14/02/202 2 14/02/20 22 COMMENT SÉCURISER UNE APPROCHE BYOD « Bring Your Own Device » Marc Rousselet Directeur Pôle Conseil & Innovation Thibault De La Mare
02/05/202302/05/2023
COMMENT SÉCURISER UNE APPROCHE BYOD
« Bring Your Own Device »
Marc RousseletDirecteur Pôle Conseil & InnovationThibault De La MareConsultant Cloud & Mobilité
202/05/2023
1. Introduction2. Contexte et enjeux3. Le BYOD en chiffres4. Lancer un projet BYOD5. Sécuriser une démarche BYOD6. Démonstration
Agenda
02/05/2023 4
| PROFIL | AGENCES
Cabinet de conseil et d’ingénierie en Sécurité du système d’information
20 Années d’expertise70 personnes début 2014
+20 % de croissance depuis 2011
Paris
Marseille
Lille
Genève
Qui sommes nous ?
Introduction
02/05/2023 5
| Nos expertises | Nos métiers
Audit et Cadrage
Expertise et Intégration
Formation
Tierce Maintenance Applicative
Quels sont nos métiers ?
Introduction
02/05/2023 6
Chronologie de la démarche
Introduction
Lancement Q3 2013
• Constitution d’un groupe de travail, lancement de l’étude BYOD
• Compréhension du contexte et des enjeux
• Identification des risques et des bénéfices
Analyse Q4 2013
• Description des cas d’usages dans un contexte BYOD
• Analyse des architectures, des composants et des briques techniques
Evaluation Q1 2014
• Définition des critères d’évaluation d’une solution BYOD
• Evaluation de différentes solutions du marché
Les assises Oct. 2014
• Restitution synthétique de notre étude aux Assises de la sécurité
• Rapport détaillé disponible sur le stand KERNEL Networks pendant les Assises
Séminaire BYOD
• Inscription à un séminaire gratuit sur le stand KERNEL Networks pendant les Assises
802/05/2023
La démocratisation de l’IT
Contexte et enjeux
2007
2008
2009
2010
2011
2012
2013
(prévisio
ns) 2014
- 200,000,000 400,000,000 600,000,000 800,000,000
1,000,000,000 1,200,000,000 1,400,000,000
Vente de smartphones WW
Franchissement du milliard2005 Achat d’Android par Google
2007 Lancement de l’iPhone
2010 Lancement de l’iPad
2014 WhatsApp évalué à 19 milliards $ Microsoft acquiert Nokia
2015 Les ventes de tablettes dépassent celles des laptops Sources: Gartner / IDC
02/05/2023 9
Une tendance générationnelle
Contexte et enjeux
La génération Y représente presque un tiers des effectifs
• Peu concernés par la sécurité• 70% admettent ne pas respecter la
politique de sécurité de l’entreprise
• Très autonomes• Ils maitrisent les outils informatique
depuis de longues années
• Mieux équipés que l’entreprise• Ils sont nomades et ultra connectés
Source: Lexsi – Avril 2013
02/05/2023 10
De la compréhension des Y
Contexte et enjeux
Sources: Lexsi – Avril 2014 / Benjamin Cheminade
02/05/2023 11
De la naissance des nouveaux usages
Contexte et enjeux
Une tendance forte: le « SHADOW IT »• 80% des employés utilisent des
applications SaaS non approuvées • 35% des applications SaaS sont achetées
sans l’accord da la DSI• 50% des employés ne se sentent pas
concernés par la sécurité contre 33% qui se sentent très concernés
Un phénomène: le « Bring Your Own Device »• Le salarié utilise son équipement
personnel dans le cadre professionnel• Le salarié souhaite répliquer ses pratiques
personnelles dans le cadre professionnel,• Il aspire à tirer profit de ce capital au sein
de l’entreprise (applications Cloud personnelles, collaborations, interactivités)
MobilitéCloudSource: Frost & Sullivan, Novembre 2013
ATAWADAC
Any Time, Any Where, Any Content, Any Device
02/05/2023 12
Un enjeu fort sur la sécurité
Contexte et enjeux
SHAD
OW IT BYO
D
Fuite de données
Vol de données
Fuite des cerveaux
Perte de données
Accès frauduleux
au SI
Conservation des accès
Combinaison toxique des habilitations
(SoD)
Cumul des privilèges
02/05/2023 14
Adoption du BYOD par pays – zone Monde
Le BYOD en chiffres
Source: Cisco IBSG - Etude menée auprès de 4892 DSI - Printemps 2012
Total Etats-Unis Royaume-Uni Allemagne France Russie Chine Inde Mexique Brésil
84% 88%
77%
62%70%
80%
97% 94%86% 84%
69% 72%
52% 52%
40%
59%
88%78%
88%
76%
Constatent une progression du BYOD Accueillent le BYOD favorablement
02/05/2023 15
Adoption du BYOD par pays – zone Europe
LE BYOD en chiffres
Grande Bretagne Allemagne France0%
10%
20%
30%
40%
50%
60%
70%
80%
Adoption du BYOD Refus du BYODSource: Oracle - Etude EMEA - Mars 2014
02/05/2023 16
Les modèles alternatifs au BYOD
LE BYOD en chiffres
Choix employé
Propriété entreprise Propriété employé
Choix entreprise
02/05/2023 18
Les bénéfices attendus du BYOD
Lancer un projet BYOD
• Productivité• Interaction permanente avec le SI
• Innovation• Equipement de nouvelles populations
• Image de l’IT• En phase avec les attentes des utilisateurs
• Réduction des coûts• Acquisition et maintenance des terminaux
02/05/2023 19
Les contraintes du BYOD
Lancer un projet BYOD
• Cadre juridique• Adaptation du contrat de travail, consultation des IRPs, CHSCT…
• Cadre d’utilisation• Charte d’utilisation BYOD, adaptation de la PSSI…
• Gestion des terminaux• Applications autorisées, OS et terminaux supportés
02/05/2023 20
Les étapes d’un projet BYOD
Lancer un projet BYOD
•Avant projet•Budget, contraintes juridiques, charte d’utilisation BYOD, PSSI•Modernisation de l’infrastructure réseau WiFi
IT•Projet
•Définir le périmètre (OS, terminaux, applications…)•Protection des terminaux, des accès, des documents, des données sensibles
IT, RH•Go Live
•Conduite du changement•Support de la solution
Legal, IT,RH
02/05/2023 22
Les 4 éléments à sécuriser
Sécuriser une démarche BYOD
MDMMobile Device Management
IAMIdentity & Access Management
MCMMobile content Management
MFAMulti Factor Authentication
02/05/2023 23
Protéger le terminal
Sécuriser une démarche BYOD
• Enrôlement• Contrôle de la conformité (JailBreak, version de l’OS…)• Containerisation• Cryptage• AppStore d’entreprise
• Arrivée d’un utilisateur• Création d’un univers « pro-protégé »• Cloisonnement de l’univers perso
02/05/2023 24
Protéger l’accès au SI
Sécuriser une démarche BYOD
• Délégation de l’authentification• Gestion du mot de passe dans Active Directory• Accès aux applications en SSO
• Portail SSO• Applications disponibles sur tous les terminaux• Accès transparent au portail sans mot de passe
• Integrated Windows Authentication (IWA)
02/05/2023 25
Protéger l’accès aux applications sensibles
Sécuriser une démarche BYOD
• Authentification renforcée• Si l’utilisateur accède à une application sensible• Ou s’il se connecte à partir d’un réseau public
• Plusieurs méthodes disponibles• Création d’un « soft token » lié à une application/au portail• Envoi d’un SMS, appel téléphonique, email• Question de sécurité
02/05/2023 26
Protéger les documents
Sécuriser une démarche BYOD
• Sécurisation des documents• Traçabilité des accès• Collaboration sécurisée interne/externe• Alertes sur les comportements suspects
• Application Box• Accès SSO• Suivi des activités sur le document• Logs et reporting
29
Protection d’un terminal mobile
Démonstration
Internet Firewall Réseau d’entreprise
Contrôleur de domaine AD
Proxy server(Sur Windows Server)
Le propriétaire télécharge l’application Centrify sur son terminal
1 Il déclare ses identifiants Active Directory à l’application Centrify
2
Le lien est établi entre l’AD et le service Centrify3 Le terminal applique les politiques de sécurité gérées dans Active Directory
4
Utilisateur02/05/2023
02/05/2023 30
Et pour plus de sécurité…
Démonstration
Samsung Knox• Containerisation du terminal (Silo applicatif)
• Séparation stricte des données Pro et Perso• Chiffrement des données Pro• Effacement du container à distance
• Sécurisation du terminal • Boot sécurisé• Intégrité de l’environnement Android
31
Protection des documents
Démonstration
Internet Firewall Réseau d’entreprise
Contrôleur de domaine AD
Proxy server(Sur Windows Server)
Centrify affiche le portail des applications à l’utilisateur1 L’utilisateur se connecte en SSO à Box
via le portail2
Utilisateur
02/05/2023
02/05/2023 32
Et pour plus de sécurité…
Démonstration
CipherCloud• Sécurisation des données Box
• Chiffrement des données stockées dans Box• Clés symétriques sous le contrôle du client
• Protection contre la fuite de données• Règles de DLP appliquées en temps réel• Isolation des documents non conformes
• Protection contre la perte d’intégrité• Recherche de « malwares » en temps réel
33
Protection des données sensibles
Démonstration
Internet Firewall Réseau d’entreprise
Contrôleur de domaine AD
Proxy server(Sur Windows Server)
L’utilisateur lance l’application Salesforce via le portail Web Centrify
1 Centrify lui renvoie un formulaire de connexion avec un champ supplémentaire pour le « Soft Token »
2
Centrify vérifie les données d’authentification3L’utilisateur est redirigé vers Salesforce si le second facteur d’authentification est correct
4
Utilisateur02/05/2023
02/05/2023 34
Et pour plus de sécurité…
Démonstration
Login People• Authentification forte de type « Hard Token »
• Utilisation des terminaux mobiles en tant que Token• Le matériel est identifié par une « ADN digitale »
• Solution adaptable pour renforcer les accès• Vers les applications Web, applications lourdes ou Cloud• Intégré au service MFA d’Office 365
35
Protection en cas de perte ou de vol
Démonstration
Internet Firewall Réseau d’entreprise
Contrôleur de domaine AD
Proxy server(Sur Windows Server)
L’utilisateur se connecte au portail Web Centrify1 Il demande la suppression des données de son terminal
2
Centrify envoie l’ordre au terminal3 Le terminal exécute la destruction des données, il n’est plus lié à l’utilisateur
4
Utilisateur
02/05/2023