SlideShare ist ein Scribd-Unternehmen logo

Byod mancala networks groupe casino byod - version finale

W
waggaland
Technologie
1 von 26
Downloaden Sie, um offline zu lesen
1
2
D’où vient le BYOD ? # entreprise qui veut réduire ses CAPEX ? § les smartphones ne sont pas des assets rentrant dans les actifs de l’entreprise. Leur coût est inclus dans les coûts d’abonnement => c’est déjà de l’OPEX # des RHs qui veulent forcer la productivité des salariés ? # des RSSI qui , …, # salariés qui recherchent du confort ? Est-ce vraiment rentable ? Variation de la part des postes extérieurs dans le budget, en OPEX, entre 0,1% (100) et 0,6% (1000) sur 5 ans. Toujours sur 5 ans, la part d’acquisition du matériel avec une configuration bureautique basique représente 20% du coût total.  ROI à aller chercher en – de 5 ans, pas évident. 3
4
Quand j’ai commencé à travailler, j’enviais mon directeur parce qu’il venait en réunion avec son ordinateur portable. Alors que j’ai eu mon ordinateur portable (sans être directeur), j’enviais mon directeur parce qu’il venait en réunion avec son notebook. Alors que j’ai mon notebook, j’enviais mon directeur parce qu’il venais en réunion avec son blackberry. Alors que j’ai eu mon blackberry, j’enviais mon directeur parce qu’il venait en réunion avait une clé 3G (et un accès à Internet bien entendu). Alors que j’ai eu ma clé 3G, j’enviais mon directeur parce qu’il venait en réunion sans clé 3G mais toujours avec un accès à Internet (magie ? non, SIM intégrée). Alors que j’ai eu un notebook avec une SIM intégrée, j’enviais mon directeur qui venait en réunion avec son iPhone et son iPad. Alors que mon directeur vient en réunion avec son iPhone et son iPad, je ne l’envie plus car mes enfants jouent avec à la maison. Moralité : comme tout mon monde (mon directeur, mes enfants et moi) utilise un iPhone ou un iPad, pourquoi je ne travaillerai pas avec ? 5
Contrairement à ce qui est affiché, nous ne disposons pas vraiment de chiffre des usages du BYOD. Car, # hyper varié entre les pays, 1/3 des japonais ne se connecte pas au SI de son entreprise avec son terminal personnel ! # chiffres des OS très différents, plus souvent observés BBY 80%, iOS 17%, Androïd 3% dans plusieurs groupe du CAC40 6
Device : # pour baisser les coûts des forfaits data et augmenter l’expérience utilisateur, la connexion au Wifi de l’entreprise est ou sera demandée ; # le volume de tablette est sous représenté par rapport à son intérêt. Certains secteurs d’activité en pointe (médical), mais évolution à prévoir (ex du kit de renforcement d’un iPad) ; Applications : # principal facteur de succès du smartphone (ex Nokia). Observé : en moyenne 30 applications par smartphone et 60 par tablette ; # trop d’applications pro disponibles sur les stores (SAP, Microstrategie, CRM, VPN Aventail ou CheckPoint ...) alors qu’elle ne devrait l’être que dans des stores privés ; RIM : # atteinte à l’image et forte perte de marché à cause i) d’une panne d’infrastructure, ii) matériel inadapté aux désirs des consommateurs (passage aux écrans tactiles plutôt que clavier), iii) store peu dynamique, 7
iv) OS qui évolue trop lentement. NOKIA : # disparition d’un géant en faveur de Samsung à cause d’un i) OS obsoléte et ii) pas de store.  RIM s’en sort quand même bien, non ? ;-) Android : # Nouveau leader des OS avec 50 % PdM # Q1 2012: R4.0: Première release compatible Smartphone et Tablette -> tendance lourde, déjà le cas pour iOS, pas encore suivie par Microsoft pour sa nouvelle version iOS: # PdM en baisse autour de 20% # pour le grand public (cœur du BYOD), adaptation difficile à l’entreprise bien que plus avancée qu’Androïd Microsoft : # à voir quelles seront les stratégies d’intégration, mais ils peuvent prendre une part importante des smartphones d’entreprise. 7
Risque pour les données professionnelles et personnelles # Confidentialité & Intégrité : En cas de perte ou de vol d’un terminal non protégé, ou simplement lorsque l’on s’absente le temps d’une pause café, les données exposées sont variées : § ce qui transite par mail et SMS ; § calendrier avec ordre du jour en attachment ainsi que les informations de connexion à des conf call/visio, § contacts éventuellement avec le numéro de téléphone personnel lorsque l’on se connait bien ou en commentaire le code d’accès de la porte de l’immeuble à côté de l’adresse …. Mais aussi …. § messagerie personnelle § application de RS, LinkedIn / Facebook / Twitter. Ces applications n’existent pas pour les ordinateurs. § application GPS (ex Google Maps) avec consultation de l’historique des itinéraires recherchés. § photo et vidéo : loi du premier appareil sous la main : qui n’a jamais pris de photo personnelles avec son portable professionnel (exploit footbalistique du dimanche) ou une photo professionnelle avec sont smartphone personnel car la définition est meilleure (paperboard en fin réunion) 8
§ coffre-fort de mot de passe § configuration des SSID / VPN enregistrés. Les mots de passe sont parfois stockés de manière sécurisés, mais cela permet d’initier facilement une attaques ; § reader de RSS/news personnels renseignants sur les centres d’intérêts du propriétaire  le backup d’un iPhone, même chiffré peu être fait en clair via iTunes. § les données peuvent être synchronisées avec des services cloud designés initialement pour le grand public, dans lesquels les besoin de confidentialité sont différents, bien que le service reste accessible sur le smartphone (ex iCloud d’Apple). § prendre en compte les nouvelles menaces. Exemple d’une attaque de type MitB (Man In The Browser), plus simple à mettre en œuvre qu’une écoute entre un client et un serveur web => la sécurisation via HTTPs avec authentification mutuelle n’est plus efficace, car le browser compromis peut être accéder par le malware.  risque d’usurpation d’identité (avec les mots de passe stockés dans Safari par exemple) et risque de ne pas disposer d’architecture techniques répondant concrètement à cas ces menaces et donnant un faux sentiment de sécurité. § ils devient impossible de monitorer les informations échangées depuis ce terminal puisque cela ne passe pas par des infrastructures internes. Il devient alors impossible de surveiller la fuite d’information (ex d’un malware sortant des informations), mais aussi et surtout d’apporter des preuves notamment dans le cadre de procédure judiciaires.  risque de ne pas disposer de tous les leviers pour conclure positivement des recherches par exemple. § risque pour l’intégrité du terminal de l’utilisateur : prévenir des conséquences du non-respect des baselines et des procédures compensatoires mise en œuvre (coupure du service et remote wipe). Est-ce que le désabonnement au service entraine l’obligation d’un remote wipe, si c’est le cas, bien le spécifier dans la charte ! # Disponibilité : § eBillet SNCF ou adresse de l’hôtel à Bogota qui ne sont plus disponible sur le terminal à cause d’un problème technique (synchronisation) ou de perte ; § échange de SMS avec un numéro de téléphone qui n’a pas été enregistré et impossible à retrouver car l’historique n’est pas conservé très longtemps ; Risque pour le SI de l’entreprise # Il est possible de détecter un terminal jailbreaké ou rooté lorsqu’il se connecte à ActiveSync par exemple. En revanche, cela n’est pas une fonctionnalité native du 8
produit et reste manuel et n’est pas efficace à 100% et presque impossible dans le cas d’une connexion VPN.  le risque de perte de contrôle de l’accès au SI est réduit, mais loin d’être supprimé # les attaques par déni de service plus simple via des smartphones. Pourquoi ? § Attaque via VPN : la mémorisation des informations est presque casi- systématiques sur les terminaux (pwd complexe pénibles à saisir à chaque fois) § connexion sur le réseau WIFI de l’entreprise pour bénéficier un débit plus important (souvent directement sur le LAN, car on estime que la connexion n’est possible que lorsque l’utilisateur est dans les locaux –limitation du rayonnement des hotspots- et que l’on se dit que toutes personnes présentes dans les locaux est de confiance)  risque de déni de service qui peut paralyser le fonctionnement du LAN Risque Organisationnel, Juridique et Réglementaire # supporter les utilisateurs dans l’utilisation de terminaux très variés ;  risque financier de coûts cachés dans l’exploitation qui devra être faite par les administrateurs. L’animation d’une page de FAQ du type « base de connaissance » sur les difficultés techniques les plus fréquemment rencontrées peut aider à éviter que les utilisateurs contactent trop fréquemment les administrateurs. La désignation d’un expert (avec la bande passante suffisante) clairement désigné dans la charte est aussi une bonne pratique, la consultation de l’expert restant limitée à la configuration des baselines de sécurité. # la responsabilité de l’entreprise peut-être engagée dès lors qu’une action est engagée sur le terminal personnel de l’utilisateur. Même si la connexion au service a été définie comme volontaire. De plus, l’équilibre contractuel dans un service de BYOD est clairement en faveur de l’entreprise et peut être facilement remis en cause en cas de conflit.  risque juridique et financier. Pas encore de jurisprudence. Peut-être réduit par l’utilisation de solution de type silo applicatif ainsi qu’en listant exhaustivement les conditions de déclenchement des wipe. Décrire très clairement qui prendrai en charte d’éventuels coûts de roaming sur un portable personnel en cas de déplacement à l’étranger. # Il est possible d’engager la responsabilité de l’utilisateur en cas de dommages causés par l’équipement de l’utilisateur, mais si ce dernier démontre de l’utilisation correcte de son téléphone, respectant intégralement ou partiellement la charte (bonne volonté), il y a peu de chance que l’entreprise obtienne gain de cause.  risque juridique et financier de ne pas trouver de tiers contre qui se retourner. # Même si la connexion est basée sur le volontariat, comme il s’agit d’un service 8
mis à disposition de l’entreprise éventuellement soumis à l’approbation, un chef de service pourrait tout à fait faire pression sur ces subordonnés pour qu’ils travaillent en dehors des plages horaires contractuelles. Ex : accident de voiture sur un trajet Lyon- Ste parce qu’un utilisateur répondrait à un mail.  ce service peut augmenter les risques psycho-sociaux, induisant des risques financiers, juridiques et surtout d’image # les risques liés à la propriété intellectuelle sont à pondérer et surtout à différencier entre smartphones/laptop ainsi qu’entre consultation et production. § smartphone / laptop : SAP, Oracle, MicroStrategy, mettent leur client à disposition gratuitement sur les stores des smartphones. C’est la connexion au serveur qui consomme une licence. § consultation / production : les viewers Office sont gratuits sur Internet. En revanche, la production locale est un vrai problème mais les produits sont en train de s’adapter. Exemple de Google Apps et l’utilisation hors connexion avec Chrome dont le licencing n’est pas lié au poste de travail.  risque d’influencer les stratégies IT de l’entreprise afin de toujours privilégier les clients web avec des contraintes induites supplémentaires (support de flash sur iOS par exemple plus un client riche) #l’hyper-connectivité devient addictive. Le lien créé en permanence entre le salarié et l’écosystème professionnel induit de nouvelle posture. La plus préoccupante est l’obligation de réaction induite par cette logique d’instantanéité. L’addiction survient car la réponse immédiate apportée à une demande procure une sensation de plaisir, similaire à celle procurée par des drogues : « vous avez vu comment je suis capable de répondre rapidement, je suis le meilleur » # Les échanges de mail professionnel effectués durant son temps de transport quotidiennement, peuvent-ils être considérés comme du temps de travail supplémentaire ? -> question biaisée pour les cadres qui ont un volume de jour/an. -> est-ce du télétravail ? Non, si l’on s’en référe à la définition de l’accord interentreprise -> est-ce du nomadisme comme les commerciaux, car les utilisateurs ont un bureau ? -> est-ce du travail sous astreinte ? Non, bien encadrer par des avenants au contrat, entre des tranches horaires particulières.  la charte smartphone doit mentionner qu’il s’agit d’une démarche volontaire de l’utilisateur et que l’ouverture de ce service ne constitue en rien une obligation de consultation de sa messagerie ou de réponse à des sollicitations en dehors de son temps de travail. # Est-ce discriminatoire si le service ne coûte rien mais qu’il n’est pas ouvert à tout 8
le monde ? Corolaire : comment justifier de la mise à disposition de ce service ?  risque réduit en préférant la gestion d’une unique politique de sécurité plutôt que de distinguer Pro vs Perso, moins discriminant 8
La stratégie initiale : conserver l’expérience utilisateur du terminal pour qu’il accède aux données personnelles. 400,000 employés, 10% (40,000) avec Blackberrys et 20% (80,000) avec leurs smartphones et tablettes personnelles pour accéder au réseau interne d’IBM. Premier retour arrière: « The whole bring-your-own-device trend may cause as many problems as it solves” IBM CIO Jeanette Horan. Blocage de l’utilisation de dropbox/SkyDrive/G-Drive et evernote. L’avantage était la facilité de partage de fichier et la synchronisation multi-device.  empiète sur le monde personnel de l’utilisateur car pour ses besoins personnels, il ne peut plus utiliser ces 2 services. La réponse de dropbox a été de dire que leur service n’était pas à destination des professionnels et qu’ils feraient du best effort sur la confidentialité des données (sic). Ainsi que de SIRI, la reconnaissance vocale, qui a fait vendre énormément d’iPhone4  idem  Programme toujours actif, mais particulièrement contraint. 9
10
11
Application : # utilisez les possibilités offertes par les services (type activeSync) pour pousser des politiques de sécurité en préalable à la connexion du device. § Exchange 2010 qui pousse la politique et qui permet de mettre le terminal en quarantaine dans le cas où il ne respecterait pas les baselines. MDM : # exemple de l’agent Good Technology qui est censé détecter une device jailbreaké mais que l’on peut abuser avec XCON # Reste encore dans la philosophie de gestion d’une flotte complète alors que les terminaux n’appartiennent plus à l’entreprise # Présentation des origines des acteurs du MDM Hypervisor / VM # Exemple VMWare. A confirmer techniquement, encore jeune. # Actuellement, trop de cloisonnement : dans le container professionnel, je ne peux pas recevoir les notifications (mail reçus, tweets, …) de la partie personnelle du terminal. # quelques challenges à relever pour l’hyperviseur : 12
§ lourd en installation et consomme beaucoup de mémoire et CPU ce qui greve les performances de la batterie. § limiter l’adhérence avec l’OS (pas simple pour un hyperviseur) pour ne pas être lié aux montées de version et se maintenir toujours opérationnel dans la version la plus à jour SandBoxing : # Mise en place de silos d’entreprise ou sandbox (bac à sable) permettant d’isoler les données d’entreprise dans des espaces spécifiques. Sybase, Good Technologies ou Mobiquant propose ce type de technologie. Problème : ce ne sont pas les clients natifs de l’OS qui sont utilisés, mais des clients développés par les éditeurs. L’expérience utilisateur est dégradée. # Alternative : Teopad sur Androïd, qui interface directement les primitives de l’OS et qui propose donc un bac à sable utilisant les applications natives de l’OS. Le revers de la médaille est que Teopad est pour l’instant disponible que sur Androïd car Apple ne permet pas une intégration dans les couches basses d’iOS et étend difficilement ses APIs. # le challenge consiste en la mise en œuvre d’une sécurisation valable pour 3 types d’applicatifs d’entreprise : § applications bureautiques, § applications commerciales (SAP, Oracle, Microstrategy, ...) § applications d'entreprise developpées par elle-même. SECURITY BASELINE # gestion de enrollment et de la révocation : lors de ces deux processus, il peut être intéressant d’intégrer une validation avant l’ouverture du service ou sa coupure (hors contexte d’incident). Techniquement, cette validation est possible. # Chiffrement des données : idem, obligatoire ou pas. Attention, certains terminaux ne propose pas cette API et ne pourrons pas être compatible avec la charte. /! Attention aussi à la consommation de batterie + importante induite : pour des BBY, la durée d’utilisation pouvait être divisée par 2, d’où l’intérêt de le stipuler dans la charte. # Politique de mot de passe : presque tous les terminaux proposent cette API. Elle doit faire partie de la baseline la plus minimale. Prévoir une modification de la politique de sécurité pour intégrer une politique de pwd allégée pour les smartphones. Des alternatives aux pwd sont disponibles, comme les schémas par exemple sous androïd. Ils peuvent amener un niveau de sécurisation intéressant, ils sont plus difficile à inscrire sur un post-it ;-) # remote lock/wipe : possibilité technique de verrouiller le terminal ou de l’effacer à distance. A disposition de l’utilisateur et de l’administrateur. C’est la baseline la plus problématique à intégrer dans la charte, notamment aux vues de l’intrusion que cela représente sur le mobile de l’utilisateur en cas de déclenchement. 12
# configuration des infrastructures d’entreprise Mail/Wifi/VPN : possibilité de paramétrer dans une politique centralisée le déploiement de ces composants. 12
13
# Quelles sont les techniques pour détecter un iPhone jailbreaké se connectant à ActiveSync ? § Filtrage sur les User-Agent dans les headers HTTP. Attention, nécessaire de maintenir ces règles à jour sur les Reverses Proxy. Pas exhaustif, car il est possible de spoofer un User-Agent sur iPhone http://security.stackexchange.com/questions/918/blocking- insecure-iphones-from-accessing-activesync?rq=1 http://www.paperblog.fr/5200520/xcon-le-tweak-qui-permet-de- contourner-la-detection-du-jailbreak-pour-les-appli/  les softs de MDM sont concernés par ce masquage ;-) 14
15
# Mécanismes classiques de contrôle d’accès suite à l’authentification des utilisateurs  pas forcément la partie la plus facile, car elle nécessite la prise en compte de cette contrainte dés le début des développements. § l’utilisateur doit-il s’authentifier avec son compte AD/LDAP d’entreprise ? § Faut-il qui saisisse systématiquement son pwd ou est-il stocké sur le terminal une fois la phase d’initialisation effectuée ? § Est-ce un compte générique qui est utilisé, avec le risque de reverse engineering permettant d’extraire des données ? # Chiffrement, classique, suite à une analyse de risque. Attention particulière portée aux données personnelles. # Protection des hôtes et des applicatifs (hardenning, AV, confinement, …) 16
17
18
19

Empfohlen

ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi Association Transition Numérique +
 
Bulletin d'adhesion 2016
Bulletin d'adhesion 2016Bulletin d'adhesion 2016
Bulletin d'adhesion 2016gt_unsa_casino
 
Génération y
Génération yGénération y
Génération ykhouloud mnasser
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Benchmark - Banque Casino
Benchmark - Banque CasinoBenchmark - Banque Casino
Benchmark - Banque CasinoRaphaël Dewan
 
[Banque & assurance] présentation des offres
[Banque & assurance] présentation des offres[Banque & assurance] présentation des offres
[Banque & assurance] présentation des offresonepoint x weave
 
Hype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerHype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerLuminary Labs
 
Presentation big data & prog. para. joseph abena
Presentation big data & prog. para. joseph abena Presentation big data & prog. para. joseph abena
Presentation big data & prog. para. joseph abena BarcampCameroon
 

Empfohlen

ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi Association Transition Numérique +
 
Bulletin d'adhesion 2016
Bulletin d'adhesion 2016Bulletin d'adhesion 2016
Bulletin d'adhesion 2016gt_unsa_casino
 
Génération y
Génération yGénération y
Génération ykhouloud mnasser
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Benchmark - Banque Casino
Benchmark - Banque CasinoBenchmark - Banque Casino
Benchmark - Banque CasinoRaphaël Dewan
 
[Banque & assurance] présentation des offres
[Banque & assurance] présentation des offres[Banque & assurance] présentation des offres
[Banque & assurance] présentation des offresonepoint x weave
 
Hype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerHype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerLuminary Labs
 
Presentation big data & prog. para. joseph abena
Presentation big data & prog. para. joseph abena Presentation big data & prog. para. joseph abena
Presentation big data & prog. para. joseph abena BarcampCameroon
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Calm design xtof-2015-01-21
Calm design xtof-2015-01-21Calm design xtof-2015-01-21
Calm design xtof-2015-01-21Christophe Ducamp
 
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?Matooma
 
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfRapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfEmeric Kamleu Noumi
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
FOCUS "iPhone : un nouveau challenger en Entreprise?"
FOCUS "iPhone : un nouveau challenger en Entreprise?"FOCUS "iPhone : un nouveau challenger en Entreprise?"
FOCUS "iPhone : un nouveau challenger en Entreprise?"Thibault Dégieux
 
Presentation mididulibrev2.0
Presentation mididulibrev2.0Presentation mididulibrev2.0
Presentation mididulibrev2.0robertpluss
 
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomPetit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomYannick Quentel
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Microsoft Technet France
 
Rencontres Numériques 2013 : la sécurisation des données à l'ère du cloud et ...
Rencontres Numériques 2013 : la sécurisation des données à l'ère du cloud et ...Rencontres Numériques 2013 : la sécurisation des données à l'ère du cloud et ...
Rencontres Numériques 2013 : la sécurisation des données à l'ère du cloud et ...antic Pays basque
 
2010-02 Migration vers le Cloud - Lancelot-Network
2010-02 Migration vers le Cloud - Lancelot-Network2010-02 Migration vers le Cloud - Lancelot-Network
2010-02 Migration vers le Cloud - Lancelot-NetworkYves Leblond
 
Présentation développement application Android
Présentation développement application AndroidPrésentation développement application Android
Présentation développement application Androidambin_fr
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprisesIshakHAMEDDAH
 
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...Matooma
 
Pourquoi utiliser un vpn même sur son ios
Pourquoi utiliser un vpn même sur son iosPourquoi utiliser un vpn même sur son ios
Pourquoi utiliser un vpn même sur son iosLesMeilleursVPN.COM
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things SecurityHamza Ben Marzouk
 
Windows Phone déploiement en entreprise
Windows Phone déploiement en entrepriseWindows Phone déploiement en entreprise
Windows Phone déploiement en entrepriseMicrosoft Technet France
 
6 défis pour la direction informatique en 2012
6 défis pour la direction informatique en 20126 défis pour la direction informatique en 2012
6 défis pour la direction informatique en 2012Sage france
 
Gestion des policies de MDM avec Windows Phone 8.1
Gestion des policies de MDM avec Windows Phone 8.1Gestion des policies de MDM avec Windows Phone 8.1
Gestion des policies de MDM avec Windows Phone 8.1Microsoft Décideurs IT
 
Gestion des policies de MDM avec Windows Phone 8.1
Gestion des policies de MDM avec Windows Phone 8.1Gestion des policies de MDM avec Windows Phone 8.1
Gestion des policies de MDM avec Windows Phone 8.1Microsoft Technet France
 

Weitere ähnliche Inhalte

Ähnlich wie Byod mancala networks groupe casino byod - version finale

Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?Matooma
 
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfRapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfEmeric Kamleu Noumi
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
FOCUS "iPhone : un nouveau challenger en Entreprise?"
FOCUS "iPhone : un nouveau challenger en Entreprise?"FOCUS "iPhone : un nouveau challenger en Entreprise?"
FOCUS "iPhone : un nouveau challenger en Entreprise?"Thibault Dégieux
 
Presentation mididulibrev2.0
Presentation mididulibrev2.0Presentation mididulibrev2.0
Presentation mididulibrev2.0robertpluss
 
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomPetit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomYannick Quentel
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Microsoft Technet France
 
Rencontres Numériques 2013 : la sécurisation des données à l'ère du cloud et ...
Rencontres Numériques 2013 : la sécurisation des données à l'ère du cloud et ...Rencontres Numériques 2013 : la sécurisation des données à l'ère du cloud et ...
Rencontres Numériques 2013 : la sécurisation des données à l'ère du cloud et ...antic Pays basque
 
2010-02 Migration vers le Cloud - Lancelot-Network
2010-02 Migration vers le Cloud - Lancelot-Network2010-02 Migration vers le Cloud - Lancelot-Network
2010-02 Migration vers le Cloud - Lancelot-NetworkYves Leblond
 
Présentation développement application Android
Présentation développement application AndroidPrésentation développement application Android
Présentation développement application Androidambin_fr
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprisesIshakHAMEDDAH
 
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...Matooma
 
Pourquoi utiliser un vpn même sur son ios
Pourquoi utiliser un vpn même sur son iosPourquoi utiliser un vpn même sur son ios
Pourquoi utiliser un vpn même sur son iosLesMeilleursVPN.COM
 
6 défis pour la direction informatique en 2012
6 défis pour la direction informatique en 20126 défis pour la direction informatique en 2012
6 défis pour la direction informatique en 2012Sage france
 
Gestion des policies de MDM avec Windows Phone 8.1
Gestion des policies de MDM avec Windows Phone 8.1Gestion des policies de MDM avec Windows Phone 8.1
Gestion des policies de MDM avec Windows Phone 8.1Microsoft Décideurs IT
 
Gestion des policies de MDM avec Windows Phone 8.1
Gestion des policies de MDM avec Windows Phone 8.1Gestion des policies de MDM avec Windows Phone 8.1
Gestion des policies de MDM avec Windows Phone 8.1Microsoft Technet France
 

Ähnlich wie Byod mancala networks groupe casino byod - version finale (20)

Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
Calm design xtof-2015-01-21
Calm design xtof-2015-01-21Calm design xtof-2015-01-21
Calm design xtof-2015-01-21
 
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
 
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfRapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobiles
 
FOCUS "iPhone : un nouveau challenger en Entreprise?"
FOCUS "iPhone : un nouveau challenger en Entreprise?"FOCUS "iPhone : un nouveau challenger en Entreprise?"
FOCUS "iPhone : un nouveau challenger en Entreprise?"
 
Presentation mididulibrev2.0
Presentation mididulibrev2.0Presentation mididulibrev2.0
Presentation mididulibrev2.0
 
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomPetit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco Telecom
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
 
Rencontres Numériques 2013 : la sécurisation des données à l'ère du cloud et ...
Rencontres Numériques 2013 : la sécurisation des données à l'ère du cloud et ...Rencontres Numériques 2013 : la sécurisation des données à l'ère du cloud et ...
Rencontres Numériques 2013 : la sécurisation des données à l'ère du cloud et ...
 
2010-02 Migration vers le Cloud - Lancelot-Network
2010-02 Migration vers le Cloud - Lancelot-Network2010-02 Migration vers le Cloud - Lancelot-Network
2010-02 Migration vers le Cloud - Lancelot-Network
 
Présentation développement application Android
Présentation développement application AndroidPrésentation développement application Android
Présentation développement application Android
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprises
 
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
 
Pourquoi utiliser un vpn même sur son ios
Pourquoi utiliser un vpn même sur son iosPourquoi utiliser un vpn même sur son ios
Pourquoi utiliser un vpn même sur son ios
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
Windows Phone déploiement en entreprise
Windows Phone déploiement en entrepriseWindows Phone déploiement en entreprise
Windows Phone déploiement en entreprise
 
6 défis pour la direction informatique en 2012
6 défis pour la direction informatique en 20126 défis pour la direction informatique en 2012
6 défis pour la direction informatique en 2012
 
Gestion des policies de MDM avec Windows Phone 8.1
Gestion des policies de MDM avec Windows Phone 8.1Gestion des policies de MDM avec Windows Phone 8.1
Gestion des policies de MDM avec Windows Phone 8.1
 
Gestion des policies de MDM avec Windows Phone 8.1
Gestion des policies de MDM avec Windows Phone 8.1Gestion des policies de MDM avec Windows Phone 8.1
Gestion des policies de MDM avec Windows Phone 8.1
 

Byod mancala networks groupe casino byod - version finale

  • 1. 1
  • 2. 2
  • 3. D’où vient le BYOD ? # entreprise qui veut réduire ses CAPEX ? § les smartphones ne sont pas des assets rentrant dans les actifs de l’entreprise. Leur coût est inclus dans les coûts d’abonnement => c’est déjà de l’OPEX # des RHs qui veulent forcer la productivité des salariés ? # des RSSI qui , …, # salariés qui recherchent du confort ? Est-ce vraiment rentable ? Variation de la part des postes extérieurs dans le budget, en OPEX, entre 0,1% (100) et 0,6% (1000) sur 5 ans. Toujours sur 5 ans, la part d’acquisition du matériel avec une configuration bureautique basique représente 20% du coût total.  ROI à aller chercher en – de 5 ans, pas évident. 3
  • 4. 4
  • 5. Quand j’ai commencé à travailler, j’enviais mon directeur parce qu’il venait en réunion avec son ordinateur portable. Alors que j’ai eu mon ordinateur portable (sans être directeur), j’enviais mon directeur parce qu’il venait en réunion avec son notebook. Alors que j’ai mon notebook, j’enviais mon directeur parce qu’il venais en réunion avec son blackberry. Alors que j’ai eu mon blackberry, j’enviais mon directeur parce qu’il venait en réunion avait une clé 3G (et un accès à Internet bien entendu). Alors que j’ai eu ma clé 3G, j’enviais mon directeur parce qu’il venait en réunion sans clé 3G mais toujours avec un accès à Internet (magie ? non, SIM intégrée). Alors que j’ai eu un notebook avec une SIM intégrée, j’enviais mon directeur qui venait en réunion avec son iPhone et son iPad. Alors que mon directeur vient en réunion avec son iPhone et son iPad, je ne l’envie plus car mes enfants jouent avec à la maison. Moralité : comme tout mon monde (mon directeur, mes enfants et moi) utilise un iPhone ou un iPad, pourquoi je ne travaillerai pas avec ? 5
  • 6. Contrairement à ce qui est affiché, nous ne disposons pas vraiment de chiffre des usages du BYOD. Car, # hyper varié entre les pays, 1/3 des japonais ne se connecte pas au SI de son entreprise avec son terminal personnel ! # chiffres des OS très différents, plus souvent observés BBY 80%, iOS 17%, Androïd 3% dans plusieurs groupe du CAC40 6
  • 7. Device : # pour baisser les coûts des forfaits data et augmenter l’expérience utilisateur, la connexion au Wifi de l’entreprise est ou sera demandée ; # le volume de tablette est sous représenté par rapport à son intérêt. Certains secteurs d’activité en pointe (médical), mais évolution à prévoir (ex du kit de renforcement d’un iPad) ; Applications : # principal facteur de succès du smartphone (ex Nokia). Observé : en moyenne 30 applications par smartphone et 60 par tablette ; # trop d’applications pro disponibles sur les stores (SAP, Microstrategie, CRM, VPN Aventail ou CheckPoint ...) alors qu’elle ne devrait l’être que dans des stores privés ; RIM : # atteinte à l’image et forte perte de marché à cause i) d’une panne d’infrastructure, ii) matériel inadapté aux désirs des consommateurs (passage aux écrans tactiles plutôt que clavier), iii) store peu dynamique, 7
  • 8. iv) OS qui évolue trop lentement. NOKIA : # disparition d’un géant en faveur de Samsung à cause d’un i) OS obsoléte et ii) pas de store.  RIM s’en sort quand même bien, non ? ;-) Android : # Nouveau leader des OS avec 50 % PdM # Q1 2012: R4.0: Première release compatible Smartphone et Tablette -> tendance lourde, déjà le cas pour iOS, pas encore suivie par Microsoft pour sa nouvelle version iOS: # PdM en baisse autour de 20% # pour le grand public (cœur du BYOD), adaptation difficile à l’entreprise bien que plus avancée qu’Androïd Microsoft : # à voir quelles seront les stratégies d’intégration, mais ils peuvent prendre une part importante des smartphones d’entreprise. 7
  • 9. Risque pour les données professionnelles et personnelles # Confidentialité & Intégrité : En cas de perte ou de vol d’un terminal non protégé, ou simplement lorsque l’on s’absente le temps d’une pause café, les données exposées sont variées : § ce qui transite par mail et SMS ; § calendrier avec ordre du jour en attachment ainsi que les informations de connexion à des conf call/visio, § contacts éventuellement avec le numéro de téléphone personnel lorsque l’on se connait bien ou en commentaire le code d’accès de la porte de l’immeuble à côté de l’adresse …. Mais aussi …. § messagerie personnelle § application de RS, LinkedIn / Facebook / Twitter. Ces applications n’existent pas pour les ordinateurs. § application GPS (ex Google Maps) avec consultation de l’historique des itinéraires recherchés. § photo et vidéo : loi du premier appareil sous la main : qui n’a jamais pris de photo personnelles avec son portable professionnel (exploit footbalistique du dimanche) ou une photo professionnelle avec sont smartphone personnel car la définition est meilleure (paperboard en fin réunion) 8
  • 10. § coffre-fort de mot de passe § configuration des SSID / VPN enregistrés. Les mots de passe sont parfois stockés de manière sécurisés, mais cela permet d’initier facilement une attaques ; § reader de RSS/news personnels renseignants sur les centres d’intérêts du propriétaire  le backup d’un iPhone, même chiffré peu être fait en clair via iTunes. § les données peuvent être synchronisées avec des services cloud designés initialement pour le grand public, dans lesquels les besoin de confidentialité sont différents, bien que le service reste accessible sur le smartphone (ex iCloud d’Apple). § prendre en compte les nouvelles menaces. Exemple d’une attaque de type MitB (Man In The Browser), plus simple à mettre en œuvre qu’une écoute entre un client et un serveur web => la sécurisation via HTTPs avec authentification mutuelle n’est plus efficace, car le browser compromis peut être accéder par le malware.  risque d’usurpation d’identité (avec les mots de passe stockés dans Safari par exemple) et risque de ne pas disposer d’architecture techniques répondant concrètement à cas ces menaces et donnant un faux sentiment de sécurité. § ils devient impossible de monitorer les informations échangées depuis ce terminal puisque cela ne passe pas par des infrastructures internes. Il devient alors impossible de surveiller la fuite d’information (ex d’un malware sortant des informations), mais aussi et surtout d’apporter des preuves notamment dans le cadre de procédure judiciaires.  risque de ne pas disposer de tous les leviers pour conclure positivement des recherches par exemple. § risque pour l’intégrité du terminal de l’utilisateur : prévenir des conséquences du non-respect des baselines et des procédures compensatoires mise en œuvre (coupure du service et remote wipe). Est-ce que le désabonnement au service entraine l’obligation d’un remote wipe, si c’est le cas, bien le spécifier dans la charte ! # Disponibilité : § eBillet SNCF ou adresse de l’hôtel à Bogota qui ne sont plus disponible sur le terminal à cause d’un problème technique (synchronisation) ou de perte ; § échange de SMS avec un numéro de téléphone qui n’a pas été enregistré et impossible à retrouver car l’historique n’est pas conservé très longtemps ; Risque pour le SI de l’entreprise # Il est possible de détecter un terminal jailbreaké ou rooté lorsqu’il se connecte à ActiveSync par exemple. En revanche, cela n’est pas une fonctionnalité native du 8
  • 11. produit et reste manuel et n’est pas efficace à 100% et presque impossible dans le cas d’une connexion VPN.  le risque de perte de contrôle de l’accès au SI est réduit, mais loin d’être supprimé # les attaques par déni de service plus simple via des smartphones. Pourquoi ? § Attaque via VPN : la mémorisation des informations est presque casi- systématiques sur les terminaux (pwd complexe pénibles à saisir à chaque fois) § connexion sur le réseau WIFI de l’entreprise pour bénéficier un débit plus important (souvent directement sur le LAN, car on estime que la connexion n’est possible que lorsque l’utilisateur est dans les locaux –limitation du rayonnement des hotspots- et que l’on se dit que toutes personnes présentes dans les locaux est de confiance)  risque de déni de service qui peut paralyser le fonctionnement du LAN Risque Organisationnel, Juridique et Réglementaire # supporter les utilisateurs dans l’utilisation de terminaux très variés ;  risque financier de coûts cachés dans l’exploitation qui devra être faite par les administrateurs. L’animation d’une page de FAQ du type « base de connaissance » sur les difficultés techniques les plus fréquemment rencontrées peut aider à éviter que les utilisateurs contactent trop fréquemment les administrateurs. La désignation d’un expert (avec la bande passante suffisante) clairement désigné dans la charte est aussi une bonne pratique, la consultation de l’expert restant limitée à la configuration des baselines de sécurité. # la responsabilité de l’entreprise peut-être engagée dès lors qu’une action est engagée sur le terminal personnel de l’utilisateur. Même si la connexion au service a été définie comme volontaire. De plus, l’équilibre contractuel dans un service de BYOD est clairement en faveur de l’entreprise et peut être facilement remis en cause en cas de conflit.  risque juridique et financier. Pas encore de jurisprudence. Peut-être réduit par l’utilisation de solution de type silo applicatif ainsi qu’en listant exhaustivement les conditions de déclenchement des wipe. Décrire très clairement qui prendrai en charte d’éventuels coûts de roaming sur un portable personnel en cas de déplacement à l’étranger. # Il est possible d’engager la responsabilité de l’utilisateur en cas de dommages causés par l’équipement de l’utilisateur, mais si ce dernier démontre de l’utilisation correcte de son téléphone, respectant intégralement ou partiellement la charte (bonne volonté), il y a peu de chance que l’entreprise obtienne gain de cause.  risque juridique et financier de ne pas trouver de tiers contre qui se retourner. # Même si la connexion est basée sur le volontariat, comme il s’agit d’un service 8
  • 12. mis à disposition de l’entreprise éventuellement soumis à l’approbation, un chef de service pourrait tout à fait faire pression sur ces subordonnés pour qu’ils travaillent en dehors des plages horaires contractuelles. Ex : accident de voiture sur un trajet Lyon- Ste parce qu’un utilisateur répondrait à un mail.  ce service peut augmenter les risques psycho-sociaux, induisant des risques financiers, juridiques et surtout d’image # les risques liés à la propriété intellectuelle sont à pondérer et surtout à différencier entre smartphones/laptop ainsi qu’entre consultation et production. § smartphone / laptop : SAP, Oracle, MicroStrategy, mettent leur client à disposition gratuitement sur les stores des smartphones. C’est la connexion au serveur qui consomme une licence. § consultation / production : les viewers Office sont gratuits sur Internet. En revanche, la production locale est un vrai problème mais les produits sont en train de s’adapter. Exemple de Google Apps et l’utilisation hors connexion avec Chrome dont le licencing n’est pas lié au poste de travail.  risque d’influencer les stratégies IT de l’entreprise afin de toujours privilégier les clients web avec des contraintes induites supplémentaires (support de flash sur iOS par exemple plus un client riche) #l’hyper-connectivité devient addictive. Le lien créé en permanence entre le salarié et l’écosystème professionnel induit de nouvelle posture. La plus préoccupante est l’obligation de réaction induite par cette logique d’instantanéité. L’addiction survient car la réponse immédiate apportée à une demande procure une sensation de plaisir, similaire à celle procurée par des drogues : « vous avez vu comment je suis capable de répondre rapidement, je suis le meilleur » # Les échanges de mail professionnel effectués durant son temps de transport quotidiennement, peuvent-ils être considérés comme du temps de travail supplémentaire ? -> question biaisée pour les cadres qui ont un volume de jour/an. -> est-ce du télétravail ? Non, si l’on s’en référe à la définition de l’accord interentreprise -> est-ce du nomadisme comme les commerciaux, car les utilisateurs ont un bureau ? -> est-ce du travail sous astreinte ? Non, bien encadrer par des avenants au contrat, entre des tranches horaires particulières.  la charte smartphone doit mentionner qu’il s’agit d’une démarche volontaire de l’utilisateur et que l’ouverture de ce service ne constitue en rien une obligation de consultation de sa messagerie ou de réponse à des sollicitations en dehors de son temps de travail. # Est-ce discriminatoire si le service ne coûte rien mais qu’il n’est pas ouvert à tout 8
  • 13. le monde ? Corolaire : comment justifier de la mise à disposition de ce service ?  risque réduit en préférant la gestion d’une unique politique de sécurité plutôt que de distinguer Pro vs Perso, moins discriminant 8
  • 14. La stratégie initiale : conserver l’expérience utilisateur du terminal pour qu’il accède aux données personnelles. 400,000 employés, 10% (40,000) avec Blackberrys et 20% (80,000) avec leurs smartphones et tablettes personnelles pour accéder au réseau interne d’IBM. Premier retour arrière: « The whole bring-your-own-device trend may cause as many problems as it solves” IBM CIO Jeanette Horan. Blocage de l’utilisation de dropbox/SkyDrive/G-Drive et evernote. L’avantage était la facilité de partage de fichier et la synchronisation multi-device.  empiète sur le monde personnel de l’utilisateur car pour ses besoins personnels, il ne peut plus utiliser ces 2 services. La réponse de dropbox a été de dire que leur service n’était pas à destination des professionnels et qu’ils feraient du best effort sur la confidentialité des données (sic). Ainsi que de SIRI, la reconnaissance vocale, qui a fait vendre énormément d’iPhone4  idem  Programme toujours actif, mais particulièrement contraint. 9
  • 15. 10
  • 16. 11
  • 17. Application : # utilisez les possibilités offertes par les services (type activeSync) pour pousser des politiques de sécurité en préalable à la connexion du device. § Exchange 2010 qui pousse la politique et qui permet de mettre le terminal en quarantaine dans le cas où il ne respecterait pas les baselines. MDM : # exemple de l’agent Good Technology qui est censé détecter une device jailbreaké mais que l’on peut abuser avec XCON # Reste encore dans la philosophie de gestion d’une flotte complète alors que les terminaux n’appartiennent plus à l’entreprise # Présentation des origines des acteurs du MDM Hypervisor / VM # Exemple VMWare. A confirmer techniquement, encore jeune. # Actuellement, trop de cloisonnement : dans le container professionnel, je ne peux pas recevoir les notifications (mail reçus, tweets, …) de la partie personnelle du terminal. # quelques challenges à relever pour l’hyperviseur : 12
  • 18. § lourd en installation et consomme beaucoup de mémoire et CPU ce qui greve les performances de la batterie. § limiter l’adhérence avec l’OS (pas simple pour un hyperviseur) pour ne pas être lié aux montées de version et se maintenir toujours opérationnel dans la version la plus à jour SandBoxing : # Mise en place de silos d’entreprise ou sandbox (bac à sable) permettant d’isoler les données d’entreprise dans des espaces spécifiques. Sybase, Good Technologies ou Mobiquant propose ce type de technologie. Problème : ce ne sont pas les clients natifs de l’OS qui sont utilisés, mais des clients développés par les éditeurs. L’expérience utilisateur est dégradée. # Alternative : Teopad sur Androïd, qui interface directement les primitives de l’OS et qui propose donc un bac à sable utilisant les applications natives de l’OS. Le revers de la médaille est que Teopad est pour l’instant disponible que sur Androïd car Apple ne permet pas une intégration dans les couches basses d’iOS et étend difficilement ses APIs. # le challenge consiste en la mise en œuvre d’une sécurisation valable pour 3 types d’applicatifs d’entreprise : § applications bureautiques, § applications commerciales (SAP, Oracle, Microstrategy, ...) § applications d'entreprise developpées par elle-même. SECURITY BASELINE # gestion de enrollment et de la révocation : lors de ces deux processus, il peut être intéressant d’intégrer une validation avant l’ouverture du service ou sa coupure (hors contexte d’incident). Techniquement, cette validation est possible. # Chiffrement des données : idem, obligatoire ou pas. Attention, certains terminaux ne propose pas cette API et ne pourrons pas être compatible avec la charte. /! Attention aussi à la consommation de batterie + importante induite : pour des BBY, la durée d’utilisation pouvait être divisée par 2, d’où l’intérêt de le stipuler dans la charte. # Politique de mot de passe : presque tous les terminaux proposent cette API. Elle doit faire partie de la baseline la plus minimale. Prévoir une modification de la politique de sécurité pour intégrer une politique de pwd allégée pour les smartphones. Des alternatives aux pwd sont disponibles, comme les schémas par exemple sous androïd. Ils peuvent amener un niveau de sécurisation intéressant, ils sont plus difficile à inscrire sur un post-it ;-) # remote lock/wipe : possibilité technique de verrouiller le terminal ou de l’effacer à distance. A disposition de l’utilisateur et de l’administrateur. C’est la baseline la plus problématique à intégrer dans la charte, notamment aux vues de l’intrusion que cela représente sur le mobile de l’utilisateur en cas de déclenchement. 12
  • 19. # configuration des infrastructures d’entreprise Mail/Wifi/VPN : possibilité de paramétrer dans une politique centralisée le déploiement de ces composants. 12
  • 20. 13
  • 21. # Quelles sont les techniques pour détecter un iPhone jailbreaké se connectant à ActiveSync ? § Filtrage sur les User-Agent dans les headers HTTP. Attention, nécessaire de maintenir ces règles à jour sur les Reverses Proxy. Pas exhaustif, car il est possible de spoofer un User-Agent sur iPhone http://security.stackexchange.com/questions/918/blocking- insecure-iphones-from-accessing-activesync?rq=1 http://www.paperblog.fr/5200520/xcon-le-tweak-qui-permet-de- contourner-la-detection-du-jailbreak-pour-les-appli/  les softs de MDM sont concernés par ce masquage ;-) 14
  • 22. 15
  • 23. # Mécanismes classiques de contrôle d’accès suite à l’authentification des utilisateurs  pas forcément la partie la plus facile, car elle nécessite la prise en compte de cette contrainte dés le début des développements. § l’utilisateur doit-il s’authentifier avec son compte AD/LDAP d’entreprise ? § Faut-il qui saisisse systématiquement son pwd ou est-il stocké sur le terminal une fois la phase d’initialisation effectuée ? § Est-ce un compte générique qui est utilisé, avec le risque de reverse engineering permettant d’extraire des données ? # Chiffrement, classique, suite à une analyse de risque. Attention particulière portée aux données personnelles. # Protection des hôtes et des applicatifs (hardenning, AV, confinement, …) 16
  • 24. 17
  • 25. 18
  • 26. 19