Sécurité et Consumérisation de l IT dans l'entreprise C A M P A N A T H É O C A R P I N T E R O F A B I A N G A N I V E T J U S T I N L A P O T R E G U I L L A U M E L A D E V I E S T É P H A N E S A U T E T F A B I E N V I B R A C R O M A I N 1
Plan 1. Introduction à la consumérisation 2. Analyse des impacts de la consumérisation 3. Solutions actuelles 2
Introduction à la consumérisation 3
PC d entreprise VS PC Personnel Poste de travail classique Extrêmement répandu Rigide Facilement administrable Taille de l'entreprise PC fixe Notebook 500 à 999 28% 21% 1000 à 4999 33% 28% 5000 à 9999 39% 33% «Bring Your Own Device» Matériel performant Souvent faite à l insu des services informatiques Présente de gros risques 10000 et plus 24% 15% Total 31% 24% 4
Smartphones d entreprise, privé et autre devices Un besoin de haute mobilité et de service Outil indispensable Rejet du téléphone d entreprise Criticité des données sur appareil mobile Mails et pièces jointes Concernant particulièrement les OIV et les services d état Des risques liés à la mobilité Pertes & vols Peu de chiffrement par défaut Besoin d authentification Failles liées aux applications Le cas des tablettes Pour l instant réservées à une élite Mort du poste de travail? 5
Services en ligne Stockage via le cloud Cloud publique Facilement utilisable et peu chère (voir gratuit) Problèmes de confidentialité Hors de contrôle de la DSI Cloud privé Contrat solide Stockage à la carte et sécurisé Webmail Flexibilité et mobilité Moins de contrôle sur le contenu Réseaux sociaux Privés (Facebook, Viadeo, LinkedIn, ) Entreprise (Yammer) 6
Logiciels d entreprise VS Logiciels personnels Une bonne intention Une question de confort Installation de logiciels familiers Risques légaux Cas des logiciels piratés (300K et 1 ans de prison) Mauvaise compréhension des logiciels libres Risques de conformités Absence de support et de maintenance Incompatibilités Risques de piratage Code malveillant Utilisation de logiciels obsolètes 7
Périphériques amovibles Croissance des technologies de stockage Abordable Très populaire Absence de traçabilité Difficulté de localiser les données Difficulté de localiser une éventuelle fuite Difficulté de contrôle de l intégrité du contenu Cycle de vie du périphérique inconnu Risque important de propagation d une infection Absence de mécanisme de protection de la confidentialité Importance des informations variable Très peu de disques ou clés sont chiffrés Une question de liberté Augmentation de la productivité Pas de cout pour la DSI 8
Analyse des impacts de la consumérisation 9
Avantages et Inconvénients Meilleure productivité Vulnérabilité des données Meilleure communication Réduction des couts Arrivée des «Digital native» Manque de considération des utilisateurs Perte de contrôle globale Gouvernance plus complexe Nom du groupe 10
Un changement de mentalité Une vraie demande Marché des tablettes et des smartphones en pleine croissance «Anywhere, anytime, any device» 50% des employés accèdent à des applications pro en vacances depuis leurs smartphone. Une limite entre professionnel et privé de plus en plus floue 63% des appareils connectés au réseau de l entreprise à des fins personnelles (Source : Mc Afee) 11
Quelques problématiques des entreprises voulant passer à la consumérisation Combien de plate-formes vont être supportées et quelle version va-t-on utiliser? Si le device est cassé, y a-t-il un device de backup? Quel devront être les spécifications minimum du device? Que se passe-t-il quand le device est volé ou perdu? Quel est le mécanisme pour déployer les mises à jour? Comment va être géré les nouvelles versions de firmware, d'os? Est-ce que les mises à jour sont au forfait ou à la carte? Où sont les données? Y a-t-il des lois locales à prendre en compte? Est-ce que toutes les applications ont besoin d'être disponible sur tous les devices? Comment est géré le cycle de vie des applications? Comment contrôler le versionning des applications? Comment contrôler l'accès aux données sensibles? Comment protéger les données sur les périphériques? Les données locales peuvent-elles être chiffrées? Le matériel supporte-t-il d'autres périphériques de stockage détachables comme des cartes SD ou des clefs USB? Comment les différentes identités sont-elles gérées sur le périphérique de l'utilisateur? Quels périphériques sont utilisés et qui les utilise? Chaque périphérique est-il à jour au niveau système, applications? 12
Raconte moi une histoire FORD 70 000 employés dans 20 pays 2 alternatives Blackberry fournis par Ford Programme epod Communautaire Flexible Economique 13
Solutions actuelles 14
Citrix Solution périphérique Citrix Receiver Client donnant accès à des bureaux virtuels, des applications distantes. Catalogue de service très fourni Compatibles avec de nombreux périphériques Gestion centralisée des services Solution Réseau Citrix Access Gateway Politique de contrôle d accès granulaire VPN SSL Citrix Branch Repeater Optimisation de l accès à distance Solution Datacenter Citrix XenDesktop Infrastructure Backend pour la virtualisation des applications et bureaux Optimise les flux 15
Cisco AnyConnect Solution Secure Mobility Client Client VPN Sélection automatique du point d accès optimal Utilise le DTLS Trustsec / SecureX Contrôle d accès Intégration une solution de NAC 16
Cisco Nom du groupe 17
McAfee Protection des données Data Loss Prevention Simplification de la sécurisation des données sensibles Endpoint Protection Suites Gestion centralisée de protection des données et de sécurisation des postes clients Endpoint Encryption Chiffrement des données, sécurisation d informations confidentielles Protection des postes clients Mobility Management Sécurisation des mobiles Management for Optimized Virtual Environments Antivirus Réduit la charge associée à la sécurisation des postes clients Sécurisation des postes, sans nuire aux performances Sécurisation des réseaux Firewall Enterprise Contrôle et protection des réseaux Network Access Control Limitation de l accès au réseau et vérification de la conformité des systèmes managés Network Security Platform Sécurisation des réseaux et des systèmes 18
Trend Micro Protection des postes de travail et des Devices Mobile Security Protection des appareil mobiles Virtual Desktop Security Protection des postes de travail virtuels Protection des données Endpoint Encryption Gestion centralisée de la sécurisation des données confidentielles. Data Loss Prevention Moteur de flux fcailitant l identification et le suivi des informations confidentielles 19
Bilan Des points communs : Chiffrement des données des périphériques «Data Loss Prevention» Network Access Control Des différences : Citrix : très axé sur la mobilité et l accès Cisco : mélangeant sécurité et accessibilité McAfee : très complet sur la sécurisation du SI de l entreprise Trend Micro : Axé sécurité mais timide comparé à McAfee 20
Conclusion 21
Questions? 22