Dans le contexte du BYOD (Bring Your Own Device), les professionnels de l'informatique doivent répondre au mieux, aux attentes des utilisateurs qui désirent travailler avec leur propre appareil. Face à cette transformation de l’IT et des usages, des solutions modernes sont nécessaires. Elles doivent garantir la sécurité en cas d'accès aux ressources de l'entreprise depuis des appareils personnels. C’est le fondement de toute réflexion d’un programme BYOD qui passe par la protection de l’identité des utilisateurs, sésame numérique et véritable talon d'Achille du système d’information. Découvrez dans cette session, les fonctionnalités de sécurité Microsoft adaptés au monde de l’entreprise comme l’enregistrement d’appareils, les cartes à puce virtuelles mais également l’authentification multi-facteurs qui permet de contrôler l'accès aux ressources en fonction de l’appareil utilisé par l’utilisateur. Vous découvrirez également comment avec Windows Server 2012 R2 et la solution partenaire Versatile Security il est possible de maitriser le processus d'inscription des appareils, de délivrer une carte à puce virtuelle et les certificats numériques associés, puis de gérer le cycle de vie de ce mode d’authentification moderne.
Speakers : Arnaud Jumelet (Microsoft France), William Houry (Versatile Security)
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entreprise
1.
2. BYOD : les nouveaux scénarios
d’authentification adaptés au
monde de l’entreprise
William Houry, Versatile Security
Arnaud Jumelet, Microsoft France
william.houry@versatilesecurity.com, @whoury
arnaud.jumelet@microsoft.com, @arnaud_jumelet
Sécurité
3. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
#mstechdays
Sécurité
5. Objectifs de la session
• Découvrir les solutions Microsoft pour le BYOD
adaptées au monde de l’entreprise
• Démontrer la mise en œuvre d’un scénario innovant :
inscription d’un appareil Windows 8.1 avec
authentification par téléphone puis création d’une carte
à puce virtuelle contenant les certificats numériques
associés à l’utilisateur
#mstechdays
Sécurité
6. LES DÉFIS DU BYOD
La situation
#mstechdays
Sécurité
7. Les défis liés au BYOD
Utilisateurs
Appareils
Les utilisateurs veulent
pouvoir travailler depuis
n’importe où et avoir
accès à toutes les
ressources.
L’explosion et la diversité
des appareils mobiles remet
en cause l'approche basée sur
les standards IT de l'entreprise.
#mstechdays
Sécurité
Applications
Le déploiement et la gestion
des applications sur
l’ensemble des plateformes
est complexe.
Données
Les utilisateurs doivent être
productifs tout en
respectant la contraintes
de conformité et en
limitant les risques.
8. Les utilisateurs veulent travailler depuis leur propre appareil et de
n’importe où
Tout débute
par une
personne ...
dont l’identité
est vérifiée…
sur plusieurs
appareils…
EMPLOYEE
#
0000000000
CONTOSO
#mstechdays
Sécurité
avec un accès
aux apps…
….même en
situation de
mobilité !
9. Donner accès de manière sécurisée aux apps et données métiers
L’IT doit protéger les ressources
de l’entreprise…
.. En définissant comment les
applications sont délivrées
DELIVERY TYPE
VIRTUAL
DESKTOP
SSL/TLS
VPN / DirectAccess
DELIVERY TYPE
REMOT
E
APP
802.1x / IPsec
DELIVERY
TYPE
NATIV
E APP
DELIVERY TYPE
WEB/Saa
S
APP
#mstechdays
Sécurité
tout en gardant le contrôle sur
les données et la sécurité.
10. Des bénéfices et des risques
Utilisateurs
Comment accéder facilement aux outils de l’entreprise
avec mon appareil personnel et depuis n’importe où ?
IT PRO
Comment donner accès de manière sécurisée aux
applications et données de l’entreprise ?
#mstechdays
Sécurité
12. Solutions BYOD dans Windows Server 2012 R2
DELIVERY TYPE
VIRTUAL
DESKTO
P
DELIVERY TYPE
REMOT
E
APP
DELIVERY TYPE
WEB/Saa
S
APP
DELIVERY TYPE
NATIV
E APP
#mstechdays
Sécurité
13. Publication des applications web avec WAP + AD FS
Les améliorations apportées sur le nouvel AD FS
comprennent un déploiement et une gestion simplifiée
Applications
publiées
Firewall
DELIVERY TYPE
WEB/SaaS
APP
Les utilisateurs peuvent enregistrer leurs appareils
pour accéder aux apps et données d'entreprise
avec une expérience SSO grâce à
l'authentification de l'appareil
#mstechdays
L’accès conditionnel avec l'authentification
multi-facteur est fourni avec une granularité
par application, en s'appuyant sur l'identité de
l'utilisateur, l'enregistrement de l'appareil,
l’emplacement réseau et d’autres informations
de contexte
Sécurité
14. Principe du contrôle d’accès contextuel
Contexte
Expérience utilisateur
Utilisateur
Appareil
Logique
Authentification
Complet
Le contexte d’accès inclut les
caractéristiques de l’identité présentée,
la force de l’authentification, le niveau de
confiance de l’appareil mobile et
l’emplacement géographique. et
Sécurité
Limité
(ex. règle : appareil connu depuis le réseau interne à
l’aide d’une authentification forte)
. Accès à certaines Applications Web
. Accès à des applications classiques en mode RDP
Bloqué
Lieu
#mstechdays
(ex. règle : appareil connu et géré)
. Accès complet au réseau
. Accès natif aux applications Web et classiques
(ex. règle : appareil inconnu)
. Aucun accès au réseau interne
. Accès internet invité
Les politiques d’accès définissent les règles d’accès
en fonction du contexte et de la sensibilité des
services, applications et données accédés
17. Authentification
Contexte d’accès
Mot de passe + Téléphone
+ Voix
Utilisateur
Carte à puce + Code PIN
Authentification
Certificat protégé par TPM
Force
Appareil
Empreinte digitale
Lieu
Certificat
Mot de passe simple
****
#mstechdays
Carte à puce virtuelle
+ Code PIN
Code confidentiel
Sécurité
Mot de passe image
Mot de passe
+ Téléphone
18. Carte à puce
• Les Intérêts
– Authentification forte à 2 ou 3 facteurs basée sur des certificats numériques
(X.509)
– Cryptographie isolée (Opérations effectuées par la carte)
– Anti « Force brute » (Carte bloquée après N tentatives)
– Nombreux cas d’utilisation (Windows logon, Accès à distance, Chiffrement,
Signature…)
• Pas toujours adapté dans un environnement BYOD
– Lecteur intégré, lecteur externe (USB, Bluetooth ou autre), Clé USB, Carte NFC…
• La Carte à puce virtuelle offre une complémentarité à la carte à
puce physique en gardant les avantages de celle-ci sans les
contraintes de déploiement de matériel
#mstechdays
Sécurité
19. Qu’est-ce qu’une carte à puce virtuelle ?
• La fonctionnalité carte à puce virtuelle est
présente sur toutes éditions de Windows
8.X
• Utilise la puce TPM d’un appareil Windows
8.x
• La présence d’un TPM sera obligatoire en
2015 pour obtenir le logo Windows
• Adaptée aux tablettes et appareils mobiles
–
Les Windows Phones possèdent un module TPM
• Déploiement simple et compatibilité
optimale avec les logiciels existants.
Le code PIN est ce que l’on connaît, l’appareil ce que l’on possède
#mstechdays
Sécurité
20. La carte à puce virtuelle est faite pour le BYOD et la
mobilité
Authentification
Multi-facteurs
•
•
•
•
•
Accès distant avec une connexion VPN
Accès réseau interne Wi-Fi, IPSec
Ouverture de session en mode RDP
Accès à des applications Web avec authentification certificat client SSL
Accès à des ressources via Kerberos
Protection des
documents et
des messages
•
•
Chiffrement BitLocker sur des disques de données fixes et amovibles
Chiffrement/Signature S/MIME
#mstechdays
Sécurité
21. Appareils
Contexte d’accès
Inconnu
Connu
L’appareil est inconnu de
l’IT
L’appareil est joint au lieu
de travail (Workplace Join).
Il peut recevoir des
politiques de sécurité via
EAS. L’appareil est connu
est associé à son utilisateur
Utilisateur
Authentification
Appareil
Lieu
#mstechdays
Sécurité
Connu et géré
L’appareil est joint au lieu
de travail et géré par un
MDM (Mobile Device
Management) via le
protocole OMA-DM.
Administré
L’appareil est joint au
domaine Active
Directory et est
entièrement sous le
contrôle de l’IT avec des
GPO et outils de
supervision,
télédistribution logiciels.
23. WORKPLACE JOIN
Associer un appareil ou un ordinateur considéré
comme fiable
#mstechdays
Sécurité
Design/UX/UI
24. SCENARIO AVEC LA SOLUTION
VERSATILE SECURITY VSEC:CMS
#mstechdays
Sécurité
25. Gestion du Cycle de Vie des Cartes à Puces
(Virtuelles)
#mstechdays
Sécurité
26. Avantages de vSEC:CMS
Haut Niveau de Sécurité
Intégration complète avec
les infrastructures
Microsoft
Installation Rapide
Faible Coût de Possession
#mstechdays
Sécurité
28. Distribution carte à puce (virtuelle) et certificats
dans un contexte BYOD (Self-Service)
Start
Récupération des règles d’accès :
Authentification forte (carte à puce physique)
Authentification par téléphone Azure MFA
Questions / Réponses
…
#mstechdays
Sécurité
30. Les étapes
Diversification de la Clé d’Administration
(PIN Admin)
Configuration de la Politique de PIN
Assignation à un Utilisateur Active
Directory
Enrôlement des Certificats Utilisateurs
#mstechdays
Sécurité
31. En résumé
• Enregistrer les appareils
– Les appareils (Windows 8.x, iOS) peuvent être joint au lieu de
travail avec Windows Server 2012 R2
• Authentification forte et moderne
– Activer les méthodes d’authentification fortes adaptées à la
mobilité : Windows Azure MFA et cartes à puce virtuelles
• Contrôle d’accès contextuel pour le BYOD
– Prise en compte du contexte avec Windows Server 2012 R2
#mstechdays
Sécurité
32. Aller plus loin
Ressources
• Livre blanc « BYOD : Vision et solutions »
• Livre blanc « Windows Azure MFA »
• Site Web Versatile Security :
http://versatilesecurity.com
Sessions tech.days 2014
– Mercredi 12 février : 16h30-17h15 : Démonstration
du BYOD en entreprise
– Jeudi 13 février : 12h15-13h00 : Stratégie BYOD
et nouvelles directions de solutions
#mstechdays
Sécurité