Télécharger la présentation
Publié parAmadour Renou Modifié depuis plus de 10 années
1
La sécurité au service de l’innovation BYOD, une question d’approche Serge Richard – CISSP® Architecte Solution Sécurité Grenoble, le 24 Avril 2014
2
Agenda Le BYOD dans tous ses états Quels sont les défis ?
L‘approche pour la sécurisation des infrastructures de terminaux mobiles
3
Agenda Le BYOD dans tous ses états Quels sont les défis ?
L‘approche pour la sécurisation des infrastructures de terminaux mobiles
4
Le terminal mobile est un objet personnel !!!
5
Le paysage du BYOD et les entreprises
6
Et la tendance s’accentue…
7
Appareils personnels utilisés sur le lieu de travail
8
La productivité des employés est elle en jeu ?
9
L’intérêt d’utiliser les terminaux de l’entreprise
10
Bénéfices que le BYOD apporte à l’entreprise
11
Agenda Le BYOD dans tous ses états Quels sont les défis ?
L‘approche pour la sécurisation des infrastructures de terminaux mobiles
12
Problématiques de l’entreprise…
Les utilisateurs ont en moyenne plus d'un terminal, les données de l'entreprise peuvent se trouver sur ceux-ci. Le type de terminaux ainsi que le type d'applications sont très hétéroclites. Pour de nombreux utilisateurs, l'intérêt des terminaux mobiles réside dans leur capacité d'interaction et les nombreuses applications. Augmentation drastique du nombre de terminaux à gérer. Les utilisateurs privilégient la facilité d'utilisation des terminaux en fonction de leurs préférences. Les terminaux mobiles sont partagés et donc peuvent avoir de multiples utilisations. Un contexte dans lequel les appareils mobiles peuvent changer considérablement d'une session à l'autre. Les appareils mobiles sont le plus souvent utilisés en dehors du réseau de l'entreprise et sur une grande variété de réseaux pour l'accès aux comptes utilisateurs. Les applications des terminaux mobiles ont souvent recours à plusieurs services de collaboration et de canaux de communications. Une entreprise ne peut développer toutes les applications demandées par les lignes métiers et doit donc supporter des applications tierces. Dans le but de saisir de nouvelles opportunités, les lignes métiers mettent en place de nouvelles applications sur les terminaux. Nouvelles technologies pour construire des applications natives, hybrides et web pour les terminaux mobiles.
13
Les risques et les challenges
14
Les applications mobiles : Fer de lance des terminaux mobiles !!!
Une application mobile est un logiciel applicatif développé pour être installé sur un appareil électronique mobile, tel qu'un assistant personnel, un téléphone portable , un « smartphone », ou un baladeur numérique. Une telle application peut être installée sur l'appareil dès la conception de celui-ci ou bien, si l'appareil le permet, téléchargée par l'utilisateur par le biais d'une boutique en ligne : Une partie des applications disponibles sont gratuites tandis que d'autres sont payantes. […Wikipédia]
15
Les applications, le principal vecteur de risque ?
Risky Mobile App Behaviors by Category: Top 200 Apps for iOS and Android
16
L’application gratuite est un vecteur de risque
Top 200 Risky App Behaviors (iOS & Android combined) – Paid Vs Free
17
L’application gratuite versus l’application payante
18
Les systèmes d’exploitation, une autre problématique ?
19
Prise en charge par les entreprises pour les périphériques appartenant aux employés
20
Domaines couverts par les politiques de sécurité mobilité
21
Quel terminal pour l’entreprise ?
22
A propos des codes malicieux….97% sur Android !!!
23
Quelle est le véritable risque, aujourd’hui, sur Android ?
24
Que trouvons nous réellement dans les bases de vulnérabilités ?
Systéme : 5 vulnérabilités Application : 47 vulnérabilités Systéme : 27 vulnérabilités Application : 1 vulnérabilité (Google Chrome)
25
Agenda Le BYOD dans tous ses états Quels sont les défis ?
L‘approche pour la sécurisation des infrastructures de terminaux mobiles
26
L’approche BYOD nécessite une approche compléte
Challenges iOS Android Ultrabooks Comment fournir un service de qualité à mes utilisateurs et à mes invités? VPN Quels réseaux ? Comment conserver la sécurité de mon réseau et de mes utilisateurs ? Quels utilisateurs ? Comment minimiser l’impact sur mon infrastructure et sur mon organisation du support ?
27
Les recommandations du gouvernement Français
28
Travailler sur l’appréciation des risques (Malicious Mobile Apps)
29
Les différentes approches qui peuvent être mises en œuvre par les entreprises
Appellation Nom complet Description Propriétaire du périphérique Propriétaire des applications Propriétaire du réseau poste de travail Niveau de gestion pour l’entreprise Modèle standard Ce modèle est celui classique qui considère que les périphériques dits mobiles sont gérés comme des postes de travail bureautiques traditionnels Entreprise Périphérique BYOD Bring Your Own Device L’entreprise permet aux utilisateurs d’apporter leurs périphériques personnels pour se connecter aux services délivrés par l’entreprise. Lorsque cette stratégie est étendue à d’autres types d’appareils (stockage, etc.) on parle alors de BYOT « Bring Your Own Technology » Utilisateur Utilisateur et Entreprise Périphérique (avec l’accord de l’utilisateur) BYOA ou BYON Bring Your Own Access Bring Your Own Network L’entreprise ne gère plus de parc informatique, ni de réseau de type poste de travail. Chaque utilisateur est libre de contracter avec un opérateur réseau et de choisir la nature de sa connexion (WiFi, femtocell, tethering). Ce modèle se comprend si l’ensemble des applications de l’entreprise sont accessibles via un accès par Internet Utilisateur et/ou Entreprise Application PYCA Push Your Corporate Application L’entreprise ne gère plus de parc informatique au sens des périphériques utilisés, et se préoccupe de mettre en œuvre et de tenir à jour un magasin d’applications qui lui appartient dans lequel l’utilisateur vient se servir s’il en a le droit CYOD Choose Your Own Device L’entreprise permet à l’utilisateur de choisir un périphérique dans une liste délimitée qu’elle tient à disposition COPE Company Owned, Personally Enabled L’entreprise choisit le périphérique, mais permet à l’utilisateur de se servir à des fins personnelles en y installant des applications dont il est le propriétaire BYOA ou BYOS Bring Your Own Application Bring Your Own Software L’utilisateur peut se servir d’applications personnelles dont il est le propriétaire ou l’utilisateur légal pour travailler dans le cadre de l’entreprise
30
La sécurité des environnements des terminaux mobiles adresse des dimensions multiples dans le but d'être conforme aux politiques de sécurité de l'entreprise Data, Network & Access Security Mobile Device Management App/Test Development Device Platforms i.e. iOS, Android, Windows Mobile, Symbian, etc Mobile Application Platforms & Containers Mobile Applications i.e. Native, Hybrid, Web Application Mobile Information Protection Data encryption (device, file & app) Mobile data loss prevention Mobile Threat Management Anti-malware Anti-spyware Anti-spam Firewall/IPS Web filtering Web Reputation Mobile Network Protection Secure Communications (VPN) Edge Protection Mobile Identity& Access Management Identity Management Authorize & Authenticate Certificate Management Multi-factor Mobile Security Intelligence Mobile Device Security Management Device wipe & lockdown Password Management Configuration Policy Compliance Acquire/Deploy Register Activation Content Mgmt Manage/Monitor Self Service Reporting Retire De-provision Secure Mobile Application Development Vulnerability testing Mobile app testing Enforced by tools Enterprise policies
31
Gestion de la stratégie de sécurité des environnements mobiles
Comment sécuriser les environnements des terminaux mobiles ? Enrôler Propriétaires et services Configurer Politiques de sécurité Gérer Conformité du terminal Reconfigurer Nouvelles politiques Supprimer Services et données Authentifier Utilisateurs et terminaux Chiffrer Connections réseaux Surveiller Journaux d’événements Contrôler Accès aux applications Bloquer Attaques et vulnérabilités Développer Bonnes pratiques Tester Présence de vulnérabilités Surveiller Activités des utilisateurs Protéger Applications Mettre à jour Correctifs Sur les terminaux Sur les réseaux Sur les applications Intranet Entreprise Internet Gestion de la stratégie de sécurité des environnements mobiles IBM Security – Cadre de référence 31
32
Vue d’architecture générale
Smartphone Mobile Phone Tablet Laptop IDS/IPS IAM DLP Security Encryption Web Proxy Web/URL Filtering Certificate Authority MDM Server App store Layer 2 Switches Layer 3 Routers VPN Gateways Network Access Controllers Wireless controllers Policy Decision Point Active Directory DNS/DHCP Corp Mobile Enterprise Application Platform Corporate Servers Data Storage Mobile Middleware Server Mobile Client Application Network Infrastructure Security Infrastructure Mobile Device Management B2C B2E B2B IT Technology Applications Network L2/L3 Core NAS SAN Connection Broker VDI
33
Security Intelligence
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.