Yoann Le Corvic Senior Security Engineer / ISO 27001 Lead Auditor

tel. +41 22 727 05 55 Yoann.lecorvic@e-xpertsolutions.com www.e-xpertsolutions.com

L’EVOLUTION «MOBILITÉ» Subir ou gérer ?

Yann Desmarest Innovation Center Manager

tel. +41 22 727 05 55 Yann.desmarest@e-xpertsolutions.com www.e-xpertsolutions.com

Séminaire sécurité du 12 juin 2014

AGENDA

Dans la peau d’un Cybercriminel

La mobilité s’impose… et nous expose !

Gérer ou subir

Architectures type

Services e-Xpert Solutions

Projet mobilité et ses pièges

Récupération de fichiers …

…en 5 minutes chrono !

LA MOBILITÉ S’IMPOSE …

… ET NOUS EXPOSE

LA MOBILITÉ : ÉVOLUTION NATURELLE ?

Téléphone Fixe

Natel

Smartphone Tablette Hybride ???

LA MOBILITÉ S’IMPOSE...

6

ET LA MOBILITÉ NOUS EXPOSE…

Genève : 1 vol / heure, 8000 sur l’année 2011 (4245 en 2006) (source : Police Cantonale de Genève)

New York : près de 12000 iPhone/iPads entre le 01.01.2012 et 23.09.2012 (source : NYPD)

70 million de téléphones perdus chaque année – seulement 7% retrouvés (source : Etude Intel 2009)

50% des utilisateurs de smartphones y stoquent des mot de passe, informations personnelles et données de carte de crédit (source : Etude Intel 2009)

36% des tablettes contiennent des informations professionnelles (source : Etude Intel 2009)

700 000 applications Android malveillantes (source : rapport Trend Micro)

SUBIR OU GÉRER ?

il était une fois …

SUBIR

RÉSULTATS

10

► Parc hétérogène, géré (ou pas) «artisanalement», sans politique de sécurité globale, sans visibilité globale…

► Perte quasi-totale du contrôle des données d’entreprise o Dommage, à l’heure ou la fuite d’information est un sujet majeur

► Potentiel risque d’être «Hors la loi» en Suisse ou dans une filiale

60 % des entreprises européennes n’ont aucune “stratégie” mobilité (Source : PAC - 2013)

11

GÉRER

PRAGMATISME

L’amener à exprimer les besoins, même de façon sommaire.

Communiquer avec le management sur les besoins, mais aussi problématiques.

Gérer le projet mobilité comme un …. Projet.

Choisir la solution technique, et l’intégrer.

Former les administrateurs, helpdesk, opérateurs.

Former les utilisateurs, au moins les sensibiliser.

Ne pas sous estimer les aspects RH et Juridiques Cf. Présentation Me Fanti https://www.youtube.com/user/expertsolch

BYO

D or not to B

YOD

? That is the question.

RÉSULTATS

12

► Parc homogène, supervisé, maitrisé o Configuration centralisée

► Expérience utilisateur, support amélioré, sans pour autant être très

intrusif

► Fonctionnalités sécurité offertes par les fonctions MDM (Enterprise Wipe, Compliance)

PROJET MOBILITÉ

ET SES PIÈGES

LUTTER CONTRE LES «MYTHES» DE LA MOBILITÉ

► Tous les employés doivent avoir un accès complet à l’entreprise.

► Les employés qui utilisent les devices connaissent des risques.

► Les entreprises doivent attendre que le marché devienne mature

► L’augmentation de la flotte mobile augmente nécessairement le risque de faille de sécurité.

► Le MDM dans le cloud, ce n’est pas sécurisé.

14

DIMENSIONNEMENT

► Saturation des bornes Wifi ► Saturation des connexions Internet ► Saturation de liens WAN

o Rapatriement d’emails o Accès aux intranets o Accès aux documents

► Dépassement de forfait / frais de Roaming ► Dimensionnement des composants MDM

o SGBD o Système de fichier pour le MCM (Mobile Content Management)

15

SÉCURITÉ

► Peut-on imposer les mécanismes de sécurité en place ? o Protection du surfing Internet o Protection des mails o Analyse Anti Virus

► Faire face aux BUGS

o Déni de service sur l’infrastructure Exchange ActiveSync via IOS o Bypass du login du device

► Sécurité = compromis o Trop de sécurité = Se retrouver avec n smartphones / tablettes par

collaborateur.

16

GESTION DES MAILS

► Mails chiffrés o Comment les lire sur les smartphones ? o Problématique chiffrement de mails Lotus Notes

► Serveurs de messagerie o Technologies (Microsoft / Lotus) o Architecture distribuées (problématique d’accès à des serveur en filiale) o Problématique de haute disponibilité

17

INTÉGRATION DE TECHNOLOGIES NON MAITRISÉES

► Exemple : l’authentification par certificat numérique

► Gestion du cycle de vie des certificats numériques o Ex : Gestion du certificat pour la connexion au service Apple APNs

► Contrôle d’accès avec validation par CRL ou OCSP

o Problèmes d’implémentations sur certains systèmes o Mécanismes nécessaires mais non intégrés dans le design du projet

18

ARCHITECTURES

Reverse Proxy

LA GESTION DES EMAILS

Lotus

Exchange

Mail Gateway

Proxy ActiveSync SSL Offloading Authentification Certificat Contrôle d’accès LDAP Load Balancing

Proxy ActiveSync Contrôle de compliance Load Balancing

Reverse Proxy

SINGLE POINT OF ACCESS

Lotus

Exchange

Mail Gateway

lotus.e-xpertsolutions.com

exch.e-xpertsolutions.com

Multiples points d’accès (wifi, accès guest, 3G, …)

L’équipement n’appartient pas au domaine Microsoft de l’entreprise

Support limité des mécanismes d’authentification

Fonctionnalités variables dépendant du type d’équipement (IOS, Android, etc.)

La plupart des protections sont désactivables

Protection du surfing internet

23

CHOISIR LA BONNE ARCHITECTURE PROXY WEB

► Besoin d’authentification pour les utilisateurs internet ?

► Appliquer la même politique de sécurité pour tous les utilisateurs ?

► Il n’existe pas de solution miracle, mais une multitude de compromis à accepter !

► Déploiements : ► Explicit ► WCCP ► Transparent ► Cloud

LE RETOUR DE LA PKI

► Usages : o Authentification e-mail, wifi, vpn o Chiffrement et signatures des e-mails o Chiffrement et authentification pour les apps internes o Chiffrement du contenu

Reverse Proxy

ARCHITECTURE PKI

MDM

CA Root

CA Mobilité

Validation du certificat

Enrôlement, révocation, etc.

Validation CRLDP ou OCSP Extraction du « Subject » Extraction d’un attribut spécifique

26

DEMO – REMOTE ACCESS

1. Authentification par certificat numérique

2. Validation du certificat client via les CRLDP (CRL Distribution Point)

3. Est-ce qu’il s’agit d’un device Apple IOS (iPhone, iPad, iPod, etc.) ?

4. Est-ce que la connexion s’établit depuis l’application «F5 Edge Client» ?

1 2 3

4

E-XPERT

APPROCHE E-XPERT SOLUTIONS

► Sensibiliser / Accompagner o Echanger avec la direction et présenter de façon transparente, les

enjeux, avantages, inconvénients, risques de la mobilité dans le contexte client.

o En faire ressortir les besoins

► Gérer o Gestion de projet de bout en bout. Si nécessaire avec la coordination des

acteurs internes et externes (autre prestataires) o Capacité à s’engager au forfait (maitrise des coûts)

28

APPROCHE E-XPERT SOLUTIONS

► Concevoir o Maitrise des concepts et technologies infrastructures, réseau, sécurité

pour définir une solution globale o Définition des politiques de sécurité pour les équipements gérés

► Mettre en œuvre

o Maîtrise et certifications sur les solutions AirWatch • (MDM, MCM, MAM, MEM, AppWrapping, Workspace)

o Composants techniques d’infrastructure • Load Balancing (environnement HA) • Reverse proxies / WAF • Architecture de cloisonnement

29 https://training.air-watch.com/verify/AWCRF4YJYJLDVR3Z

APPROCHE E-XPERT SOLUTIONS

► Supporter et faire évoluer o Maintien en condition opérationnel o Evolutions, prise en compte de nouveaux besoins

► Former o Management, IT et Utilisateurs

30

www.e-xpertsolutions.com

www.e-xpertsolutions.com/rssglobal

blog.e-xpertsolutions.com

twitter.com/expertsolch

linkedin.com/company/110061?trk=tyah

slideshare.net/e-xpertsolutions

https://www.youtube.com/user/expertsolch

MERCI DE VOTRE ATTENTION

Yoann Le Corvic Senior Security Engineer / ISO 27001 Lead Auditor

tel. +41 22 727 05 55 Yoann.lecorvic@e-xpertsolutions.com www.e-xpertsolutions.com

Yann Desmarest Innovation Center Manager

tel. +41 22 727 05 55 Yann.desmarest@e-xpertsolutions.com www.e-xpertsolutions.com