Embed Size (px)
DESCRIPTION
Citation preview
1
2
D’où vient le BYOD ?
# entreprise qui veut réduire ses CAPEX ?
§ les smartphones ne sont pas des assets rentrant dans les actifs de
l’entreprise. Leur coût est inclus dans les coûts d’abonnement => c’est déjà de
l’OPEX
# des RHs qui veulent forcer la productivité des salariés ?
# des RSSI qui , …,
# salariés qui recherchent du confort ?
Est-ce vraiment rentable ?
Variation de la part des postes extérieurs dans le budget, en OPEX, entre 0,1%
(100) et 0,6% (1000) sur 5 ans.
Toujours sur 5 ans, la part d’acquisition du matériel avec une configuration
bureautique basique représente 20% du coût total.
ROI à aller chercher en – de 5 ans, pas évident.
3
4
Quand j’ai commencé à travailler, j’enviais mon directeur parce qu’il venait en
réunion avec son ordinateur portable.
Alors que j’ai eu mon ordinateur portable (sans être directeur), j’enviais mon
directeur parce qu’il venait en réunion avec son notebook.
Alors que j’ai mon notebook, j’enviais mon directeur parce qu’il venais en
réunion avec son blackberry.
Alors que j’ai eu mon blackberry, j’enviais mon directeur parce qu’il venait en
réunion avait une clé 3G (et un accès à Internet bien entendu).
Alors que j’ai eu ma clé 3G, j’enviais mon directeur parce qu’il venait en
réunion sans clé 3G mais toujours avec un accès à Internet (magie ? non, SIM
intégrée).
Alors que j’ai eu un notebook avec une SIM intégrée, j’enviais mon directeur
qui venait en réunion avec son iPhone et son iPad.
Alors que mon directeur vient en réunion avec son iPhone et son iPad, je ne
l’envie plus car mes enfants jouent avec à la maison.
Moralité : comme tout mon monde (mon directeur, mes enfants et moi) utilise
un iPhone ou un iPad, pourquoi je ne travaillerai pas avec ?
5
Contrairement à ce qui est affiché, nous ne disposons pas vraiment de chiffre
des usages du BYOD.
Car,
# hyper varié entre les pays, 1/3 des japonais ne se connecte pas au SI de son
entreprise avec son terminal personnel !
# chiffres des OS très différents, plus souvent observés BBY 80%, iOS 17%,
Androïd 3% dans plusieurs groupe du CAC40
6
Device :
# pour baisser les coûts des forfaits data et augmenter l’expérience utilisateur,
la connexion au Wifi de l’entreprise est ou sera demandée ;
# le volume de tablette est sous représenté par rapport à son intérêt.
Certains secteurs d’activité en pointe (médical), mais évolution à prévoir (ex
du kit de renforcement d’un iPad) ;
Applications :
# principal facteur de succès du smartphone (ex Nokia). Observé : en
moyenne 30 applications par smartphone et 60 par tablette ;
# trop d’applications pro disponibles sur les stores (SAP, Microstrategie,
CRM, VPN Aventail ou CheckPoint ...) alors qu’elle ne devrait l’être que dans
des stores privés ;
RIM :
# atteinte à l’image et forte perte de marché à cause
i) d’une panne d’infrastructure,
ii) matériel inadapté aux désirs des consommateurs (passage
aux écrans tactiles plutôt que clavier),
iii) store peu dynamique,
7
iv) OS qui évolue trop lentement.
NOKIA :
# disparition d’un géant en faveur de Samsung à cause d’un
i) OS obsoléte et
ii) pas de store.
RIM s’en sort quand même bien, non ? ;-)
Android :
# Nouveau leader des OS avec 50 % PdM
# Q1 2012: R4.0: Première release compatible Smartphone et Tablette -> tendance
lourde, déjà le cas pour iOS, pas encore suivie par Microsoft pour sa nouvelle version
iOS:
# PdM en baisse autour de 20%
# pour le grand public (cœur du BYOD), adaptation difficile à l’entreprise bien que
plus avancée qu’Androïd
Microsoft :
# à voir quelles seront les stratégies d’intégration, mais ils peuvent prendre une part
importante des smartphones d’entreprise.
7
Risque pour les données professionnelles et personnelles
# Confidentialité & Intégrité : En cas de perte ou de vol d’un terminal non
protégé, ou simplement lorsque l’on s’absente le temps d’une pause café, les
données exposées sont variées :
§ ce qui transite par mail et SMS ;
§ calendrier avec ordre du jour en attachment ainsi que les informations de
connexion à des conf call/visio,
§ contacts éventuellement avec le numéro de téléphone personnel lorsque
l’on se connait bien ou en commentaire le code d’accès de la porte de
l’immeuble à côté de l’adresse
…. Mais aussi ….
§ messagerie personnelle
§ application de RS, LinkedIn / Facebook / Twitter. Ces applications
n’existent pas pour les ordinateurs.
§ application GPS (ex Google Maps) avec consultation de l’historique des
itinéraires recherchés.
§ photo et vidéo : loi du premier appareil sous la main : qui n’a jamais pris
de photo personnelles avec son portable professionnel (exploit footbalistique
du dimanche) ou une photo professionnelle avec sont smartphone personnel
car la définition est meilleure (paperboard en fin réunion)
8
§ coffre-fort de mot de passe
§ configuration des SSID / VPN enregistrés. Les mots de passe sont parfois stockés
de manière sécurisés, mais cela permet d’initier facilement une attaques ;
§ reader de RSS/news personnels renseignants sur les centres d’intérêts du
propriétaire
le backup d’un iPhone, même chiffré peu être fait en clair via
iTunes.
§ les données peuvent être synchronisées avec des services cloud designés
initialement pour le grand public, dans lesquels les besoin de confidentialité sont
différents, bien que le service reste accessible sur le smartphone (ex iCloud d’Apple).
§ prendre en compte les nouvelles menaces. Exemple d’une attaque de type MitB
(Man In The Browser), plus simple à mettre en œuvre qu’une écoute entre un client et
un serveur web => la sécurisation via HTTPs avec authentification mutuelle n’est plus
efficace, car le browser compromis peut être accéder par le malware.
risque d’usurpation d’identité (avec les mots de passe stockés dans
Safari par exemple) et risque de ne pas disposer d’architecture techniques répondant
concrètement à cas ces menaces et donnant un faux sentiment de sécurité.
§ ils devient impossible de monitorer les informations échangées depuis ce
terminal puisque cela ne passe pas par des infrastructures internes. Il devient alors
impossible de surveiller la fuite d’information (ex d’un malware sortant des
informations), mais aussi et surtout d’apporter des preuves notamment dans le cadre de
procédure judiciaires.
risque de ne pas disposer de tous les leviers pour conclure
positivement des recherches par exemple.
§ risque pour l’intégrité du terminal de l’utilisateur : prévenir des conséquences
du non-respect des baselines et des procédures compensatoires mise en œuvre
(coupure du service et remote wipe). Est-ce que le désabonnement au service entraine
l’obligation d’un remote wipe, si c’est le cas, bien le spécifier dans la charte !
# Disponibilité :
§ eBillet SNCF ou adresse de l’hôtel à Bogota qui ne sont plus disponible sur le
terminal à cause d’un problème technique (synchronisation) ou de perte ;
§ échange de SMS avec un numéro de téléphone qui n’a pas été enregistré et
impossible à retrouver car l’historique n’est pas conservé très longtemps ;
Risque pour le SI de l’entreprise
# Il est possible de détecter un terminal jailbreaké ou rooté lorsqu’il se connecte à
ActiveSync par exemple. En revanche, cela n’est pas une fonctionnalité native du
8
produit et reste manuel et n’est pas efficace à 100% et presque impossible dans le cas
d’une connexion VPN.
le risque de perte de contrôle de l’accès au SI est réduit, mais loin
d’être supprimé
# les attaques par déni de service plus simple via des smartphones. Pourquoi ?
§ Attaque via VPN : la mémorisation des informations est presque casi-
systématiques sur les terminaux (pwd complexe pénibles à saisir à chaque fois)
§ connexion sur le réseau WIFI de l’entreprise pour bénéficier un débit plus
important (souvent directement sur le LAN, car on estime que la connexion n’est
possible que lorsque l’utilisateur est dans les locaux –limitation du rayonnement des
hotspots- et que l’on se dit que toutes personnes présentes dans les locaux est de
confiance)
risque de déni de service qui peut paralyser le fonctionnement du
LAN
Risque Organisationnel, Juridique et Réglementaire
# supporter les utilisateurs dans l’utilisation de terminaux très variés ;
risque financier de coûts cachés dans l’exploitation qui devra être
faite par les administrateurs. L’animation d’une page de FAQ du type « base de
connaissance » sur les difficultés techniques les plus fréquemment rencontrées peut
aider à éviter que les utilisateurs contactent trop fréquemment les administrateurs. La
désignation d’un expert (avec la bande passante suffisante) clairement désigné dans la
charte est aussi une bonne pratique, la consultation de l’expert restant limitée à la
configuration des baselines de sécurité.
# la responsabilité de l’entreprise peut-être engagée dès lors qu’une action est
engagée sur le terminal personnel de l’utilisateur. Même si la connexion au service a
été définie comme volontaire. De plus, l’équilibre contractuel dans un service de
BYOD est clairement en faveur de l’entreprise et peut être facilement remis en cause
en cas de conflit.
risque juridique et financier. Pas encore de jurisprudence. Peut-être
réduit par l’utilisation de solution de type silo applicatif ainsi qu’en listant
exhaustivement les conditions de déclenchement des wipe. Décrire très clairement qui
prendrai en charte d’éventuels coûts de roaming sur un portable personnel en cas de
déplacement à l’étranger.
# Il est possible d’engager la responsabilité de l’utilisateur en cas de dommages
causés par l’équipement de l’utilisateur, mais si ce dernier démontre de l’utilisation
correcte de son téléphone, respectant intégralement ou partiellement la charte (bonne
volonté), il y a peu de chance que l’entreprise obtienne gain de cause.
risque juridique et financier de ne pas trouver de tiers contre qui se
retourner.
# Même si la connexion est basée sur le volontariat, comme il s’agit d’un service
8
mis à disposition de l’entreprise éventuellement soumis à l’approbation, un chef de
service pourrait tout à fait faire pression sur ces subordonnés pour qu’ils travaillent en
dehors des plages horaires contractuelles. Ex : accident de voiture sur un trajet Lyon-
Ste parce qu’un utilisateur répondrait à un mail.
ce service peut augmenter les risques psycho-sociaux, induisant des
risques financiers, juridiques et surtout d’image
# les risques liés à la propriété intellectuelle sont à pondérer et surtout à différencier
entre smartphones/laptop ainsi qu’entre consultation et production.
§ smartphone / laptop : SAP, Oracle, MicroStrategy, mettent leur client à disposition
gratuitement sur les stores des smartphones. C’est la connexion au serveur qui
consomme une licence.
§ consultation / production : les viewers Office sont gratuits sur Internet. En
revanche, la production locale est un vrai problème mais les produits sont en train de
s’adapter. Exemple de Google Apps et l’utilisation hors connexion avec Chrome dont
le licencing n’est pas lié au poste de travail.
risque d’influencer les stratégies IT de l’entreprise afin de toujours
privilégier les clients web avec des contraintes induites supplémentaires (support de
flash sur iOS par exemple plus un client riche)
#l’hyper-connectivité devient addictive. Le lien créé en permanence entre le salarié
et l’écosystème professionnel induit de nouvelle posture. La plus préoccupante est
l’obligation de réaction induite par cette logique d’instantanéité. L’addiction survient
car la réponse immédiate apportée à une demande procure une sensation de plaisir,
similaire à celle procurée par des drogues : « vous avez vu comment je suis capable de
répondre rapidement, je suis le meilleur »
# Les échanges de mail professionnel effectués durant son temps de transport
quotidiennement, peuvent-ils être considérés comme du temps de travail
supplémentaire ?
-> question biaisée pour les cadres qui ont un volume de jour/an.
-> est-ce du télétravail ? Non, si l’on s’en référe à la définition de l’accord
interentreprise
-> est-ce du nomadisme comme les commerciaux, car les utilisateurs ont un bureau
?
-> est-ce du travail sous astreinte ? Non, bien encadrer par des avenants au contrat,
entre des tranches horaires particulières.
la charte smartphone doit mentionner qu’il s’agit d’une démarche
volontaire de l’utilisateur et que l’ouverture de ce service ne constitue en rien une
obligation de consultation de sa messagerie ou de réponse à des sollicitations en
dehors de son temps de travail.
# Est-ce discriminatoire si le service ne coûte rien mais qu’il n’est pas ouvert à tout
8
le monde ? Corolaire : comment justifier de la mise à disposition de ce service ?
risque réduit en préférant la gestion d’une unique politique de
sécurité plutôt que de distinguer Pro vs Perso, moins discriminant
8
La stratégie initiale : conserver l’expérience utilisateur du terminal pour qu’il
accède aux données personnelles.
400,000 employés, 10% (40,000) avec Blackberrys et 20% (80,000) avec leurs
smartphones et tablettes personnelles pour accéder au réseau interne d’IBM.
Premier retour arrière: « The whole bring-your-own-device trend may cause as
many problems as it solves” IBM CIO Jeanette Horan. Blocage de l’utilisation
de dropbox/SkyDrive/G-Drive et evernote. L’avantage était la facilité de
partage de fichier et la synchronisation multi-device.
empiète sur le monde personnel de l’utilisateur car pour ses
besoins personnels, il ne peut plus utiliser ces 2 services. La réponse de
dropbox a été de dire que leur service n’était pas à destination des
professionnels et qu’ils feraient du best effort sur la confidentialité des données
(sic).
Ainsi que de SIRI, la reconnaissance vocale, qui a fait vendre
énormément d’iPhone4
idem
Programme toujours actif, mais particulièrement contraint.
9
10
11
Application :
# utilisez les possibilités offertes par les services (type activeSync) pour
pousser des politiques de sécurité en préalable à la connexion du device.
§ Exchange 2010 qui pousse la politique et qui permet de mettre le terminal
en quarantaine dans le cas où il ne respecterait pas les baselines.
MDM :
# exemple de l’agent Good Technology qui est censé détecter une device
jailbreaké mais que l’on peut abuser avec XCON
# Reste encore dans la philosophie de gestion d’une flotte complète alors que
les terminaux n’appartiennent plus à l’entreprise
# Présentation des origines des acteurs du MDM
Hypervisor / VM
# Exemple VMWare. A confirmer techniquement, encore jeune.
# Actuellement, trop de cloisonnement : dans le container professionnel, je ne
peux pas recevoir les notifications (mail reçus, tweets, …) de la partie
personnelle du terminal.
# quelques challenges à relever pour l’hyperviseur :
12
§ lourd en installation et consomme beaucoup de mémoire et CPU ce qui greve les
performances de la batterie.
§ limiter l’adhérence avec l’OS (pas simple pour un hyperviseur) pour ne pas être
lié aux montées de version et se maintenir toujours opérationnel dans la version la plus
à jour
SandBoxing :
# Mise en place de silos d’entreprise ou sandbox (bac à sable) permettant d’isoler les
données d’entreprise dans des espaces spécifiques.
Sybase, Good Technologies ou Mobiquant propose ce type de technologie. Problème :
ce ne sont pas les clients natifs de l’OS qui sont utilisés, mais des clients développés
par les éditeurs. L’expérience utilisateur est dégradée.
# Alternative : Teopad sur Androïd, qui interface directement les primitives de l’OS
et qui propose donc un bac à sable utilisant les applications natives de l’OS. Le revers
de la médaille est que Teopad est pour l’instant disponible que sur Androïd car Apple
ne permet pas une intégration dans les couches basses d’iOS et étend difficilement ses
APIs.
# le challenge consiste en la mise en œuvre d’une sécurisation valable pour 3 types
d’applicatifs d’entreprise :
§ applications bureautiques,
§ applications commerciales (SAP, Oracle, Microstrategy, ...)
§ applications d'entreprise developpées par elle-même.
SECURITY BASELINE
# gestion de enrollment et de la révocation : lors de ces deux processus, il peut être
intéressant d’intégrer une validation avant l’ouverture du service ou sa coupure (hors
contexte d’incident). Techniquement, cette validation est possible.
# Chiffrement des données : idem, obligatoire ou pas. Attention, certains terminaux
ne propose pas cette API et ne pourrons pas être compatible avec la charte. /!\
Attention aussi à la consommation de batterie + importante induite : pour des BBY, la
durée d’utilisation pouvait être divisée par 2, d’où l’intérêt de le stipuler dans la charte.
# Politique de mot de passe : presque tous les terminaux proposent cette API. Elle
doit faire partie de la baseline la plus minimale. Prévoir une modification de la
politique de sécurité pour intégrer une politique de pwd allégée pour les smartphones.
Des alternatives aux pwd sont disponibles, comme les schémas par exemple sous
androïd. Ils peuvent amener un niveau de sécurisation intéressant, ils sont plus difficile
à inscrire sur un post-it ;-)
# remote lock/wipe : possibilité technique de verrouiller le terminal ou de l’effacer à
distance. A disposition de l’utilisateur et de l’administrateur. C’est la baseline la plus
problématique à intégrer dans la charte, notamment aux vues de l’intrusion que cela
représente sur le mobile de l’utilisateur en cas de déclenchement.
12
# configuration des infrastructures d’entreprise Mail/Wifi/VPN : possibilité de
paramétrer dans une politique centralisée le déploiement de ces composants.
12
13
# Quelles sont les techniques pour détecter un iPhone jailbreaké se connectant
à ActiveSync ?
§ Filtrage sur les User-Agent dans les headers HTTP. Attention, nécessaire de
maintenir ces règles à jour sur les Reverses Proxy. Pas exhaustif, car il est
possible de spoofer un User-Agent sur iPhone
http://security.stackexchange.com/questions/918/blocking-
insecure-iphones-from-accessing-activesync?rq=1
http://www.paperblog.fr/5200520/xcon-le-tweak-qui-permet-de-
contourner-la-detection-du-jailbreak-pour-les-appli/
les softs de MDM sont concernés par ce masquage ;-)
14
15
# Mécanismes classiques de contrôle d’accès suite à l’authentification des
utilisateurs
pas forcément la partie la plus facile, car elle nécessite la
prise en compte de cette contrainte dés le début des développements.
§ l’utilisateur doit-il s’authentifier avec son compte AD/LDAP
d’entreprise ?
§ Faut-il qui saisisse systématiquement son pwd ou est-il stocké sur le
terminal une fois la phase d’initialisation effectuée ?
§ Est-ce un compte générique qui est utilisé, avec le risque de reverse
engineering permettant d’extraire des données ?
# Chiffrement, classique, suite à une analyse de risque. Attention particulière
portée aux données personnelles.
# Protection des hôtes et des applicatifs (hardenning, AV, confinement, …)
16
17
18
19
