Bring Your Own Device: Vision sécurité et
approche de solutions
Microsoft France
Date de publication: mars 2013
Version: 1...
This document is provided “as-is”. Information and views expressed in this document, including URL and
other Internet Web ...
Bring Your Own Device: Vision sécurité et approche de solutions 3
Table des matières
1BRING YOUR OWN DEVICE: QUELLE RÉALITÉ, QUELLE DÉMARCHE?..................................................
1 Bring Your Own Device: Quelle réalité, quelle démarche?
1.1 L’envolée des smartphones et tablettes
Le phénomène “Bring Y...
Le facteur de forme est un élément privilégié dans le monde du grand public de même que l’attraction liée à
la marque qui ...
demandes de tablettes en proportion des téléphones. Ces chiffres confirment que, malgré leurs réticences,
les entreprises ...
la difficulté de leur contrôle ; leur inadaptation aux contraintes de l’entreprise par manque de maturité
technologique fa...
visionnage de vidéos. On considère cependant qu’avec l’arrivée des technologies Ultrabook comme celle
d’Intel, le facteur ...
Figure Etapes d'une démarche BYOD
1.5.1 Classification du patrimoine numérique
Cette première étape va permettre d’identif...
Parmi les critères de choix des groupes d’utilisateurs, on prendra en compte : la valeur apportée au métier
par la mise à ...
1.5.6 Inventaire des contrats de licences logicielles
Le BYOD, par sa diversité des OS, des appareils, des types d’applica...
1.5.8 Analyse d’impact financier, juridique, conditions de travail et ressources
humaines
Les impacts financiers doivent ê...
que les flux engendrés par les nouveaux équipements ne perturberont pas les flux des réseaux déjà
existants et qui partage...
2 Bring Your Own Device: Approche Microsoft
2.1 Comment aborder le problème ?
Après avoir réalisé que l’avènement du BYOD ...
du réseau 3G pour les accès mobiles au wifi de l’entreprise jusqu’au réseau interne de l’entreprise
ou de son centre de do...
Là où tous les efforts étaient faits dans le modèle précédent pour s’assurer d’un niveau maximum de
confiance du terminal,...
Figure : Classification des terminaux
Dans la représentation ci-dessus, on distingue désormais quatre catégories de termin...
• La catégorie « Ligthly managed » concerne les terminaux qui sont référencés dans une base de
données ou un annuaire de l...
l’annuaire et authentifié, l’utilisateur peut ouvrir une session authentifiée avec une identité également
décrite dans l’a...
Ces postulats deviennent inexacts dès lors que le niveau de confiance de chacun de ces éléments peut
varier : l’identité d...
Figure : Différents types d'identités
• L’authentification est classée selon quatre niveaux : faible, moyen, fort et multi...
Pour être complet, il faut ajouter que les quatre critères ne sont pas complètement indépendants ; par
exemple l’identité ...
du terminal qui n’appartient plus à la même catégorie, le niveau de confiance de l’authentification qui
est descendu d’un ...
3 Les directions de solution
Après la description de l’approche nécessaire pour aborder le BYOD dans sa vision sécurité qu...
3.2 Les 4 niveaux de protection
On a défini au paragraphe § 2.2 « Les grands principes et l’évolution du modèle » les élém...
Les paragraphes suivants utilisent cette décomposition pour décrire les solutions à adopter sur chacun de
ces niveaux.
3.3...
D’un point de vue technique, l’information concernant le terminal et véhiculée par le certificat lors de
l’authentificatio...
la version du master à date avant de pouvoir être distribué ; le cycle de vie du terminal est ensuite
classiquement de 3 a...
En synthèse, le MDM est l’outil de gestion qui va permettre d’assurer la sécurité des périphériques mobiles
dans la catégo...
3.5 Protection au niveau couche réseau
3.5.1 Contrôle d’accès réseau
Le contrôle d’accès réseau constitue la première barr...
BYOD : vision sécurité et approche de solutions
BYOD : vision sécurité et approche de solutions
BYOD : vision sécurité et approche de solutions
BYOD : vision sécurité et approche de solutions
BYOD : vision sécurité et approche de solutions
BYOD : vision sécurité et approche de solutions
BYOD : vision sécurité et approche de solutions
BYOD : vision sécurité et approche de solutions
BYOD : vision sécurité et approche de solutions
Upcoming SlideShare
Loading in...5
×

BYOD : vision sécurité et approche de solutions

475

Published on

Le phénomène « Bring Your Own Device » est de plus en plus ancré dans les habitudes des professionnels, ce qui impacte considérablement les entreprises dans la gestion de leur sécurité. Ce livre blanc met en lumière ces changements, et vous conseille sur la stratégie à adopter en fonction du niveau de sensibilité de vos données.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
475
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
21
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

BYOD : vision sécurité et approche de solutions

  1. 1. Bring Your Own Device: Vision sécurité et approche de solutions Microsoft France Date de publication: mars 2013 Version: 1.0 Auteur: Jean-Yves Grasset, Microsoft Relecteurs: Bernard Ourghanlian, Philippe Beraud, Arnaud Jumelet Copyright © 2013 Microsoft Corporation. All rights reserved. Résumé Le phénomène « Bring Your Own Device » est une tendance profonde née de l’avènement d’appareils personnels de plus en plus puissants qui sont désormais indispensables à notre lien avec l’extérieur. Ces nouveaux outils, pensés au départ pour le grand public, tendent à s’introduire dans la sphère professionnelle par le biais de la porosité de la frontière entre la vie privée et le travail. Il nous semble vain de tenter d’ignorer ou de rejeter ce phénomène lié à une véritable mutation que l’on peut qualifier de sociologique. Après une première analyse du phénomène BYOD, et la description d’une démarche plus globale, ce document propose une évolution du modèle de sécurité périmétrique à travers la notion de contexte d’accès – sécurité du terminal, confiance de l’identité, force de l’authentification et lieu de connexion – pour adapter les autorisations en fonction du niveau de sensibilité des données. Les directions de solutions sont recensées pour vous permettre d’accueillir ces nouveaux périphériques dans les infrastructures Microsoft en profitant au mieux des dernières fonctionnalités (contrôle d’accès dynamique, classification des données, protection des données sensibles, revendications utilisateur et terminal, etc.) et bâtir une solution permettant d’adresser les nouveaux défis liés au BYOD et les transformer en véritable opportunité business pour votre entreprise.
  2. 2. This document is provided “as-is”. Information and views expressed in this document, including URL and other Internet Web site references, may change without notice. You bear the risk of using it. Some examples depicted herein are provided for illustration only and are fictitious. No real association or connection is intended or should be inferred. This document does not provide you with any legal rights to any intellectual property in any Microsoft product. You may copy and use this document for your internal, reference purposes. You may modify this document for your internal, reference purposes. © 2013 Microsoft Corporation. All rights reserved. Microsoft, Active Directory, Internet Explorer, SQL Server, Windows, Windows PowerShell, and Windows Server are trademarks of the Microsoft group of companies. All other trademarks are property of their respective owners
  3. 3. Bring Your Own Device: Vision sécurité et approche de solutions 3
  4. 4. Table des matières 1BRING YOUR OWN DEVICE: QUELLE RÉALITÉ, QUELLE DÉMARCHE?.................................................4 1.1L’ENVOLÉE DES SMARTPHONES ET TABLETTES...............................................................................................4 1.2BYOD : CAUSES ET ADOPTION.....................................................................................................................4 1.3BYOD : LES RISQUES...................................................................................................................................4 1.4LES SCÉNARIOS D’USAGE..............................................................................................................................4 1.5DÉMARCHE GLOBALE ET CHECKLIST..............................................................................................................4 1.5.1Classification du patrimoine numérique..............................................................................................4 1.5.2Segmentation des utilisateurs.............................................................................................................4 1.5.3Analyse des besoins de conformité et de continuité d’activité............................................................4 1.5.4Architecture d’accès sécurisé..............................................................................................................4 1.5.5Structure des politiques de sécurité....................................................................................................5 1.5.6Inventaire des contrats de licences logicielles....................................................................................5 1.5.7Politique de support par l’informatique................................................................................................5 1.5.8Analyse d’impact financier, juridique, conditions de travail et ressources humaines.........................5 1.5.9Besoins matériels, logiciels et bande passante..................................................................................5 1.5.10Stratégie de communication..............................................................................................................5 2BRING YOUR OWN DEVICE: APPROCHE MICROSOFT..............................................................................6 2.1COMMENT ABORDER LE PROBLÈME ?.............................................................................................................6 2.2LES GRANDS PRINCIPES ET L’ÉVOLUTION DU MODÈLE.....................................................................................6 2.3LA CLASSIFICATION DES TERMINAUX..............................................................................................................6 2.4LE CONTEXTE D’ACCÈS.................................................................................................................................6 2.5POLITIQUES DE SÉCURITÉ: L’ÉQUATION COMPLÈTE.........................................................................................7 2.6RÔLE ET AUTORISATIONS...............................................................................................................................7 3LES DIRECTIONS DE SOLUTION..................................................................................................................8 3.1MDM ET VDI : L’UNIQUE RÉPONSE ?...........................................................................................................8 3.2LES 4 NIVEAUX DE PROTECTION....................................................................................................................8 3.3AUTHENTIFICATION-IDENTIFICATION DU TERMINAL...........................................................................................8 3.4PROTECTION NIVEAU COUCHE PÉRIPHÉRIQUE................................................................................................8 3.4.1Gestion et contrôle des terminaux : Le MDM......................................................................................8 3.4.2Portail d’enregistrement.......................................................................................................................8 3.5PROTECTION AU NIVEAU COUCHE RÉSEAU.....................................................................................................9 3.5.1Contrôle d’accès réseau......................................................................................................................9 3.5.2Protection réseau.................................................................................................................................9 3.6PROTECTION AU NIVEAU COUCHE SERVICE....................................................................................................9 3.6.1Fédération- Accès aux applications Cloud..........................................................................................9 3.6.2Protection/Publication des applications...............................................................................................9 3.6.3Accès VPN...........................................................................................................................................9 3.7PROTECTION AU NIVEAU COUCHE DONNÉES................................................................................................10 3.7.1Contrôle d’accès dynamique.............................................................................................................10 3.7.2Classification......................................................................................................................................10 3.7.3Contrôle et protection des informations.............................................................................................10 4CONCLUSION................................................................................................................................................11 5BIBLIOGRAPHIE & RÉFÉRENCES..............................................................................................................12 Bring Your Own Device: Vision sécurité et approche de solutions 4
  5. 5. 1 Bring Your Own Device: Quelle réalité, quelle démarche? 1.1 L’envolée des smartphones et tablettes Le phénomène “Bring Your Own Device” (BYOD) désigne le scénario par lequel les employés apportent leur propre matériel dans les locaux de l’entreprise pour un usage professionnel, en plus de leur utilisation dans un cadre purement privé, avec l’accord et éventuellement le support de l’employeur. C’est l’une des manifestations de la vague de consumérisation de l’informatique qui consacre l’imbrication de deux mondes : le monde du « grand public » et le monde de l’entreprise. Ce phénomène peut s’expliquer par la conjonction de plusieurs facteurs. Nous vivons dans un monde de plus en plus connecté, que ce soit à la maison où l’internet est disponible en wifi depuis n’importe quelle pièce, à l’extérieur à travers le réseau 3G/4G, depuis l’hôtel, le hall d’aéroport, l’accès au web est partout disponible et a modifié de manière durable notre rapport au monde. Dans son rapport sur le trafic et les données marché daté de juin 20121 , Ericsson prédit une couverture 3G de 85% de la population mondiale en 2017 et de 50% pour la 4G. Les estimations sur le trafic de données pour la téléphonie mobile font état d’une multiplication par quinze entre 2011 et 2017. Nous profitons de cette connexion omniprésente pour consommer l’information sous toutes ses formes : journaux d’information sous leur forme numérique plutôt que papier, messagerie personnelle ou privée, visualisation de vidéos, réseaux sociaux pour rester en contact avec un nombre de plus en plus impressionnant d’amis, chat en ligne avec les proches, jeux, etc. Ces nouveaux usages sont rendus disponibles par des équipements portables légers et de petite taille (smartphones), de la dimension d’une feuille de papier pour une meilleure lecture et doté d’une interface tactile (tablettes), équipés d’un écran et d’un clavier mais poids plume (Ultrabook). Le point commun entre ces différents équipements est leur puissance permettant de faire tourner des applications de plus en plus addictives, téléchargeables depuis des magasins d’applications et dont le nombre se calcule en centaines de milliers même si toutes n’ont pas le même intérêt. Poussée par le marketing des fabricants leaders du marché et par une concurrence acharnée, la fréquence de renouvellement est stupéfiante même si les innovations ne sont pas toujours au rendez-vous des nouveaux modèles. Il faut dire que la taille du marché est phénoménale puisque, selon une source Gartner datant de février 20122 , il s'est vendu près de 1,8 milliard de téléphones mobiles en 2011 dans un marché que l’on considère pourtant comme pratiquement saturé, dont 31% de smartphones soit 472 millions d’unités. Toujours selon le rapport Ericsson, si le nombre d’abonnement de smartphones était de 700 millions en 2011, il devrait atteindre 3 milliards en 2017. Le smartphone est, sans conteste, en train de devenir le moyen d’accès privilégié à internet. Les prévisions de Forrester pour 2016 permettent d’établir la proportion d’équipements en tablettes et smartphones : rien que pour les Etats-Unis, Forrester anticipe que les foyers américains seront en possession de 126 millions de tablettes et 256 millions de smartphones3 . 1 Traffic and Market report, Ericsson, June 2012: http://www.ericsson.com/res/docs/2012/traffic_and_market_report_june_2012.pdf 2 Market Share Analysis: Mobile Devices, Worldwide, 4Q11 and 2011, Gartner, published 14 February 2012 3 http://www.infodsi.com/articles/129050/mobiles-part-croissante-smartphones.html Bring Your Own Device: Vision sécurité et approche de solutions 5
  6. 6. Le facteur de forme est un élément privilégié dans le monde du grand public de même que l’attraction liée à la marque qui fait de vous quelqu’un dans l’air du temps par la simple possession de l’objet. Avec un tel engouement pour les terminaux intelligents, les utilisateurs technophiles sont à la fois de plus en plus autonomes, à la pointe de la technologie et deviennent eux-mêmes prescripteurs de technologies. 1.2 BYOD : Causes et adoption Quel est le rapport entre ces chiffres mettant en évidence la progression phénoménale des équipements personnels intelligents et l’entreprise ? S’il on en croit le Gartner, « L’émergence des programmes "Bring You Own Device" est tout simplement le tournant le plus radical dans l’économie de l’informatique client pour les entreprises depuis que les PC ont envahi le lieu de travail4 ». L’adoption massive des nouveaux équipements intelligents provoque un véritable décalage entre le marché des consommateurs et les outils qui sont mis à disposition de leurs employés par les entreprises. Dans son analyse « The BYOD Effect5 », la société Mobil8 décrit bien ce décalage: précédemment, l’adoption des périphériques par l’entreprise précédait sa diffusion en masse sur le marché de la consommation courante ; BlackBerry est l’exemple concret d’une innovation pensée pour l’entreprise qui a ensuite essaimé chez les particuliers. Cette tendance s’est complètement inversée avec l’arrivée des smartphones et tablettes Apple ou Android qui ont été ciblées uniquement pour le marché grand public. A présent, c’est lorsque ce marché a adopté ces nouveautés technologiques que l’entreprise se voit sollicitée par les employés devenus prescripteurs pour les intégrer dans son périmètre. Cependant, les contraintes de l’entreprise dans le choix de ses équipements ne sont pas les mêmes que pour le particulier ; les critères de l’IT sont tournés vers la gestion, le contrôle et la sécurité. L’introduction de nouveaux périphériques nécessite un minimum de qualification car l’entreprise aura la charge d’en assurer le support. Par mesure de rationalisation des dépenses, les achats sont faits par quantité importante avec un stock suffisant pour assurer les retours des périphériques défaillants. Une forte hétérogénéité des périphériques est synonyme de coût supplémentaire et de difficulté de maitrise par les équipes de HelpDesk. Pour respecter ce processus, l’entreprise s’inflige un deuxième décalage par rapport au cycle de mise sur le marché des nouveaux équipements. Le collaborateur dispose pour son usage personnel d’un périphérique attrayant, qu’il a choisi personnellement, dont il maitrise parfaitement le fonctionnement: il va être incité en toute logique à étendre son utilisation dans le cadre de son travail pour éviter d’avoir à assumer un équipement supplémentaire fourni par l’entreprise et, de plus, déjà démodé. Il est prêt à assurer lui-même la maintenance de son équipement et à admettre un entrelacement ou une certaine porosité entre vie privée et professionnelle. L’entreprise peut entrevoir, en première approche, des bénéfices comme un gain de productivité des employés et une réduction des coûts liés à l’acquisition et la maintenance des terminaux. Même si la satisfaction des utilisateurs n’est toujours facilement quantifiable, l’adoption du BYOD peut également redorer le blason de l’IT. Le BYOD correspond-il à un effet de mode ? Le taux d’adoption, selon l’étude Gartner déjà citée, évalue en moyenne que les CIO aux Etats-Unis s’attendaient à ce que 38% des effectifs utilisent des terminaux personnels en fin 2012 et environ la moitié de ce taux pour l’Europe. Une enquête de Cisco datée de fin 2011 menée auprès de 1500 décideurs aux Etats-Unis et en Europe, note un rapport de 3 entre les 4 Bring Your Own Device: New Opportunities, New Challenges, Gartner, August 2012. 5 The BYOD Effect, Mobil8, February 2012, http://www.mobil8.net/library.html Bring Your Own Device: Vision sécurité et approche de solutions 6
  7. 7. demandes de tablettes en proportion des téléphones. Ces chiffres confirment que, malgré leurs réticences, les entreprises ne peuvent ignorer ce qui devient bien plus qu’une tendance. L’adoption du BYOD ne se résume pas au choix et à la mise en œuvre d’un outil de gestion de flotte de mobiles (« Mobile Device Management » ou MDM). Ceci explique que la majorité des entreprises (60%) continue encore sur le modèle où tous les périphériques sont fournis et gérés en interne – il se peut que des mobiles « pirates » soient connectés sur le réseau interne mais en dehors d’un programme accrédité –. Environ 20% implémentent un modèle hybride (c’est le cas de l’informatique interne de Microsoft) et 10% sont passées à un programme BYOD complet6 . 1.3 BYOD : Les risques Le défi majeur apporté par le BYOD tient au fait que ces périphériques ne sont pas conçus pour l’entreprise mais pour le grand public. Selon toute logique, le frein le plus important à l’adoption du BYOD est la sécurité. Tout responsable sécurité jugera inacceptable d’ouvrir l’accès à son réseau interne à des terminaux inconnus, en-dehors de tout contrôle de l’IT par le simple biais d’une authentification de l’utilisateur. L’exposition au risque pourrait sembler limitée s’il s’agit d’autoriser uniquement l’accès à la messagerie d’entreprise ; cependant le risque est loin d’être négligeable dès lors que l’utilisateur entre ses informations d’identification (identifiant et mot de passe) de l’entreprise sur un terminal pour lequel le niveau de confiance est limité et pouvant être compromis par un keylogger. De plus, l’accès à la messagerie d’entreprise est une porte ouverte vers la fuite d’information : si la tablette ou le smartphone sont utilisés par un VIP, les informations sensibles qu’il transfère sur son équipement seront à disposition de personnes malintentionnées en cas de perte. L’ENISA dans son document “Consumerization of IT: Top Risks and Opportunities7 ” classe les risques liés au BYOD et la Consumérisation de l’IT en trois catégories : les risques relatifs au coût, les risques relatifs aux aspects légaux et réglementaires, et enfin ceux affectant les données (confidentialité, intégrité, disponibilité ou respect de la vie privée). Dans les risques liés au coût, la fuite d’information par des comportements négligents de la part des utilisateurs et ses impacts en termes d’image sont cités en premier lieu. La complexité et la diversité des périphériques, le vol des équipements peuvent être à l’origine de coûts supplémentaires. Enfin, des coûts sont à envisager pour que l’entreprise prenne en compte les modifications dans l’architecture de sécurité pour passer d’un modèle de protection périmétrique à une sécurité de bout-en-bout, l’adaptation des politiques de sécurité, la sensibilisation et la formation des utilisateurs. Dans la catégorie des risques légaux, le manque de contrôle sur les terminaux détenus par les employés complexifie la traçabilité des actions vis-à-vis des actifs de l’entreprise, la gestion des incidents de sécurité et le respect de la conformité réglementaire. Par le mélange entre vie privée et vie professionnelle qu’implique le BYOD, il devient plus difficile pour l’entreprise de s’assurer du respect des contraintes réglementaires liées aux ressources humaines par exemple télétravail caché, dépassement des heures de travail. Le manque de distinction entre les données personnelles et professionnelles peut ajouter de la difficulté dans la recherche de preuve au format électronique (e-discovery) et augmenter la probabilité de litiges entre les entreprises et leurs employés dans le domaine du respect de la vie privée. La dernière catégorie de risques concerne les données proprement dites ce qui est, de notre avis, le point focal. L’augmentation du risque de fuite d’information est le risque le plus prégnant en cas de contrôle plus lâche de l’application des politiques de sécurité sur les périphériques ; la diversité des équipements ajoute à 6 Just How Hot Is BYOD? Étude conduite par CCMI pour Dimension Data et Xigo, July 2012. 7 Consumerization of IT: Top Risks and Opportunities, ENISA, 28 September 2012, http://www.enisa.europa.eu/activities/risk- management/evolving-threat-environment/consumerization-of-it-top-risks-and-opportunities/at_download/fullReport Bring Your Own Device: Vision sécurité et approche de solutions 7
  8. 8. la difficulté de leur contrôle ; leur inadaptation aux contraintes de l’entreprise par manque de maturité technologique favorise la diffusion incontrôlée de données sensibles. Par leur niveau de sécurité plus faible les rendant plus sensibles aux malwares et une forte exposition, ces terminaux peuvent devenir des cibles privilégiées pour obtenir l’accès à des données critiques de l’entreprise. La citation de Tony Scott CVP & Microsoft CIO parlant de la consumérisation “This is a data, not a device discussion” – reflète bien que l’importance du défi est concentré sur la protection des données. Les autres études comme celle produite par la Cloud Security Alliance «Top threats to Mobile Computing8 » relèvent les mêmes types de risques concentrés autour de la fuite de données que ce soit par perte, vol ou décomissionnement de terminaux, vol de données par malware ou négligence dans la protection ou le comportement des utilisateurs. L’une des recommandations de Symantec dans son rapport sur l'utilisation des technologies mobiles en entreprise en 20129 met en évidence cette approche : [Adoptez une] Sécurité exhaustive : dépassez le cadre des règles de mot de passe, d'effacement et de blocage d'applications. Concentrez-vous sur l'information et les endroits où elle est visualisée, transmise et stockée. Une intégration avec les règles existantes de prévention des pertes de données, de chiffrement et d'authentification garantit la conformité systématique avec les politiques internes et les réglementations. Pour résumer, les défis posés par le BYOD sont relatifs au manque de contrôle des terminaux lié à leur diversité et au fait qu’ils ne soient pas la propriété de l’entreprise, un mélange entre les données privées et professionnelles, une inadaptation du modèle de protection périmétrique. Ceci expose aux risques de fuite d’information et de non-respect de conformité réglementaire. Face à ces risques, la maturité de l’entreprise en termes de sécurité est structurante : quel est le fossé pour passer d’une infrastructure de sécurité où l’ensemble des terminaux était – dans le meilleur des cas – contrôlés et où tous les efforts étaient concentrés sur la protection périmétrique au détriment d’un contrôle d’accès concentré sur les données ? Si un système de classification des données est déjà en place et que le contrôle d’accès aux données est basé sur une gestion des identités sérieuse et des principes d’authentification forte, le chemin à parcourir pour prendre en compte le BYOD sera nettement moins ardu. A contrario, si la gestion de la sécurité de l’entreprise et la protection de l’accès à ses données est plus aléatoire, les risques auxquelles elle s’expose par l’ouverture aux scénarios de BYOD n’en seront que plus forts. 1.4 Les scénarios d’usage Les utilisateurs des périphériques autorisés dans le cadre d’un programme BYOD en feront une utilisation mixte privée-professionnelle. Pour avoir une vision complète des scénarios, il est intéressant de disposer d’éléments sur les usages les plus communs dans un contexte privé pour comprendre l’utilisation qu’un collaborateur fait de l’équipement qu’il souhaite également utiliser dans le contexte de l’entreprise. Si l’on se réfère à une étude de Technology Business Research, Consumer Tablet Study datant de juin 2012, les utilisations pour le cas des tablettes sont, par ordre de priorité, la navigation sur le Web, l’accès à la messagerie, les réseaux sociaux, la lecture de livres et de magazines puis les jeux, la musique et le 8 Top threats to Mobile Computing, Cloud Security Alliance, 2012, https://downloads.cloudsecurityalliance.org/initiatives/mobile/top_threats_mobile_CSA.pdf 9 2012 State of Mobility Survey, Symantec, http://www.symantec.com/en/uk/content/en/us/about/media/pdfs/b- state_of_mobility_survey_2012.en-us.pdf Bring Your Own Device: Vision sécurité et approche de solutions 8
  9. 9. visionnage de vidéos. On considère cependant qu’avec l’arrivée des technologies Ultrabook comme celle d’Intel, le facteur de forme tablettes sera concurrencé par ces nouveaux périphériques. Le premier scénario d’usage dans un cadre professionnel des terminaux mobiles est sans conteste l’accès à la messagerie électronique ; puis vient la possibilité de se connecter à distance sur le réseau de l’entreprise (VPN ou déport d’écran). Ensuite vient la possibilité de stocker localement des données qui pourront être consultées offline une fois sur le terrain et enfin l’accès à des applications hébergées dans le Cloud. Ces scénarios d’utilisation restent généraux et correspondent à des résultats d’enquêtes sur des centaines d’entreprise. Chaque entreprise devra définir ses propres scénarios d’usage. Le BYOD n’est pas censé s’appliquer à l’ensemble des employés : les rôles qui ne sont pas concernés par la mobilité et utilisent un ensemble réduit d’applications (task worker) ne feront vraisemblablement pas partie des populations d’employés éligibles à des solutions BYOD. 1.5 Démarche globale et checklist Compte tenu des impacts que sa prise en compte entraine au niveau de l’entreprise, le BYOD ne peut pas être abordé uniquement sur sa facette technique ; il est illusoire de penser que le simple choix d’un outil de gestion de flotte de mobiles, quelques adaptations au niveau de l’équipe du HelpDesk et une détermination rapide des impacts financiers et légaux, suffiront à aborder cette transformation. Le déploiement d’une solution BYOD doit être mené comme un véritable projet avec, comme tout projet, un ou des sponsors, des parties prenantes non seulement dans l’IT mais dans les équipes juridiques et ressources humaines etc. sans parler des utilisateurs qui doivent rester les vrais bénéficiaires de la solution. Mais un projet doit, au final, s’appuyer et mettre en œuvre des solutions techniques qui constituent la déclinaison véritable des enjeux et doit correspondre aux objectifs visés d’un point de vue des utilisateurs – la solution doit être adoptée –, d’un point de vue business – la solution doit apporter les bénéfices escomptés –, tout en respectant les standards de sécurité de l’entreprise. Ce paragraphe décrit, sous forme de checklist, un ensemble de sujets à traiter dans le cadre du projet BYOD mais la suite du document se concentrera sur l’approche technique avec une « orientation sécurité » assumée car la sécurité constitue l’un des défis majeurs d’un projet BYOD. Bring Your Own Device: Vision sécurité et approche de solutions 9
  10. 10. Figure Etapes d'une démarche BYOD 1.5.1 Classification du patrimoine numérique Cette première étape va permettre d’identifier quelles sont les données réellement sensibles de l’entreprise pour concentrer ensuite la protection d’accès en fonction du niveau de criticité de ces informations. Lorsque l’on pose la question, la plupart des clients estime le pourcentage des données sensibles entre 10 et 15%. Les retours d’expérience suite à la mise en place de la fonctionnalité de classification automatique de Dynamic Access Control de Windows Server 201210 que ce soit par l’IT interne Microsoft ou chez certains grands clients ont mis en évidence que le pourcentage de données critiques est plutôt de l’ordre de 1%. Il n’empêche que ce 1% doit être identifié pour pouvoir être protégé contre tout accès ou toute fuite. Le projet BYOD en lui-même n’impose pas comme préalable de classifier l’ensemble du patrimoine numérique de l’entreprise, ce qui risque d’être un projet d’une toute autre envergure ; on s’intéressera aux données accédées par les populations ciblées par le déploiement du BYOD, quitte à élargir le périmètre si l’on décide d’étendre le nombre d’employés concernés. 1.5.2 Segmentation des utilisateurs Le BYOD n’est pas censé concerner l’ensemble des employés de l’entreprise mais des franges particulières d’utilisateurs pour lesquels il apportera un réel bénéfice. La démarche consiste, dans un premier temps, à sélectionner un nombre limité (moins de cinq) de groupes d’employés, définir les scénarios d’utilisation, identifier les ressources et applications auxquelles ils devront avoir accès et déterminer la sensibilité des données accédées. Cela permet de déployer des premières solutions BYOD en ciblant les populations d’utilisateurs tout en limitant l’impact sur les applications concernées, leurs moyens de protection et d’accès11 . 10 Dynamic Access Control: Scenario Overview, http://technet.microsoft.com/en-us/library/hh831717.aspx 11 Checklist for Determining Enterprise Readiness to Support Employee-Owned Devices, Gartner, Published: 18 June 2012 Bring Your Own Device: Vision sécurité et approche de solutions 10
  11. 11. Parmi les critères de choix des groupes d’utilisateurs, on prendra en compte : la valeur apportée au métier par la mise à disposition de l’opportunité BYOD, les besoins de collaboration, la familiarité avec la technologie – pour s’assurer de l’autonomie de l’utilisateur en absence de support de la part de l’entreprise– et enfin les besoins de mobilité. 1.5.3 Analyse des besoins de conformité et de continuité d’activité Les scénarios BYOD envisagés doivent être examinés sous l’angle réglementaire impliquant le respect de la vie privé – conformité CNIL –, mais également la conformité par rapport aux règlements de l’entreprise ; la charte informatique permet, d’un côté, de préserver les droits de l’employeur par la description d’un certain nombre d’exigences en vue de garantir ses engagements en termes de sécurité, et de l’autre de respecter les droits au respect de la vie privée du salarié. Le respect de la conformité par rapport au métier de l’entreprise est également nécessaire : par exemple, la protection des données personnelles médicales dans les métiers liés à la Santé pourra restreindre la mise en place de certains scénarios ou imposer des solutions de sécurité supplémentaires (chiffrement) à mettre en place pour être en accord avec ces exigences particulières. Parmi ses devoirs et obligations, l’employeur doit fournir à ses employés les moyens d’effectuer leur tâche ; Dans le cadre d’un programme BYOD, l’utilisateur doit être en mesure de réaliser l’ensemble des tâches qui lui incombent qu’il soit à l’intérieur de l’entreprise, en situation de mobilité ou, depuis chez lui dans le cadre du télétravail. En conséquence, les applications et services qui lui sont nécessaires devront être accessibles dans les différentes situations à partir du ou de ses équipements personnels entrant dans le cadre du projet BYOD. 1.5.4 Architecture d’accès sécurisé La sécurité est sans doute le sujet majeur à adresser dans le cadre du BYOD. Il implique une remise en cause de l’approche de protection périmétrique désormais inadaptée à la sécurisation du système d’information. Le BYOD nécessite d’autoriser sur le réseau interne de l’entreprise de nouveaux types d’équipements dont le niveau de sécurité ne correspond plus aux critères définies par la politique de sécurité pour les postes de l’entreprise. Des transformations sont à envisager pour accueillir ces tablettes, smartphones ou postes tout en leur fournissant un accès aux ressources et services de l’entreprise qui sera fonction de différents critères comme le niveau de sécurité du terminal, la force de l’authentification de l’utilisateur, etc. L’infrastructure en charge de la sécurité devra subir des transformations et adaptations pour prendre en compte les nouveaux scénarios autorisés par l’arrivée du BYOD et les défis en termes de sécurité qu’il fait émerger. 1.5.5 Structure des politiques de sécurité Les politiques de sécurité déjà en place prennent en compte, selon toute probabilité, la mobilité en définissant un certain nombre d’exigences sur les postes de travail ou les téléphones directement gérés par l’entreprise ; par exemple la politique peut imposer l’utilisation du chiffrement des disques sur les postes mobiles pour limiter la fuite d’information en cas de perte, ou l’utilisation d’un code PIN et d’une possibilité d’effacement à distance pour les téléphones fournis par l’entreprise. Les politiques de sécurité devront être étendues pour décrire les exigences propres à l’utilisation d’appareils personnels dans le cadre du BYOD, par exemple l’obligation pour l’utilisateur d’enregistrer sa tablette ou son smartphone à travers un portail et l’acceptation que son appareil soit géré par un outil de gestion de flotte de mobiles, l’utilisation obligatoire d’un code PIN d’une certaine longueur et complexité, les conditions d’utilisation d’applications (pas d’utilisation de messagerie instantanée non approuvée pour des discussions liées à l’entreprise) , conditions de stockage de données non chiffrées etc. Bring Your Own Device: Vision sécurité et approche de solutions 11
  12. 12. 1.5.6 Inventaire des contrats de licences logicielles Le BYOD, par sa diversité des OS, des appareils, des types d’applications et des modes d’accès, draine de nouvelles questions sur le sujet des licences logicielles. Selon les éditeurs, les modes de licence sont différents et certains adaptent leurs contrats pour étendre l’utilisation de leurs logiciels sur plusieurs périphériques d’un même utilisateur. L’un des meilleurs exemples est le changement de la politique de Microsoft pour les licences Windows 8 : dans le cadre d’une Software Assurance (SA), sont attribués par le biais d’une licence appareil compagnon (Companion Device Licence) les droits d’accéder aux postes de l’entreprise soit à travers VDI (Virtual Desktop Infrastructure) ou par Windows To Go depuis quatre appareils personnels12 . Concernant les applications, ces possibilités ne s’appliquent pas forcément : jusqu’à très récemment Office n’offrait qu’un principe de licences perpétuelles par appareil même si la suite Office 2013 est désormais disponible sous forme de location pour 5 PC ou Mac13 . On devra également intégrer le cas des applications qui sont utilisables gratuitement dans le cadre privé et payantes dans une utilisation entreprise. Dès lors que l’entreprise reste au final responsable du respect des conditions de licences, il est nécessaire de procéder à un inventaire précis des applications utilisées et des conditions d’applications des licences de chaque éditeur ; ceci peut s’avérer plus ou moins complexe et coûteux selon la prise en considération ou non du BYOD. 1.5.7 Politique de support par l’informatique L’utilisateur apportant son appareil personnel et disposant d’une relative liberté dans son choix – même si l’entreprise peut intégrer des exigences pour la connexion et l’accès –, il ne peut prétendre au même niveau de support de la part du HelpDesk que lorsqu’il utilise un poste ou smartphone proposé par l’entreprise. La politique de support dans le cadre d’une offre BYOD doit décrire de manière précise quel niveau de support est effectif selon le périphérique, le système d’exploitation, le niveau de contrôle par l’entreprise (par ex. gestion par le MDM de l’entreprise), la possibilité d’appartenance ou non au domaine Active Directory de l’entreprise… Par exemple, la politique de support de l’informatique interne de Microsoft stipule, à date d’écriture de ce livre blanc, que les matériels de type PC et Surface non gérés par l’entreprise ne bénéficient d’aucun support de la part du HelpDesk, ni pour le matériel, le système d’exploitation ou les éventuelles applications métier qui seraient installées. Quant aux smartphones Windows (Windows Mobile ou Windows Phone), ils disposeront d’un support uniquement sur la partie logicielle et les applications métier installées ; aucun support pour les iPhone, iPad ou Android. A contrario, pour les tablettes Surface RT, les PC et smartphones personnels dont la gestion est prise en charge par la solution de MDM Windows Intune, le support du matériel reste toujours à la charge du collaborateur mais le support logiciel et des applications métier sera effectué sur la base du « best effort ». Cette politique de support n’est pas gravée dans le marbre, la situation pouvant évoluer par exemple avec le support des iPad et iPhone par Windows Intune. Chaque entreprise devra définir sa propre politique de support et la mettre à disposition des collaborateurs souhaitant souscrire à l’offre BYOD proposée en interne. 12 http://blogs.windows.com/windows/b/business/archive/2012/04/18/introducing-windows-8-enterprise-and-enhanced-software- assurance-for-today-s-modern-workforce.aspx 13 The new Office 365 subscriptions for consumers and small businesses http://blogs.office.com/b/office-news/archive/2012/09/17/the- new-office-365-subscriptions-for-consumers-and-small-businesses.aspx Bring Your Own Device: Vision sécurité et approche de solutions 12
  13. 13. 1.5.8 Analyse d’impact financier, juridique, conditions de travail et ressources humaines Les impacts financiers doivent être examinés car ils peuvent influer sur des choix techniques, de périmètre de déploiement, de mode de compensation en regard de l’investissement effectué par le collaborateur, de choix plus ou moins guidé de l’appareil... Parmi les questions que l’on peut se poser, de manière non exhaustive : doit-on proposer aux utilisateurs une compensation financière directe ou offrir en contrepartie de participer à la facture télécom liée à l’utilisation personnelle ? Sur quelles populations d’utilisateurs peut-on se permettre de déployer une solution BYOD ? Quel sera le coût total du projet d’adaptation de l’infrastructure de sécurité ? Si on utilise de nouveaux modes de licences, seront-ils plus ou moins économiques ? A-t-on une estimation rationnelle du ROI (Retour sur investissement) et en espère-t-on finalement un ? Les implications juridiques doivent être considérées sérieusement car le BYOD ne dispose pas encore d’un véritable cadre juridique. Il est nécessaire d’éviter les écueils de la discrimination entre employés du fait que l’on n’offrirait cette possibilité qu’à une frange particulière de la population ; le respect de la vie privé est également au cœur du BYOD par le fait que le terminal contiendra des informations non seulement professionnelles mais également personnelles qui pourrait être accessibles par l’entreprise par le biais de l’outil de gestion de flotte. On notera que, d’un point de vue réglementaire, l’utilisateur doit être informé de tout système permettant de collecter des données à caractère personnel. De même, il faudra considérer les exigences de la CNIL si l’employé peut être géo-localisé par le biais de son équipement. Le BYOD ne peut être imposé aux employés et reste de fait sur la base du volontariat : le salarié devra signer une autorisation de principe précisant son accord ; il aura la responsabilité de déclarer son équipement, de vérifier que ce dernier remplit les exigences techniques précisées et enfin de respecter les politiques de sécurité étendues pour la prise en compte du BYOD. D’un point de vue légal, l’entreprise est responsable du contrôle des accès à des contenus illégaux effectués depuis son propre réseau ; que l’accès soit réalisé à partir d’un terminal de l’entreprise ou du salarié ne change rien à l’équation et la solution technique envisagée pour offrir un accès internet aux équipements de type BYOD devra être capable de filtrer et de surveiller les accès sortants14 . 1.5.9 Besoins matériels, logiciels et bande passante La mise en place d’une infrastructure permettant d’accueillir des équipements BYOD nécessitera de déployer de nouvelles solutions techniques : équipements de contrôle d’accès, passerelles en frontière du SI – un déploiement ou au mieux un redimensionnement –, un outil de gestion de flotte de mobiles (à moins de choisir une solution Cloud), voire une infrastructure complète permettant de créer à la demande des postes virtuels lorsqu’une solution VDI est retenue. Ces nouvelles solutions techniques nécessiteront d’acquérir des matériels et logiciels : serveurs, systèmes d’exploitation, applications et services qui serviront à accueillir les nouveaux appareils BYOD et leur fournir les services attendus. D’un point de vue réseau, les besoins en bande passante sur le réseau interne devront être estimés pour prendre en compte l’augmentation du trafic induit : les tablettes engendrent par exemple nettement plus de trafic que les smartphones. L’accès au réseau interne se faisant en wifi, il est important de vérifier que les bornes wifi seront correctement dimensionnées pour assurer une bande passante suffisante ; elles doivent être capables de mettre en place de la qualité de service pour s’assurer 14 http://www.indexel.net/materiels/bring-your-own-device-dix-questions-pour-respecter-la-reglementation-3586.html Bring Your Own Device: Vision sécurité et approche de solutions 13
  14. 14. que les flux engendrés par les nouveaux équipements ne perturberont pas les flux des réseaux déjà existants et qui partagent les mêmes bornes. Au-delà de ces quelques exemples, l’ensemble des besoins découlant des solutions techniques choisies devront être scrupuleusement évalués pour rentrer dans l’estimation de coût du projet dans son ensemble. 1.5.10 Stratégie de communication La gestion de la communication est importante dans un projet qui implique fortement les utilisateurs et peut donner une image positive de l’informatique interne et plus globalement de l’entreprise. La communication doit délivrer les messages clés du programme, que ce soit sur les objectifs, les bénéfices attendus du côté des utilisateurs sans occulter les points que ces derniers devront respecter pour adhérer au programme BYOD. La communication devra délivrer des messages clairs sur la répartition des dépenses (l’utilisateur disposera- t-il d’une indemnité ?), les conditions de support, les services et applications disponibles, les contraintes de sécurité (protection des données de l’entreprise), le respect de la vie privée, les appareils éligibles, les procédures à respecter en cas de perte de l’appareil, de suspicion de compromission, de départ de l’entreprise, etc. Les utilisateurs seront informés par différents canaux de l’avancement du projet et, pour les heureux élus, pouvoir faire des retours sur leur expérience BYOD (email, sites Web entreprise, réseau social de l’entreprise, hiérarchie), qu’elle soit positive pour témoigner d’un gain de convivialité dans leur travail ou qu’elle permette de corriger des problèmes et d’améliorer la qualité du programme. Un projet BYOD doit être l’opportunité de l’établissement – ou rétablissement – d’une communication à double sens entre l’informatique interne et les utilisateurs pour un bénéfice commun. Bring Your Own Device: Vision sécurité et approche de solutions 14
  15. 15. 2 Bring Your Own Device: Approche Microsoft 2.1 Comment aborder le problème ? Après avoir réalisé que l’avènement du BYOD était plus qu’une tendance éphémère mais s’apparentait à une véritable césure, il faut se poser la question de la manière dont on peut aborder ce changement majeur : il va falloir admettre que le changement de paradigme qui en découle doit être pris en compte. Heureusement, tout changement de paradigme n’implique pas forcément une remise en cause des principes de sécurité mais une évolution certaine de la vision confortable d’un environnement entièrement contrôlé vers un niveau de sécurité plus flou dans un périmètre qui n’a cessé de s’étendre au fur et à mesure que les frontières de sécurité du réseau interne s’estompaient. Dans le cas du BYOD, l’élément d’incertitude qui s’ajoute à l’équation est le niveau de sécurité de l’équipement utilisé par l’utilisateur pour accéder aux actifs de l’entreprise. Durant la précédente période, l’un des principes de sécurité consistait à maitriser et contrôler tous les équipements ; tous les postes de travail étaient fournis par l’entreprise, construits selon des gabarits – les fameux « masters » - longuement testés et validés avant d’être déployés, référencés dans un annuaire (classiquement Active Directory). La configuration de sécurité était imposée par le biais de politiques de groupes et le maintien du niveau de sécurité assuré par un outil de gestion utilisé pour distribuer les correctifs de sécurité. Tout équipement n’entrant pas dans ce cadre était considéré comme indésirable, potentiellement dangereux et dont l’accès au réseau interne devait être au mieux refusé par la mise en place d’un dispositif de contrôle d’accès réseau (802.1X, isolation IPSec), mais plus souvent simplement interdit par la politique de sécurité de l’entreprise sans aucun contrôle. Ainsi allait le monde de l’IT avant l’arrivée de nouveaux équipements s’exécutant sur des systèmes d’exploitation non-Windows, provenant du marché « consumer » et a priori sans être destinés ou adaptés à une utilisation en entreprise. L’évolution courante qui selon toute vraisemblance est irrémédiable, fait voler en éclats le modèle déjà mis à mal pour l’ouverture nécessaire liée à la mobilité, modèle que l’on avait eu du mal à bâtir et que l’on continuait à vouloir faire perdurer. Pour embrasser la consumérisation et le BYOD, il devient inutile de vouloir recoller à un modèle de défense périmétrique désormais désuet par une démarche consistant à accumuler les concessions et exceptions; il faut prendre du recul pour tenter de comprendre comment on peut élargir l’ancienne vision pour faire évoluer un modèle devenu inadapté en s’appuyant sur les grands principes de sécurité. 2.2 Les grands principes et l’évolution du modèle Pour revenir aux fondamentaux, on doit distinguer les éléments suivants qui interagissent : • Le consommateur de l’information qui, dans le cas qui nous intéresse, est l’utilisateur, la personne qui accède aux données au travers le plus souvent d’une application ; • L’équipement dont se sert le consommateur pour pouvoir accéder à l’information ; il peut s’agir d’un poste de travail, d’une tablette, d’un smartphone qui constituent le périphérique ; • Le canal de transmission ou de communication qui établit le lien entre l’équipement et l’information ou les données à consommer ; ce canal peut correspondre à une multitude de liens interconnectés, Bring Your Own Device: Vision sécurité et approche de solutions 15
  16. 16. du réseau 3G pour les accès mobiles au wifi de l’entreprise jusqu’au réseau interne de l’entreprise ou de son centre de données. • Enfin, les données qui, accédées à travers des services de traitement, constituent ultimement les actifs auxquels le consommateur s’intéresse. Pour assurer la sécurité sur l’ensemble de la chaine, il est nécessaire qu’elle soit prise en compte sur l’ensemble des éléments ci-dessus en respectant ces principes : • Principe 1 : L’identité du consommateur doit être vérifiée et associée à une authentification forte. • Principe 2 : L’équipement utilisé pour accéder aux données doit être sécurisé c’est-à-dire pouvoir prétendre à un niveau de confiance suffisant pour s’assurer qu’il ne puisse pas servir de vecteur de compromission ou d’intrusion (par exemple par le vol des informations d’authentification (credentials) de l’utilisateur, la diffusion d’un virus…) et qu’il puisse, si nécessaire, héberger des données sensibles avec un niveau de protection en adéquation avec les politiques de sécurité de l’entreprise. • Principe 3 : Le canal de transmission doit être en mesure de protéger le trafic de bout en bout entre le consommateur et les données en garantissant la confidentialité et l’intégrité des données en transit avec authentification des deux extrémités : d’un côté le consommateur et l’équipement d’accès, de l’autre le serveur ou le service mettant les données à disposition. • Principe 4 : L’accès aux données doit être protégé par un contrôle d’accès basé sur l’identité du consommateur et les autorisations associées à son rôle qui seront déduites de ses attributs et revendications (claims). Figure : Les 4 principes fondamentaux de la sécurité Ces principes de sécurité servent de guide depuis des lustres et on est en droit de se demander en quoi le phénomène du BYOD viendrait les remettre en cause ; les principes ne doivent pas, de fait, être revus ou modifiés – il est plus rassurant de disposer de principes intangibles – mais c’est leur mise en application qui va s’avérer nettement plus complexe. C’est le principe 2, concernant la sécurité du terminal, dont l’application devient difficile du fait de la multiplicité des types de terminaux, des systèmes d’exploitation et de leurs versions, de la possibilité de les compromettre (jailbreak, rootkit) et du manque évident de contrôle que l’on peut en espérer. Bring Your Own Device: Vision sécurité et approche de solutions 16
  17. 17. Là où tous les efforts étaient faits dans le modèle précédent pour s’assurer d’un niveau maximum de confiance du terminal, on se retrouve dans une situation où, par souci d’offrir une liberté de choix des équipements aux utilisateurs, on se voit dans l’obligation de faire des concessions sur le niveau de connaissance, de contrôle et de sécurité du terminal. On augmente la zone de flou, l’indétermination sur la sécurité de l’équipement utilisé, ce qui semble aller complètement à l’encontre de l’objectif du précédent modèle consistant à garantir la maitrise complète de cet élément de la chaine. Le principe 1 traitant de l’identité doit également être envisagé au-delà du périmètre de l’entreprise par le fait que la notion d’identité ne se limite plus à l’identité de l’entreprise mais, du fait de la consumérisation, à des identités non contrôlées directement par l’entreprise. En premier, l’identité sociale liée à l’émergence des réseaux sociaux dont l’importance dans la vie des personnes et leur rapport aux autres devient de plus en plus prégnant : c’est l’imbrication entre la vie privée et la vie professionnelle qui fait que cette identité, que l’on pouvait précédemment et à juste titre complètement ignorer vu du côté de l’entreprise, entre désormais dans le jeu. En second, ce que l’on peut définir comme l’identité déléguée, c’est-à-dire l’identité gérée par un partenaire avec lequel une relation de confiance au sens de la fédération a été mise en place et contractualisée, qui pourra être permettre d’offrir l’accès à des services ou données en fonction des revendications associées à cette identité. Enfin, le principe 4 associé à la protection des données est plus que jamais indispensable : dans la vision d’une extension de l’entreprise non seulement au-delà d’un périmètre bien délimité déjà mis à mal par la mobilité, la consumérisation et le BYOD imposent une protection au plus près des données qui deviennent ultimement le réel actif à protéger. La classification des données prend dès lors une importance vitale pour permettre d’identifier les données sensibles et mettre en place les contrôles nécessaires pour les protéger en conséquence. En synthèse, le modèle basé sur le niveau de confiance total dans la sécurité des terminaux par un contrôle que l’on voulait le plus strict possible, sur une identité uniquement liée et gérée par l’entreprise et une protection des données qui pouvait s’avérer dans la réalité déficiente par manque de mise en place d’une vraie classification, ne doit pas être rejeté mais étendu ; il doit prendre en compte désormais le fait que tous les terminaux se connectant au système d’information ne seront pas des terminaux connus de l’entreprise, que plusieurs types d’identité y compris des identités externes pourront être présentés par l’utilisateur et, enfin, que la protection des données devient critique pour s’adapter aux nouveaux risques dont le risque de fuite d’information. 2.3 La classification des terminaux Dans le modèle précédent, la classification des terminaux était binaire: • Soit l’équipement était connu de l’entreprise, référencé dans l’annuaire, authentifié et contrôlé et pouvait accéder au système d’information ; • Soit l’équipement était inconnu donc potentiellement dangereux et sa connexion devait être systématiquement interdite. Pour prendre en compte le BYOD, il est nécessaire d’étendre la classification des terminaux pour y ajouter deux catégories supplémentaires qui correspondent à des niveaux intermédiaires et permettent d’élargir la prise en compte des périphériques d’accès au-delà d’une vision purement binaire. Bring Your Own Device: Vision sécurité et approche de solutions 17
  18. 18. Figure : Classification des terminaux Dans la représentation ci-dessus, on distingue désormais quatre catégories de terminaux : • La catégorie « Unmanaged » englobe les équipements qui tentent de se connecter au réseau de l’entreprise mais qui sont complètement inconnus : le terminal n’est pas référencé dans l’annuaire d’entreprise, il n’est pas en mesure de s’authentifier et est hors de contrôle des outils de gestion. Selon la politique de sécurité et dépendant de l’existence de mécanismes de contrôle d’accès réseau, il pourra être autorisé à se connecter dans une zone lui donnant une visibilité réduite à quelques services accessibles en mode invité, par exemple un accès Internet. Le niveau de confiance des terminaux appartenant à cette catégorie est minimal car on ne dispose d’aucune assurance quant à leurs niveaux de sécurité : système d’exploitation utilisé, derniers correctifs de sécurité installés, protection anti-virus, pare-feu, etc. • La catégorie « Loosely controlled » regroupe des équipements qui sont décrits dans une base de données utilisée par l’entreprise sans être référencés dans l’annuaire réseau central (généralement Active Directory). Ils ne sont pas gérés au niveau sécurité par les outils de management de l’entreprise ; ce qui rend leur niveau de confiance tout juste au-dessus de la catégorie précédente. La connexion au réseau ou au service s’effectue le plus souvent à travers une authentification de type identifiant-mot de passe, basée sur l’identité de l’utilisateur ou, dans le meilleur des cas, l’utilisation d’un certificat X50915 . La politique de sécurité leur accordera un accès limité aux services de l’entreprise, ces services devant bénéficier d’un niveau élevé de protection ou d’une surface d’attaque réduite en relation avec la confiance limitée que l’on pourra accorder au terminal. Les données accessibles depuis le terminal ou pouvant y être stockées seront limitées à des données non critiques pour se garantir du risque de fuite d’informations sensibles. On va retrouver classiquement dans cette catégorie les terminaux mobiles de type smartphone qui permettent à l’utilisateur d’accéder à sa messagerie d’entreprise ; ils sont référencés et contrôlés de manière « souple » à travers le protocole Exchange ActiveSync (EAS) qui autorise l’implémentation de politiques de sécurité basiques : exigence de la protection du périphérique par un mot de passe, politique du mot de passe, effacement du périphérique à distance, autorisation de l’accès aux pièces jointes, etc. Cependant, le protocole EAS ne permet ni de vérifier le niveau de sécurité du smartphone – par exemple est-il à jour des correctifs de sécurité ? – ni d’agir sur le terminal en lui téléchargeant des mises à jour. De plus, le périphérique ne s’authentifie pas en tant que terminal mais effectue la connexion au service à travers l’authentification de l’utilisateur. 15 Dans la suite du document, le terme certificat sera utilisé (sauf mention contraire) pour désigner un certificat X509 v3 délivré par une infrastructure à clé publique. Pour une présentation rapide se référer à l’article « PKI Certificates and the X.509 Standard » http://blogs.technet.com/b/option_explicit/archive/2012/04/09/pki-series-part-2-certificates-and-the-x.509-standard.aspx. Bring Your Own Device: Vision sécurité et approche de solutions 18
  19. 19. • La catégorie « Ligthly managed » concerne les terminaux qui sont référencés dans une base de données ou un annuaire de l’entreprise et gérés par un outil d’un point de vue sécurité. L’outil de gestion peut être hébergé sur des serveurs de l’entreprise où s’appuyer sur des offres de service dans le Cloud. L’intégration de ces terminaux passe par une phase d’enregistrement dans l’outil, cet enregistrement pouvant se faire en mode libre-service par l’utilisateur. Un module client est installé sur le terminal qui permet à l’outil de gestion d’avoir un contrôle sur le périphérique allant au-delà du contrôle offert par le simple protocole EAS : le pedigree précis du terminal est connu (version du système d’exploitation, etc.) et l’outil de gestion peut, à travers le client installé, vérifier le niveau de sécurité du terminal, par exemple si l’anti-virus est activé et les signatures récentes, si le pare-feu embarqué est bien activé. Il peut, si nécessaire, procéder à l’installation des derniers correctifs de sécurité et distribuer des applications. L’outil de gestion peut, au moment de l’enregistrement, installer un certificat X509 spécifique à ce terminal, qui pourra être utilisé pour son authentification et son référencement. Par rapport à la catégorie précédente, il est important de noter que le périphérique est pris en charge d’un point de vue sécurité, qu’il est capable de s’authentifier ou a minima d’être reconnu indépendamment de son utilisateur; on est en mesure de faire la distinction entre le terminal et l’utilisateur du terminal tout en faisant apparaître une association entre l’utilisateur et le terminal à partir duquel il accède. Ce dernier point est important car il va permettre plus tard d’inclure le terminal dans la notion de contexte d’accès à l’information comme intégrant le doublet constitué de l’identité et du terminal. Dans le contexte du BYOD, l’appartenance à cette catégorie peut être considérée comme intrusive par le fait que l’équipement personnel de l’utilisateur doit être référencé et contrôlé par le biais du logiciel client : c’est cependant la concession à faire pour se voir ouvrir un accès plus ouvert aux applications et services de l’entreprise. Comme exemple de terminaux appartenant à cette catégorie, on peut considérer les tablettes iPad d’Apple ou Windows RT de Microsoft prises en charge par un outil de gestion de flottes de terminaux (MDM) qui permet de s’assurer de leur référencement et de la gestion de leur sécurité. Pour étendre au-delà des terminaux mobiles, les postes Windows hors-domaine rentrent également dans cette catégorie si on leur associe un outil de gestion : à titre d’exemple, la prise en charge d’un ensemble de postes Windows non intégrés dans un annuaire Active Directory mais gérés par un outil de gestion de type Windows Intune permet à la fois un référencement des postes, une gestion de leur sécurité et en conséquence l’assurance d’un niveau de confiance dans le périphérique nettement supérieur à la catégorie précédente. • La catégorie « Corporate managed » regroupe les terminaux qui sont référencés dans l’annuaire de l’entreprise (Active Directory) et sont complètement gérés et contrôlés à travers les outils de management internes. Les terminaux s’exécutant sous les systèmes Windows intègrent la possibilité de faire partie d’un domaine Active Directory ce qui se concrétise par l’existence d’un compte d’ordinateur dans l’annuaire. Par rapport aux terminaux sans jonction à un au domaine, ils ont l’obligation de s’authentifier – chaque terminal dispose d’un mot de passe attribué et renouvelé de manière transparente – et reçoivent des paramètres de configuration de sécurité par le biais du mécanisme de stratégies de groupes (Group Policy Object ou GPO). Ces terminaux vont en conséquence disposer d’un niveau de confiance maximal selon une vision sécurité. Les outils de management s’assurent que les postes sont en conformité avec les politiques de sécurité de l’entreprise : les postes sont mis à jour avec les derniers correctifs de sécurité au niveau du système, des composants, librairies et applications, les signatures anti-virus sont récentes, le pare- feu est actif et dûment configuré en selon les règles définies etc. De plus, l’intégration au domaine apporte un bénéfice additionnel important d’un point de l’expérience utilisateur : la signature unique (Single Sign-On ou SSO). Le terminal étant connu de Bring Your Own Device: Vision sécurité et approche de solutions 19
  20. 20. l’annuaire et authentifié, l’utilisateur peut ouvrir une session authentifiée avec une identité également décrite dans l’annuaire ; l’accès à l’ensemble des ressources déclarées dans Active Directory se fait dès lors de manière transparente sans que l’utilisateur n’ait à fournir une nouvelle fois ses informations d’authentification (credentials). La distinction entre le terminal et l’utilisateur est naturelle car les deux sont décrits dans l’annuaire sous forme d’objets différents et le terminal dispose d’attributs ou de revendications qui peuvent être potentiellement utilisés pour le caractériser et les prendre en compte dans les politiques de contrôle d’accès. Le terminal peut être inclus dans des groupes de sécurité pour, par exemple, être ou non autorisé à communiquer avec d’autres points de terminaison par le biais du mécanisme d’isolation IPSec. Ces terminaux correspondent au modèle où les postes sont entièrement sous contrôle de l’IT ; ce modèle est le plus rassurant d’un point de vue sécurité mais également le plus contraignant dans une vision BYOD où l’on souhaite a contrario offrir plus de souplesse vers d’autres types de périphériques et une plus grande liberté pour l’utilisateur. Dans la réalité, on devra s’attendre à un mixte entre des terminaux « Corporate Managed » qui offriront le niveau de confiance requis pour accéder à l’ensemble des ressources de l’entreprise y compris les données critiques, et d’autres terminaux classés dans les catégories de confiance moindre pour lesquelles les politiques d’accès seront plus restrictives. En synthèse, sur le sujet des périphériques d’accès, la prise en compte du BYOD implique de passer d’une vision « binaire » dans la catégorisation des terminaux vers une vision plus nuancée ; l’ajout de deux nouvelles catégories permet d’embrasser et d’autoriser les nouveaux scénarios autour de périphériques ne rentrant plus dans le modèle précédent. 2.4 Le contexte d’accès Dans ce paragraphe, nous allons introduire une notion fondamentale dans l’extension de la vision du modèle pour la prise en compte des scénarios BYOD : la notion de contexte d’accès. L’un des principes immuable de la sécurité est d’accorder au consommateur un accès aux informations en fonction de son rôle ; il doit avoir les autorisations nécessaires pour accéder uniquement aux informations dont il a besoin et pas plus (principe du moindre privilège – least-privilege). C’est ce que rappelle (en partie) le principe 4 énoncé précédemment : « L’accès aux données doit être protégé par un contrôle d’accès basé sur l’identité du consommateur et les autorisations associées à son rôle qui seront déduites de ses attributs et revendications (claims). » On présuppose implicitement que : 1. le niveau de confiance dans l’identité du consommateur est maximal ; 2. le niveau de confiance dans le fait que ce soit bien le consommateur qui se présente est maximal par le biais de la force de l’authentification ; 3. le niveau de sécurité du terminal d’accès est maximal (si on envisage simplement que le terminal est corrompu, la confiance dans l’identité de l’accédant tombe à zéro) ; 4. Le niveau de confiance sur la communication entre le terminal et l’information est maximal. Bring Your Own Device: Vision sécurité et approche de solutions 20
  21. 21. Ces postulats deviennent inexacts dès lors que le niveau de confiance de chacun de ces éléments peut varier : l’identité du consommateur n’est plus forcément une identité gérée en interne et devient liée à la confiance dans le tiers qui gère cette identité ; l’authentification peut s’appuyer sur un principe de mot de passe faible ; la sécurité du terminal dépend du niveau de connaissance et de contrôle que l’on peut en avoir ; la communication peut être initiée depuis des endroits impactant fortement son niveau de confiance, par exemple un cyber-café ou un hall d’aéroport. Dans une approche plus ouverte de la sécurité rendue nécessaire par la consumérisation et le BYOD, on se doit donc de prendre en compte le fait que le niveau de confiance des différents éléments en jeu peut varier ; pour ce faire on va introduire le concept de contexte d’accès. Le contexte d’accès va dépendre de quatre paramètres : l’identité, l’authentification, l’emplacement depuis lequel le consommateur se connecte et enfin le terminal utilisé. Figure : Notion de Contexte d'accès • L’identité pourra se décliner sous trois formes : une identité « Corporate » c’est-à-dire complètement maîtrisée, gérée par l’entreprise à travers son système de gestion des identités ; une identité fédérée (ou partenaire) non gérée par l’entreprise mais qui, par l’intermédiaire d’une relation de confiance au sens de la fédération, sera présentée aux applications sous forme d’un jeton décrivant l’identité et les caractéristiques associées ; enfin, une identité sociale auto-déclarée par l’utilisateur et comme son nom l’indique servant à se connecter sur les réseaux sociaux. Ces trois identités disposeront de niveaux de confiance différents qui autoriseront des scénarios d’accès distincts et dépendants des ressources accédées. A titre d’exemple, l’illustration ci-dessous représente la page de sélection d’identité proposée par le serveur de jetons de fédération pour se connecter sur le portail Windows Azure. Bring Your Own Device: Vision sécurité et approche de solutions 21
  22. 22. Figure : Différents types d'identités • L’authentification est classée selon quatre niveaux : faible, moyen, fort et multi-facteur. L’authentification de niveau faible correspond par exemple à une authentification par mot de passe pour lequel aucune politique de sécurité restrictive n’est imposée : l’utilisateur peut sélectionner un mot de passe avec un nombre réduit de caractères, une entropie faible ou choisir parmi la liste des mots de passe les plus courants (par exemple : en 1ère place pour l’année 2012, « password », puis « 123456 »…). Une authentification moyenne correspondra à une authentification par mot de passe mais sur laquelle une politique de sécurité plus « sérieuse » est appliquée imposant par exemple au minimum 13 caractères avec des critères de complexité, une gestion de l’historique, etc. Une authentification qualifiée de forte pourra s’appuyer sur l’utilisation d’un certificat logiciel éventuellement protégé par TPM. Enfin, une authentification multi-facteur reposera, comme son nom l’indique, sur une solution mettant en œuvre plusieurs facteurs comme la possession d’une carte à puce associé à celle de son code PIN. • La localisation prend en compte l’endroit depuis lequel le consommateur établit la connexion à partir de son terminal. La distinction la plus évidente se fera entre une connexion depuis l’intérieur des bâtiments de l’entreprise en comparaison d’une connexion depuis l’extérieur, même si d’un point de vue de l’utilisateur, on souhaite rendre l’expérience la plus transparente. En connexion depuis l’intérieur, on peut effectuer une distinction entre une connexion filaire qui impose un franchissement des contrôles d’accès physiques de l’entreprise pour se connecter, et une connexion wifi qui peut déborder au-delà des frontières physiques des bâtiments. Enfin, concernant les accès externe, on n’attribuera pas le même niveau de confiance selon que la connexion est initiée depuis la maison ou un hôtel, depuis des lieux publics (cybercafé, aéroport) depuis le pays ou en-dehors de frontière. • Le terminal utilisé pour accéder à l’information représente le dernier critère dont le niveau de confiance influe dans l’évaluation du contexte d’accès ; il sera regroupé dans les catégories « Unmanaged », « Loosely Controlled », « Lightly Managed » ou « Corporate Managed » décrites précédemment. Au terme de cette catégorisation, on peut définir un niveau de confiance global lié au contexte d’accès qui sera fonction du niveau de confiance de chacun des quatre paramètres : Identité, Authentification, Localisation et Terminal. Bring Your Own Device: Vision sécurité et approche de solutions 22
  23. 23. Pour être complet, il faut ajouter que les quatre critères ne sont pas complètement indépendants ; par exemple l’identité et l’authentification sont liées dans le sens où certaines associations n’auront pas de sens : quel est l’intérêt, vu de l’entreprise, de disposer d’une authentification multi-facteur sur une identité sociale ? L’accès aux ressources de l’identité sociale est bien protégé mais l’identité auto-déclarée n’en est pas plus sûre. Note: Dans ce modèle, la notion d’identité est associée implicitement à une personne humaine mais on pourrait envisager de parler d’identité d’un terminal – il s’agit d’un objet avec des attributs et qui peut s’authentifier – comme de l’identité d’un code qui s’exécute. Le Gartner16 introduit la notion d’identité carbone ou silicium (carbon-based ou silicon-based) pour effectuer cette distinction, nous rappelant par cette dénomination que nous sommes des êtres principalement structurés autour d’atomes de carbone. 2.5 Politiques de sécurité: l’équation complète Pour terminer l’approche qui va permettre ensuite de déterminer les nouveaux scénarios BYOD qui seront autorisés, il faut parvenir à finaliser l’équation complète en prenant en compte la sensibilité des données et services qui sont accédés et les politiques de sécurité de l’entreprise. Toute politique de sécurité impose comme obligation d’effectuer une classification des actifs de l’entreprise en fonction de leur niveau de sensibilité ; pour prendre l’exemple de l’informatique interne de Microsoft, les données sont réparties dans trois catégories : des moins sensibles pour la catégorie « Low Business Impact » (LBI), à moyennement sensibles pour la catégorie « Medium Business Impact » (MBI), aux plus critiques qui feront partie de la catégorie « High Business Impact » (HBI). D’autres critères sont également pris en compte comme les aspects liés aux exigences réglementaires ou aux données personnelles. Cette classification en trois catégories permet d’adapter au mieux les contrôles d’accès pour renforcer la protection des données en fonction de leur sensibilité et autoriser des scénarios en fonction des politiques de sécurité définies par la cellule sécurité de l’entreprise. En plus des données, on peut considérer certaines applications comme sensibles par le fait qu’elles manipulent ou hébergent des données sensibles. Par exemple, une application bancaire qui manipulerait des données personnelles serait à prendre en compte par le fait même qu’elle traite des données sensibles. Le dernier élément de l’équation est la politique de sécurité de l’entreprise : c’est elle qui décidera des scénarios autorisés ; En fonction de la sensibilité de l’information ou du service ciblé, c’est la politique de sécurité qui décidera ou non d’autoriser le scénario d’accès en fonction du niveau de confiance du contexte d’accès. Illustrons ce principe par un cas concret : Un utilisateur qui occupe le poste de juriste dans l’entreprise travaille sur des documents contractuels confidentiels. Lorsqu’il est à l’intérieur de l’entreprise, il utilise un poste Windows « Corporate Managed » protégé par la technologie BitLocker pour le chiffrement de son disque et s’authentifie par carte à puce (authentification multi-facteur) sur le réseau filaire: dans ce scénario, il est autorisé à accéder aux contrats confidentiels. Ce même utilisateur se connecte en réunion en wifi à partir d’une tablette (catégorie « Lightly Managed ») et s’authentifie sur le réseau avec un certificat X509 protégé par la puce TPM de ce périphérique. On voit que trois éléments ont varié dans le contexte d’accès: le niveau de confiance 16 2013 Planning Guide: Identity and Privacy, Gartner, November 2012. Bring Your Own Device: Vision sécurité et approche de solutions 23
  24. 24. du terminal qui n’appartient plus à la même catégorie, le niveau de confiance de l’authentification qui est descendu d’un niveau, le niveau de confiance de la localisation qui change d’une connexion filaire à wifi. L’identité est restée la même. La question qui se pose dès lors est la suivante : considère-t-on que le niveau de confiance du nouveau contexte d’accès est suffisant pour autoriser l’accès aux contrats confidentiels ? La réponse est du ressort de la politique de sécurité qui autorisera ou non l’accès dans ce scénario. 2.6 Rôle et autorisations On remarquera que l’on ne fait pas directement apparaitre la notion de rôle dans l’équation précédente. En effet, le rôle ne fait pas partie du contexte d’accès tel qu’on l’a défini précédemment mais permet de définir le métier de l’utilisateur dans l’entreprise et est associé à l’identité. Il peut varier au cours du temps, par exemple lorsque la personne change de fonction. Le rôle va pouvoir être utilisé par les applications pour contrôler l’accès en fonction des autorisations. Bring Your Own Device: Vision sécurité et approche de solutions 24
  25. 25. 3 Les directions de solution Après la description de l’approche nécessaire pour aborder le BYOD dans sa vision sécurité qui a fait l’objet du chapitre précédent, l’objectif de ce chapitre est d’aborder de manière plus concrète quelles sont les briques techniques qui vont permettre d’implémenter une solution BYOD tout en s’appuyant sur les principes de sécurité énoncés précédemment. Certaines de ces briques sont déjà disponibles dans les versions antérieures de la plateforme Microsoft Windows Server 2012, alors que d’autres ne sont intégrées que sur cette dernière version (par exemple, la classification automatique des fichiers, le contrôle d’accès dynamique). D’autres briques comme l’outil de gestion de flotte de mobiles (MDM) correspondent à des solutions tierces ou à des solutions Microsoft comme Windows Intune17 et sont disponibles indépendamment de la plateforme Windows Server 2012. 3.1 MDM et VDI : l’unique réponse ? Si l’on se réfère aux directions les plus évidentes qui sont mises en avant pour « résoudre » la problématique du BYOD, on ne cesse de s’entendre répéter le mantra « MDM et VDI ». L’utilisation d’un outil de gestion de flotte de mobiles (MDM) est effectivement indispensable car il constitue l’équivalent de l’outil de management des postes de travail : sans un minimum de connaissance et de contrôle de son parc de terminaux, il est difficilement concevable de maitriser la sécurité de ces périphériques. L’outil de MDM peut correspondre à une offre spécialisée tournée uniquement sur la gestion des terminaux mobiles et devra alors s’intégrer avec l’infrastructure déjà en place, ou être déjà disponible dans l’outil de management de l’entreprise ; on peut alors considérer la fonction MDM comme une extension de l’outil de management préexistant. D’un autre côté, la virtualisation au sens VDI (Virtual Desktop Infrastructure) ne correspond qu’à l’une des réponses possibles pour accéder aux applications ou données de l’entreprise. Cette solution a pour avantage de faire cohabiter deux mondes sur le même périphérique : le monde de l’entreprise avec son poste de travail Windows virtualisé et l’univers du terminal lui-même. Par contre, l’expérience utilisateur pêche par un manque d’intégration entre les deux environnements. Cet aspect bicéphale qui évite tout mixte entre les deux expériences fait que certains n’hésitent pas à considérer cette solution comme une solution de transition ; elle permet de limiter l’impact sur l’existant mais en laissant perdurer deux environnements peu intégrés. D’un point de vue sécurité, le fait que les données de l’entreprise ne puissent pas être recopiées sur le terminal est rassurant ; du côté de l’utilisateur, la séparation entre ses données privées stockées sur le terminal et les données de l’entreprise est également un plus. Mais ce mode d’accès ne doit pas laisser penser que la sécurité du terminal n’est plus un enjeu : si le périphérique est mal protégé, les informations d’identification de l’utilisateur peuvent être volées, donnant alors un accès direct au réseau de l’entreprise. Enfin, le point faible de la solution VDI, basée sur le principe de déport d’écran, est l’impossibilité de travailler en mode hors-connexion. En synthèse, la solution VDI présentée comme l’unique, voire la meilleure réponse au BYOD, n’est qu’une des solutions : elle pourra s’avérer adaptée dans certains scénarios mais ne doit pas être considérée comme la mieux adaptée à l’ensemble des scénarios. 17 Windows Intune, http://www.microsoft.com/fr-fr/windows/windowsintune/pc-management.aspx Bring Your Own Device: Vision sécurité et approche de solutions 25
  26. 26. 3.2 Les 4 niveaux de protection On a défini au paragraphe § 2.2 « Les grands principes et l’évolution du modèle » les éléments entrant en jeu dans l’équation c’est-à-dire le consommateur, l’équipement (périphérique), le canal de transmission et enfin les données accédées. Dans une vision de protection, on s’appuiera sur une décomposition orientée couches « réseau » ce qui permettra de détailler quelles protections peuvent être envisagées sur les différents niveaux. Figure : Les 4 niveaux de protection • Le niveau Equipement (terminal) désigne les terminaux mobiles en intégrant, le système d’exploitation, les applications clientes permettant d’accéder aux ressources de l’entreprise et les autres logiciels présents sur le terminal. On inclut les applications permettant à l’utilisateur de gérer lui-même le terminal et le client déployé par le logiciel de gestion de flotte de mobiles (MDM) en mesure d’imposer les politiques de sécurité, de surveiller et de générer des rapports relatifs au terminal. • Le niveau Réseau comprend l’infrastructure réseau qui fournit la connectivité au réseau de l’entreprise soit par un accès direct au réseau local de l’entreprise ou, indirectement à travers des passerelles de type VPN. • Le niveau Service est constituée de la collection de services applicatifs, s’exécutant dans le centre de données de l’entreprise ou dans le Cloud et apportant des fonctionnalités métier ou l’accès à l’information ; par exemple Exchange, SharePoint, Remote Desktop Service (RDS) ou applications Web. • Le niveau Données regroupe les données hébergées dans l’entreprise ou le Cloud, et qui sont accédées à travers des applications. Ceci comprend notamment courriels, contacts, documents bureautiques ou autres (PDF) de même que toutes les informations stockées dans des bases de données. En transversal, on considérera la possibilité d’authentification de l’utilisateur et du terminal sur chacune de ces couches. De même, les autorisations d’accès aux ressources seront dictées par l’identité et d’une manière plus générale par le contexte d’accès. L’audit de l’accès pourra être effectif sur l’ensemble des couches. Bring Your Own Device: Vision sécurité et approche de solutions 26
  27. 27. Les paragraphes suivants utilisent cette décomposition pour décrire les solutions à adopter sur chacun de ces niveaux. 3.3 Authentification-identification du terminal On a vu l’importance, dans la prise en compte du contexte d’accès, d’être en mesure de déterminer le niveau de confiance que l’on peut avoir dans le terminal et dans l’identité de la personne qui l’utilise. L’un des moyens les plus couramment utilisé pour bénéficier d’une authentification relativement forte est le certificat. Le certificat peut servir à authentifier le terminal et/ou la personne auprès des contrôles d’accès jusqu’au niveau des applications. Le certificat est distribué par l’entreprise et sa possession – en plus de la possession de la clé privée associée – permet de s’assurer que l’identité du consommateur est une identité d’entreprise (Corporate) (se référer à la classification des identités) et que le terminal est également géré par l’entreprise. Pour s’adapter à l’ouverture du BYOD, il est nécessaire de pouvoir associer tout terminal à une identité et admettre qu’une identité pourra être associée à plusieurs terminaux, chacun avec un niveau de confiance différent. L’association identité-terminal peut sembler aller à l’encontre du principe d’itinérance qui permet à un même utilisateur de changer de poste de travail tout en retrouvant son environnement de travail ; mais, dans un scénario BYOD, on traite avec des périphériques issus du monde « grand public » que l’on doit considérer comme des objets personnels et donc associés à une unique identité. Dans le contexte actuel, peu d’éléments de contrôle d’accès sont en mesure de prendre en considération le certificat associé à un terminal dans un processus d’authentification. Par exemple, les accès protégés aux applications Web s’appuient sur l’établissement d’une session SSL/TLS (https) qui peut, si nécessaire, authentifier la partie initiatrice mais s’appuie plutôt sur un certificat utilisateur qui porte l’identité de la personne. On peut cependant citer quelques exceptions : • Le contrôle d’accès réseau 802.1X qui est utilisé principalement pour l’accès des terminaux à un réseau wifi et, en moindre mesure, au réseau filaire ; • La protection des flux réseau par IPSec qui peut s’appuyer sur des certificats machine pour identifier les deux extrémités de la connexion; malheureusement, l’implémentation IPSec est loin d’être disponible sur les périphériques grand public qui entrent dans les scénarios BYOD, et la protection des flux par IPSec est encore peu implémentée en entreprise, excepté sur le réseau interne Microsoft qui l’a déployé depuis déjà plusieurs années. • L’authentification des postes Windows sur l’annuaire Active Directory s’effectue à travers le protocole Kerberos qui, bien que s’appuyant sur une clé symétrique, permet l’ouverture de session par certificat (par carte à puce physique ou virtuelle). La solution que nous préconisons est de s’appuyer sur les certificats client associés à l’identité de l’utilisateur et qui seront utilisés dans le cadre de l’authentification mais également d’estampiller ce certificat pour prendre en compte le terminal sur lequel il sera déployé. Par ce biais, on réalise une authentification de l’utilisateur (catégorie forte ou multi-facteur), on crée une association entre le terminal et l’identité, et on identifie la catégorie d’appartenance du terminal. Ce principe ne concerne que les terminaux pour lesquels on impose une procédure d’enregistrement (« Corporate managed », « Lightly managed » et éventuellement « Loosely controlled ») qui permet de leur délivrer un certificat émis par l’infrastructure de gestion de clés (PKI) de l’entreprise. Bring Your Own Device: Vision sécurité et approche de solutions 27
  28. 28. D’un point de vue technique, l’information concernant le terminal et véhiculée par le certificat lors de l’authentification de l’utilisateur, peut être traité par le mécanisme d’Authentication Assurance18 qui permet d’intégrer dynamiquement l’utilisateur dans un groupe de sécurité en relation avec la qualité du terminal. Figure Authentification du terminal par certificat Un autre élément, la revendication (claim), peut être utilisé pour qualifier le terminal. Ce nouvel attribut, associé à la description d’un compte ordinateur dans Active Directory, peut être renseigné pour être ensuite utilisé comme critère de détermination du niveau de confiance du terminal. Dans le cadre du BYOD, son utilisation sera restreinte aux terminaux « Corporate managed » (et équipés du système d’exploitation Windows 8 minimum) qui sont les seuls à disposer d’un compte ordinateur dans l’annuaire Active Directory. Par contre, cette information peut être utilisée pour apporter plus de granularité dans la gestion des terminaux de la catégorie « Corporate managed » : il est possible de filtrer les accès à des ressources fichiers en s’appuyant sur des règles d’accès dynamiques qui prendront en compte les revendications associées au terminal. 3.4 Protection niveau couche périphérique 3.4.1 Gestion et contrôle des terminaux : Le MDM Les MDM présentent idéalement les fonctionnalités permettant de couvrir les principaux risques liés à l’introduction dans l’entreprise d’une multitude de périphériques issus du marché grand public. De plus, leur cycle de renouvellement est rapide pour faire face à un marché très concurrentiel où l’innovation est un moteur puissant pour augmenter ou tout simplement conserver ses parts de marché. Ce rythme et cette hétérogénéité ne sont pas en rapport avec ce que l’entreprise est en mesure d’assurer : les équipes IT sont habituées à sélectionner les modèles des postes de travail, à les commander en masse aux constructeurs ou OEM pour s’assurer d’une homogénéité maximale. Ensuite le matériel est validé avec 18 Authentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide http://technet.microsoft.com/en- us/library/dd378897%28v=ws.10%29.aspx et Authentication mechanism assurance in Windows Server 2008 R2 http://blogs.technet.com/b/activedirectoryua/archive/2008/11/21/authentication-mechanism-assurance-in-windows-server-2008-r2.aspx Bring Your Own Device: Vision sécurité et approche de solutions 28
  29. 29. la version du master à date avant de pouvoir être distribué ; le cycle de vie du terminal est ensuite classiquement de 3 ans. Dans la tentative de maîtriser le chaos et d’assurer un minimum de contrôle sur la multiplicité des périphériques, le MDM est l’approche la plus évidente pour s’abstraire de cette hétérogénéité que l’IT n’aura pas les moyens d’embrasser. Le MDM doit offrir un ensemble de fonctionnalités liées au contrôle et la gestion du terminal. Il doit être en mesure de détecter les périphériques qui tentent de se connecter et offrir un principe d’enrôlement simple pour l’utilisateur. Le maintien du niveau de sécurité du terminal est primordial de même que la gestion de son cycle de vie: le « deprovisioning » doit s’assurer que toutes les données de l’entreprise sont effacées ou inutilisables lorsque l’utilisateur change de terminal ou quitte l’entreprise. Figure Enregistrement du périphérique et Mobile Device Management L’entreprise a le choix de poser des limites dans les périphériques qui sont autorisés en se limitant aux plateformes les plus utilisées, celles qui sont correctement gérées par le MDM, et en fonction de sa propre analyse sur les fonctions de sécurité nécessaires et qui ne pourraient être assurées par le périphérique lui- même (par exemple chiffrement, utilisation de certificats, etc.). L’isolation entre données privées et données entreprise doit être effective pour s’assurer une meilleure adoption par les utilisateurs et respecter la séparation entre les utilisations privée et professionnelle ; l’effacement doit être sélectif lors du deprovisioning du périphérique. Au-delà de l’aspect purement sécurité, une fonction importante du MDM est la distribution ou la mise à disposition des applications de l’entreprise à travers un store privé. La plateforme MDM peut être disponible sous forme d’une solution sur site (on-premise) ou, de plus en plus, à travers une offre SaaS (Software-as-a-Service) hébergée dans le Cloud. Pour l’une ou l’autre des solutions, l’intégration avec l’annuaire ou la base de données de gestion des postes de travail et le référentiel des identités de l’entreprise permet gérer de manière cohérente l’ensemble des périphériques y compris les mobiles et les identités qui leur sont associées. Bring Your Own Device: Vision sécurité et approche de solutions 29
  30. 30. En synthèse, le MDM est l’outil de gestion qui va permettre d’assurer la sécurité des périphériques mobiles dans la catégorie « Lightly managed » définie précédemment en prenant en compte l’hétérogénéité des périphériques et d’offrir une politique de sécurité cohérente pour la catégorie19 . 3.4.2 Portail d’enregistrement Le portail d’enregistrement est un moyen simple mis à disposition des utilisateurs souhaitant utiliser des terminaux personnels dans le cadre du travail. Il permet à tout utilisateur connecté sur le réseau de l’entreprise d’enregistrer son périphérique après s’être lui-même authentifié. C’est un moyen simple de lui faire prendre connaissance et des aspects contractuels liés à l’utilisation des terminaux personnels et obtenir son approbation. Dans la suite de la procédure d’enregistrement, le terminal devra recevoir un certificat X.509 permettant de l’identifier comme étant enregistré dans l’entreprise et associé à une identité. Ce certificat sera ensuite utilisé pour l’authentification de l’utilisateur et la détermination de la catégorie du périphérique. Selon l’outil de MDM, il sera ou non nécessaire d’installer une partie cliente sur le terminal. En fonction des capacités du terminal, des applications utilisées pour l’accès à des messages protégés (par exemple par Active Directory Rights Management Services20 , AD RMS) ou pour l’accès à des serveurs de fichiers devront être installés automatiquement. Une vérification du statut de la personne authentifiée pourra être réalisée pour valider si elle fait partie d’une population manipulant des données sensibles et n’autoriser en conséquence que certains types de terminaux. 19 InformationWeek Reports, Mobile Device Management, Report ID: R3321111, November 2011 20 Active Directory Rights Management Services Overview : http://technet.microsoft.com/en-us/library/74272acc-0f2d-4dc2-876f- 15b156a0b4e0.aspx Bring Your Own Device: Vision sécurité et approche de solutions 30
  31. 31. 3.5 Protection au niveau couche réseau 3.5.1 Contrôle d’accès réseau Le contrôle d’accès réseau constitue la première barrière à l’entrée du réseau d’entreprise. La technologie 802.1X est largement déployée avec la mise à disposition des réseaux wifi mais beaucoup moins dès lors qu’il s’agit de protéger les accès filaires. On peut s’étonner que cette technologie qui n’est pas récente et largement implémentée dans les équipements réseau ne soit pas plus utilisée pour la protection du réseau filaire mais plusieurs points rendent son déploiement délicat : l’hétérogénéité des équipements réseau (switch) que l’on peut rencontrer dans les grandes entreprises, l’utilisation et la gestion des VLAN, la gestion des exceptions c’est-à-dire des équipements comme les imprimantes qui ne sont pas équipés d’un client 802.1X (supplicant), la disponibilité des serveurs Radius qui pilotent les switches car, si le service devient indisponible, aucun des postes ne sera plus en mesure d’accéder au réseau, la quasi-nécessité de déployer et de gérer une PKI pour distribuer des certificats sur l’ensemble des postes, etc. Dans le cadre du BYOD, on s’intéressera, dans un premier temps, au réseau wifi utilisé par les périphériques de type smartphone et tablette qui ne sont pas équipés de prise réseau filaire sans oublier que, dans un deuxième temps, les postes de travail mobiles pourront rentrer dans le périmètre et devoir se connecter sur le réseau filaire. Le point important est que le certificat déployé sur le terminal durant sa phase d’enregistrement servira à l’authentification pour le franchissement du contrôle d’accès réseau: le gabarit du certificat sera choisi pour permettre au serveur Radius d’utiliser les informations pour authentifier l’utilisateur du terminal et ouvrir le port du switch autoriser l’accès au réseau interne. Tout terminal n’ayant pas été enregistré et ne disposant donc pas d’un certificat ne sera pas en mesure de se connecter sur ce réseau wifi. Pour accueillir les terminaux des catégories « Unmanaged » ou « Loosely Controlled », un réseau wifi invité sera prévu qui autorisera une authentification par mot de passe mais offrira un accès restreint au réseau interne ; l’utilisateur disposera a minima d’un accès internet sortant et éventuellement d’un accès à une passerelle interne sous condition d’authentification. Note: Pour description précise de la manière dont le contrôle d’accès réseau peut être déployé en entreprise en s’appuyant sur les technologies Microsoft, consultez « Network Access Protection » http://technet.microsoft.com/en-us/network/bb545879.aspx21 3.5.2 Protection réseau Une fois le contrôle d’accès réseau franchi, le terminal se voit attribuer une adresse IP qui lui donne une visibilité complète au sens IP sur le réseau interne de l’entreprise. L’utilisateur connecté sur le terminal peut alors accéder à l’ensemble des applications et services en fonction de ses autorisations. Dans ce schéma, si les permissions mises en place sur les ressources ne sont pas gérées de manière optimale, l’utilisateur peut se voir accorder l’accès à des informations auxquelles il n’aurait logiquement pas le droit d’accéder. Dans le cas de données sensibles, une protection supplémentaire par le biais d’une connexion sécurisée IPSec peut être mise en place pour « masquer » les serveurs hébergeant ces données. 21 Network Access Protection : http://technet.microsoft.com/en-us/network/bb545879.aspx Bring Your Own Device: Vision sécurité et approche de solutions 31

×