Comment gérer les équipements personnels utilisés au bureau (BYOD)?

Comment gérer les équipements personnels utilisés au bureau (BYOD)? CONFÉRENCIER : Alain Mercier DATE : 08-10-2013 http://www.isaca-quebec.ca

Agenda Introduction B.Y.O.D. : Les attentes et les défis Contrôle d accès réseau (NAC) Gestion des appareils mobiles (MDM) Accès au service de messagerie et aux applications mobiles de l entreprise Conclusion 2

Questions à se poser avant de lancer une initiative BYOD Volet général/affaires/orientations Quels objectifs d affaires recherchez-vous? Allez-vous donner un accès plus large qu aux courriels, agenda et contacts? Services gérés ou non? Êtes-vous soumis au besoin de démontrer (due diligence) que vous avez identifié et mitigéles risques de sécuritédes appareils mobiles par des contrôles appropriés Avez-vous penser àimpliquer les départements des ressources humaines, le juridique et le département de la finance àfaire partie de la définition d un programme de BYOD? Aurez-vous des nouvelles politiques d organisation à adopter? 3

Questions à se poser avant de lancer une initiative BYOD Volet général/affaires/orientations(suite) Si vous produisez des applications mobiles pour vos employés, par quel magasin allez-vous les distribuer? Avez-vous faites signer un formulaire de consentement àl utilisateur pour avoir le droit d effectuer un effacement àdistance car il s agit de son appareil? Avez-vous penser à sensibiliser l utilisateur à ses responsabilités et envers des pratiques de sécurité adéquates? Il est généralement économique d utiliser le Wi-Fi à l intérieur de l organisation et le mode cellulaire à l extérieur. Avez-vous déjà un réseau sans fil corporatif ou autres? 4

Questions à se poser avant de lancer une initiative BYOD Volet sécurité/contrôle/gestion/accès Comment allez-vous contrôler/gérer ce nouvel environnement (outil MDM, expertise, balise, etc.)? Avez-vous les ressources (i.e. processus, formulaire, procédures opérationnelles, acquisition du matériel, des logiciels, déploiement sur les appareils, etc.) pour gérer ce nouveau parc de manière adéquate et sécuritaire? Si un employéquitte l organisation, êtes-vous capable d effacer uniquement vos données corporatives? Comment allez-vous cloisonner les données corporatives et personnelles sur l appareil? Quelles politiques de sécurité allez-vous définir pour ces nouveaux appareils selon les diverses platesformes (iphone/ipad, Android, Blackberry, Windows phone)? Comment les données seront protégées sur l appareil (ex.: chiffrement intégrésur tout l appareil comme le iphone)? Comment l échange d information entre votre réseau corporatif et l appareil sera sécurisé? 5

B.Y.O.D : Tel qu attendu par les employés Ils veulent accéder à tout (contenu personnel et d entreprise) de partout Courriel(s) / Calendrier(s) / Contacts VPN / WiFi Applications (app store) Applications d entreprises et cela à partir de leur appareil mobile personnel 7

B.Y.O.D : Les enjeux (sécurité, contrôle/gestion et accès) Utilisateur final Courriel / agenda personnels Applications personnelles Profil de l entreprise Courriel / agenda d entreprise Accès à l entreprise (VPN/Wi-Fi) Applications d entreprise (magasins d applis ou personnalisées) Chiffrement activé VPN / Wi-Fi Accès au réseau d entreprise icloud 8 Synchronisation itunes Synchronisation icloud

B.Y.O.D. : Les défis rencontrés par l entreprise La mobilité pour l entreprise est différente de la mobilité pour les clients Plateformes mobiles Applications mobiles Vodafone Réseaux Appareils Syst. d exploit. Stratégie d affaires et planification Intégrité des processus et transactions Intégration aux systèmes dorsaux, données d entreprise et nuage Commerce intelligent Entreprise réseautée Intelligence d entreprise et analytique Etc. Sécurité et gestion de bout en bout Solutions pour cycle de vie complet Développement sur diverses plateformes ouvertes Ouvert Géré Complet L entreprise mobile 9

B.Y.O.D : Les risques Vol et pertes 1 appareil mobile sur 20 a été volé en 2010. 1 Pourriel 70% des pourriels sur appareils mobiles sont des services financiers frauduleux. 2 Logiciels malveillants Wi-Fi En 2011, les utilisateurs d appareils mobiles ont subi une augmentation de 155% des logiciels malveillants sur toutes les plateformes. 1. Les zones avec accès Wi-Fi augmenteront de 350% vers 2015. Donc, plus de risques d attaques «de l homme du milieu». 1 Les logiciels malveillants Google Android ont crû de 400% entre juin 2010 et janvier 2011. 1 ¹Juniper Networks Malicious Mobile Threats Report 2010/2011, Mai 2011 ²GSMA Outlines Findings from Spam Reporting Service Pilot press release, 10 février 2011 10

Gestion des TI ancienne approche Les TI gèrent les risques en établissant des points de contrôle Contrôler l appareil Les entreprises fournissent les équipements Contrôler la complexité Standardisation des plateformes et version supportées Contrôler les systèmes d exploitation Les systèmes d exploitation sont configurés, gérés et mis à niveau par les TI Contrôler les applications Les TI contrôlent l utilisation et la configuration des applications Contrôler le réseau Trafic réseau contrôlé au moyen de serveurs mandataires et de filtres Web 11

Gestion des TI nouvelle réalité Avec le B.Y.O.D. le contrôle échappe au TI Contrôler l appareil Les employés veulent apporter leur propre appareil mobile Contrôler la complexité Plusieurs combinaisons d appareils mobiles et de OS Contrôler les systèmes d exploitation Version et mises à niveau des systèmes d exploitation gérées par les fournisseurs de services de télécommunications, les OEM et les utilisateurs Contrôler les applications Mise à jour automatique des applications par les magasins d applications et les utilisateurs Contrôler le réseau Appareils se connectent via 3G/4G, Wi-Fi 12

Différents niveaux de maturitésont envisageables dans l'adoption et la mise en place du B.Y.O.D. Adopté Amélioré Capacités Restreint Interdiction d utiliser les appareils personnels au travail Limité Internet et services de courriel, agenda et gestion de contacts de base Les services basés sur l identité permettent l accès différencié aux ressources via divers appareils et méthodes d accès Accéder de partout avec un appareil quelconque aux ressources d entreprise, grâce aux applications d appareil natives Temps 13 Appareils approuvés par TI TI responsable du provisionnement et de la gestion Appareils personnels interdits Accès Internet disponible sur tout appareil Solution simple d accès invité Courriel, agenda et contacts d entreprise supportés sur appareils approuvés Adoption généralisée de BYOD Principales applications d entreprise supportées sur des appareils personnels approuvés Exigences sécurité renforcées et application de politique d accès Utilisation de PC virtuels et validations de principe pour le développement d applications mobiles Plusieurs appareils personnels différents par utilisateur Utilisateurs peuvent se joindre au programme et provisionnent euxmêmes leur appareil Variété d applications et de services adaptés aux multiples appareils et plateformes Développement d applications mobiles pour l ensemble de l entreprise

Contrôle d accès réseau (NAC) Le contrôle d accès au réseau d'accès au réseau (Network Access Controlou NAC) est une méthode informatique permettant de soumettre l'accès àun réseau d'entreprise àun protocole d'identification de l'utilisateur et au respect par lamachine de cet utilisateur des restrictions d'usage définies pour ce réseau. Plusieurs sociétés comme Cisco ont développédes frameworkspermettant d'implémenter des mécanismes de protection d'accès au réseau d'entreprise. Il s agit de vérifier le respect par les postes clients, des règles de sécuritéimposées par l'entreprise: état de la protection antivirus mises àjour de sécurité présence d'un certificat Etc. Ces frameworksont donnénaissance àbon nombre d'"appliances", matériels spécialisés dans le contrôle d'accès au réseau.

Exemple d une solution sur site IDENTITY 1 ISE PROFILING HTTP 802.1x EAP User Authentication NETFLOW SNMP VLAN 10 DNS HQ Company asset 2 Profiling to identify device VLAN 20 4 Corporate Resources RADIUS DHCP 2:38pm Single SSID Wireless LAN Controller Policy Decision Internet Only Personal asset 3 Posture of the device 5 Enforce policy in the network 6 Full or partial access granted

Les risques: Appareils débridés (jailbroken) ou en mode root Le nombre de logiciels malveillants Android Google a augmenté de 400% entre juin 2010 et janvier 2011. 1 ¹Juniper Networks Malicious Mobile Threats Report 2010/2011, mai 2011 19

20 Gestion d appareils La nouvelle réalité

Gestion d appareils La nouvelle réalité 21 Vue d ensemble de toutes les applications installées, interdites et marquées. Vue mobile des applications recommandées par l entreprise

Gestion d appareils La nouvelle réalité Un assistant convivial de configuration de profils présente les capacités des API de gestion d appareils mobiles (MDM) de Google et d Apple 22

Mise hors service de l appareil au besoin 23

Accès au service de messagerie et aux applications mobiles de l entreprise Accès au service de messagerie Blackberry - Manage with Blackberry Enterprise Server (BES) Microsoft Exchange (ActiveSync) IBM Lotus Notes Traveler (IBMSync) Développement et accès aux applications mobiles 25

Types d applications mobiles Browser Web Apps Access Hybrid Apps -Web Hybrid Apps -Mixed- Native Apps Ecrites en HTML5 JavaScript et CSS3. Rapide et peu coûteuses à développer, mais moins puissantes que natives. Code HTML5 et librairies runtime Worklight packagés dans l application et exécutés dans un conteneur natif. Code web complétépar code natif pour des besoins particuliers et une expérience utilisateur maximale (ex: code barre, etc.). Code par plateforme. Nécessite expertise pointue, coûteux et long àdévelopper. Permet une meilleure expérience utilisateur. Mobile Browser Native Shell Native Shell Native Application Web Code <!DOCTYPE html PUBLIC <html> <! --created 2003-12-12 - - <head><title>xyz</title> </head> <body> </p> </body> </html> Web Code <!DOCTYPE html PUBLIC <html> <! --created 2003-12-1 <head><title>xyz</title </head> </body> </html> Web Native <!DOCTY PE html PUBLIC created 2003-12 </p> </body> </html> 1001010 1010111 0100101 0101010 1010010 0100101 1110010 0110010 1001010101011101001010 0100101011101001001101 0101010100100100101111 0010011001010101001010 1010100101010101010101 0101011111100000101010 1010101001001010101010 1010001111010100011110 1010011101010111110010 1101111010001011001110 Device APIs Device APIs Device APIs Browser Access Downloadable Downloadable Downloadable 26

Magasin privéd applications d entreprise Télécharger l application sur son appareil 27

Service géré et hébergée de terminaux mobiles sécurisés Analyse des menaces reliées à l utilisation d appareils mobiles dans votre contexte Gestion d un client de sécurité mobile pour la majorité des plates-formes accompagné d une plate-forme de gestion Gestion de la conformité réglementaire Réduction du capital à investir et des coûts des ressources Les politiques àappliquer aux appareils mobiles et leur gestion Augmentation de la productivité des employés Le support de plusieurs appareils et plates-formes Réduit les risques d exposition des données corporatives Connaissance des diverses technologies, des contrôles de sécuritéapplicable selon les divers appareils, une surveillance 24\7, etc. Service d alerte et de surveillance Instruction de téléchargement pour les employés

Mobile Application services Mobile Products and Services Mobile Development & Testing Services Mobile Application Integration & Mgmt. Services Scope Application strategy, design and development Level 2 (L2) support for applications Level 3 (L3) development support Strategy and Planning Mobile Applications Platform Management Services Mobile Device and Security Management Services Smart Cloud Enterprise Remote service management, L2, L3 Private application store management Application usage analytics and logging Deployment and configuration SAAS (Cloud) Remote management of mobile devices Security policies and wipe/lock End-user support (self-help and L2, L3) Telecom Expense Management Web application services Virtual databases Virtual system Network Integration and Mgmt. Services Campus Wireless Network design, build and manage WLAN Service provider wireless networks

Innovations to Improve the Client Experience Mobile Softphone Provide a secure alternative to Skype Mobile Container Softphone Mobile MyMobileHub Softphone Mobile Softphone Help Mobile VANI Softphone Mobile IBM Mobile Softphone Security Services Provide Pilot separation a secure alternative of enterprise to and Skype personal content Tom Cook Provide a secure alternative to Skype Dropbox / Google Drive Provide Reduce Helpdesk a secure alternative load for mobile to Skype support Provide a secure alternative internal voiceenabled to Skype search Provide Monitor active secure alternative devices until to IBM Skype Endpoint matures

Conclusion Le phénomène du BYOD expose votre organisation àde nouvelles menaces et requiert une nouvelle approche Il faut considérer les divers volets pour une solution complète Gouvernance Contrôle/Gestion Accès Sécurité Développement IBM's Mobile Enterprise - A personal journey 32 http://www.youtube.com/watch?v=edsd32nbtoa 32

Objet du formulaire d engagement Le formulaire d engagement vise àinformer le personnel, qui décide de synchroniser son ANP ipadou iphoneavec le courriel, l agenda et le carnet d adresses corporatifs, des mesures de sécurité à respecter ainsi que de leurs obligations à cet effet. Domaine d application Le présent formulaire d engagement s applique aux informations corporatives détenues par ABC et utilisées dans le cadre de la synchronisation du courriel, de l agenda et du carnet d adresses, ou dans le cadre de toutes autres fonctionnalités offertes par la synchronisation, ou additionnelles. Principes de gestion de la sécurité des ANP et des données corporatives ABC demeure propriétaire des actifs informationnels mis àla disposition du personnel. Seule celle-ci a l habilitéàaccorder les droits d accès à ses actifs informationnels. La personne autorisée qui accède aux données corporatives est responsable de la gestion sécuritaire de ces données. Elle doit prendre les moyens nécessaires àla mise en œuvre et àla gestion de la sécuritédes données corporatives qu elle consulte sur son ANP. La personne autorisée accepte que les détenteurs de l information procèdent àdes évaluations et audits périodiquement, afin de s assurer qu elle respecte les mesures de sécuritéconvenues dans le présent formulaire d engagement. Les droits d accès aux actifs informationnels détenus par l organisation seraient retirés s il était prouvéque la personne autorisée ne se conforme pas aux mesures prévues au présent formulaire, et rend ou a rendu vulnérable la sécuritéd actifs informationnels de l organisation. Limites des droits d accès aux actifs informationnels Les droits d accès aux actifs informationnels sont accordés par l organisation détentrice. Les droits sont mis àjour régulièrement et peuvent être révoqués ou suspendus en cas de non-utilisation ou de mauvaise utilisation.

Résiliation L entente peut être résiliée sur avis de dix jours par l une ou l autre des parties. En ce cas, les droits accordés àla personne autorisée pour lui donner accès aux actifs informationnels seront révoqués. Cession des accès Les droits et obligations contenus dans le présent formulaire ne peuvent, sous peine de nullitéde l entente, être cédés, en tout ou en partie, sans l autorisation écrite et préalable de ABC. Propriété matérielle Le requérant est propriétaire des équipements et logiciels qui sont fournis avec son ANP et, en ce sens, il assume la responsabilitéde la prise en charge du support de l appareil dans le cadre de la présente entente. Advenant la résiliation de l entente (ex.: un départ de l employé), ABC effacera, par les divers mécanismes en place (ex.: effacement àdistance), les données corporatives qui proviennent du courriel, de l agenda et du carnet d adresses. Nonobstant ce qui est écrit précédemment, et selon les techniques ou mesures de sécuritéen place, l effacement complet de l ANP pourrait également être réalisélors d un départ, par exemple. Le requérant autorisant, par la présente, ABC à procéder. Mesures additionnelles de sécurité Durant l entente, le requérant acquiescera aux nouvelles mesures de sécuritéque l organisation mettra en place comme (et non limitées à) l activation de certains paramètres de sécurité(ex.: forcer le chiffrement de l appareil, un mot de passe d une certaine longueur) ainsi que la présence d un outil de conformité de l ANP. Frais Aucun frais ou allocation du forfait cellulaire du requérant ne seront payés par ABBC pour l utilisation de l ANP personnel aux fins de synchronisation du courriel, de l agenda et du carnet d adresses ou de toutes autres fonctionnalités offertes par la synchronisation ou additionnelles. Également, aucun frais ne seront facturés au requérant pour la synchronisation de son ANP. Déclaration du requérant Je m engage àrespecter les conditions d accès et le code de conduite spécifiés dans la présente entente lorsque j utilise mon ANP personnel «ipadou iphone». J accepte aussi d être soumis(e) àune vérification informatique, si nécessaire.