IPAD, IPHONE, ANDROID, WINDOWS PHONE... Le MDM ne suffit pas

Transcription

1 IPAD, IPHONE, ANDROID, WINDOWS PHONE... Le MDM ne suffit pas

2 2 CONTRÔLER LES TERMINAUX CHOISIS PAR LES SALARIÉS Suivez ces sept étapes pour arriver à bon port, afin de maîtriser la sécurité des terminaux mobiles et dʼencadrer le phénomène BYOD (bring your own device). 1 Planifiez le parcours, formez lʼéquipage. Lʼanalyse des risques donne le cap. Elle aide à définir les étapes et les éléments de confiance en fonction des activités métiers. Votre task force réunit DSI, support technique, DRH et responsable dʼéquipe nomade, tous parés à former leurs collègues aux usages conformes des terminaux mobiles. 6 7 Menez un audit régulier Avec ses tests de conformité aux règles de sécurité, il renforce le système dʼinformations mobile. Surveillez les flux critiques. Lʼéquipement M-UTM enregistre tous les accès au système dʼinformations. Ses rapports statistiques et sa console dʼadministration contribuent à tracer les flux, à vérifier leur conformité et à résoudre les incidents. 2 Définissez lʼaccès aux données. Classez vos données selon leur confidentialité pour lʼorganisation. Définissez vos règles dʼaccès (mots de passe, authentification, chiffrement) et sélectionnez les terminaux mobiles ou systèmes (OS) éligibles dans votre cas. 3 5 Organisez le soutien technique. Vos groupes dʼutilisateurs mobiles, leurs terminaux et modes dʼaccès une fois définis, établissez les procédures de soutien et rédigez les guides de terrain adaptés à chaque communauté. Planifiez la synchronisation et la protection des données. Lʼinfrastructure de lʼentreprise est le meilleur endroit pour consolider la protection et assurer la synchronisation de contacts, données et dʼapplications embarquées sur tablettes et smartphones. 4 Personnalisez lʼinfrastructure mobile. Les comportements autorisés/interdits en mobilité, comme lʼédition ou le téléchargement de fichiers, sont traduits en règles de filtrage sur lʼéquipement M-UTM (Mobile Unified Threat Management). Ce boîtier, greffé sur une DMZ du réseau dʼentreprise, réunit les fonctions de parefeu, VPN, IPS... Il facilite la supervision unifiée de lʼinfrastructure et de toute la flotte de terminaux mobiles, tablettes et smartphones compris.

3 3 CARTOGRAPHIER LES RISQUES INFORMATIQUES Lʼanalyse des risques liés à lʼinformatique mobile devient une étape incontournable. Elle facilite la création dʼun référentiel de sécurité et permet dʼoptimiser le suivi du cycle de vie des terminaux. L e saviez-vous? 63% des entreprises françaises ont déjà formalisé leur politique de sécurité. Cet ensemble de procédures et de règles de bon usage doit être actualisé régulièrement. Dans 82% des cas, la politique de sécurité a moins de trois ans, ce qui est encourageant. Dʼaprès lʼétude 2012 du Clusif, la Direction Générale sʼimplique de plus en plus dans son élaboration. Ne plus subir mais anticiper Face à la dépendance croissante du grand public aux médias et aux outils numériques - le phénomène de consommérisation des technologies de lʼinformation -, la DSI ne doit pas subir. Au contraire, elle gagne à anticiper les risques induits par les nouveaux terminaux et leur environnement système. Lʼanalyse des risques devient un préalable incontournable qui consiste à dresser la carte - évolutive - des menaces pouvant atteindre lʼorganisation. Le graphique ci-dessus en propose une version simplifiée. En haut à droite, on visualise les menaces les plus probables, pouvant frapper à court terme le système dʼinformations, et ayant un impact très élevé sur les activités de lʼentreprise. A lʼopposé, certains risques peuvent être tolérés. Lʼinformatique mobile étant une discipline transverse, elle affecte lʼinfrastructure, la messagerie électronique, les partages de fichiers, lʼaccès aux applications... Gagner une vision globale Par conséquent, il faut définir une politique de sécurité mobile. Cela exige une coordination de tous les services, parfois délicate mais nécessaire pour établir un référentiel de sécurité, dresser les procédures pour déployer, mettre en production, exploiter puis mettre au rebut les terminaux mobiles en fin de vie, sans risque de perte de données. Cette cartographie offre une vision globale des vulnérabilités. Et elle souligne de façon très claire les investissements prioritaires.

4 4 UNE DÉFENSE ADAPTÉE AU MINISTÈRE DU TRAVAIL Fabien Malbranque, RSSI dʼun vaste organisme public, veille à déployer les mêmes règles de sécurité et les mêmes contrôles partout, sur tous les terminaux mobiles des utilisateurs. P our gérer une flotte hétérogène composée dʼune centaine de terminaux mobiles, Fabien Malbranque sʼappuie sur la méthode dʼanalyse des risques EBIOS de lʼanssi. Le RSSI rattaché au Ministère du Travail, de l'emploi, de la Formation professionnelle et du Dialogue social doit lutter contre les principales menaces actuelles, à savoir le vol ou la perte du terminal puis la mise au rebut du matériel sans précaution. Une même politique de sécurité est appliquée partout, quel que soit lʼenvironnement système entre les mains de lʼutilisateur : «Mobiquant apporte une cohérence à nos contrôles dans une solution centrale, conçue et fabriquée en France. Cʼest important, dans notre organisation complètement décentralisée, où les entités sont autonomes. Chaque administrateur local contrôle ainsi les usages de son parc mobile», explique le RSSI. Une solution nécessairement agile et adaptable Outre la gestion de flotte mobile, la surveillance de lʼexposition des données sensibles et celle des services applicatifs sont très appréciées, dʼautant quʼelles sont prises en charge directement par lʼéquipement de Mobiquant. Les mises à jour dʼenvironnement système et de services mobiles sont accélérées, sans exiger le retour du terminal vers lʼadministrateur. «Comme on ne peut pas imposer un type de terminal à un VIP, la solution de supervision doit sʼadapter comme un caméléon aux désirs de chacun. Inutile dʼespérer récupérer les terminaux entre vos mains pour faire vos mises à niveau. Le smartphone est lʼattribut indispensable du métier à présent. Son utilisateur ne peut plus sʼen passer, même pendant 10 minutes», observe-t-il. Le RSSI doit composer avec ces contraintes. Il cherche donc une solution offrant une grande richesse fonctionnelle, une transparence pour lʼutilisateur et une administration simple. «Il arrive que lʼutilisateur confie des données importantes à son mobile bien que ce dernier soit dépourvu de tout mot de passe au démarrage. Même si cela sʼavère difficile à prescrire, car on empiète sur le domaine privé, nous imposons la présence dʼun code PIN et lʼeffacement des contenus au bout de plusieurs tentatives échouées». Sensibiliser encore et toujours Fabien Malbranque doit encadrer de nouveaux usages mobiles et refait donc pour les smartphones, ce quʼil a déjà appliqué aux PC portables. Cette fois, seules les données de son organisation sont protégées. La connexion aux applications internes est encadrée. Mais, en cas de SMS confidentiel ou dʼéchanges vocaux inapropriés, lʼéducation demeure le seul rempart : «La sensibilisation reste nécessaire. Il faut rappeler les basiques et remettre son métier constament sur lʼouvrage. Très souvent, le RSSI est pris pour un scénariste de James Bond ou, pire, pour un corbeau tout noir».

5 5 DES ÉVOLUTIONS A ANTICIPER P Lʼévolution des environnements et surcouches systèmes pour smartphones et tablettes procure des améliorations en terme de disponibilité des connexions et davantage de fonctions de sécurité embarquées, mais de nouvelles vulnérabilités font leur apparition. Pour garantir le Always-On, cʼest à dire des services mobiles continuellement disponibles, le basculement de connexion WiFi/3G-4G devient automatique. Bien pratique pour les employés mobiles, comme pour les visiteurs de lʼentreprise, qui veulent se connecter partout à leur messagerie. Cela exige désormais des contrôles dʼaccès plus fins, voire une authentification multi-facteurs. En associant au mot de passe, la géolocalisation par GPS, un certificat numérique ou un token, la protection unifiée via le Mobile-UTM palie les carences des derniers terminaux et de leur environnement ultra-connecté. DR Fournisseur GOOGLE APPLE RIM MICROSOFT Parts de marché 2012 entreprises FR 62 % 12 % 10 % 5 % Les téléphones récents se synchronisent avec le cloud et avec les réseaux sociaux. Plusieurs modèles intègrent des fonctions de paiement mobile sans contact. La segmentation des usages privés et professionnels devient cruciale. Operating System Android 4.5 IOS 6 Blackberry OS 10 Windows Phone 8 Cloud computing Google Cloud icloud BIS/BES Windows Azure Porte-monnaie Google Wallet PassBook Blackberry Wallet MS-Wallet Réseaux sociaux Google+ Facebook Facebook, skype Windows Live, skype Browser Web Chrome Safari Blackberry Browser IE 10 Vulnérabilités à considérer Autres risques ou inconvénients Elévation de droits, Failles NFC, Fuite de données financières, confidentielles ou privées, SMS surtaxés Traçabilité des utilisateurs, Attaques par rebond... AppStore perméable, Applications indiscrètes, Recueil possible dʼidentifiants, de contacts, de données privées... Administration individuelle Commandes vocales Accès distant via les vulnérabilités Webkit (faille commune à IOS et Android). Début dʼouverture de lʼos aux fabricants tiers. Indisponibilités de lʼinfrastructure Première implémentation du protocole RCS-e, accès à distance aux données de la carte SIM via OTA Distraction et traçabilité des utilisateurs

6 6# UNE SOLUTION COMPLÈTE ET PERSONNALISÉE L Plus de 300 fonctions - regroupées en 6 familles - sont assurées par lʼappliance M-UTM de Mobiquant. Automatisées pour la plupart, elles restent simples et rapides à paramétrer et à gérer. L e module NX Defender Suite assure la gestion de la sécurité des mobiles, lʼaudit et la gestion de la politique de sécurité. Il surveille le comportement des terminaux mobiles et permet dʼinstaurer une politique conforme aux vulnérabilités et risques majeurs. A la portée de tout administrateur, il ne requiert aucun apprentissage particulier. Cinq autres modules couvrent des domaines dʼadministration complémentaires. La sauvegarde, la restauration et le chiffrement des données sensibles embarquées sur les terminaux itinérants incombent au module NX AirStore. NX Reloaded assure le conditionnement des applicatifs par groupes de travail, leur déploiement et leur mise à niveau. Après lʼapprovisionnement des smartphones en services métiers, les fonctions de soutien (helpdesk) et le dépannage à distance sont assurées par le module NX AirCare qui trace chaque demande dʼintervention. Enfin NX Office sécurise les échanges transversaux de messages,dʼinvitations et de fichiers autour dʼun protocole de synchronisation autonome. Lʼensemble des outils de productivité dʼéquipe en bénéficie. Un déploiement progressif Grâce aux six familles de fonctionnalités intégrées, lʼappliance M-UTM de Mobiquant accompagne lʼentreprise dans ses transformations, bien au-delà des solutions de suivi de parc mobile, de type MDM. Lʼenvironnement et les contraintes propres à chaque organisation peuvent être pris en compte. Le département informatique ouvre ainsi progressivement quelques services à distance pour les managers et les VIP, puis les élargit aux différents groupes de travail souhaitant collaborer sur le terrain. Cette gestion des services et des changements est un point fort de la solution Mobiquant.

7 7 CAP SUR LA GESTION MOBILE SECURITY MANAGEMENT Parce que la mise à jour des terminaux mobiles et des infrastructures doit être coordonnée, Mobiquant propose une supervision de bout-en-bout assurant des connexions à distance stables et sécurisées. S uperviser sa flotte de clients mobile (MDM) sʼavère nécessaire mais insuffisant. En effet, lʼentreprise doit coordonner lʼensemble des moyens de sécurité quʼils soient déployés sur smartphones ou tablettes mobiles comme sur micro-ordinateurs et quel que soit le réseau emprunté (Bluetooth, WiFi, 3G, 4G...) pour rallier le système dʼinformations. Il sʼagit donc de propager les mêmes règles du référentiel de sécurité dʼentreprise sur tous les terminaux, fûssent-ils choisis par les salariés. Lʼapproche MSM (Mobile Security Management) de Mobiquant répond à cet objectif. En pratique, la console dʼadministration de lʼappliance aide lʼentreprise à déployer sur les smartphones et les tablettes, aux OS distincts, des protections équivalentes à celles des PC portables. On peut ainsi suivre toutes les étapes du cycle de vie des terminaux, de leur remise en mains propres au salarié jusquʼà leur mise au rebut, sans exiger de retour au siège pour les opérations de maintenance. La couche dʼadministration unifiée de Mobiquant permet au RSSI de porter le référentiel de sécurité sur toute sa flotte mobile, puis de superviser et de protéger les services et les données embarquées malgré les contraintes de chaque terminal. Les accès distants sont également harmonisés, ce qui simplifie le déploiement de réseaux VPN vers des terminaux hétérogènes. Sans recourir à un agent spécifique, les utilisateurs de tablettes et de combinés (Android comme IOS) obtiennent enfin des connexions stables, même dans DR un train lancé à grande vitesse. La persistance de cache intégrée met fin aux micro-coupures du réseau privé virtuel, quʼil soit de type IPSEC ou SSL. Un comportement prévisible pour tous les terminaux Grâce aux outils dʼévaluation des vulnérabilités brevetés par Mobiquant, les failles des derniers terminaux mobiles, même si elles sont découvertes plusieurs semaines après leur commercialisation, nʼimpactent plus le système dʼinformations. Un moteur placé sur lʼappliance contrôle régulièrement le terminal, via une sonde embarquée. Cela permet de garantir que le comportement du dernier smartphone obéit toujours aux règles de sécurité de lʼentreprise, où quʼil soit.

8 8 TRANSFORMER LES RISQUES EN OPPORTUNITÉS Garder le contrôle de sa flotte mobile, cʼest offrir à son entreprise un avantage compétitif, avec des services évolutifs, sûrs, économiques, disponibles partout et à tout moment. C omment contrôler la chaîne de confiance dʼun système dʼinformations sans maîtriser ni les terminaux, ni les services, ni les infrastructures mobiles? Le défi se pose aux organisations de toutes les tailles. Il se répand avec lʼessor du télétravail, avec la démocratisation des téléphones portables et avec lʼexternalisation croissante des services informatiques. Le phénomène BYOD (Bring Your Own Devices) multiplie les smartphones et les tablettes non contrôlés par la DSI, mais choisis par les utilisateurs eux-mêmes pour partager des informations. Ces équipements butinent fréquemment sur plusieurs réseaux publics ou privés. Bien connus de leurs utilisateurs, ils peuvent sʼavèrer productifs pour collaborer, sʼorganiser et échanger des informations partout. Mais ce sont également des cibles de choix pour recueillir des données confidentielles. En ralliant les serveurs dʼentreprise, via le réseau local, ils pourraient servir aussi de vecteurs dʼinfection aux malwares, aux logiciels espion et aux chevaux de Troie. Etablir une frontière entre le domaine professionnel et la sphère privée Dans un climat économique tendu, de nombreux regards indiscrets espèrent tirer un profit des informations stockées - et souvent mal protégées - sur les terminaux mobiles ou dans les ressources collectives quʼils partagent. Il est temps de rétablir une frontière entre le monde professionnel et lʼespace privé. Codes dʼaccès, coordonnées bancaires, propriété intellectuelle, carnets de contacts et photos numériques : tout se monnaie dans lʼunivers underground, où certains hackers organisent des attaques furtives et géolocalisées, particulièrement ciblées. Bien sûr, il ne sʼagit pas de déployer ses propres antennes de radiocommunications, partout où les collaborateurs vont travailler. Néanmoins, on peut réunir les équipes, dispositifs et procédures garantissant des accès simples, sûrs et authentifiés au système dʼinformations. On gagne aussi à limiter la diffusion des fichiers sensibles ou à permettre leur chiffrement. Avec lʼinformatique mobile, lʼentreprise devient plus productive et plus réactive, à condition de soigner la sécurité et la qualité de ses services, dʼoffrir un soutien complet, avec une sauvegarde, une télémaintenance et une supervision transparente pour lʼutlisateur final. Sans administrer sa flotte de smartphones et de tablettes, aucune organisation ne saurait fournir des applications mobiles à la fois sûres et rentables. Pour devenir un centre moderne de services, la DSI doit réduire les risques des infrastructures mobiles et s aligner sur les objectifs métiers.

9 9 LEXIQUE ANSSI : Agence nationale de la sécurité des systèmes dʼinformation. CLUSIF : Club de la Sécurité de l'information Français. Association créée en 1985 regroupant entreprises et collectivités. Ses groupes de réflexion et d'échanges abordent la gestion des risques, les politiques de sécurité, la cybercriminalité... CLOUD : Modèle de développement, de déploiement et de consommation de services sur Internet, accédés à la demande, via des ressources virtualisées et mutualisées. BYOD : Bring your own device (Apportez vos propres terminaux). Usage en milieu professionnel dʼéquipements personnels, smartphone ou tablette par exemple. EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité (méthode Anssi). DMZ : Cette zone démilitarisée est un sous-réseau qui héberge les serveurs accédées depuis Internet ; elle est séparée et isolée du réseau local et du lien étendu vers Internet. ENISA : L'Agence européenne chargée de la sécurité des réseaux et de l'information ITIL : Bibliothèque pour l'infrastructure des technologies informatiques regroupant les bonnes pratiques dʼadministration du système dʼinformations. M-UTM : Equipement de gestion unifiée des menaces portant sur les équipements mobiles. MDM : Mobile Device Management. Gestion des matériels et logiciels pour terminaux mobiles. MSM : Mobile Security Management. Gestion de la sécurité des terminaux mobiles. DR

10 Pour en savoir plus : PROLOGUE 1 - LA PYRENEENNE BP LABEGE CEDEX Tel : +33 (0) Livre blanc réalisé par PulsEdit - septembre 2012