330 likes | 445 Views
La sécurité au service de l’innovation BYOD, une question d’approche Serge Richard – CISSP ® Architecte Solution Sécurité serge.richard@groupe-ocealis.com. Grenoble, le 24 Avril 2014. Agenda. Le BYOD dans tous ses états Quels sont les défis ?
E N D
La sécurité au service de l’innovationBYOD, une question d’approcheSerge Richard – CISSP® Architecte Solution Sécuritéserge.richard@groupe-ocealis.com Grenoble, le 24 Avril 2014
Agenda • Le BYOD dans tous ses états • Quels sont les défis ? • L‘approche pour la sécurisation des infrastructures de terminaux mobiles
Agenda • Le BYOD dans tous ses états • Quels sont les défis ? • L‘approche pour la sécurisation des infrastructures de terminaux mobiles
Le terminal mobile est un objet personnel !!! http://www.slideshare.net/WSIdee/mettez-votre-entreprise-dans-le-tlphone-de-vos-clients
Le paysage du BYOD et les entreprises http://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat
Et la tendance s’accentue… http://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat
Appareils personnels utilisés sur le lieu de travail http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdf
La productivité des employés est elle en jeu ? http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdf
L’intérêt d’utiliser les terminaux de l’entreprise http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-Economics_Presentation-FR.pdf
Bénéfices que le BYOD apporte à l’entreprise http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf
Agenda • Le BYOD dans tous ses états • Quels sont les défis ? • L‘approche pour la sécurisation des infrastructures de terminaux mobiles
Problématiques de l’entreprise… Les utilisateurs ont en moyenne plus d'un terminal, les données de l'entreprise peuvent se trouver sur ceux-ci. Le type de terminaux ainsi que le type d'applications sont très hétéroclites. Pour de nombreux utilisateurs, l'intérêt des terminaux mobiles réside dans leur capacité d'interaction et les nombreuses applications. Augmentation drastique du nombre de terminaux à gérer. Les utilisateurs privilégient la facilité d'utilisation des terminaux en fonction de leurs préférences. Les terminaux mobiles sont partagés et donc peuvent avoir de multiples utilisations. Un contexte dans lequel les appareils mobiles peuvent changer considérablement d'une session à l'autre. Les appareils mobiles sont le plus souvent utilisés en dehors du réseau de l'entreprise et sur une grande variété de réseaux pour l'accès aux comptes utilisateurs. Les applications des terminaux mobiles ont souvent recours à plusieurs services de collaboration et de canaux de communications. Une entreprise ne peut développer toutes les applications demandées par les lignes métiers et doit donc supporter des applications tierces. Dans le but de saisir de nouvelles opportunités, les lignes métiers mettent en place de nouvelles applications sur les terminaux. Nouvelles technologies pour construire des applications natives, hybrides et web pour les terminaux mobiles.
Les risques et les challenges http://www.webroot.com/us/en/business/resources/infographics/byod-smb-mobile-threat
Les applications mobiles : Fer de lance des terminaux mobiles !!! Une application mobile est un logiciel applicatif développé pour être installé sur un appareil électronique mobile, tel qu'un assistant personnel, un téléphone portable , un « smartphone », ou un baladeur numérique. Une telle application peut être installée sur l'appareil dès la conception de celui-ci ou bien, si l'appareil le permet, téléchargée par l'utilisateur par le biais d'une boutique en ligne: Une partie des applications disponibles sont gratuites tandis que d'autres sont payantes. […Wikipédia] http://www.mmaf.fr/barometre-trimestriel-du-marketing-mobile-en-france-0
Les applications, le principal vecteur de risque ? Risky Mobile App Behaviors by Category: Top 200 Apps for iOS and Android https://www.appthority.com/resources
L’application gratuite est un vecteur de risque Top 200 Risky App Behaviors (iOS & Android combined) – Paid Vs Free https://www.appthority.com/resources
L’application gratuite versus l’application payante https://www.appthority.com/resources
Les systèmes d’exploitation, une autre problématique ? http://bit.ly/1bgWnLp
Prise en charge par les entreprises pour les périphériques appartenant aux employés http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf
Domaines couverts par les politiques de sécurité mobilité http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_FR.pdf
Quel terminal pour l’entreprise ? http://appleinsider.com/articles/14/02/27/apple-touts-secure-design-of-ios-as-google-chief-admits-android-is-best-target-for-malicious-hackers
A propos des codes malicieux….97% sur Android !!! http://www.forbes.com/sites/gordonkelly/2014/03/24/report-97-of-mobile-malware-is-on-android-this-is-the-easy-way-you-stay-safe/
Quelle est le véritable risque, aujourd’hui, sur Android ? http://www.forbes.com/sites/gordonkelly/2014/03/24/report-97-of-mobile-malware-is-on-android-this-is-the-easy-way-you-stay-safe/
Que trouvons nous réellement dans les bases de vulnérabilités ? Systéme : 5 vulnérabilités Application : 47 vulnérabilités Systéme : 27 vulnérabilités Application : 1 vulnérabilité (Google Chrome) http://nvd.nist.gov/home.cfm
Agenda • Le BYOD dans tous ses états • Quels sont les défis ? • L‘approche pour la sécurisation des infrastructures de terminaux mobiles
iOS Android Ultrabooks Quels réseaux ? VPN Quels utilisateurs ? L’approche BYOD nécessite une approche compléte BYOD 2014+ Challenges Comment fournir un service de qualité à mes utilisateurs et à mes invités? Comment conserver la sécurité de mon réseau et de mes utilisateurs ? Comment minimiser l’impact sur mon infrastructure et sur mon organisation du support ?
Travailler sur l’appréciation des risques (Malicious Mobile Apps) http://banners.spiceworks.com/banners/webroot/june_2013/S-Webroot_MMA_Webinar.html
Les différentes approches qui peuvent être mises en œuvre par les entreprises http://www.itpro.fr/a/byod-byoa-pyca-cyode-cope-quel-modele-choisir/
La sécurité des environnements des terminaux mobiles adresse des dimensions multiples dans le but d'être conforme aux politiques de sécurité de l'entreprise Mobile Security Intelligence Mobile Device Management Data, Network & Access Security App/Test Development • Mobile Device Management • Acquire/Deploy • Register • Activation • Content Mgmt • Manage/Monitor • Self Service • Reporting • Retire • De-provision • Secure Mobile Application Development • Vulnerability testing • Mobile app testing • Enforced by tools • Enterprise policies • Mobile Device Security Management • Device wipe & lockdown • Password Management • Configuration Policy • Compliance • Mobile Threat Management • Anti-malware • Anti-spyware • Anti-spam • Firewall/IPS • Web filtering • Web Reputation • Mobile • Information Protection • Data encryption (device, file & app) • Mobile data loss prevention • Mobile Network Protection • Secure Communications (VPN) • Edge Protection • Mobile Identity& Access Management • Identity Management • Authorize & Authenticate • Certificate Management • Multi-factor Mobile Applications i.e. Native, Hybrid, Web Application Mobile Application Platforms & Containers Device Platforms i.e. iOS, Android, Windows Mobile, Symbian, etc
Sur les terminaux Sur les réseaux Sur les applications Gestion de la stratégie de sécurité des environnements mobiles Comment sécuriser les environnements des terminaux mobiles ? EnrôlerPropriétaires et services ConfigurerPolitiques de sécurité GérerConformité du terminal ReconfigurerNouvelles politiques SupprimerServices et données DévelopperBonnes pratiques TesterPrésence de vulnérabilités SurveillerActivités des utilisateurs ProtégerApplications Mettre à jourCorrectifs AuthentifierUtilisateurs et terminaux ChiffrerConnections réseaux SurveillerJournaux d’événements ContrôlerAccès aux applications BloquerAttaques et vulnérabilités IBM Security – Cadre de référence Internet Intranet Entreprise
B2C B2E B2B Vue d’architecture générale Mobile Device Management SecurityInfrastructure VDI Corporate Application Servers Data Storage • MDM Server • App store Smartphone • IDS/IPS • IAM • DLP • Email Security • Encryption • Web Proxy • Web/URL Filtering • Certificate Authority • Connection Broker NAS Mobile Phone Mobile Enterprise Application Platform Network Infrastructure SAN Network L2/L3 Core • Layer 2 Switches • Layer 3 Routers • VPN Gateways • Network Access Controllers • Wireless controllers • Policy Decision Point Tablet • Mobile Middleware Server • Mobile Client Application IT Technology Applications • Active Directory • DNS/DHCP • Corp Email Laptop