Sécurité

BYOD : les nouveaux scénarios

d’authentification adaptés au

monde de l’entreprise

William Houry, Versatile Security

Arnaud Jumelet, Microsoft France

william.houry@versatilesecurity.com, @whoury

arnaud.jumelet@microsoft.com, @arnaud_jumelet

#mstechdays Sécurité

Depuis votre smartphone sur :

http://notes.mstechdays.fr

De nombreux lots à gagner toute les heures !!!

Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les Techdays !

Donnez votre avis !

#mstechdays Sécurité

Agenda

Les directions de solution pour l’entreprise

Un exemple

2 3

La situation

1

#mstechdays Sécurité

• Découvrir les solutions Microsoft pour le BYOD

adaptées au monde de l’entreprise

• Démontrer la mise en œuvre d’un scénario innovant :

inscription d’un appareil Windows 8.1 avec

authentification par téléphone puis création d’une carte

à puce virtuelle contenant les certificats numériques

associés à l’utilisateur

Objectifs de la session

Sécurité#mstechdays

LES DÉFIS DU BYOD

La situation

#mstechdays Sécurité

Le déploiement et la gestion des applications sur l’ensemble des plateformes est complexe.

Applications

Les défis liés au BYOD

Les utilisateurs veulent pouvoir travailler depuis n’importe où et avoir accès à toutes les ressources.

Utilisateurs Données

Les utilisateurs doivent être productifs tout en respectant la contraintes de conformité et en limitant les risques.

L’explosion et la diversité des appareils mobiles remet en cause l'approche basée sur les standards IT de l'entreprise.

Appareils

#mstechdays Sécurité

sur plusieurs appareils…

avec un accèsaux apps…

….même en situation de mobilité !

Tout débute

par une

personne ...

EMPLOYEE #0000000-000CONTOSO

dont l’identité est vérifiée…

Les utilisateurs veulent travailler depuis leur propre appareil et de

n’importe où

#mstechdays Sécurité

Donner accès de manière sécurisée aux apps et données métiersL’IT doit protéger les ressources

de l’entreprise…

tout en gardant le contrôle sur

les données et la sécurité.

DELIVERY TYPE

NATIVE APP

DELIVERY TYPE

WEB/SaaSAPP

.. En définissant comment les

applications sont délivrées

DELIVERY TYPE

VIRTUALDESKTOP

DELIVERY TYPE

REMOTEAPP

SSL/TLS

802.1x / IPsec

VPN / DirectAccess

#mstechdays Sécurité

Des bénéfices et des risques

IT PROComment donner accès de manière sécurisée aux

applications et données de l’entreprise ?

UtilisateursComment accéder facilement aux outils de l’entreprise

avec mon appareil personnel et depuis n’importe où ?

Sécurité#mstechdays

QUELQUES SOLUTIONS

MICROSOFT POUR LE BYOD

#mstechdays Sécurité

DELIVERY TYPE

NATIVE APP

DELIVERY TYPE

WEB/SaaSAPP

DELIVERY TYPE

VIRTUALDESKTOP

DELIVERY TYPE

REMOTEAPP

Solutions BYOD dans Windows Server 2012 R2

#mstechdays Sécurité

Publication des applications web avec WAP + AD FS

Les utilisateurs peuvent enregistrer leurs appareils pour accéder aux apps et données d'entreprise avec une expérience SSO grâce à l'authentification de l'appareil

L’accès conditionnel avec l'authentification multi-facteur est fourni avec une granularité par application, en s'appuyant sur l'identité de l'utilisateur, l'enregistrement de l'appareil, l’emplacement réseau et d’autres informations de contexte

Les améliorations apportées sur le nouvel AD FS comprennent un déploiement et une gestion simplifiée

ApplicationspubliéesFirewall

DELIVERY TYPE

WEB/SaaSAPP

#mstechdays Sécurité

Principe du contrôle d’accès contextuel

Utilisateur

Authentification

Appareil Lo

giq

ue

Expérience utilisateur

(ex. règle : appareil connu et géré)

. Accès complet au réseau

. Accès natif aux applications Web et classiques

Complet

(ex. règle : appareil connu depuis le réseau interne à

l’aide d’une authentification forte)

. Accès à certaines Applications Web

. Accès à des applications classiques en mode RDP

Limité

(ex. règle : appareil inconnu)

. Aucun accès au réseau interne

. Accès internet invité Bloqué

Contexte

Lieu

Le contexte d’accès inclut les caractéristiques de l’identité présentée, la force de l’authentification, le niveau de confiance de l’appareil mobile et l’emplacement géographique. et

Les politiques d’accès définissent les règles d’accès en fonction du contexte et de la sensibilité des services, applications et données accédés

#mstechdays Sécurité

Les caractéristiques de l’identité

présentée– Appartenance à un/des groupes de

sécurité

– Appartenance à un rôle spécifique

– Attribut particulier,…

Utilisateur

Utilisateur

Authentification

Appareil

Contexte d’accès

Lieu

#mstechdays Sécurité

Lieu

En situation

de mobilité

Depuis

l’interneUtilisateur

Authentification

Appareil

Contexte d’accès

Lieu

#mstechdays Sécurité

Authentification

Fo

rce

Certificat

Certificat protégé par TPM

Carte à puce + Code PIN

Mot de passe simple

Mot de passe

+ Téléphone

Mot de passe + Téléphone

+ Voix

Code confidentiel****

Mot de passe image

Empreinte digitale

Utilisateur

Authentification

Appareil

Contexte d’accès

Lieu

Carte à puce virtuelle

+ Code PIN

#mstechdays Sécurité

• Les Intérêts– Authentification forte à 2 ou 3 facteurs basée sur des certificats numériques

(X.509)

– Cryptographie isolée (Opérations effectuées par la carte)

– Anti « Force brute » (Carte bloquée après N tentatives)

– Nombreux cas d’utilisation (Windows logon, Accès à distance, Chiffrement, Signature…)

• Pas toujours adapté dans un environnement BYOD– Lecteur intégré, lecteur externe (USB, Bluetooth ou autre), Clé USB, Carte NFC…

• La Carte à puce virtuelle offre une complémentarité à la carte à puce physique en gardant les avantages de celle-ci sans les contraintes de déploiement de matériel

Carte à puce

#mstechdays Sécurité

• La fonctionnalité carte à puce virtuelle est présente sur toutes éditions de Windows 8.X

• Utilise la puce TPM d’un appareil Windows 8.x

• La présence d’un TPM sera obligatoire en 2015 pour obtenir le logo Windows

• Adaptée aux tablettes et appareils mobiles– Les Windows Phones possèdent un module TPM

• Déploiement simple et compatibilité optimale avec les logiciels existants.

Qu’est-ce qu’une carte à puce virtuelle ?

Le code PIN est ce que l’on connaît, l’appareil ce que l’on possède

#mstechdays Sécurité

La carte à puce virtuelle est faite pour le BYOD et la

mobilité

Authentification

Multi-facteurs

• Accès distant avec une connexion VPN

• Accès réseau interne Wi-Fi, IPSec

• Ouverture de session en mode RDP

• Accès à des applications Web avec authentification certificat client SSL

• Accès à des ressources via Kerberos

Protection des

documents et

des messages

• Chiffrement BitLocker sur des disques de données fixes et amovibles

• Chiffrement/Signature S/MIME

#mstechdays Sécurité

Appareils

Inconnu Connu Connu et géré

L’appareil est inconnu de

l’IT

L’appareil est joint au lieu

de travail (Workplace Join).

Il peut recevoir des

politiques de sécurité via

EAS. L’appareil est connu

est associé à son utilisateur

L’appareil est joint au lieu

de travail et géré par un

MDM (Mobile Device

Management) via le

protocole OMA-DM.

Administré

L’appareil est joint au

domaine Active

Directory et est

entièrement sous le

contrôle de l’IT avec des

GPO et outils de

supervision,

télédistribution logiciels.

Utilisateur

Authentification

Appareil

Contexte d’accès

Lieu

#mstechdays Sécurité

Fonctionnement du Workplace Join

Start

Active Directory

Start

Design/UX/UI#mstechdays Sécurité

WORKPLACE JOIN

Associer un appareil ou un ordinateur considéré

comme fiable

Sécurité#mstechdays

SCENARIO AVEC LA SOLUTION

VERSATILE SECURITY VSEC:CMS

#mstechdays Sécurité

Gestion du Cycle de Vie des Cartes à Puces

(Virtuelles)

#mstechdays Sécurité

Avantages de vSEC:CMS

Installation Rapide

Haut Niveau de Sécurité

Faible Coût de Possession

Intégration complète avec les infrastructures

Microsoft

#mstechdays Sécurité

Intégration avec l’Infrastructure Existante

#mstechdays Sécurité

Distribution carte à puce (virtuelle) et certificats

dans un contexte BYOD (Self-Service)

Récupération des règles d’accès : Authentification forte (carte à puce physique) Authentification par téléphone Azure MFA Questions / Réponses

…

Start

Design/UX/UI#mstechdays Sécurité

CRÉATION ET

PERSONNALISATION D’UNE

CARTE À PUCE VIRTUELLEAvec vSEC:CMS

#mstechdays Sécurité

Les étapes

Configuration de la Politique de PIN

Diversification de la Clé d’Administration

(PIN Admin)

Assignation à un Utilisateur Active

Directory

Enrôlement des Certificats Utilisateurs

#mstechdays Sécurité

• Enregistrer les appareils – Les appareils (Windows 8.x, iOS) peuvent être joint au lieu de

travail avec Windows Server 2012 R2

• Authentification forte et moderne– Activer les méthodes d’authentification fortes adaptées à la

mobilité : Windows Azure MFA et cartes à puce virtuelles

• Contrôle d’accès contextuel pour le BYOD– Prise en compte du contexte avec Windows Server 2012 R2

En résumé

#mstechdays Sécurité

Ressources

• Livre blanc « BYOD : Vision et solutions »

• Livre blanc « Windows Azure MFA »

• Site Web Versatile Security :

http://versatilesecurity.com

Sessions tech.days 2014 – Mercredi 12 février : 16h30-17h15 : Démonstration

du BYOD en entreprise

– Jeudi 13 février : 12h15-13h00 : Stratégie BYOD

et nouvelles directions de solutions

Aller plus loin

Digital is

business