séminaire evolution de la mobilité - subir ou gérer ?
DESCRIPTION
La mobilité s'impose et nous expose. Faut-il subir ou gérer ? L'évolution de la mobilité en entreprise présentée et agrémentée par des démonstrations d'attaque et par les moyens de ...TRANSCRIPT
Yoann Le Corvic Senior Security Engineer / ISO 27001 Lead Auditor
tel. +41 22 727 05 55 [email protected] www.e-xpertsolutions.com
L’EVOLUTION «MOBILITÉ» Subir ou gérer ?
Yann Desmarest Innovation Center Manager
tel. +41 22 727 05 55 [email protected] www.e-xpertsolutions.com
Séminaire sécurité du 12 juin 2014
AGENDA
Dans la peau d’un Cybercriminel
La mobilité s’impose… et nous expose !
Gérer ou subir
Architectures type
Services e-Xpert Solutions
Projet mobilité et ses pièges
Récupération de fichiers …
…en 5 minutes chrono !
LA MOBILITÉ S’IMPOSE …
… ET NOUS EXPOSE
LA MOBILITÉ : ÉVOLUTION NATURELLE ?
Téléphone Fixe
Natel
Smartphone Tablette Hybride ???
LA MOBILITÉ S’IMPOSE...
6
ET LA MOBILITÉ NOUS EXPOSE…
Genève : 1 vol / heure, 8000 sur l’année 2011 (4245 en 2006) (source : Police Cantonale de Genève)
New York : près de 12000 iPhone/iPads entre le 01.01.2012 et 23.09.2012 (source : NYPD)
70 million de téléphones perdus chaque année – seulement 7% retrouvés (source : Etude Intel 2009)
50% des utilisateurs de smartphones y stoquent des mot de passe, informations personnelles et données de carte de crédit (source : Etude Intel 2009)
36% des tablettes contiennent des informations professionnelles (source : Etude Intel 2009)
700 000 applications Android malveillantes (source : rapport Trend Micro)
SUBIR OU GÉRER ?
il était une fois …
SUBIR
RÉSULTATS
10
► Parc hétérogène, géré (ou pas) «artisanalement», sans politique de sécurité globale, sans visibilité globale…
► Perte quasi-totale du contrôle des données d’entreprise o Dommage, à l’heure ou la fuite d’information est un sujet majeur
► Potentiel risque d’être «Hors la loi» en Suisse ou dans une filiale
60 % des entreprises européennes n’ont aucune “stratégie” mobilité (Source : PAC - 2013)
11
GÉRER
PRAGMATISME
L’amener à exprimer les besoins, même de façon sommaire.
Communiquer avec le management sur les besoins, mais aussi problématiques.
Gérer le projet mobilité comme un …. Projet.
Choisir la solution technique, et l’intégrer.
Former les administrateurs, helpdesk, opérateurs.
Former les utilisateurs, au moins les sensibiliser.
Ne pas sous estimer les aspects RH et Juridiques Cf. Présentation Me Fanti https://www.youtube.com/user/expertsolch
BYO
D or not to B
YOD
? That is the question.
RÉSULTATS
12
► Parc homogène, supervisé, maitrisé o Configuration centralisée
► Expérience utilisateur, support amélioré, sans pour autant être très
intrusif
► Fonctionnalités sécurité offertes par les fonctions MDM (Enterprise Wipe, Compliance)
PROJET MOBILITÉ
ET SES PIÈGES
LUTTER CONTRE LES «MYTHES» DE LA MOBILITÉ
► Tous les employés doivent avoir un accès complet à l’entreprise.
► Les employés qui utilisent les devices connaissent des risques.
► Les entreprises doivent attendre que le marché devienne mature
► L’augmentation de la flotte mobile augmente nécessairement le risque de faille de sécurité.
► Le MDM dans le cloud, ce n’est pas sécurisé.
14
DIMENSIONNEMENT
► Saturation des bornes Wifi ► Saturation des connexions Internet ► Saturation de liens WAN
o Rapatriement d’emails o Accès aux intranets o Accès aux documents
► Dépassement de forfait / frais de Roaming ► Dimensionnement des composants MDM
o SGBD o Système de fichier pour le MCM (Mobile Content Management)
15
SÉCURITÉ
► Peut-on imposer les mécanismes de sécurité en place ? o Protection du surfing Internet o Protection des mails o Analyse Anti Virus
► Faire face aux BUGS
o Déni de service sur l’infrastructure Exchange ActiveSync via IOS o Bypass du login du device
► Sécurité = compromis o Trop de sécurité = Se retrouver avec n smartphones / tablettes par
collaborateur.
16
GESTION DES MAILS
► Mails chiffrés o Comment les lire sur les smartphones ? o Problématique chiffrement de mails Lotus Notes
► Serveurs de messagerie o Technologies (Microsoft / Lotus) o Architecture distribuées (problématique d’accès à des serveur en filiale) o Problématique de haute disponibilité
17
INTÉGRATION DE TECHNOLOGIES NON MAITRISÉES
► Exemple : l’authentification par certificat numérique
► Gestion du cycle de vie des certificats numériques o Ex : Gestion du certificat pour la connexion au service Apple APNs
► Contrôle d’accès avec validation par CRL ou OCSP
o Problèmes d’implémentations sur certains systèmes o Mécanismes nécessaires mais non intégrés dans le design du projet
18
ARCHITECTURES
Reverse Proxy
LA GESTION DES EMAILS
Lotus
Exchange
Mail Gateway
Proxy ActiveSync SSL Offloading Authentification Certificat Contrôle d’accès LDAP Load Balancing
Proxy ActiveSync Contrôle de compliance Load Balancing
Reverse Proxy
SINGLE POINT OF ACCESS
Lotus
Exchange
Mail Gateway
lotus.e-xpertsolutions.com
exch.e-xpertsolutions.com
Multiples points d’accès (wifi, accès guest, 3G, …)
L’équipement n’appartient pas au domaine Microsoft de l’entreprise
Support limité des mécanismes d’authentification
Fonctionnalités variables dépendant du type d’équipement (IOS, Android, etc.)
La plupart des protections sont désactivables
Protection du surfing internet
23
CHOISIR LA BONNE ARCHITECTURE PROXY WEB
► Besoin d’authentification pour les utilisateurs internet ?
► Appliquer la même politique de sécurité pour tous les utilisateurs ?
► Il n’existe pas de solution miracle, mais une multitude de compromis à accepter !
► Déploiements : ► Explicit ► WCCP ► Transparent ► Cloud
LE RETOUR DE LA PKI
► Usages : o Authentification e-mail, wifi, vpn o Chiffrement et signatures des e-mails o Chiffrement et authentification pour les apps internes o Chiffrement du contenu
Reverse Proxy
ARCHITECTURE PKI
MDM
CA Root
CA Mobilité
Validation du certificat
Enrôlement, révocation, etc.
Validation CRLDP ou OCSP Extraction du « Subject » Extraction d’un attribut spécifique
26
DEMO – REMOTE ACCESS
1. Authentification par certificat numérique
2. Validation du certificat client via les CRLDP (CRL Distribution Point)
3. Est-ce qu’il s’agit d’un device Apple IOS (iPhone, iPad, iPod, etc.) ?
4. Est-ce que la connexion s’établit depuis l’application «F5 Edge Client» ?
1 2 3
4
E-XPERT
APPROCHE E-XPERT SOLUTIONS
► Sensibiliser / Accompagner o Echanger avec la direction et présenter de façon transparente, les
enjeux, avantages, inconvénients, risques de la mobilité dans le contexte client.
o En faire ressortir les besoins
► Gérer o Gestion de projet de bout en bout. Si nécessaire avec la coordination des
acteurs internes et externes (autre prestataires) o Capacité à s’engager au forfait (maitrise des coûts)
28
APPROCHE E-XPERT SOLUTIONS
► Concevoir o Maitrise des concepts et technologies infrastructures, réseau, sécurité
pour définir une solution globale o Définition des politiques de sécurité pour les équipements gérés
► Mettre en œuvre
o Maîtrise et certifications sur les solutions AirWatch • (MDM, MCM, MAM, MEM, AppWrapping, Workspace)
o Composants techniques d’infrastructure • Load Balancing (environnement HA) • Reverse proxies / WAF • Architecture de cloisonnement
29 https://training.air-watch.com/verify/AWCRF4YJYJLDVR3Z
APPROCHE E-XPERT SOLUTIONS
► Supporter et faire évoluer o Maintien en condition opérationnel o Evolutions, prise en compte de nouveaux besoins
► Former o Management, IT et Utilisateurs
30
www.e-xpertsolutions.com
www.e-xpertsolutions.com/rssglobal
blog.e-xpertsolutions.com
twitter.com/expertsolch
linkedin.com/company/110061?trk=tyah
slideshare.net/e-xpertsolutions
https://www.youtube.com/user/expertsolch
MERCI DE VOTRE ATTENTION
Yoann Le Corvic Senior Security Engineer / ISO 27001 Lead Auditor
tel. +41 22 727 05 55 [email protected] www.e-xpertsolutions.com
Yann Desmarest Innovation Center Manager
tel. +41 22 727 05 55 [email protected] www.e-xpertsolutions.com