploiement, de mode de compensation en regard de l’investissement effectué par le collaborateur, de choix plus ou moins guidé de l’appareil...

Parmi les questions que l’on peut se poser, de manière non exhaustive : doit-on proposer aux utilisateurs une compensation financière directe ou offrir en contrepartie de participer à la facture télécom liée à l’utilisation personnelle ? Sur quelles populations d’utilisateurs peut-on se permettre de déployer une solutionBYOD ? Quel sera le coût total du projet d’adaptation de l’infrastructure de sécurité ? Si on utilise de nouveaux modes de licences, seront-ils plus ou moins économiques ? A-t-on une estimation rationnelle du ROI (Retour sur investissement) et en espère-t-on finalement un ?

Les implications juridiques doivent être considérées sérieusement car le BYOD ne dispose pas encore d’un véritable cadre juridique. Il est nécessaire d’éviter les écueils de la discrimination entre employés du fait que l’on n’offrirait cette possibilité qu’à une frange particulière de la population ; le respect de la vie privé est également au cœur du BYOD par le fait que le terminal contiendra des informations non seulement professionnelles mais également personnelles qui pourrait être accessibles par l’entreprise par le biais de l’outil de gestion de flotte. On notera que, d’un point de vue réglementaire, l’utilisateur doit être informé de tout système permettant de collecter des données à caractère personnel. De même, il faudra considérer les exigences de la CNIL si l’employé peut être géo-localisé par le biais de son équipement.

Le BYOD ne peut être imposé aux employés et reste de fait sur la base du volontariat : le salarié devra signer une autorisation de principe précisant son accord ; il aura la responsabilité de déclarer son équipement, de vérifier que ce dernier remplit les exigences techniques précisées et enfin de respecter les politiques de sécurité étendues pour la prise en compte du BYOD.

D’un point de vue légal, l’entreprise est responsable du contrôle des accès à des contenus illégaux effectuésdepuis son propre réseau ; que l’accès soit réalisé à partir d’un terminal de l’entreprise ou du salarié ne change rien à l’équation et la solution technique envisagée pour offrir un accès internet aux équipements de type BYOD devra être capable de filtrer et de surveiller les accès sortants14.

1.5.9 Besoins matériels, logiciels et bande passante

La mise en place d’une infrastructure permettant d’accueillir des équipements BYOD nécessitera de déployer de nouvelles solutions techniques : équipements de contrôle d’accès, passerelles en frontière du SI– un déploiement ou au mieux un redimensionnement –, un outil de gestion de flotte de mobiles (à moins dechoisir une solution Cloud), voire une infrastructure complète permettant de créer à la demande des postes virtuels lorsqu’une solution VDI est retenue.

Ces nouvelles solutions techniques nécessiteront d’acquérir des matériels et logiciels : serveurs, systèmes d’exploitation, applications et services qui serviront à accueillir les nouveaux appareils BYOD et leur fournir les services attendus. D’un point de vue réseau, les besoins en bande passante sur le réseau interne devront être estimés pour prendre en compte l’augmentation du trafic induit : les tablettes engendrent par exemple nettement plus de trafic que les smartphones. L’accès au réseau interne se faisant en wifi, il est important de vérifier que les bornes wifi seront correctement dimensionnées pour assurer une bande passante suffisante ; elles doivent être capables de mettre en place de la qualité de service pour s’assurer

14 http://www.indexel.net/materiels/bring-your-own-device-dix-questions-pour-respecter-la-reglementation-3586.html


13

que les flux engendrés par les nouveaux équipements ne perturberont pas les flux des réseaux déjà existants et qui partagent les mêmes bornes.

Au-delà de ces quelques exemples, l’ensemble des besoins découlant des solutions techniques choisies devront être scrupuleusement évalués pour rentrer dans l’estimation de coût du projet dans son ensemble.

1.5.10 Stratégie de communication

La gestion de la communication est importante dans un projet qui implique fortement les utilisateurs et peut donner une image positive de l’informatique interne et plus globalement de l’entreprise. La communication doit délivrer les messages clés du programme, que ce soit sur les objectifs, les bénéfices attendus du côté des utilisateurs sans occulter les points que ces derniers devront respecter pour adhérer au programme BYOD.

La communication devra délivrer des messages clairs sur la répartition des dépenses (l’utilisateur disposera-t-il d’une indemnité ?), les conditions de support, les services et applications disponibles, les contraintes de sécurité (protection des données de l’entreprise), le respect de la vie privée, les appareils éligibles, les procédures à respecter en cas de perte de l’appareil, de suspicion de compromission, de départ de l’entreprise, etc.

Les utilisateurs seront informés par différents can aux de l’avancement du projet et, pour les heureux élus, pouvoir faire des retours sur leur expérience BYOD (email, sites Web entreprise, réseau social de l’entreprise, hiérarchie), qu’elle soit positive pour témoigner d’un gain de convivialité dans leur travail ou qu’elle permette de corriger des problèmes et d’améliorer la qualité du programme.

Un projet BYOD doit être l’opportunité de l’établissement – ou rétablissement – d’une communication à double sens entre l’informatique interne et les utilisateurs pour un bénéfice commun.


14

2 Bring Your Own Device: Approche Microsoft

2.1 Comment aborder le problème ?

Après avoir réalisé que l’avènement du BYOD était plus qu’une tendance éphémère mais s’apparentait à une véritable césure, il faut se poser la question de la manière dont on peut aborder ce changement majeur :il va falloir admettre que le changement de paradigme qui en découle doit être pris en compte. Heureusement, tout changement de paradigme n’implique pas forcément une remise en cause des principes de sécurité mais une évolution certaine de la vision confortable d’un environnement entièrement contrôlé vers un niveau de sécurité plus flou dans un périmètre qui n’a cessé de s’étendre au fur et à mesureque les frontières de sécurité du réseau interne s’estompaient.

Dans le cas du BYOD, l’élément d’incertitude qui s’ajoute à l’équation est le niveau de sécurité de l’équipement utilisé par l’utilisateur pour accéder aux actifs de l’entreprise. Durant la précédente période, l’undes principes de sécurité consistait à maitriser et contrôler tous les équipements ; tous les postes de travail étaient fournis par l’entreprise, construits selon des gabarits – les fameux « masters » - longuement testés et validés avant d’être déployés, référencés dans un annuaire (classiquement Active Directory). La configuration de sécurité était imposée par le biais de politiques de groupes et le maintien du niveau de sécurité assuré par un outil de gestion utilisé pour distribuer les correctifs de sécurité. Tout équipement n’entrant pas dans ce cadre était considéré comme indésirable, potentiellement dangereux et dont l’accès auréseau interne devait être au mieux refusé par la mise en place d’un dispositif de contrôle d’accès réseau (802.1X, isolation IPSec), mais plus souvent simplement interdit par la politique de sécurité de l’entreprise sans aucun contrôle.

Ainsi allait le monde de l’IT avant l’arrivée de nouveaux équipements s’exécutant sur des systèmes d’exploitation non-Windows, provenant du marché « consumer » et a priori sans être destinés ou adaptés à une utilisation en entreprise.

L’évolution courante qui selon toute vraisemblance est irrémédiable, fait voler en éclats le modèle déjà mis à mal pour l’ouverture nécessaire liée à la mobilité, modèle que l’on avait eu du mal à bâtir et que l’on continuait à vouloir faire perdurer. Pour embrasser la consumérisation et le BYOD, il devient inutile de vouloirrecoller à un modèle de défense périmétrique désormais désuet par une démarche consistant à accumuler les concessions et exceptions; il faut prendre du recul pour tenter de comprendre comment on peut élargir l’ancienne vision pour faire évoluer un modèle devenu inadapté en s’appuyant sur les grands principes de sécurité.

2.2 Les grands principes et l’évolution du modèle

Pour revenir aux fondamentaux, on doit distinguer les éléments suivants qui interagissent :

• Le consommateur de l’information qui, dans le cas qui nous intéresse, est l’utilisateur, la personne qui accède aux données au travers le plus souvent d’une application ;

• L’équipement dont se sert le consommateur pour pouvoir accéder à l’information ; il peut s’agir d’un poste de travail, d’une tablette, d’un smartphone qui constituent le périphérique ;

• Le canal de transmission ou de communication qui établit le lien entre l’équipement et l’informationou les données à consommer ; ce canal peut correspondre à une multitude de liens interconnectés,


15

du réseau 3G pour les accès mobiles au wifi de l’entreprise jusqu’au réseau interne de l’entreprise ou de son centre de données.

• Enfin, les données qui, accédées à travers des services de traitement, constituent ultimement les actifs auxquels le consommateur s’intéresse.

Pour assurer la sécurité sur l’ensemble de la chaine, il est nécessaire qu’elle soit prise en compte sur l’ensemble des éléments ci-dessus en respectant ces principes :

• Principe 1 : L’identité du consommateur doit être vérifiée et associée à une authentification forte.

• Principe 2 : L’équipement utilisé pour accéder aux données doit être sécurisé c’est-à-dire pouvoir prétendre à un niveau de confiance suffisant pour s’assurer qu’il ne puisse pas servir de vecteur de compromission ou d’intrusion (par exemple par le vol des informations d’authentification (credentials)de l’utilisateur, la diffusion d’un virus…) et qu’il puisse, si nécessaire, héberger des données sensibles avec un niveau de protection en adéquation avec les politiques de sécurité de l’entreprise.

• Principe 3 : Le canal de transmission doit être en mesure de protéger le trafic de bout en bout entre le consommateur et les données en garantissant la confidentialité et l’intégrité des données en transit avec authentification des deux extrémités : d’un côté le consommateur et l’équipement d’accès, de l’autre le serveur ou le service mettant les données à disposition.

• Principe 4 : L’accès aux données doit être protégé par un contrôle d’accès basé sur l’identité du consommateur et les autorisations associées à son rôle qui seront déduites de ses attributs et revendications (claims).

Figure : Les 4 principes fondamentaux de la sécurité

Ces principes de sécurité servent de guide depuis des lustres et on est en droit de se demander en quoi le phénomène du BYOD viendrait les remettre en cause ; les principes ne doivent pas, de fait, être revus ou modifiés – il est plus rassurant de disposer de principes intangibles – mais c’est leur mise en application qui va s’avérer nettement plus complexe.

C’est le principe 2, concernant la sécurité du terminal, dont l’application devient difficile du fait de la multiplicité des types de terminaux, des systèmes d’exploitation et de leurs versions, de la possibilité de les compromettre (jailbreak, rootkit) et du manque évident de contrôle que l’on peut en espérer.


16

Là où tous les efforts étaient faits dans le modèle précédent pour s’assurer d’un niveau maximum de confiance du terminal, on se retrouve dans une situation où, par souci d’offrir une liberté de choix des équipements aux utilisateurs, on se voit dans l’obligation de faire des concessions sur le niveau de connaissance, de contrôle et de sécurité du terminal. On augmente la zone de flou, l’indétermination sur la sécurité de l’équipement utilisé, ce qui semble aller complètement à l’encontre de l’objectif du précédent modèle consistant à garantir la maitrise complète de cet élément de la chaine.

Le principe 1 traitant de l’identité doit également être envisagé au-delà du périmètre de l’entreprise par le faitque la notion d’identité ne se limite plus à l’identité de l’entreprise mais, du fait de la consumérisation, à des identités non contrôlées directement par l’entreprise. En premier, l’identité sociale liée à l’émergence des réseaux sociaux dont l’importance dans la vie des personnes et leur rapport aux autres devient de plus en plus prégnant : c’est l’imbrication entre la vie privée et la vie professionnelle qui fait que cette identité, que l’on pouvait précédemment et à juste titre complètement ignorer vu du côté de l’entreprise, entre désormais dans le jeu.

En second, ce que l’on peut définir comme l’identité déléguée , c’est-à-dire l’identité gérée par un partenaireavec lequel une relation de confiance au sens de la fédération a été mise en place et contractualisée, qui pourra être permettre d’offrir l’accès à des services ou données en fonction des revendications associées à cette identité.

Enfin, le principe 4 associé à la protection des données est plus que jamais indispensable : dans la vision d’une extension de l’entreprise non seulement au-delà d’un périmètre bien délimité déjà mis à mal par la mobilité, la consumérisation et le BYOD imposent une protection au plus près des données qui deviennent ultimement le réel actif à protéger. La classification des données prend dès lors une importance vitale pourpermettre d’identifier les données sensibles et mettre en place les contrôles nécessaires pour les protéger en conséquence.

En synthèse, le modèle basé sur le niveau de confiance total dans la sécurité des terminaux par un contrôle que l’on voulait le plus strict possible, sur une identité uniquement liée et gérée par l’entreprise et une protection des données qui pouvait s’avérer dans la réalité déficiente par manque de mise en place d’une vraie classification, ne doit pas être rejeté mais étendu ; il doit prendre en compte désormais le fait que tous les terminaux se connectant au système d’information ne seront pas des terminaux connus de l’entreprise, que plusieurs types d’identité y compris des identités externes pourront être présentés par l’utilisateur et, enfin, que la protection des données devient critique pour s’adapter aux nouveaux risques dont le risque de fuite d’information.

2.3 La classification des terminaux

Dans le modèle précédent, la classification des terminaux était binaire:

• Soit l’équipement était connu de l’entreprise, référencé dans l’annuaire, authentifié et contrôlé et pouvait accéder au système d’information ;

• Soit l’équipement était inconnu donc potentiellement dangereux et sa connexion devait être systématiquement interdite.

Pour prendre en compte le BYOD, il est nécessaire d’étendre la classification des terminaux pour y ajouter deux catégories supplémentaires qui correspondent à des niveaux intermédiaires et permettent d’élargir la prise en compte des périphériques d’accès au-delà d’une vision purement binaire.


17

Figure : Classification des terminaux

Dans la représentation ci-dessus, on distingue désormais quatre catégories de terminaux :

• La catégorie « Unmanaged » englobe les équipements qui tentent de se connecter au réseau de l’entreprise mais qui sont complètement inconnus : le terminal n’est pas référencé dans l’annuaire d’entreprise, il n’est pas en mesure de s’authentifier et est hors de contrôle des outils de gestion. Selon la politique de sécurité et dépendant de l’existence de mécanismes de contrôle d’accès réseau, il pourra être autorisé à se connecter dans une zone lui donnant une visibilité réduite à quelques services accessibles en mode invité, par exemple un accès Internet. Le niveau de confiance des terminaux appartenant à cette catégorie est minimal car on ne dispose d’aucune assurance quant à leurs niveaux de sécurité : système d’exploitation utilisé, derniers correctifs de sécurité installés, protection anti-virus, pare-feu, etc.

• La catégorie « Loosely controlled » regroupe des équipements qui sont décrits dans une base de données utilisée par l’entreprise sans être référencés dans l’annuaire réseau central (généralement Active Directory). Ils ne sont pas gérés au niveau sécurité par les outils de management de l’entreprise ; ce qui rend leur niveau de confiance tout juste au-dessus de la catégorie précédente. La connexion au réseau ou au service s’effectue le plus souvent à travers une authentification de type identifiant-mot de passe, basée sur l’identité de l’utilisateur ou, dans le meilleur des cas, l’utilisation d’un certificat X50915. La politique de sécurité leur accordera un accès limité aux services de l’entreprise, ces services devant bénéficier d’un niveau élevé de protection ou d’une surface d’attaque réduite en relation avec la confiance limitée que l’on pourra accorder au terminal. Les données accessibles depuis le terminal ou pouvant y être stockées seront limitées à des données non critiques pour se garantir du risque de fuite d’informations sensibles.

On va retrouver classiquement dans cette catégorie les terminaux mobiles de type smartphone qui permettent à l’utilisateur d’accéder à sa messagerie d’entreprise ; ils sont référencés et contrôlés de manière « souple » à travers le protocole Exchange ActiveSync (EAS) qui autorise l’implémentation de politiques de sécurité basiques : exigence de la protection du périphérique par un mot de passe, politique du mot de passe, effacement du périphérique à distance, autorisation de l’accès aux piècesjointes, etc. Cependant, le protocole EAS ne permet ni de vérifier le niveau de sécurité du smartphone – par exemple est-il à jour des correctifs de sécurité ? – ni d’agir sur le terminal en lui téléchargeant des mises à jour. De plus, le périphérique ne s’authentifie pas en tant que terminal mais effectue la connexion au service à travers l’authentification de l’utilisateur.

15 Dans la suite du document, le terme certificat sera utilisé (sauf mention contraire) pour désigner un certificat X509 v3 délivré par uneinfrastructure à clé publique. Pour une présentation rapide se référer à l’article « PKI Certificates and the X.509 Standard »http://blogs.technet.com/b/option_explicit/archive/2012/04/09/pki-series-part-2-certificates-and-the-x.509-standard.aspx.


18

• La catégorie « Ligthly managed » concerne les terminaux qui sont référencés dans une base de données ou un annuaire de l’entreprise et gérés par un outil d’un point de vue sécurité. L’outil de gestion peut être hébergé sur des serveurs de l’entreprise où s’appuyer sur des offres de service dans le Cloud. L’intégration de ces terminaux passe par une phase d’enregistrement dans l’outil, cet enregistrement pouvant se faire en mode libre-service par l’utilisateur. Un module client est installé sur le terminal qui permet à l’outil de gestion d’avoir un contrôle sur le périphérique allant au-delà du contrôle offert par le simple protocole EAS : le pedigree précis du terminal est connu (version du système d’exploitation, etc.) et l’outil de gestion peut, à travers le client installé, vérifier le niveau de sécurité du terminal, par exemple si l’anti-virus est activé et les signatures récentes, si le pare-feu embarqué est bien activé. Il peut, si nécessaire, procéder à l’installation des derniers correctifs de sécurité et distribuer des applications. L’outil de gestion peut, au moment de l’enregistrement, installer un certificat X509 spécifique à ce terminal, qui pourra être utilisé pour son authentification etson référencement.

Par rapport à la catégorie précédente, il est important de noter que le périphérique est pris en charge d’un point de vue sécurité, qu’il est capable de s’authentifier ou a minima d’être reconnu indépendamment de son utilisateur; on est en mesure de faire la distinction entre le terminal et l’utilisateur du terminal tout en faisant apparaître une association entre l’utilisateur et le terminal à partir duquel il accède . Ce dernier point est important car il va permettre plus tard d’inclure le terminal dans la notion de contexte d’accès à l’information comme intégrant le doublet constitué de l’identité et du terminal.

Dans le contexte du BYOD, l’appartenance à cette catégorie peut être considérée comme intrusive par le fait que l’équipement personnel de l’utilisateur doit être référencé et contrôlé par le biais du logiciel client : c’est cependant la concession à faire pour se voir ouvrir un accès plus ouvert aux applications et services de l’entreprise. Comme exemple de terminaux appartenant à cette catégorie, on peut considérer les tablettes iPad d’Apple ou Windows RT de Microsoft prises en charge par un outil de gestion de flottes de terminaux (MDM) qui permet de s’assurer de leur référencement et de la gestion de leur sécurité. Pour étendre au-delà des terminaux mobiles, les postes Windows hors-domaine rentrent également dans cette catégorie si on leur associe un outil de gestion : à titre d’exemple, la prise en charge d’un ensemble de postes Windows non intégrés dans un annuaire Active Directory mais gérés par un outil de gestion de type Windows Intune permet à la fois un référencement des postes, une gestion de leur sécurité et en conséquence l’assurance d’un niveau de confiance dans le périphérique nettement supérieur à la catégorie précédente.

• La catégorie « Corporate managed » regroupe les terminaux qui sont référencés dans l’annuaire de l’entreprise (Active Directory) et sont complètement gérés et contrôlés à travers les outils de management internes. Les terminaux s’exécutant sous les systèmes Windows intègrent la possibilitéde faire partie d’un domaine Active Directory ce qui se concrétise par l’existence d’un compte d’ordinateur dans l’annuaire. Par rapport aux terminaux sans jonction à un au domaine, ils ont l’obligation de s’authentifier – chaque terminal dispose d’un mot de passe attribué et renouvelé de manière transparente – et reçoivent des paramètres de configuration de sécurité par le biais du mécanisme de stratégies de groupes (Group Policy Object ou GPO). Ces terminaux vont en conséquence disposer d’un niveau de confiance maximal selon une vision sécurité. Les outils de management s’assurent que les postes sont en conformité avec les politiques de sécurité de l’entreprise : les postes sont mis à jour avec les derniers correctifs de sécurité au niveau du système, des composants, librairies et applications, les signatures anti-virus sont récentes, le pare-feu est actif et dûment configuré en selon les règles définies etc.

De plus, l’intégration au domaine apporte un bénéfice additionnel important d’un point de l’expérience utilisateur : la signature unique (Single Sign-On ou SSO). Le terminal étant connu de


19

l’annuaire et authentifié, l’utilisateur peut ouvrir une session authentifiée avec une identité égalementdécrite dans l’annuaire ; l’accès à l’ensemble des ressources déclarées dans Active Directory se fait dès lors de manière transparente sans que l’utilisateur n’ait à fournir une nouvelle fois ses informations d’authentification (credentials).

La distinction entre le terminal et l’utilisateur est naturelle car les deux sont décrits dans l’annuaire sous forme d’objets différents et le terminal dispose d’attributs ou de revendications qui peuvent êtrepotentiellement utilisés pour le caractériser et les prendre en compte dans les politiques de contrôle d’accès.

Le terminal peut être inclus dans des groupes de sécurité pour, par exemple, être ou non autorisé à communiquer avec d’autres points de terminaison par le biais du mécanisme d’isolation IPSec.

Ces terminaux correspondent au modèle où les postes sont entièrement sous contrôle de l’IT ; ce modèle est le plus rassurant d’un point de vue sécurité mais également le plus contraignant dans une vision BYOD où l’on souhaite a contrario offrir plus de souplesse vers d’autres types de périphériques et une plus grande liberté pour l’utilisateur. Dans la réalité, on devra s’attendre à un mixte entre des terminaux « Corporate Managed » qui offriront le niveau de confiance requis pour accéder à l’ensemble des ressources de l’entreprise y compris les données critiques, et d’autres terminaux classés dans les catégories de confiance moindre pour lesquelles les politiques d’accès seront plus restrictives.

En synthèse, sur le sujet des périphériques d’accès, la prise en compte du BYOD implique de passer d’une vision « binaire » dans la catégorisation des terminaux vers une vision plus nuancée ; l’ajout de deux nouvelles catégories permet d’embrasser et d’autoriser les nouveaux scénarios autour de périphériques ne rentrant plus dans le modèle précédent.

2.4 Le contexte d’accès

Dans ce paragraphe, nous allons introduire une notion fondamentale dans l’extension de la vision du modèlepour la prise en compte des scénarios BYOD : la notion de contexte d’accès .

L’un des principes immuable de la sécurité est d’accorder au consommateur un accès aux informations en fonction de son rôle ; il doit avoir les autorisations nécessaires pour accéder uniquement aux informations dont il a besoin et pas plus (principe du moindre privilège – least-privilege). C’est ce que rappelle (en partie) le principe 4 énoncé précédemment :

« L’accès aux données doit être protégé par un contrôle d’accès basé sur l’identité du consommateur et les autorisations associées à son rôle qui seront déduites de ses attributs et revendications (claims). »

On présuppose implicitement que :

1. le niveau de confiance dans l’identité du consommateur est maximal ;

2. le niveau de confiance dans le fait que ce soit bien le consommateur qui se présente est maximal par le biais de la force de l’authentification ;

3. le niveau de sécurité du terminal d’accès est maximal (si on envisage simplement que le terminal estcorrompu, la confiance dans l’identité de l’accédant tombe à zéro) ;

4. Le niveau de confiance sur la communication entre le terminal et l’information est maximal.


20

Ces postulats deviennent inexacts dès lors que le niveau de confiance de chacun de ces éléments peut varier : l’identité du consommateur n’est plus forcément une identité gérée en interne et devient liée à la confiance dans le tiers qui gère cette identité ; l’authentification peut s’appuyer sur un principe de mot de passe faible ; la sécurité du terminal dépend du niveau de connaissance et de contrôle que l’on peut en avoir ; la communication peut être initiée depuis des endroits impactant fortement son niveau de confiance, par exemple un cyber-café ou un hall d’aéroport.

Dans une approche plus ouverte de la sécurité rendue nécessaire par la consumérisation et le BYOD, on se doit donc de prendre en compte le fait que le niveau de confiance des différents éléments en jeu peut varier ;pour ce faire on va introduire le concept de contexte d’accès.

Le contexte d’accès va dépendre de quatre paramètres : l’identité , l’authentification , l’emplacement depuis lequel le consommateur se connecte et enfin le terminal utilisé.

Figure : Notion de Contexte d'accès

• L’identité pourra se décliner sous trois formes : une identité « Corporate » c’est-à-dire complètement maîtrisée, gérée par l’entreprise à travers son système de gestion des identités ; une identité fédérée (ou partenaire) non gérée par l’entreprise mais qui, par l’intermédiaire d’une relation de confiance au sens de la fédération, sera présentée aux applications sous forme d’un jeton décrivant l’identité et les caractéristiques associées ; enfin, une identité sociale auto-déclarée par l’utilisateur et comme son nom l’indique servant à se connecter sur les réseaux sociaux. Ces trois identités disposeront de niveaux de confiance différents qui autoriseront des scénarios d’accès distincts et dépendants des ressources accédées. A titre d’exemple, l’illustration ci-dessous représente la page de sélection d’identité proposée par le serveur de jetons de fédération pour se connecter sur le portail Windows Azure.


21

Figure : Différents types d'identités

• L’authentification est classée selon quatre niveaux : faible, moyen, fort et multi-facteur . L’authentification de niveau faible correspond par exemple à une authentification par mot de passe pour lequel aucune politique de sécurité restrictive n’est imposée : l’utilisateur peut sélectionner un mot de passe avec un nombre réduit de caractères, une entropie faible ou choisir parmi la liste des mots de passe les plus courants (par exemple : en 1ère place pour l’année 2012, « password », puis« 123456 »…). Une authentification moyenne correspondra à une authentification par mot de passe mais sur laquelle une politique de sécurité plus « sérieuse » est appliquée imposant par exemple au minimum 13 caractères avec des critères de complexité, une gestion de l’historique, etc. Une authentification qualifiée de forte pourra s’appuyer sur l’utilisation d’un certificat logiciel éventuellement protégé par TPM. Enfin, une authentification multi-facteur reposera, comme son noml’indique, sur une solution mettant en œuvre plusieurs facteurs comme la possession d’une carte à puce associé à celle de son code PIN.

• La localisation prend en compte l’endroit depuis lequel le consommateur établit la connexion à partir de son terminal. La distinction la plus évidente se fera entre une connexion depuis l’intérieur des bâtiments de l’entreprise en comparaison d’une connexion depuis l’extérieur, même si d’un pointde vue de l’utilisateur, on souhaite rendre l’expérience la plus transparente. En connexion depuis l’intérieur, on peut effectuer une distinction entre une connexion filaire qui impose un franchissement des contrôles d’accès physiques de l’entreprise pour se connecter, et une connexion wifi qui peut déborder au-delà des frontières physiques des bâtiments. Enfin, concernant les accès externe, on n’attribuera pas le même niveau de confiance selon que la connexion est initiée depuis la maison ouun hôtel, depuis des lieux publics (cybercafé, aéroport) depuis le pays ou en-dehors de frontière.

• Le terminal utilisé pour accéder à l’information représente le dernier critère dont le niveau de confiance influe dans l’évaluation du contexte d’accès ; il sera regroupé dans les catégories « Unmanaged », « Loosely Controlled », « Lightly Managed » ou « Corporate Managed » décrites précédemment.

Au terme de cette catégorisation, on peut définir un niveau de confiance global lié au contexte d’accès qui sera fonction du niveau de confiance de chacun des quatre paramètres : Identité, Authentification, Localisation et Terminal.


22

Pour être complet, il faut ajouter que les quatre critères ne sont pas complètement indépendants ; par exemple l’identité et l’authentification sont liées dans le sens où certaines associations n’auront pas de sens : quel est l’intérêt, vu de l’entreprise, de disposer d’une authentification multi-facteur sur une identité sociale ? L’accès aux ressources de l’identité sociale est bien protégé mais l’identité auto-déclarée n’en est pas plus sûre.

Note:

Dans ce modèle, la notion d’identité est associée implicitement à une personne humaine mais onpourrait envisager de parler d’identité d’un terminal – il s’agit d’un objet avec des attributs et qui peuts’authentifier – comme de l’identité d’un code qui s’exécute. Le Gartner16 introduit la notion d’identitécarbone ou silicium (carbon-based ou silicon-based) pour effectuer cette distinction, nous rappelant parcette dénomination que nous sommes des êtres principalement structurés autour d’atomes de carbone.

2.5 Politiques de sécurité: l’équation complète

Pour terminer l’approche qui va permettre ensuite de déterminer les nouveaux scénarios BYOD qui seront autorisés, il faut parvenir à finaliser l’équation complète en prenant en compte la sensibi lité des données et services qui sont accédés et les politiq ues de sécurité de l’entreprise .

Toute politique de sécurité impose comme obligation d’effectuer une classification des actifs de l’entreprise en fonction de leur niveau de sensibilité ; pour prendre l’exemple de l’informatique interne de Microsoft, les données sont réparties dans trois catégories : des moins sensibles pour la catégorie « Low Business Impact » (LBI), à moyennement sensibles pour la catégorie « Medium Business Impact » (MBI), aux plus critiques qui feront partie de la catégorie « High Business Impact » (HBI). D’autres critères sont également pris en compte comme les aspects liés aux exigences réglementaires ou aux données personnelles. Cette classification en trois catégories permet d’adapter au mieux les contrôles d’accès pour renforcer la protectiondes données en fonction de leur sensibilité et autoriser des scénarios en fonction des politiques de sécurité définies par la cellule sécurité de l’entreprise.

En plus des données, on peut considérer certaines applications comme sensibles par le fait qu’elles manipulent ou hébergent des données sensibles. Par exemple, une application bancaire qui manipulerait des données personnelles serait à prendre en compte par le fait même qu’elle traite des données sensibles.

Le dernier élément de l’équation est la politique de sécurité de l’entreprise : c’est elle qui décidera des scénarios autorisés ; En fonction de la sensibilité de l’information ou d u service ciblé, c’est la politiquede sécurité qui décidera ou non d’autoriser le scén ario d’accès en fonction du niveau de confiance du contexte d’accès .

Illustrons ce principe par un cas concret :

Un utilisateur qui occupe le poste de juriste dans l’entreprise travaille sur des documents contractuels confidentiels. Lorsqu’il est à l’intérieur de l’entreprise, il utilise un poste Windows « Corporate Managed » protégé par la technologie BitLocker pour le chiffrement de son disque et s’authentifie par carte à puce (authentification multi-facteur) sur le réseau filaire: dans ce scénario, il est autorisé à accéder aux contrats confidentiels.

Ce même utilisateur se connecte en réunion en wifi à partir d’une tablette (catégorie « Lightly Managed ») et s’authentifie sur le réseau avec un certificat X509 protégé par la puce TPM de ce périphérique. On voit que trois éléments ont varié dans le contexte d’accès: le niveau de confiance

16 2013 Planning Guide: Identity and Privacy, Gartner, November 2012.


23

du terminal qui n’appartient plus à la même catégorie, le niveau de confiance de l’authentification quiest descendu d’un niveau, le niveau de confiance de la localisation qui change d’une connexion filaire à wifi. L’identité est restée la même.

La question qui se pose dès lors est la suivante : considère-t-on que le niveau de confiance du nouveau contexte d’accès est suffisant pour autoriser l’accès aux contrats confidentiels ? La réponse est du ressort de la politique de sécurité qui autorisera ou non l’accès dans ce scénario.

2.6 Rôle et autorisations

On remarquera que l’on ne fait pas directement apparaitre la notion de rôle dans l’équation précédente. En effet, le rôle ne fait pas partie du contexte d’accès tel qu’on l’a défini précédemment mais permet de définir lemétier de l’utilisateur dans l’entreprise et est associé à l’identité. Il peut varier au cours du temps, par exemple lorsque la personne change de fonction. Le rôle va pouvoir être utilisé par les applications pour contrôler l’accès en fonction des autorisations.


24

3 Les directions de solution

Après la description de l’approche nécessaire pour aborder le BYOD dans sa vision sécurité qui a fait l’objet du chapitre précédent, l’objectif de ce chapitre est d’aborder de manière plus concrète quelles sont les briques techniques qui vont permettre d’implémenter une solution BYOD tout en s’appuyant sur les principesde sécurité énoncés précédemment. Certaines de ces briques sont déjà disponibles dans les versions antérieures de la plateforme Microsoft Windows Server 2012, alors que d’autres ne sont intégrées que sur cette dernière version (par exemple, la classification automatique des fichiers, le contrôle d’accès dynamique). D’autres briques comme l’outil de gestion de flotte de mobiles (MDM) correspondent à des solutions tierces ou à des solutions Microsoft comme Windows Intune17 et sont disponibles indépendammentde la plateforme Windows Server 2012.

3.1 MDM et VDI : l’unique réponse ?

Si l’on se réfère aux directions les plus évidentes qui sont mises en avant pour « résoudre » la problématique du BYOD, on ne cesse de s’entendre répéter le mantra « MDM et VDI ».

L’utilisation d’un outil de gestion de flotte de mobiles (MDM) est effectivement indispensable car il constitue l’équivalent de l’outil de management des postes de travail : sans un minimum de connaissance et de contrôle de son parc de terminaux, il est difficilement concevable de maitriser la sécurité de ces périphériques.

L’outil de MDM peut correspondre à une offre spécialisée tournée uniquement sur la gestion des terminaux mobiles et devra alors s’intégrer avec l’infrastructure déjà en place, ou être déjà disponible dans l’outil de management de l’entreprise ; on peut alors considérer la fonction MDM comme une extension de l’outil de management préexistant.

D’un autre côté, la virtualisation au sens VDI (Virtual Desktop Infr astructure) ne correspond qu’à l’une des réponses possibles pour accéder aux applications ou données de l’entreprise. Cette solution a pour avantage de faire cohabiter deux mondes sur le même périphérique : le monde de l’entreprise avec son poste de travail Windows virtualisé et l’univers du terminal lui-même. Par contre, l’expérience utilisateur pêche par un manque d’intégration entre les deux environnements. Cet aspect bicéphale qui évite tout mixte entre les deux expériences fait que certains n’hésitent pas à considérer cette solution comme une solution de transition ; elle permet de limiter l’impact sur l’existant mais en laissant perdurer deux environnements peu intégrés.

D’un point de vue sécurité, le fait que les données de l’entreprise ne puissent pas être recopiées sur le terminal est rassurant ; du côté de l’utilisateur, la séparation entre ses données privées stockées sur le terminal et les données de l’entreprise est également un plus. Mais ce mode d’accès ne doit pas laisser penser que la sécurité du terminal n’est plus un enjeu : si le périphérique est mal protégé, les informations d’identification de l’utilisateur peuvent être volées, donnant alors un accès direct au réseau de l’entreprise.

Enfin, le point faible de la solution VDI, basée sur le principe de déport d’écran, est l’impossibilité de travailleren mode hors-connexion.

En synthèse, la solution VDI présentée comme l’unique, voire la meilleure réponse au BYOD, n’est qu’une des solutions : elle pourra s’avérer adaptée dans certains scénarios mais ne doit pas être considérée commela mieux adaptée à l’ensemble des scénarios.

17 Windows Intune, http://www.microsoft.com/fr-fr/windows/windowsintune/pc-management.aspx


25

3.2 Les 4 niveaux de protection

On a défini au paragraphe § 2.2 « Les grands principes et l’évolution du modèle » les éléments entrant en jeu dans l’équation c’est-à-dire le consommateur, l’équipement (périphérique), le canal de transmission et enfin les données accédées. Dans une vision de protection, on s’appuiera sur une décomposition orientée couches « réseau » ce qui permettra de détailler quelles protections peuvent être envisagées sur les différents niveaux.

Figure : Les 4 niveaux de protection

• Le niveau Equipement (terminal) désigne les terminaux mobiles en intégrant, le système d’exploitation, les applications clientes permettant d’accéder aux ressources de l’entreprise et les autres logiciels présents sur le terminal. On inclut les applications permettant à l’utilisateur de gérer lui-même le terminal et le client déployé par le logiciel de gestion de flotte de mobiles (MDM) en mesure d’imposer les politiques de sécurité, de surveiller et de générer des rapports relatifs au terminal.

• Le niveau Réseau comprend l’infrastructure réseau qui fournit la connectivité au réseau de l’entreprise soit par un accès direct au réseau local de l’entreprise ou, indirectement à travers des passerelles de type VPN.

• Le niveau Service est constituée de la collection de services applicatifs, s’exécutant dans le centre de données de l’entreprise ou dans le Cloud et apportant des fonctionnalités métier ou l’accès à l’information ; par exemple Exchange, SharePoint, Remote Desktop Service (RDS) ou applications Web.

• Le niveau Données regroupe les données hébergées dans l’entreprise ou le Cloud, et qui sont accédées à travers des applications. Ceci comprend notamment courriels, contacts, documents bureautiques ou autres (PDF) de même que toutes les informations stockées dans des bases de données.

En transversal, on considérera la possibilité d’authentification de l’utilisateur et du terminal sur chacune de ces couches. De même, les autorisations d’accès aux ressources seront dictées par l’identité et d’une manière plus générale par le contexte d’accès. L’audit de l’accès pourra être effectif sur l’ensemble des couches.


26

Les paragraphes suivants utilisent cette décomposition pour décrire les solutions à adopter sur chacun de ces niveaux.

3.3 Authentification-identification du terminal

On a vu l’importance, dans la prise en compte du contexte d’accès, d’être en mesure de déterminer le niveau de confiance que l’on peut avoir dans le terminal et dans l’identité de la personne qui l’utilise. L’un des moyens les plus couramment utilisé pour bénéficier d’une authentification relativement forte est le certificat. Le certificat peut servir à authentifier le termina l et/ou la personne auprès des contrôles d’accès jusqu’au niveau des applications. Le certificat est distribué par l’entreprise et sa possession – en plus de la possession de la clé privée associée – permet de s’assurer que l’identité du consommateur est une identité d’entreprise (Corporate) (se référer à la classification des identités) et que le terminal est également géré par l’entreprise.

Pour s’adapter à l’ouverture du BYOD, il est nécessaire de pouvoir associer tout terminal à une identité etadmettre qu’une identité pourra être associée à plusieurs termi naux , chacun avec un niveau de confiance différent. L’association identité-terminal peut sembler aller à l’encontre du principe d’itinérance qui permet à un même utilisateur de changer de poste de travail tout en retrouvant son environnement de travail ; mais, dans un scénario BYOD, on traite avec des périphériques issus du monde « grand public » que l’on doit considérer comme des objets personnels et donc associés à une unique identité.

Dans le contexte actuel, peu d’éléments de contrôle d’accès sont en mesure d e prendre en considération le certificat associé à un terminal dans un processus d’authentification. Par exemple, les accès protégés aux applications Web s’appuient sur l’établissement d’une session SSL/TLS (https) qui peut, si nécessaire, authentifier la partie initiatrice mais s’appuie plutôt sur un certificat utilisateur qui porte l’identité de la personne.

On peut cependant citer quelques exceptions :

• Le contrôle d’accès réseau 802.1X qui est utilisé principalement pour l’accès des terminaux à un réseau wifi et, en moindre mesure, au réseau filaire ;

• La protection des flux réseau par IPSec qui peut s’appuyer sur des certificats machine pour identifierles deux extrémités de la connexion; malheureusement, l’implémentation IPSec est loin d’être disponible sur les périphériques grand public qui entrent dans les scénarios BYOD, et la protection des flux par IPSec est encore peu implémentée en entreprise, excepté sur le réseau interne Microsoft qui l’a déployé depuis déjà plusieurs années.

• L’authentification des postes Windows sur l’annuaire Active Directory s’effectue à travers le protocoleKerberos qui, bien que s’appuyant sur une clé symétrique, permet l’ouverture de session par certificat (par carte à puce physique ou virtuelle).

La solution que nous préconisons est de s’appuyer sur les certificats client associés à l’identité de l’utilisateuret qui seront utilisés dans le cadre de l’authentification mais également d’estampiller ce certificat pour prendre en compte le terminal sur lequel il sera déployé. Par ce biais, on réalise une authentification de l’utilisateur (catégorie forte ou multi-facteur), on crée une association entre le terminal et l’identité, et on identifie la catégorie d’appartenance du terminal. Ce principe ne concerne que les terminaux pour lesquels on impose une procédure d’enregistrement (« Corporate managed », « Lightly managed » et éventuellement« Loosely controlled ») qui permet de leur délivrer un certificat émis par l’infrastructure de gestion de clés (PKI) de l’entreprise.


27

D’un point de vue technique, l’information concernant le terminal et véhiculée par le certificat lors de l’authentification de l’utilisateur, peut être traité par le mécanisme d’Authentication Assurance 18 qui permet d’intégrer dynamiquement l’utilisateur dans un groupe de sécurité en relation avec la qualité du terminal.

Figure Authentification du terminal par certificat

Un autre élément, la revendication (claim), peut être utilisé pour qualifier le terminal. Ce nouvel attribut, associé à la description d’un compte ordinateur dans Active Directory, peut être renseigné pour être ensuite utilisé comme critère de détermination du niveau de confiance du terminal.

Dans le cadre du BYOD, son utilisation sera restreinte aux terminaux « Corporate managed » (et équipés dusystème d’exploitation Windows 8 minimum) qui sont les seuls à disposer d’un compte ordinateur dans l’annuaire Active Directory. Par contre, cette information peut être utilisée pour apporter plus de granularité dans la gestion des terminaux de la catégorie « Corporate managed » : il est possible de filtrer les accès à des ressources fichiers en s’appuyant sur des règles d’accès dynamiques qui prendront en compte les revendications associées au terminal.

3.4 Protection niveau couche périphérique

3.4.1 Gestion et contrôle des terminaux : Le MDM

Les MDM présentent idéalement les fonctionnalités permettant de couvrir les principaux risques liés à l’introduction dans l’entreprise d’une multitude de périphériques issus du marché grand public. De plus, leur cycle de renouvellement est rapide pour faire face à un marché très concurrentiel où l’innovation est un moteur puissant pour augmenter ou tout simplement conserver ses parts de marché.

Ce rythme et cette hétérogénéité ne sont pas en rapport avec ce que l’entreprise est en mesure d’assurer : les équipes IT sont habituées à sélectionner les modèles des postes de travail, à les commander en masse aux constructeurs ou OEM pour s’assurer d’une homogénéité maximale. Ensuite le matériel est validé avec

18 Authentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide http://technet.microsoft.com/en-us/library/dd378897%28v=ws.10%29.aspx et Authentication mechanism assurance in Windows Server 2008 R2 http://blogs.technet.com/b/activedirectoryua/archive/2008/11/21/authentication-mechanism-assurance-in-windows-server-2008-r2.aspx


28

la version du master à date avant de pouvoir être distribué ; le cycle de vie du terminal est ensuite classiquement de 3 ans.

Dans la tentative de maîtriser le chaos et d’assurer un minimum de contrôle sur la multiplicité des périphériques, le MDM est l’approche la plus évidente pour s’abstraire de cette hétérogénéité que l’IT n’aura pas les moyens d’embrasser.

Le MDM doit offrir un ensemble de fonctionnalités liées au contrôle et la gestion du terminal. Il doit être en mesure de détecter les périphériques qui tentent de se connecter et offrir un principe d’enrôlement simple pour l’utilisateur. Le maintien du niveau de sécurité du terminal est primordial de même que la gestion de soncycle de vie: le « deprovisioning » doit s’assurer que toutes les données de l’entreprise sont effacées ou inutilisables lorsque l’utilisateur change de terminal ou quitte l’entreprise.

Figure Enregistrement du périphérique et Mobile Device Management

L’entreprise a le choix de poser des limites dans les périphériques qui sont autorisés en se limitant aux plateformes les plus utilisées, celles qui sont correctement gérées par le MDM, et en fonction de sa propre analyse sur les fonctions de sécurité nécessaires et qui ne pourraient être assurées par le périphérique lui-même (par exemple chiffrement, utilisation de certificats, etc.).

L’isolation entre données privées et données entreprise doit être effective pour s’assurer une meilleure adoption par les utilisateurs et respecter la séparation entre les utilisations privée et professionnelle ; l’effacement doit être sélectif lors du deprovisioning du périphérique.

Au-delà de l’aspect purement sécurité, une fonction importante du MDM est la distribution ou la mise à disposition des applications de l’entreprise à travers un store privé.

La plateforme MDM peut être disponible sous forme d’une solution sur site (on-premise) ou, de plus en plus, à travers une offre SaaS (Software-as-a-Service) hébergée dans le Cloud. Pour l’une ou l’autre des solutions, l’intégration avec l’annuaire ou la base de données de gestion des postes de travail et le référentiel des identités de l’entreprise permet gérer de manière cohérente l’ensemble des périphériques y compris les mobiles et les identités qui leur sont associées.


29

En synthèse, le MDM est l’outil de gestion qui va permettre d’assurer la sécurité des périphériques mobiles dans la catégorie « Lightly managed » définie précédemment en prenant en compte l’hétérogénéité des périphériques et d’offrir une politique de sécurité cohérente pour la catégorie19.

3.4.2 Portail d’enregistrement

Le portail d’enregistrement est un moyen simple mis à disposition des utilisateurs souhaitant utiliser des terminaux personnels dans le cadre du travail. Il permet à tout utilisateur connecté sur le réseau de l’entreprise d’enregistrer son périphérique après s’être lui-même authentifié. C’est un moyen simple de lui faire prendre connaissance et des aspects contractuels liés à l’utilisation des terminaux personnels et obtenirson approbation. Dans la suite de la procédure d’enregistrement, le terminal devra recevoir un certificat X.509 permettant de l’identifier comme étant enregistré dans l’entreprise et associé à une identité. Ce certificat sera ensuite utilisé pour l’authentification de l’utilisateur et la détermination de la catégorie du périphérique. Selon l’outil de MDM, il sera ou non nécessaire d’installer une partie cliente sur le terminal. Enfonction des capacités du terminal, des applications utilisées pour l’accès à des messages protégés (par exemple par Active Directory Rights Management Services20, AD RMS) ou pour l’accès à des serveurs de fichiers devront être installés automatiquement.

Une vérification du statut de la personne authentifiée pourra être réalisée pour valider si elle fait partie d’une population manipulant des données sensibles et n’autoriser en conséquence que certains types de terminaux.

19 InformationWeek Reports, Mobile Device Management, Report ID: R3321111, November 2011

20 Active Directory Rights Management Services Overview : http://technet.microsoft.com/en-us/library/74272acc-0f2d-4dc2-876f-15b156a0b4e0.aspx


30

3.5 Protection au niveau couche réseau

3.5.1 Contrôle d’accès réseau

Le contrôle d’accès réseau constitue la première barrière à l’entrée du réseau d’entreprise. La technologie 802.1X est largement déployée avec la mise à disposition des réseaux wifi mais beaucoup moins dès lors qu’il s’agit de protéger les accès filaires. On peut s’étonner que cette technologie qui n’est pas récente et largement implémentée dans les équipements réseau ne soit pas plus utilisée pour la protection du réseau filaire mais plusieurs points rendent son déploiement délicat : l’hétérogénéité des équipements réseau (switch) que l’on peut rencontrer dans les grandes entreprises, l’utilisation et la gestion des VLAN, la gestion des exceptions c’est-à-dire des équipements comme les imprimantes qui ne sont pas équipés d’un client 802.1X (supplicant), la disponibilité des serveurs Radius qui pilotent les switches car, si le service devient indisponible, aucun des postes ne sera plus en mesure d’accéder au réseau, la quasi-nécessité de déployer et de gérer une PKI pour distribuer des certificats sur l’ensemble des postes, etc.

Dans le cadre du BYOD, on s’intéressera, dans un premier temps, au réseau wifi utilisé par les périphériques de type smartphone et tablette qui ne sont pas équipés de prise réseau filaire sans oublier que, dans un deuxième temps, les postes de travail mobiles pourront rentrer dans le périmètre et devoir se connecter sur le réseau filaire.

Le point important est que le certificat déployé sur le terminal durant sa pha se d’enregistrement serviraà l’authentification pour le franchissement du contrôle d’accès réseau: le gabarit du certificat sera choisi pour permettre au serveur Radius d’utiliser les informations pour authentifier l’utilisateur du terminal et ouvrir le port du switch autoriser l’accès au réseau interne. Tout terminal n’ayant pas été enregistré et ne disposant donc pas d’un certificat ne sera pas en mesure de se connecter sur ce réseau wifi.

Pour accueillir les terminaux des catégories « Unmanaged » ou « Loosely Controlled », un réseau wifi invité sera prévu qui autorisera une authentification par mot de passe mais offrira un accès restreint au réseau interne ; l’utilisateur disposera a minima d’un accès internet sortant et éventuellement d’un accès à une passerelle interne sous condition d’authentification.

Note:

Pour description précise de la manière dont le contrôle d’accès réseau peut être déployé en entrepriseen s’appuyant sur les technologies Microsoft, consultez « Network Access Protection »http://technet.microsoft.com/en-us/network/bb545879.aspx21

3.5.2 Protection réseau

Une fois le contrôle d’accès réseau franchi, le terminal se voit attribuer une adresse IP qui lui donne une visibilité complète au sens IP sur le réseau interne de l’entreprise. L’utilisateur connecté sur le terminal peut alors accéder à l’ensemble des applications et services en fonction de ses autorisations. Dans ce schéma, siles permissions mises en place sur les ressources ne sont pas gérées de manière optimale, l’utilisateur peut se voir accorder l’accès à des informations auxquelles il n’aurait logiquement pas le droit d’accéder. Dans le cas de données sensibles, une protection supplémentaire par le biais d’une connexion sécurisée IPSec peut être mise en place pour « masquer » les serveurs hébergeant ces données.

21 Network Access Protection : http://technet.microsoft.com/en-us/network/bb545879.aspx


31

IPSec est un standard autorisant, avant l’établissement d’un dialogue IP, une authentification des deux parties. L’authentification peut s’appuyer efficacement sur une authentification Kerberos ou par certificat. Contrairement à ce qui est communément entendu, un dialogue IPSec n’est pas forcément chiffré . L’utilisation du protocole IPSec/ESP permet de garantir l’authentification mutuelle et l’intégrité du dialogue tout en le laissant visible la communication pour une analyse par les systèmes de prévention d’intrusion (IPS). Dans un scénario BYOD, des politiques IPSec pourront être mise en place sur les serveurs contenant des données sensibles pour imposer un dialogue IPSec, éventuellement chiffré et un niveau d’authentification, par exemple par certificat. En conséquence, si le périphérique est incapable d’établir une communication IPSec ou de s’authentifier, il ne sera pas en mesure de « voir » le serveur ciblé. Ce principe de protection par IPSec est appelé « isolation de serveurs » et est déployé depuis maintenant de nombreuses années par le service informatique interne de Microsoft pour protéger les serveurs critiques hébergeant le code source des produits.

Pour illustrer par un exemple, supposons que le serveur hébergeant les données juridiques classifiées HBI soit protégé par IPSec : une tablette iPad ne disposant pas de pile IPSec ne pourra pas établir de dialogue avec ce serveur ; par contre, une tablette Windows RT qui disposerait d’un certificat valide déployé dans le cadre de la procédure d’enregistrement, pourra s’authentifier et communiquer ensuite à travers une connexion sécurisée par IPSec avec ce serveur.

Note:

Pour description précise de la manière dont IPSec peut être utilisé pour la protection du réseau internede l’entreprise en implémentant les principes d’isolation de domaine et d’isolation de serveurs,téléchargez le livre blanc (très mal nommé) Windows Firewall with Advanced Security Design andDeployment Guide22

3.6 Protection au niveau couche service

3.6.1 Fédération- Accès aux applications Cloud

La plateforme Microsoft embarque depuis plusieurs années des services de fédération (Active Directory Federation Services) avec une interopérabilité renforcée par l’implémentation du protocole SAML 2.0 depuis la version AD FS 2.0. Le principe de la fédération ou du Web SSO repose sur l’utilisation d’un jeton au format SAML qui renseigne sur l’identité de l’utilisateur et contient des revendications (claims) ajoutant deséléments supplémentaires de contexte supplémentaires qui seront exploités par l’application pour lui accorder des autorisations. La plateforme Windows Server 2012 apporte, à travers les fonctions de Dynamic Access Control, la prise en compte des revendications pour les utilisateurs et les périphériques. Ces revendications sont déclarées dans Active Directory et directement exploitables dans la définition des règles d’accès aux ressources comme décrit au paragraphe § 3.7.1 « Contrôle d’accès dynamique ».

Il s’agit d’un changement majeur depuis les toutes premières versions serveur des systèmes d’exploitation Windows qui n’utilisaient jusqu’à maintenant que les groupes pour positionner les permissions sur les ressources. Pour des annuaires Active Directory de plusieurs dizaines de milliers d’utilisateurs, on pouvait aboutir à une inflation du nombre de groupes rendant complexe la gestion des permissions sur les ressources. Cette volonté d’implémenter les revendications au niveau système opère un rapprochement intelligent entre la définition des permissions sur les ressources hébergées sur les serveurs de fichiers et les autorisations utilisables par les applications et services Web qui peuvent être déployés sur site (on-premise) ou disponibles dans le Cloud. Microsoft Office365, pour sa partie SharePoint Online constitue un bon

22 Windows Firewall with Advanced Security Design and Deployment Guide : http://www.microsoft.com/en-us/download/details.aspx?id=17077


32

exemple d’application accessible depuis un navigateur et qui sait consommer un jeton SAML décrivant l’identité de l’utilisateur.

La mise en œuvre de la fédération nécessite le déploiement d’un serveur de jetons (Security Token Service ou STS) en interne de l’entreprise pour, après authentification de l’utilisateur, émettre des jetons à destination d’applications fédérées. Dans un environnement Microsoft, l’annuaire Active Directory sera sollicité pour assurer l’authentification des utilisateurs et fournir au STS des informations complémentaires sur l’utilisateur qui pourront être des attributs, des revendications , les groupes auxquels l’utilisateur appartient . Pour prendre en compte le terminal à partir duquel l’utilisateur accède à l’application, il est possible de s’appuyer soit sur les revendications du terminal – nécessite un terminal Windows 8 minimum et déclaré dans le domaine Active Directory – ou sur les appartenances aux groupes dynamiques par le biais du mécanisme de l’Authentication Assurance. Selon le même principe, on sera en mesure de déterminer si une authentification multi-facteur a été utilisée par l’utilisateur lors de l’ouverture de session surle terminal. Au final, le serveur de jetons est donc en mesure d’émettre ou non un jeton d’accès à l’application en fonction de revendications utilisateur, du type de terminal et du niveau d’authentification ce qui correspond à l’implémentation recherchée pour satisfaire au modèle.

Note:

Pour plus de détails sur Microsoft Office 365 et la fédération, veuillez consulter le livre blanc MicrosoftOffice 365 Single Sign-On (SSO) with AD FS 2.023

3.6.2 Protection/Publication des applications

La protection des applications s’appuie classiquement sur l’utilisation de passerelles qui peuvent assurer différentes fonctions :

• La pré-authentification des utilisateurs réduit la surface d’attaque de l’application en s’assurant queseules les personnes dûment authentifiées seront en mesure d’accéder à l’application. La passerellepeut déléguer l’authentification à l’annuaire interne de l’entreprise ou, lors d’une authentification par certificat s’appuyer sur l’infrastructure à clés publiques interne. Certaines passerelles sont en mesure d’accepter comme preuve d’authentification des jetons SAML comprenant de plus les revendications de l’utilisateur (voir paragraphe précédent). Dans le meilleur des cas, la passerelle aurait la possibilité d’authentifier également le terminal d’accès et d’en contrôler l’état sanitaire.

• Le report ou transformation de l’authentification pour garantir l’authentification unique (Single Sign-On ou SSO) ; sur certains types d’authentification, par exemple lors d’une authentification par identifiant et mot de passe, la passerelle peut « rejouer » l’authentification sur la ou les applications publiées et ainsi offrir la fonction d’authentification unique. Toutes les authentifications (classiquement les authentifications fortes ou à plusieurs facteurs) telles que les authentifications parcertificat, carte à puce, OTP (One-Time Password) ne sont pas rejouables24 ; dans ce cas, la fonctionnalité de délégation contrainte Kerberos, disponible sur certaines passerelles, permet de transformation l’authentification primaire en une authentification Kerberos (ciblée éventuellement surcertaines applications uniquement) et offrir de fait un SSO sur les services internes.

• La publication des applications à travers la fonction de proxy inverse (reverse-proxy) ; utilisé principalement pour les applications et services Web, le proxy inverse sert d’intermédiaire entre les

23 Office 365 Single Sign-On (SSO) with AD FS 2.0 : http://www.microsoft.com/en-us/download/details.aspx?id=28971

24 Dans le cadre du protocole SAML v2, l’utilisation d’un jeton dit «bearer token » permet de transférer l’authentification.


33

demandes en provenance des clients (le plus généralement situés sur l’internet) et le serveur hébergeant l’application Web en interne. Il prend en charge les requêtes qui lui sont adressées et effectue ensuite les requêtes vers le serveur interne. D’autres protocoles, par exemple des protocoles de déport d’écran comme RDP (Remote Desktop Protocol) peuvent être publiés mais généralement encapsulés à l’intérieur d’une connexion sécurisée https pour autoriser de plus un accès authentifié.

• Le filtrage des flux (en entrée et en sortie) transitant à travers la passerelle pour lui permettre de détecter d’éventuelles tentatives de compromission de l’application ou d’infection par des malwares.

Ce type de protection est principalement utilisé pour les accès externes, c’est-à-dire lorsque les utilisateurs accèdent depuis l’internet mais peut être également utilisé comme protection pour les accès internes dès lors que l’on décide de renforcer la protection des applications qui seront accédées par des terminaux de moindre niveau de confiance.

Figure : Accès externe et interne/ publication par passerelle interne

Le schéma ci-dessus détaille d’un côté les accès externes pris en charge par une solution classique de reverse-proxy, et sur le côté droit le même type de passerelle utilisé pour publier les applications et services pour les équipements connectés sur le réseau interne.

Les équipements BYOD sont équipés de certificats permettant de bénéficier d’une authentification forte pour accéder à un réseau wifi qui leur est dédié à travers le contrôle d’accès 802.1X. Ils peuvent bénéficier d’un accès internet sortant à travers un serveur proxy authentifiant (non représenté) et d’une visibilité sur les passerelles internes leur permettant, après authentification d’accéder aux ressources internes publiées.

3.6.3 Accès VPN

L’accès VPN est une autre déclinaison d’une solution d’accès distant applicable à des équipements BYOD. Une fois l’équipement connecté sur le réseau interne, il profite de l’accès Internet pour accéder à une passerelle VPN externe qui lui permet d’accéder au réseau de l’entreprise à travers cette boucle. Cette solution à l’avantage de pouvoir s’appuyer sur des passerelles VPN déjà déployées mais donne un accès complet sur le réseau interne ; l’utilisation de solutions de segmentation réseau comme par exemple IPSec seront nécessaires pour protéger les serveurs sensibles.


34

3.7 Protection au niveau couche Données

3.7.1 Contrôle d’accès dynamique

Comme rappelé précédemment, la protection contre la fuite d’information reste l’un des défis du BYOD : dès lors qu’on ouvre l’accès au réseau interne à des terminaux dont le niveau de confiance n’est plus tout à fait celui qu’on exigeait précédemment, le contrôle d’accès aux informations doit être géré de manière plus pertinente et s’appuyer sur des mécanismes permettant de passer plus facilement à l’échelle. L’introduction de la fonctionnalité de règles de contrôle d’accès dyn amique dans la plateforme Windows Server 201225 va permettre de simplifier et rendre plus efficace la gestion de la protection des informations .

En environnement Microsoft, l’accès aux ressources est contrôlé par la définition de listes de contrôles d’accès (Access Control List ou ACL) sur les ressources qui définissent, par utilisateur ou groupes les permissions affectées. Les utilisateurs et les groupes sont définis dans l’annuaire Active Directory et les accès sont ensuite contrôlés par la gestion de l’appartenance à ces groupes. A l’échelle d’une entreprise, le nombre de groupes nécessaires peut rapidement exploser à plusieurs milliers ou dizaines de milliers de groupes par le fait que la règle d’autorisation est basée sur une OU (Organization Unit) logique entre l’appartenance aux groupes : l’utilisateur appartient au service juridique et il aura accès en lecture-écriture OU il est stagiaire du service juridique et il aura accès uniquement en lecture sinon aucun accès.

Il est désormais possible de décrire des règles plus intelligentes permettant d’enchainer dans une même règle des opérateurs booléens (OR, AND, NOT) mais également des opérateurs conditionnels (greater than, Contains) ou des expressions conditionnelles (Memberof, MemberOf_Any). On introduit également l’utilisation des revendications associées aux utilisateurs, terminau x ou ressources . Les règles de contrôle d’accès dynamique s’appliquent aussi bien aux groupes qu’aux revendications.

On peut dès lors créer des règles de la forme :

accès en lecture-écriture IF user.title = "Attorney" AND user.country = "France" AND

device.managed= true

L’introduction de l’utilisation des revendications autorise un lien plus facile avec la gestion des identités basée sur la notion d’attribut : les revendications peuvent être facilement déclinées par rapport aux attributs et seront directement utilisées dans les règles de contrôle d’accès. Le passage obligé par l’appartenance à des groupes de sécurité pour gérer les permissions d’accès n’est plus nécessaire.

Toutes les règles peuvent être définies au niveau de l’entreprise, gérées centralement et ensuite imposées sur les serveurs de fichiers par le biais des stratégies de groupe.

Dans une vision BYOD, il est intéressant de pouvoir récupérer, lors de la phase d’authentification, l’identité de l’utilisateur renseignée par les groupes auxquels il appartient, ses revendications plus les informations surle terminal à partir duquel il ouvre sa session. L’utilisation des revendications des utilisateurs n’est disponibleque si l’authentification Kerberos est utilisée et les revendications du terminal uniquement si ce dernier est déclaré dans Active Directory. Les catégories des terminaux hors-domaine (« Lightly managed » et « Looselycontrolled ») ne peuvent pas bénéficier des revendications de terminaux mais on va pouvoir s’appuyer, sous certaines conditions, sur le mécanisme d’Authentication Assurance pour introduire un filtrage des accès en fonction de ces catégories.

25 Dynamic Access Control: Scenario Overview : http://technet.microsoft.com/en-us/library/hh831717.aspx


35

On pourra, par exemple, définir une règle du type :

Accès en lecture-écriture IF user.title = "Attorney" AND user.country = "France" AND

MemberOf ("Lightly_Managed") AND MemberOf ("MultifactorAuth")

En synthèse, les règles de contrôle d’accès dynamique de Windows Server 2012 vont permettre de définir des permissions d’accès « intelligentes » permettant de diminuer la complexité d’une gestion par groupes. Ces règles peuvent s’appuyer sur des revendications utilisateur définissant plus finement l’identité et des revendications associées au terminal. Pour les terminaux hors-domaine, le mécanisme d’Authentication Assurance autorise la prise en compte de la catégorie du terminal dans la règle d’accès.

3.7.2 Classification

Le principal risque identifié par l’adoption des scénarios BYOD concerne la fuite de données provenant d’une inadéquation des contrôles pour la protection des données, du manque de contrôle des périphériques,du niveau de sécurité des terminaux, ou des comportements « à risque » des utilisateurs.

La solution préconisée pour traiter ce risque passe par la protection des données à la source en fonction de leur niveau de sensibilité. La première étape consiste à établir et mettre en œuvre une classification des données de l’entreprise. Comme expliqué précédemment, les principes de classification adoptés en interne Microsoft définissent trois catégories : « Low Business Impact » (LBI), à moyennement sensibles pour la catégorie « Medium Business Impact » (MBI), aux plus critiques qui feront partie de la catégorie « High Business Impact » (HBI).

D’autres critères comme les données PII (Personal Identification Information) ou les contraintes réglementaires (SOX, HIPAA, etc.) agrémentent les trois grandes catégories. Chaque entreprise peut définir ses propres principes de classification en fonction de son métier et de ses contraintes réglementaires mais doit s’assurer qu’elle reste applicable .

L’étape suivante consiste à réellement appliquer cette classification sur les données de l’entreprise et de s’assurer que ces règles restent respectées au cours du temps c’est-à-dire au fur et à mesure de la production des données.

Windows Server 2012 implémente une infrastructure de classification de fichiers (File Classification Infrastructure ou FCI26) qui permet de définir des propriétés de classification et de classifier des fichiers en fonction de leur emplacement ou de leur contenu. Des tâches automatiques peuvent être effectuées basées sur les règles de classification. Des rapports peuvent être produits pour montrer la distribution des propriétésde classification sur le serveur de fichiers. La classification est soit effectuée manuellement par les administrateurs, soit s’appuie sur un service (File Server Resource Manager) pour exécuter le processus de classification de manière continue. Une protection RMS automatique par chiffrement des documents Office peut être appliquée sur les données sensibles par rapport à des règles de reconnaissance de pattern d’information.

3.7.3 Contrôle et protection des informations

La réponse de Microsoft sur la protection des informations s’appuie sur Active Directory Rights Management Services, une fonctionnalité de la plateforme Windows Server qui permet de protéger les données sensibles à travers l’application de politiques d’usage qui sont associées aux éléments protégés, courriers électroniques ou documents. Les droits d’utilisation sont intégrés aux informations protégées et définies par l’utilisateur (droits en lecture, modification, transfert, impression, date de validité). Ces droits restent présents et valides quel que soit l’endroit où est transférée l’information que l’utilisateur soit connecté

26 File Classification Infrastructure : http://www.microsoft.com/pl-pl/server-cloud/windows-server/file-classification-infrastructure.aspx,Data Classification Toolkit : http://technet.microsoft.com/en-us/library/hh204743.aspx


36

ou hors connexion . En cas de fuite suite à des négligences de l’utilisateur, des actions frauduleuses, de la perte du terminal, les données restent protégées. La protection s’appuie sur le chiffrement des données qui ne seront ensuite accessibles sous forme déchiffrées que par les utilisateurs autorisés à travers la définition de la politique d’usage associée au document.

Cette protection vient s’ajouter à la protection apportée par le chiffrement du terminal et ne doit faire oublier d’imposer un code d’authentification pour l’accès au terminal : si la personne malveillante réussit à utiliser le terminal avec l’identité usurpée, il pourra bénéficier des mêmes droits d’accès.

AD RMS est intégré avec le protocole Exchange ActiveSync (EAS) qui permet de faire bénéficier les périphériques mobiles utilisant ce protocole de la protection du contenu des messages électroniques. Les utilisateurs pourront créer, lire, transférer ou répondre à des messages protégés par IRM (Information RightsManagement) à condition de disposer d’un client sur le périphérique mobile qui prenne en charge cette fonction. Il faut noter que, lorsque la fonction IRM est activée pour les boites aux lettres sélectionnées, le serveur Exchange passerelle déchiffre les messages avant de les transférer – à travers un canal chiffré – à l’application cliente qui a la responsabilité de les chiffrer à nouveau. Sur les plateformes non-Microsoft, les parties clientes implémentent l’isolation entre les données personnelles et entreprise mais souvent au détriment de la facilité d’utilisation.

Pour les périphériques non-Microsoft, des solutions partenaires sont disponibles pour offrir une couverture des plateformes les plus courantes (Apple iOS, Android). Le client AD RMS est disponible sur les systèmes d’exploitation Microsoft depuis Vista SP2, Windows 7 SP1, Windows 8, Windows RT et sur les smartphones (Windows Mobile 6, Windows Phone 7, Windows Phone 8).

Note:

Pour une description détaillée sur la manière dont Active Directory Rights Management Services peutêtre utilisé pour protéger les informations sensibles de l’entreprise, référez-vous à Active DirectoryRights Management Services Overview27.

27 Active Directory Rights Management Services : http://technet.microsoft.com/en-us/library/cc772403.aspx


37

4 Conclusion

Le phénomène « Bring Your Own Device » est une tendance profonde née de l’avènement d’appareils personnels de plus en plus puissants qui sont désormais indispensables à notre lien avec l’extérieur. Notre monde est de plus en plus connecté ; ces nouveaux outils, pensés au départ pour le grand public, tendent à s’introduire dans la sphère professionnelle par le biais de la porosité de la frontière entre la vie privée et le travail. Il nous semble vain de tenter d’ignorer ou de rejeter ce phénomène lié à une véritable mutation que l’on peut qualifier de sociologique ; il vaut mieux « l’embrasser » et en faire un atout pour retisser le lien entre l’utilisateur – à qui on apportera un confort d’utilisation pour lequel il est moteur –, et l’informatique interne, qui sera motivée par l’ambition d’un projet innovant.

Cependant, un projet BYOD est loin de se résumer à un projet t echnique ; on doit envisager ses implications tant au niveau financier, réglementaire et juridique qu’organisationnel – politique de support par l’informatique –, ou sécurité – politique de sécurité, classification du patrimoine numérique –.

La sécurité est l’un des défis majeurs lié à la mutation engendrée par le BYOD. Le modèle de sécurité basé sur une protection du périmètre doit évoluer vers un modèle prenant en compte la notion de contexte ; on doit désormais introduire dans l’équation du contrôle d’accès, le niveau de confiance dans l’équipement permettant d’accéder au système d’information, l’identité de l’utilisateur, la force de l’authentification et le lieu de connexion.

La classification des données doit revenir au cœur des préoccupations pour mettre en place les nouveaux principes de protection qui assureront que l’accès aux données sensibles sera fonction du niveau de confiance global de l’accédant et que le risque de fuite d’information lié au BYOD sera correctement couvert.

Les solutions à déployer doivent être conçues avec le respect de ces notions et ne pas se résumer à une vision unique de la mise en place d’un outil de gestion de flotte de mobiles (MDM) associé à une solution d’accès à distance sur des postes virtuels (VDI).

Dans le respect de ce fameux principe de « défense en profondeur », la sécurité doit être envisagée sur l’ensemble des strates : sécurité de l’équipement , du réseau assurant la connectivité au service qui accèdefinalement aux données , constituant au final les véritables actifs de l’entreprise. Le réseau interne de l’entreprise doit être adapté pour permettre d’accueillir les connexions de ces nouveaux terminaux dont le niveau de sécurité n’est plus à celui des postes de travail fournis et gérés par l’entreprise.

Des briques permettant de construire des solutions techniques existent, par exemple outil de gestion de flottes de mobile (par exemple Windows Intune) pour s’assurer de la sécurité des nombreux types de mobiles et du déploiement des nouvelles applications métier qui leur sont dédiées.

La plupart des briques sont déjà présentes dans l’e ntreprise – contrôle d’accès réseau 802.1X, passerelles de publication, accès par déport d’écran, annuaire Active Directory, infrastructure à clés publique, authentification par carte à puce etc. – ; d’autres sont plus rarement utilisées même si elles sont disponibles depuis de nombreuses années dans les plateformes Microsoft (protection réseau IPSec, fédération d’identité permettant d’ouvrir le périmètre de l’entreprise vers le Cloud).

Enfin, des nouvelles possibilités apparaissent dans les dernières versions des produits d’infrastructure Microsoft (Windows Server 2012) ; pour ne citer que les plus importantes : le contrôle d’accès dynamique autorisant l’utilisation de règles évoluées basées sur les groupes ou les revendications, l’apparition des revendications utilisateur et d’équipement dans Active Directory à mettre en relation avec la fédération, lemécanisme d’Authentication Assurance pour bénéficier des authentifications fortes par certificat, la


38

possibilité de définir sa propre classification de données et d’utiliser un mécanisme de classification automatique des données sensibles.

L’extension du modèle de sécurité décrit dans ce document servant de guide, toutes ces briques technologiques peuvent contribuer à bâtir votre propre réponse à ce nouveau défi que constitue le BYOD pour l’inclure dans votre stratégie d’amélioration du service rendu aux utilisateurs et le transformer en véritable opportunité business pour votre entrepris e.


39

5 Bibliographie & Références

• Traffic and Market report, Ericsson, June 2012http://www.ericsson.com/res/docs/2012/traffic_and_market_report_june_2012.pdf

• Beginner’s Guide to BYOD (Bring Your Own Device) http://blogs.technet.com/b/security/archive/2012/07/18/beginner-s-guide-to-byod-bring-your-own-device.aspx

• Bring Your Own Device: New Opportunities, New Challenges, Gartner, August 2012• Consumerization of IT: Top Risks and Opportunities, ENISA, 28 September 2012• Top threats to Mobile Computing, Cloud Security Alliance, 2012• Data Security in the BYOD Era: 10 Big Risks Facing Enterprises

http://www.eweek.com/c/a/Enterprise-Networking/Data-Security-in-the-BYOD-Era-10-Big-Risks-Facing-Enterprises-211991

• Mobility Temperature Check: Just How Hot Is BYOD? (Dimension data, Xigo, CCMI)• Huit points clés pour intégrer les tablettes dans le système d’information

http://www.indexel.net/materiels/huit-points-cles-pour-integrer-les-tablettes-dans-le-systeme-d-information-3533.html

• http://www.eweek.com/c/a/Mobile-and-Wireless/BYOD-Signals-Radical-Shift-in-Client-Computing- Gartner-414873/

• SANS Mobility/BYOD Security Survey, March 2012• The Ten Commandments of BYOD, Maas360• Mobile Device Management, InformationWeek reports, November 201• The BYOD Effect, Mobil8, February 2012, http://www.mobil8.net/library.html• ConsumerScape360: Media Tablet Usage PC and tablet usage cannibalization and the tablet App

Market, IDC Survey 2012, Doc # 237243 • “BYOD for Dummies”, Independent Guide for Businesses, Mobil8 Solutions Ltd• NAC Strategies for Supporting BYOD, Gartner, December 2011• Securing BYOD With Network Access Control, a Case Study, Gartner, August 2012• 2013 Planning Guide: Identity and Privacy, Gartner, November 2012• Information Protection and Control (IPC) in Microsoft Exchange Online with AD RMS

http://www.microsoft.com/en-us/download/details.aspx?id=30139• Active Directory Rights Management Services Overview

http://technet.microsoft.com/en-us/library/74272acc-0f2d-4dc2-876f-15b156a0b4e0.aspx• Microsoft Office 365 Single Sign-On (SSO) with AD FS 2.0,

http://www.microsoft.com/en-us/download/details.aspx?id=28971• Dynamic Access Control: Scenario Overview

http://technet.microsoft.com/en-us/library/hh831717.aspx• Authentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide

http://technet.microsoft.com/en-us/library/dd378897(v=ws.10).aspx• 2012 State of Mobility Survey, Symantec

http://www.symantec.com/en/uk/content/en/us/about/media/pdfs/b-state_of_mobility_survey_2012.en-us.pdf


40

BYOD : vision sécurité et approche de solutions

Technology

Transcript of BYOD : vision sécurité et approche de solutions