La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La sécurité au service de linnovation BYOD, une question dapproche Serge Richard – CISSP® Architecte Solution Sécurité

Présentations similaires


Présentation au sujet: "La sécurité au service de linnovation BYOD, une question dapproche Serge Richard – CISSP® Architecte Solution Sécurité"— Transcription de la présentation:

1 La sécurité au service de linnovation BYOD, une question dapproche Serge Richard – CISSP® Architecte Solution Sécurité Grenoble, le 24 Avril 2014

2 Agenda Le BYOD dans tous ses états Quels sont les défis ? Lapproche pour la sécurisation des infrastructures de terminaux mobiles

3 Agenda Le BYOD dans tous ses états Quels sont les défis ? Lapproche pour la sécurisation des infrastructures de terminaux mobiles

4 Le terminal mobile est un objet personnel !!!

5 Le paysage du BYOD et les entreprises

6 Et la tendance saccentue…

7 Appareils personnels utilisés sur le lieu de travail

8 La productivité des employés est elle en jeu ?

9 Lintérêt dutiliser les terminaux de lentreprise

10 Bénéfices que le BYOD apporte à lentreprise

11 Agenda Le BYOD dans tous ses états Quels sont les défis ? Lapproche pour la sécurisation des infrastructures de terminaux mobiles

12 Problématiques de lentreprise… Le type de terminaux ainsi que le type d'applications sont très hétéroclites. Augmentation drastique du nombre de terminaux à gérer. Les utilisateurs ont en moyenne plus d'un terminal, les données de l'entreprise peuvent se trouver sur ceux-ci. Pour de nombreux utilisateurs, l'intérêt des terminaux mobiles réside dans leur capacité d'interaction et les nombreuses applications. Les utilisateurs privilégient la facilité d'utilisation des terminaux en fonction de leurs préférences. Les terminaux mobiles sont partagés et donc peuvent avoir de multiples utilisations. Les appareils mobiles sont le plus souvent utilisés en dehors du réseau de l'entreprise et sur une grande variété de réseaux pour l'accès aux comptes utilisateurs. Un contexte dans lequel les appareils mobiles peuvent changer considérablement d'une session à l'autre. Dans le but de saisir de nouvelles opportunités, les lignes métiers mettent en place de nouvelles applications sur les terminaux. Une entreprise ne peut développer toutes les applications demandées par les lignes métiers et doit donc supporter des applications tierces. Nouvelles technologies pour construire des applications natives, hybrides et web pour les terminaux mobiles. Les applications des terminaux mobiles ont souvent recours à plusieurs services de collaboration et de canaux de communications.

13 Les risques et les challenges

14 Une application mobile est un logiciel applicatif développé pour être installé sur un appareil électronique mobile, tel qu'un assistant personnel, un téléphone portable, un « smartphone », ou un baladeur numérique. Une telle application peut être installée sur l'appareil dès la conception de celui-ci ou bien, si l'appareil le permet, téléchargée par l'utilisateur par le biais d'une boutique en ligne : Une partie des applications disponibles sont gratuites tandis que d'autres sont payantes. […Wikipédia] Les applications mobiles : Fer de lance des terminaux mobiles !!!

15 Les applications, le principal vecteur de risque ? https://www.appthority.com/resources Risky Mobile App Behaviors by Category: Top 200 Apps for iOS and Android

16 Lapplication gratuite est un vecteur de risque https://www.appthority.com/resources Top 200 Risky App Behaviors (iOS & Android combined) – Paid Vs Free

17 Lapplication gratuite versus lapplication payante https://www.appthority.com/resources

18 Les systèmes dexploitation, une autre problématique ?

19 Prise en charge par les entreprises pour les périphériques appartenant aux employés

20 Domaines couverts par les politiques de sécurité mobilité

21 Quel terminal pour lentreprise ?

22 A propos des codes malicieux….97% sur Android !!! /

23 Quelle est le véritable risque, aujourdhui, sur Android ? /

24 Que trouvons nous réellement dans les bases de vulnérabilités ? Systéme : 27 vulnérabilités Application : 1 vulnérabilité (Google Chrome) Systéme : 5 vulnérabilités Application : 47 vulnérabilités

25 Agenda Le BYOD dans tous ses états Quels sont les défis ? Lapproche pour la sécurisation des infrastructures de terminaux mobiles

26 Lapproche BYOD nécessite une approche compléte VPN Quels réseaux ? Quels utilisateurs ? BYOD 2014+Challenges Comment conserver la sécurité de mon réseau et de mes utilisateurs ? Comment fournir un service de qualité à mes utilisateurs et à mes invités? Comment minimiser limpact sur mon infrastructure et sur mon organisation du support ? iOS Android Ultrabooks

27 Les recommandations du gouvernement Français

28 Travailler sur lappréciation des risques (Malicious Mobile Apps)

29 Les différentes approches qui peuvent être mises en œuvre par les entreprises Appellation Nom completDescription Propriétaire du périphérique Propriétaire des applications Propriétaire du réseau poste de travail Niveau de gestion pour lentreprise Modèle standard Ce modèle est celui classique qui considère que les périphériques dits mobiles sont gérés comme des postes de travail bureautiques traditionnels Entreprise Périphérique BYOD Bring Your Own Device Lentreprise permet aux utilisateurs dapporter leurs périphériques personnels pour se connecter aux services délivrés par lentreprise. Lorsque cette stratégie est étendue à dautres types dappareils (stockage, etc.) on parle alors de BYOT « Bring Your Own Technology » Utilisateur Utilisateur et Entreprise Entreprise Périphérique (avec laccord de lutilisateur) BYOA ou BYON Bring Your Own Access Bring Your Own Network Lentreprise ne gère plus de parc informatique, ni de réseau de type poste de travail. Chaque utilisateur est libre de contracter avec un opérateur réseau et de choisir la nature de sa connexion (WiFi, femtocell, tethering). Ce modèle se comprend si lensemble des applications de lentreprise sont accessibles via un accès par Internet Utilisateur Utilisateur et/ou Entreprise UtilisateurApplication PYCA Push Your Corporate Application Lentreprise ne gère plus de parc informatique au sens des périphériques utilisés, et se préoccupe de mettre en œuvre et de tenir à jour un magasin dapplications qui lui appartient dans lequel lutilisateur vient se servir sil en a le droit UtilisateurEntreprise Application CYOD Choose Your Own Device Lentreprise permet à lutilisateur de choisir un périphérique dans une liste délimitée quelle tient à disposition Entreprise Périphérique COPE Company Owned, Personally Enabled Lentreprise choisit le périphérique, mais permet à lutilisateur de se servir à des fins personnelles en y installant des applications dont il est le propriétaire Entreprise Utilisateur et/ou Entreprise EntreprisePériphérique BYOA ou BYOS Bring Your Own Application Bring Your Own Software Lutilisateur peut se servir dapplications personnelles dont il est le propriétaire ou lutilisateur légal pour travailler dans le cadre de lentreprise Utilisateur et/ou Entreprise UtilisateurEntrepriseApplication

30 La sécurité des environnements des terminaux mobiles adresse des dimensions multiples dans le but d'être conforme aux politiques de sécurité de l'entreprise Data, Network & Access Security Mobile Device Management App/Test Development Device Platforms i.e. iOS, Android, Windows Mobile, Symbian, etc Mobile Application Platforms & Containers Mobile Applications i.e. Native, Hybrid, Web Application Mobile Information Protection Data encryption (device, file & app) Mobile data loss prevention Mobile Threat Management Anti-malware Anti-spyware Anti-spam Firewall/IPS Web filtering Web Reputation Mobile Network Protection Secure Communications (VPN) Edge Protection Mobile Identity& Access Management Identity Management Authorize & Authenticate Certificate Management Multi-factor Mobile Security Intelligence Mobile Device Security Management Device wipe & lockdown Password Management Configuration Policy Compliance Mobile Device Management Acquire/Deploy Register Activation Content Mgmt Manage/Monitor Self Service Reporting Retire De-provision Secure Mobile Application Development Vulnerability testing Mobile app testing Enforced by tools Enterprise policies

31 Comment sécuriser les environnements des terminaux mobiles ? Enrôler Propriétaires et services Configurer Politiques de sécurité Gérer Conformité du terminal Reconfigurer Nouvelles politiques Supprimer Services et données Authentifier Utilisateurs et terminaux Chiffrer Connections réseaux Surveiller Journaux dévénements Contrôler Accès aux applications Bloquer Attaques et vulnérabilités Développer Bonnes pratiques Tester Présence de vulnérabilités Surveiller Activités des utilisateurs Protéger Applications Mettre à jour Correctifs Sur les terminauxSur les réseauxSur les applications Intranet Entreprise Internet Gestion de la stratégie de sécurité des environnements mobiles IBM Security – Cadre de référence

32 Vue darchitecture générale Smartphone Mobile Phone Tablet Laptop IDS/IPS IAM DLP Security Encryption Web Proxy Web/URL Filtering Certificate Authority MDM Server App store Layer 2 Switches Layer 3 Routers VPN Gateways Network Access Controllers Wireless controllers Policy Decision Point Active Directory DNS/DHCP Corp Mobile Enterprise Application Platform Corporate Application Servers Data Storage Mobile Middleware Server Mobile Client Application Network Infrastructure Security Infrastructure Mobile Device Management B2C B2E B2B IT Technology Applications Network L2/L3 Core NAS SAN Connection Broker VDI

33 Security Intelligence


Télécharger ppt "La sécurité au service de linnovation BYOD, une question dapproche Serge Richard – CISSP® Architecte Solution Sécurité"

Présentations similaires


Annonces Google