28 juin 2011 Quelles modifications des politiques et protections apporter ? Mobilité, consumérisation des équipements, réseaux sociaux
2 Un changement des usages 28 juin Propriété de Solucom, reproduction interdite Lune des approches quils adoptent est dutiliser leur matériel personnel En premier lieu, les smartphones Mais aussi les PC ultraportables, les Mac… Et les usages qui vont avec : réseaux sociaux, gestion de projets, « doodles »… Ils souhaitent retrouver en entreprise le même niveau de convivialité et de performances que dans leur sphère personnelle Le SI ne suit pas toujours le rythme des technologies grand public Les innovations technologies sont de plus en plus accessibles à la majorité des utilisateurs
3 Un triptyque pour gérer les nouveaux usages 28 juin Propriété de Solucom, reproduction interdite Encadrer Innover Se protéger
4 28 juin Propriété de Solucom, reproduction interdite Encadrer Innover Se protéger Dans limmédiat, une approche possible pour sécuriser tout en autorisant les usages : innover ! Dune approche historique plutôt restrictive… … à une nouvelle cible sécurité : les données ! Se concentrer sur la donnée Lui faire porter sa propre protection Avec des droits gérés centralement La rendre ainsi utilisable « partout » Le marché et les solutions sont encore trop jeunes pour cette cible Filtrage Web Contrôle des accès des terminaux Authentification forte pour les accès distants Interdiction des équipements personnels Cette approche ne peut plus être tenue aujourdhui, car vouée à léchec
5 Innover (1/2) : un changement de paradigme en cours 28 juin Propriété de Solucom, reproduction interdite Encadrer Innover Se protéger Une évolution forte des technologies ces dernières années… Chiffrement intégral, applications « silo », puce TPM embarquée… Virtualisation du poste de travail et synchronisation transparente Déport dans le Cloud de certaines fonctions de sécurité (antivirus/proxy) … … qui peut amener à autoriser des usages précédemment exclus Authentification transparente en mobilité et en Wi-Fi interne Accès direct à Internet sans rebond par linfrastructure de lentreprise Autorisation de nouveaux terminaux (smartphones/tablettes) …
6 Innover (2/2) : des solutions déjà en cours de déploiement ! 3 illustrations concrètes dune nouvelle approche Sécurité 28 juin Propriété de Solucom, reproduction interdite Connexion à distance du Poste de Travail nomade Le token « calculatrice » est la solution historique dauthentification, contraignante Lutilisation de certificats pour sauthentifier était jugée trop faible, surtout en cas de vol du poste Si le poste est intégralement chiffré avec usage dune TPM, le certificat est protégé… et on peut imaginer lutiliser à la place du token, avec une connexion « en un clic » Connexions au Webmail depuis un poste banalisé Le token « calculatrice » est la solution historique généralisée Une solution de soft token, sur smartphone, par SMS ou directement intégrée à la page Web dauthentification, peut offrir un niveau de sécurité suffisant dans la plupart des cas (si elle est correctement implémentée) Utilisation de smartphones personnels (BYOD) Historiquement interdit car il posait trop de problèmes de sécurité Peut aujourdhui être envisagé sereinement avec les approches « silo » segmentant les usages processionnels et personnels sur les terminaux. Plutôt que forcer techniquement une politique de sécurité, interdire laccès aux terminaux qui ne respectent pas celle de lentreprise Encadrer Innover Se protéger
7 Encadrer 28 juin Propriété de Solucom, reproduction interdite Innover Se protéger Encadrer Les fonctions Sécurité ont parfois tendance à se préoccuper de problématiques qui ne sont pas nécessairement de leur responsabilité (exemple : perte de productivité liée à lusage de réseaux sociaux) Encadrer les aspects Juridique et de Ressources Humaines Avec des mesures cohérentes sur les différents éléments du SI En restant ouvert : autoriser en accompagnant plutôt quinterdire En relativisant lencadrement, là où la technique atteint ses limites : sensibiliser pour responsabiliser Encadrer les pratiques dutilisation
8 Les principales idées à retenir 28 juin Propriété de Solucom, reproduction interdite Innover Se protéger Encadrer Les nouveaux usages ne pourront pas être indéfiniment stoppés Beaucoup de réflexes et solutions « historiques » peuvent être actualisés Les innovations sécurité permettent de les encadrer évaluer les niveaux de protection acceptables en fonction du contexte et garder une cohérence globale dans ses niveaux de sécurité accompagner les utilisateurs par des actions de sensibilisation à la sécurité couvrir spécifiquement les aspects juridiques et de Ressources Humaines Il faut cependant veiller à en répondant au besoin des utilisateurs… … mais aussi à leurs envies Cest également lopportunité de soigner limage positive de la DSI La DSI, et le RSSI notamment, se doivent dy réagir La sécurité doit aujourdhui sapposer, et non sopposer !
Chadi Hantouche Consultant Sécurité & Risk Management Mail : Contact