Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l'information sous l'ère du BYOD

Tablettes & SmartPhonesWindows 8, iOS, Android: Stratégie de protection de

l'information sous l'ère du BYOD

Sylvain CortesPartnership & Alliances Manager

[email protected]

Entreprise / IT / Serveurs / Réseaux / Sécurité

Blog Francophone sur la gestion des identités et des accès:www.identitycosmos.com

LE BYOD DANS L’ENTREPRISE MODERNESection n°1

LE BYOD DANS L’ENTREPRISE MODERNE


Définition du BYOD

Quelle définition ?

BYOD: mythe ou réalité ?


• Pourquoi cette tendance ?

• Adoption réelle ?

• Un mal nécessaire ?

• Culture, législation !

• La France ? ! ? !

: BYOD, BY…D (« BIDE »), BAD


• Le BYOD devient le BAD: « BringAny Device » (législation Fr)

• Tendance importante sur des populations ciblées (VIPs)

• Difficultés réelles de la DSI face à ces nouveaux usages et rôles

• Voir le discours de Patrick Pailloux

B Y O D

Les enjeux du BYOD


Deux enjeux majeurs à garder à l’esprit:

• Ne pas penser « périphérique » mais penser triptyque: « périphérique + applications + données »

• Une révolution intellectuelle s’impose : il n’y a plus de standards, et les changements de paradigmes sont très rapides

PROTECTION DE L’INFORMATION & SÉCURITÉ PÉRIMÉTRIQUE

Section n°2

PROTECTION DE L’INFORMATION & SECURITE PERIMETRIQUE


Accompagnement du BYOD

• Globalement, les entreprises doivent se munir d’un outil de MDM: Mobile DeviceManagement

• Plus de 50 fournisseurs de solution de MDM recensés dans le monde de l’IT !

• Les MDM se séparent en 2 familles:– Les outils utilisant les API des fournisseurs d’OS pour les périphériques– Les outils utilisant une SandBox et un environnement séparé sur le périphérique


Quelle protection dans un monde ouvert ?

• Quel rôle peut avoir la sécurité périmétrique dans un monde ouvert ?

• A quoi sert finalement un firewall ? Périphériques mobiles, Dropbox, Skydrive, DLFree, Mega, Stockage Azure, etc.

• Des protection au niveau « Chip »: Intel AT

• La valeur est dans la donnée elle-même


Il faut protéger la donnée

• Solution de protection de la donnée à l’échelle de l’entreprise: 2 approches pour les outils de lutte contre la fuite de donnée:– DLP: Data Lost Prevention– IRM/ERM: Information Right Management

• Chez Microsoft, l’IRM se nomme AD RMS

• AD RMS réalise un focus sur


Il faut protéger la donnéeIRM « traditionnel » DLP

Comment ca marche ?

- L’utilisateur final est responsable de la protection appliquée

- Le contenu ne peut être accédé que par des utilisateurs authentifiés/autorisés

- Certaines fonctions applicatives (copier/coller, imprimer, etc.) peuvent être interdites

- Les permissions peuvent être révoquées à tout moment

- S’applique à des documents

- Les documents sont classifiés par leur contenu

- La sécurité sur les documents (protégé, confidentiel, etc.) est assignée automatiquement en fonction des Meta-données du document utilisées pour classifier l’information

- Le contenu est analysé en fonction du contenu et du contexte, la meilleure action possible est appliquée (Surveiller, bloquer, être en quarantaine, chiffrer, appliquer une protection IRM, etc.)

- S’applique à des documents ou à des contenus moins structurés

Focus - La protection du document est valide dans et en dehors de l’entreprise

- Indépendant du protocole ou du média de transmission

- Protection persistante: protection attachée au document/email lui-même

- Protection contre la fuite depuis l’interne- Contrôle des moyens pour

envoyer/recevoir/accéder l’information et des applications utilisées pour accéder/transmettre/copier l’information


Il faut protéger la donnéeIRM « traditionnel » DLP

Points forts - Déploiement relativement simple- Protection persistante en dehors de

l’entreprise- Les permissions peuvent être

révoquées- Les actions des utilisateurs sur les

documents peuvent être auditées à l’intérieur et à l’extérieur de l’entreprise

- Des actions spécifiques peuvent être contrôlées (copie/coller, imprimer, etc.)

- La protection dépend de la décision de l’utilisateur

- Application automatique des politiques de sécurité

- La protection de dépend pas du type de fichier

- Les actions des utilisateurs peuvent être auditées à l’intérieur de l’entreprise

- Facilité à protéger du contenu existant

Points faibles - Peut être utilisé sur un spectre restreint d’applications (Office, email,; PDF, etc.)

- La protection dépend de la décision de l’utilisateur

- La protection du contenu existant implique un travail supplémentaire

- Intégration avec certains types de fichiers peut être complexe

- Implique une classification en amont des données, sous peine de travailler « en aveugle » ou selon des critères techniques approximatifs

- Si l’information parvient à l’extérieur de l’entreprise par un chemin « légal » , il n’y a plus aucun contrôle sur le contenu

- Niveau de granularité grossier, gros besoin des Méta-données



Cout

Fon

ction

s /

Sé

curité

DLPDLP

80%

Approche

DLP

Approche

Quick Win

IRMIRM

Points clés:

- Éviter le « syndrome du SSO »

- Sécurité périmétrique vs Sécurité persistante

- Il faut lier le DLP à l’IRM

AD RMS



• Au-delà des différences philosophiques, la technique du DLP est difficilement applicable au monde des périphériques mobiles

• Les MDM utilisant une SandBox s’apparentent à des firewalls ou à des DLP pour périphériques mobiles

• La méthodologie IRM semble être la bonne



IRM

DLP

MICROSOFT AD RMSSection n°3

MICROSOFT AD RMS

MICROSOFT AD RMS

Quelques rappels…

Partenaires ISVs pour: PDF, XML, TXT, JPEG, Autocad, BlackBerry, iOS, Android , etc.

70% des projets ont

pour focus la protection des

emails

MICROSOFT AD RMS

Quelquesrappels…

Infrastructure RMS

Active

Directory

MS SQL

Droits

CLCSPC RAC

CLCSPC RAC

DroitsDroitsDroits

MICROSOFT AD RMS

Quelques rappels…

Modèles de droits et interface dans Microsoft Outlook

MICROSOFT AD RMS

Quelques rappels…

Office

MICROSOFT AD RMS

Quelques rappels…

MICROSOFT AD RMS

Quelques rappels…

MICROSOFT AD RMS

Quelques rappels…

• Les limites du système IRM…

IRM: PROTECTION DE L’INFORMATION SUR LES PÉRIPHÉRIQUES MOBILES

Section n°4

IRM: PROTECTION DE L’INFORMATION SUR LES PERIPHERIQUES MOBILES


Porter AD RMS

• Microsoft propose un Kit de Développement pour les éditeurs de logiciels: AD RMS SDK

• Il est possible d’intégrer la protection AD RMS sur un logiciel ou OS non Microsoft

• Des éditeurs proposent des extensions à AD RMS pour des périmètres non Microsoft:


AD RMS sur Windows Phone 7.5 & 8

Attention: consommation

AD RMS uniquement


AD RMS sur iOS


AD RMS sur Android


AD RMS sur BlackBerry


AD RMS sur Windows 8 RT

AZURE, PÉRIPHÉRIQUES MOBILES ET AUTHENTIFICATION ACTIVE DIRECTORY

Section n°5

Azure, périphériques mobiles et authentification Active Directory


Windows Azure

• Un ensemble de services hébergés pour:– Stocker du contenu– Héberger vos machines virtuelles (OS)– Délivrer du contenu multimédia– Gérer vos identités: Windows Azure Active Directory– Etc.– Développer et héberger vos applications ou offres de

services: Centrify Direct Control for SaaS & Mobile

Evolution: Windows Azure

AD RMS


Centrify DirectControl for SaaS & Mobile• Intégrer vos périphériques

mobiles dans Active Directory

• Gérer vos règles de sécurité depuis Active Directory (GPO)

• Porter l’authentification Active Directory à l’extérieur de l’entreprise

• Appliquer les règles de sécurité à l’extérieur de l’entreprise

• Proposer un SSO multi-applicatifs ou de la fédération depuis AD et WAAD*


Centrify DirectControl for SaaS & Mobile

PROTECTION DES PÉRIPHÉRIQUES MOBILES VIA ACTIVE DIRECTORY

Centrify Direct Control for Saas & Mobile:



Centrify DirectControl for SaaS & MobileQ2 2013


Centrify DirectControl for SaaS & Mobile• Totalement gratuit pour l’ensemble

des fonctions sans restriction jusqu’à 3 applications gérées

• Support de Windows 8 RT et Windows Phone 8 sur Q2 2013

• Inscription sur: http://centrifyexpress.cerberis.com/


Pour aller plus loin…• Blog Francophone sur la gestion des identités et

des accès: http://www.identitycosmos.com

• Centrify for SaaS & Mobile: Inscription gratuite via http://centrifyexpress.cerberis.com/

• Les autres sessions BYOD des Techdays 2013

• Les sessions sur SystemCenter et Intune

• Les sessions sur Azure et WAAD

• Le stand d’Intel -> Technologie Intel AT

Donnez votre avis !

Depuis votre smartphone, sur : http://notes.mstechdays.fr

De nombreux lots à gagner toutes les heures !!!Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les TechDays

http://notes.mstechdays.fr

Questions / Réponses

Formez-vous en ligne

Retrouvez nos évènements

Faites-vous accompagner gratuitement

Essayer gratuitement nos solutions IT

Retrouver nos experts Microsoft

Pros de l’ITDéveloppeurs

www.microsoftvirtualacademy.comhttp://aka.ms/generation-app

http://aka.ms/evenements-developpeurs http://aka.ms/itcamps-france

Les accélérateursWindows Azure, Windows Phone,

Windows 8

http://aka.ms/telechargements

La Dev’Team sur MSDNhttp://aka.ms/devteam

L’IT Team sur TechNet

http://aka.ms/itteam

4 ouvrages écrits par 13 Microsoftees

http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels

Technology

Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l'information sous l'ère du BYOD