mobilité - comment concilier opportunités et menaces
TRANSCRIPT
MOBILITÉ
COMMENT CONCILIER OPPORTUNITÉS ET MENACES ?
Yoann Le Corvic Senior Security Engineer & ISO 27001 Lead Auditor
T +41 22 727 05 55
[email protected] www.e-xpertsolutions.com
AGENDA
Le phénomène « Mobilité »
Subir ou Gérer ?
Projets mobilité et ses pièges
Menaces d’aujourd’hui et d’hier
MOBILITÉ OPPORTUNITÉ
► Equipements «high tech - tendance» pas besoin de convaincre, tout le
monde en veut un !
o L’intérêt pour ces outils au moins aussi fort d’un point de vue personnel que
professionnel
► Des «petits» moments de productivité en plus
o Déplacement, et attente lors de déplacements
o Contact gardé avec l’entreprise en permanence
o Accès aux documents professionnels
► En en plus, moins d’impressions papier
o C’est aussi “tendance”
MOBILITÉ PARFOIS IMPOSÉE
► Le métier n’attend pas toujours l’IT
o Lire : “Le métier n’attend pas souvent l’IT”
► Les «VIP» (Directeurs, Managers…) encore moins !
o Nombre de projets mobilité sont déclenchés à la hâte parce que le CEO, CIO a
décidé de lire ses mails sur sa tablette.
► Que contiennent les mails de ces VIP ?
o Souvent les informations les plus sensibles de l’entreprise
o Les contacts clés
o Les documents les plus stratégiques
4
LA MOBILITÉ S’IMPOSE...
5
ET LA MOBILITÉ NOUS EXPOSE…
Genève : 1 vol / heure, 8000 sur l’année 2011 (4245 en
2006) (source : Police Cantonale de Genève)
New York : près de 12000 iPhone/iPads entre le
01.01.2012 et 23.09.2012 (source : NYPD)
70 million de téléphones perdus chaque année –
seulement 7% retrouvés (source : Etude Intel 2009)
50% des utilisateurs de smartphones y stoquent des mot
de passe, informations personnelles et données de carte de
crédit (source : Etude Intel 2009)
36% des tablettes contiennent des informations
professionnelles (source : Etude Intel 2009)
700 000 applications Android malveillantes (source : rapport
Trend Micro)
7
ET LA MOBILITÉ NOUS EXPOSE…
Source : State of Cybersecurity: Implications for 2015 - An ISACA and RSA Conference Survey http://www.isaca.org/cyber/Documents/State-of-Cybersecurity_Res_Eng_0415.pdf
8
RISQUES ET CONSEQUENCES
DANS LA VIE RÉELLE !
► Revente d’un smartphone par un collaborateur
o Oubli de réinitialiser le téléphone
o Compte email avec mot de passe stocké
o Sans compter les photos…
o … et les contacts.
Conséquences ?
9
DANS LA VIE RÉELLE !
► Un collaborateur se connecte à un Hot Spot Wifi «Swisscom» qui n’en est pas un
!
o Possible interception de tous les flux (messagerie, VPN…)
o Seul rempart: l’esprit critique de l’utilisateur
o Sa capacité à ne pas cliquer sur «Continuer» dès qu’il voit un message d’alerte
Conséquences ?
10
DANS LA VIE RÉELLE !
► La tablette du CFO volée
o Code PIN faible
o Mots de passe enregistré pour accéder aux emails
o Client VPN pour accéder à son poste à distance, et mot de passe préenregistré pour plus d’«efficacité»
Conséquences ?
► Tablette oubliée dans les transports
o Pas une attaque ciblée
o Les conséquences dépendent de «qui» la trouve.
11
«ANCIENNES» MENACES
► Et ne pas oublier les risques “historiques”
o La protection des conversations sur les réseaux mobiles
reste faible !
o Une station d’interception GSM pour moins de 1500 USD
en 2010
o Idem pour les communications par satellite
12
SUBIR OU GÉRER ?
Il était une fois un RSSI …
SUBIR
RÉSULTATS
15
► Parc hétérogène, géré (ou pas) «artisanalement», sans politique de sécurité globale, sans visibilité
globale…
► Perte quasi-totale du contrôle des données d’entreprise
o Dommage, à l’heure ou la fuite d’information est un sujet majeur
► Potentiel risque d’être «Hors la loi» en Suisse ou dans une filiale
60 % des entreprises européennes n’ont
aucune “stratégie” mobilité
(Source : PAC - 2013)
16
GÉRER
PRAGMATISME
L’amener à exprimer les besoins, même de façon sommaire.
Communiquer avec le management sur les besoins, mais aussi les risques.
Gérer le projet mobilité comme un …. Projet.
Choisir la solution technique de gestion de la mobilité d’entreprise, et l’intégrer.
Former les administrateurs, helpdesk, opérateurs.
Former les utilisateurs, au moins les sensibiliser.
Ne pas sous estimer les aspects RH et Juridiques.
BYOD
or not to BYOD
?
That is the question.
RÉSULTATS
17
► Parc homogène, supervisé, maitrisé
o Configuration centralisée
► Expérience utilisateur, support amélioré, sans pour autant être très intrusif
► Fonctionnalités sécurité offertes par
o Les solutions de gestion de mobilité d’entreprise (Suppression du contenu «entreprise» vérification de la
compliance des équipements…)
PROJET MOBILITÉ ET SES PIÈGES
Retours d’expérience
LUTTER CONTRE LES «MYTHES» DE LA MOBILITÉ
► Tous les employés doivent avoir un accès complet à l’entreprise.
► Les employés qui utilisent les smartphones et tablettes connaissent des risques.
► Les entreprises doivent attendre que le marché devienne mature
► L’augmentation de la flotte mobile augmente nécessairement le risque de faille de sécurité.
19
DIMENSIONNEMENT
► Saturation des bornes Wifi
► Saturation des connexions Internet
► Saturation de liens WAN
o Rapatriement d’emails
o Accès aux intranets
o Accès aux documents
► Dépassement de forfait / frais de Roaming
► Dimensionnement des composants MDM
o SGBD
o Système de fichier pour le MCM (Mobile Content Management)
20
SÉCURITÉ
► Les smartphones ne devraient pas contourner les mécanismes de sécurité déjà en place pour
l’informatique «Traditionnelle»
o Protection du surfing Internet
o Protection des mails
o Analyse Anti Virus
► Trouver le «bon» niveau de sécurité
o Trop de sécurité = Se retrouver avec n smartphones / tablettes par collaborateur.
21
GESTION DES MAILS
► Mails chiffrés
o Comment les lire sur les smartphones ?
o Problématique chiffrement de mails Lotus Notes
► Serveurs de messagerie
o Technologies (Microsoft / Lotus)
o Architecture distribuées (problématique d’accès à des serveurs en filiale)
o Problématique de haute disponibilité
22
www.e-xpertsolutions.com
www.e-xpertsolutions.com/rssglobal
blog.e-xpertsolutions.com
twitter.com/expertsolch
linkedin.com/company/110061?trk=tyah
slideshare.net/e-xpertsolutions
https://www.youtube.com/user/expertsolch
MERCI DE VOTRE ATTENTION
Yoann Le Corvic Senior Security Engineer & ISO 27001 Lead Auditor T +41 22 727 05 55 [email protected] www.e-xpertsolutions.com