PRISE en COMPTE et GESTION de la Sécurité de l INFORMATION domaine des «smartphones» Alain RIVIERE 1
sommaire -Evolution et Révolution numérique -La Sécurité de l Information (SSI) -Le domaine des smartphones -Failles & vulnérabilités -Prise en compte/gestion de la Sécurité (bonnes pratiques) -Conclusion Annexes -Smartphones-Tablettes: Principaux usages -Applications professionnelles -Législation 2
Les Evolutions et Révolutions La puissance: 15 à 25 peta flop en 2012/13(ordinateur classique) X par 100 300 fois (ordinateur optique) X par 1000 à 100000 (ordinateur quantique) 07-2013- 1er ordinateur fonctionnant non pas à l aide de composants en silicium mais en nanotubes de carbone Ce wafer contient des "petits ordinateurs" qui utilisent des nanotubes composants électroniques, plus compacts, plus rapides et plus économes en énergie. Les réseaux: -hertziens / satellites / la 4G -laser / lumière / FO Le stockage: du giga au téra: 1000 milliards de bytes (10 12 ) du téra au péta: 1 million de milliards de bytes (10 15 ) puis exa (10 18 ). puis zeta (10 21 ) Dans 20 ans.. L ordinateur quantique repose sur des propriétés quantiques de la matière: superposition et intrication d états quantiques En mécanique quantique, il est possible pour une particule d être dans de multiples états simultanément Un ordinateur quantique travaille sur un jeu de qubits. Un qubit peut porter soit un un, soit un zéro, soit une superposition d un un et d un zéro La taille des transistors approchera celle de l atome à l'horizon 2020 3
Vers l ordinateur optique IBM (en 2012) a présenté son Holey Optochip, une puce optique capable d un débit de 1 Tb/s. Elle repose sur un système intégrant 24 récepteurs et 24 transmetteurs optiques travaillant en parallèle pour traiter le signal. Le tout demande moins de 5 W. Holey Optochip.Course à l informatique photonique Transmetteur optique 160 GBits/s 4
Le monde médical. Des progrès fantastiques!! exemple: une «puce» de 2 mm 2 dans le cerveau 5
La fracture numérique ne sera plus : dans 5 ans, 80% de la population mondiale actuelle possédera un terminal mobile (dt 80% 3G et 50% 4G). Le développement de cette technologie permettra d atténuer les inégalités en termes d accès à l information + télé conférence en 3D Nous n aurons plus besoin de mots de passe : nos caractéristiques biologiques nous serviront bientôt de clés grâce à la reconnaissance vocale, rétinienne et plus généralement, aux données biométriques. Vision + parole = + SSO card puis par la Pensée» 6
Révolution numérique Nouvelles technologies (*) : ces secteurs qui vont bouleverser le visage de l économie de demain et générer des milliards 12 technologies dites «disruptives»(celles qui ont le pouvoir de changer la face du monde) dont la majorité ont, une prise direct avec le monde de l'internet. impact estimé entre 14 et 33 milliards de dollars par an, dès 2025, en créant de la valeur et révolutionnant les usages 4 critères : évolution rapide, touchent un public très large, création de beaucoup de richesse, changement des manières de vivre et de travailler. Parmi les 12 technologies les plus disruptives identifiées, une majorité (7) est formée par des technologies à dominante numérique : (*) réf. Etude McKinsey Internet mobile, automatisation de la connaissance, objets connectés, Cloud computing, robotique avancée, véhicules autonomes impression 3D. 7
SECURITE de l INFORMATION 8
La Sécurité de l Information? La sécurité de l information vise à protéger l information contre une large gamme de menaces, de manière à garantir la continuité, et à réduire le plus possible les risques potentiels. Les OBJECTIFS: -Protection: des biens et des personnes, du «savoir faire», et des affaires, -Conformité aux règles aux obligations contractuelles, aux obligations légales, -Préparer et garantir les évolutions futures Les FINALITES: DIC & CP D= Disponibilité de l informatique I = Intégrité des données C= Confidentialité des Informations CP=Contrôle et Preuves (traçabilité) 9
Les MENACES Attaque délibérée Accident Désastre naturel 10 10
Les MENACES Un monde virtuel... Des organisations intelligentes Et la nature humaine Internet Virus Piratage Sabotage interne Network Customers Espionnage Internet Desktops Routers Partners Harcèlement virtuel Web Servers 11
Les MENACES Les menaces restent présentes et sont en AUGMENTATION notamment sur les Smartphones 1,7 milliards de tentatives de fraude aux «cartes bancaires» en 2012 (600 000 ménages contre 500 000 en 2011) Fraude: 450millions 12
et pendant que la cybercriminalité défraie la chronique. Les ACCIDENTS et les BUGS informatiques sont toujours présents. (+ erreurs humaines, évènements naturels) -Des impacts tout aussi forts -Ils touchent à la disponibilité, le fameux 99,9% -Même sur des services conçus pour assurer la continuité (Cloud ) L'équipe médicale administre à la patiente un antibiotique auquel elle est pourtant allergique. Le logiciel utilisé par les médecins est peut-être à l'origine du décès de la patiente.les médecins avaient bien consigné l'allergie dans leurs prescriptions, mais cette information a ensuite disparu. Ce bug informatique a d'ailleurs été reconnu dans un rapport de la commission des accidents médicaux. 13
Les dernières MENACES Le «Phishing» Technique de mystification utilisée par des pirates informatiques dont le but est d amener le destinataire à dévoiler des informations personnelles et/ou confidentielles (code d accès par exemple) ou à installer des logiciels espions (virus de type chevaux de Troie notamment cachés dans des barres d outils gratuites par exemple) sur l ordinateur de l utilisateur qui se chargeront de récupérer ces informations en toute discrétion. La «cyberintimidation» ou le «harcèlement virtuel» («cyberbulling») une nouvelle forme de harcèlement dont la particularité est qu'elle se fait par Internet ou en utilisant les nouvelles technologies d'information et de communication notamment -par courrier électronique, sur des forums, des chats ou des messageries instantanées, ou sur les réseaux sociaux en ligne et blogs, -et également par téléphone mobile via des appels ou des SMS. La «mobilité» -ipod, iphone, ipad, (cibles potentielles: pas d anti virus) -les bornes Wifi (paramétrage) -NFC - 14
Le DOMAINE des SMARTPHONES (& TABLETTES) Dans le monde: 1,1 milliards d utilisateurs (croissance 132% en un an) en France: 18 millions de personnes 5,1 millions de tablettes Croissance prévue (2017) dans le monde: 3,3 milliards d utilisateurs Trafic X 18!... 80% en 3G et 50% en 4G 15
Le smartphone devient la télécommande de notre vie numérique Santé, sécurité, transport, éducation, vie pratique, monde des affaires,... Le smartphone est de plus en plus au centre de notre vie numérique. Capteurs à tout faire Grâce aux capteurs contenus dans les téléphones mobiles (GPS, boussole, accéléromètre, micro, appareil photo et caméra) plus les nombreux objets connectés d'aujourd'hui, le smartphone sert à tout Encore plus d'objets communiquants Aujourd'hui, ce sont à peine 1 à 10 appareils électroniques qui sont connectés à Internet à la maison via une adresse IP. Demain, il y en aura une centaine par foyer. Santé en temps réel C'est dans le domaine de la santé que l'on trouve de plus en plus d'applications spécialisées. Les personnes diabétiques peuvent surveiller leur glycémie grâce à leur smartphone. 16
un concentré de technologies.plus puissant que l ordinateur / poste travail Le Smartphone : téléphone portable "intelligent", «multi tâches» doublé de nombreuses fonctionnalités et applications téléphone surfer sur internet, agenda, messagerie, logiciels bureautiques, applications diverses, GPS, Wifi, lecteur multimédia, écouter de la musique, regarder la télévision, -et intègre bien souvent bon nombre de gadgets en tous genres. touchscreen, cellular, Bluetooth, Wifi, GPS mobile navigation, camera, video camera, speech recognition, voice recorder, music player, Near field communication, infrared blaster, 17
un concentré de technologies. Un professeur en ingénierie électrique et bio-ingénierie a réussi à miniaturiser un concept de microscope utilisant un faisceau laser. Élaboré comme un module à raccrocher à son smartphone, il a réussi à détecter des éléments de la taille d'un virus ou d'une bactérie et pourrait être déployé pour remplacer des outils devenus trop encombrants dans les laboratoires. NASA: Des smartphones lancés en orbite autour de la Terre dans le but de servir de satellites low cost. 18
Révolution numérique Suite. France (12-09-2013 : Une offre industrielle française nouvelle, compétitive et attractive => 34 plans de reconquête industrielle Objectifs : gagner des parts de marché en France et à l international créer ainsi des emplois nouveaux Les 34 ont besoin des TICs. Et sur les 34 : 11 Informatique Drive + 9 TIC élément clef +1 "Cybersécurité"=21 Plans/projets!! (60%) Principaux usages -Applications professionnelles (classique - vus par des décideurs) -Facteurs justificatifs de développement d applications // Principaux usages -Domaines fonctionnels // Freins & besoins // Facteurs de succès Voir en annexe 19
Les VULNERABILITES Le terminal mobile est un vrai micro-ordinateur La base des vulnérabilités est liée à la «puissance» délivrée -Avec un système d exploitation -Des possibilités d accès aux applications -Une capacité de stockage d informations Il peut être utilisé dans le domaine privé et dans le monde professionnel Il apporte des fonctionnalités diverses et variées qui vont décupler les utilisations et accentuer la dépendance de l utilisateur Et il va évoluer de façon très rapide grâce aux nouvelles applications avec la technologie (4G, Capteurs,.) -> accentuation dépendance «drogue douce» 20
Les VULNERABILITES Tout comme les ordinateurs, les smartphones sont des cibles privilégiées d'attaques. Ces attaques exploitent plusieurs faiblesses liées au smartphone: -cela peut provenir des moyens de communications comme les SMS/MMS et les réseaux Wi-Fi et GSM. -Ensuite des vulnérabilités aux attaques exploitant les failles logicielles qui peuvent provenir aussi bien du navigateur web que du système ou des applications préinstallées ou non. -Et enfin des logiciels malveillants qui le plus souvent comptent sur les faibles connaissances de l utilisateur Et au-delà des attaques, il y a les vulnérabilités liées aux dysfonctionnements: réseau, matériel, logiciels, applications. 21
Les VULNERABILITES V01 Stockage de DONNEES Les terminaux mobiles stockent des données qui peuvent être «sensibles» pour l entité qui en a la responsabilité: -Enregistrées volontairement: courriels, agenda, contacts, photos, documents, SMS, empreinte digitale, etc. -ou involontairement : cache de navigation, historiques, déplacements datés et géo-localisés, cookies,fichiers temporaires, formulaires, etc.). Idem pour les codes de sécurité, mots de passe et certificats (pourraient être utilisés afin d accéder à des biens essentiels du système d information professionnel) -Multitude de vulnérabilités que présentent les systèmes d exploitation des mobiles avec de nombreuses fonctionnalités. -Erreurs de comportement d utilisateurs non avertis et formés. Note: L attaque d un mobile permet la confrontation des courriels, des SMS, de l historique de navigation, du journal des appels, de l agenda, etc risques de modification, de Destruction, de divulgation de données professionnelles et personnelles Possibilité de déduire des Informations stratégiques sur l organisation ou d obtenir des informations personnelles 22
Les VULNERABILITES V02 V03 Cohabitation des usages privés et professionnels Le fait de laisser cohabiter une utilisation personnelle avec une utilisation professionnelle sans avoir prévu les règles et les moyens de protection appropriés est générateur de nombreuses vulnérabilités liées aux multiples fonctionnalités qui sont disponibles. L'utilisation des appareils mobiles professionnels doit être strictement encadrée, avec des règles précises et notamment en sécurisant l'accès par mot de passe et/ou code vocal. L'accès à distance aux réseaux de l'entreprise doit également être sécurisé. Les MOTS de PASSE Processus d identification et d authentification: C est la base pour avoir une protection efficace tant au niveau du mobile que des systèmes, des applications et des fichiers contenant des données sensibles. Force est de constater que le niveau de robustesse requis avoir les moyens de contrôles associés sont généralement insuffisants pour garantir un bon niveau de Protection. (règles / force intrinsèque du mot de passe : authentification forte / outil de contrôle / changement régulier / blocage après 3 tentatives infructueuses / alertes / ) 23
Les VULNERABILITES V04 Le paramétrage / configuration du smartphone Il s agit d effectuer le positionnement des paramètres régissant l utilisation des fonctionnalités du smartphone. Bien souvent, le paramétrage n est pas effectué, ou il a été fait de façon incomplète. Cela veut dire que des options «standard» du constructeur vont être activées automatiquement. Ex. protéger l appareil par un code secrêt (pas celui de la carte SIM). Verrouiller automatique l appareil au bout de 15/20 minutes. Etc V05 Les droits d accès -L absence de règles et de procédure de gestion des accès au mobile, au réseau de l entreprise ou organisme, aux systèmes et aux applications est une vulnérabilité importante dans le dispositif sécuritaire. -Absence de contrôles en fonction de l application / service accédé («revoked» à la La 4 ème tentative infructueuse). Exemples: Laisser l utilisateur avec des droits administrateurs Ne pas avoir «encadré» les personnes ou entités ayant des «accès privilégiés» «root» (informaticiens, sous-traitants, éditeurs logiciels, ). 24
Les VULNERABILITES V06 Les protections de base / solutions de sécurité On constate que les outils de protection des smartphones n ont pas été installés, ou souvent de façon incomplète. Exemples: -firewall, -antivirus, -anti spam. Les attaques par Virus sont d actualité: notamment via les SMS invitant à télécharger une application infectée, ou via les sites x, les jeux et les forums, ou via la messagerie avec un lien vers un site infecté qui va installer le virus sur le mobile. V07 Le Réseau L absence de mesures de protection du réseau interne représente une faille majeure. -passerelle d accès et d interconnexion non sécurisée (identification des fonctions de sécurité à mettre en œuvre sur l'interconnexion avec leur position dans l'architecture. exemples: firewall, proxy, -failles dans les systèmes de communication sans fils de certains matériels, -smartphone: fonctions de connexion sans fil «actives» (alors qu elles ne sont pas utilisées: wifi, bluetooth, géolocalisation, + fonction d association automatique aux points d accès Wifi «activée» (à enlever pour garder le contrôle de l activation). 25
Les VULNERABILITES V08 Les Operatings Systèmes On adresse l operating système des smartphones (Androïd, IOS, blackberry, windows phone,linux, ) qui commande les fonctions matérielles : smartphones, tablettes, PDA ou autre type de mobile digital. Les mises à jour régulières de ces logiciels sont rarement effectuées. Or c est la clef de voute du bon fonctionnement (disponibilité/performances) et de la sécurité (application des patches / correctifs de failles en sécurité). V09 Les Applications télé chargées ou existantes -Les applications télé chargées sur les smartphones sont génératrices de nombreuses Vulnérabilités pouvant aller jusqu à impacter le réseau de l entreprise ou organisme. C est un vecteur d attaques potentielles et d installation d un «malware» dont les Virus: -via les Téléchargements via les sites sensibles: x, jeux, forums, -via les SMS (même anodins ) Il faut donc effectuer une analyse préalable de réputation avant l utilisation des applications préinstallées et /ou des applications nouvelles. Par ailleurs, des mises à jour doivent être réalisées pour prendre en compte les correctifs de sécurité. 26
Les VULNERABILITES V10 Le développement d applications pour smartphones Est générateur de failles potentielles s il n est pas strictement encadré et contrôlé. De nombreuses failles techniques existent dans les applications Web et smarphones. -permissions / droits d accès (profils sécurité liés aux métiers) strictement limités à leurs fonctions (dont accès aux données et à internet). -paramétrage, contrôle des divers capteurs, pas de cryptage des données,. Note: Application ou solution à base de capteurs / communication NFC V11 La protection des fichiers / données sur les smartphones Très souvent, on constate l absence de protection des données sensibles sur les smartphones. Par données sensibles on entend: -les données privées, personnelles, -les données professionnelles issues de l entreprise / organisme. Note: Obligation légale (CNIL) pour classifier les données vie privée et les protéger de façon appropriée (mot de passe, crypto, ). 27
Les VULNERABILITES V12 La messagerie / Communications Le smartphone est en mesure d accéder à la messagerie personnelle (via google / gmail / yahoo / zimbra ) ET à la messagerie professionnelle via un accès au réseau de l entreprise / organisme. Elle permet aussi le transfert de fichiers. La messagerie est le vecteur privilégié des attaques avec de nombreuses tentatives d escroquerie. Par ailleurs, la communication personnelle se fait aussi via les mondes sociaux (gratuits) qui dans de nombreux cas utilisent vos données personnelles sans vous avoir informé préalablement (tant niveau utilisation / communication à un tiers que sur la finalité). Exemple: Facebook information Les vulnérabilités majeures: -Envoi de messages de la messagerie professionnelle vers la messagerie personnelle, -les messages confidentiels ne sont pas «nommés» (ex. paramétrage «confidentiel» + interdiction de copie ne sont pas activés). -Les fichiers sensibles envoyés ne sont pas protégés. -L utilisation de messageries non sécurisées, de mondes sociaux qui stockent vos informations dans des datas centres non connus, dans des pays n ayant pas de législation sur la sécurité de l information (et qui ont des droits privilégiés «contenant» + «contenu».. ). - 28
Les VULNERABILITES V13 Surveillance / «vous êtes filmés» Avec votre ordinateur, sur le Net, on sait repérer votre adresse IP Idem avec votre smartphone Et mieux on sait où vous êtes et où vous avez été si la géolocalisation a été activée Tous vos accès internet sont enregistrés (obligation légale-sur 1 an). Les mondes sociaux (ex Facebook) communiquent vos «habitudes» et vos données personnelles à des tiers que vous ne connaissez pas V14 SAUVEGARDES Les sauvegardes des données sur les smartphones sont rarement effectuées de façon correcte en fonction du type d utilisation du smartphone. Si une sauvegarde locale est faite, on constate qu il y a rarement d externalisation des sauvegardes. Autre vulnérabilité majeure, les sauvegardes des operatings système sont eux aussi rarement effectuées. Risque majeur en cas de dysfonctionnement majeur, ou vol, perte, destruction,,, (note: surtout quand il s agit des smartphones des dirigeants ). 29
Les VULNERABILITES V15 POLITIQUE & REGLES de Sécurité de l Information Aucune politique générale en matière de sécurité de l information n a été définie montrant l engagement et le support de la Direction Générale (PSSI). Par ailleurs, il n existe pas document spécifiant les règles à respecter dans l utilisation des systèmes d information (Charte). On est en mode «réactif» : on attend l accident / incident de sécurité V16 FORMATION / SENSIBILISATION Le Personnel n a pas été formé, sensibilisé à la Sécurité de l Information, avec l obligation de respecter les règles édictées par l entreprise / l organisme. C est un point important car au-delà de la technique, le comportemental (méconnaissance, insouciance, naïveté, ), fait partie des vulnérabilités majeures. 30
Les VULNERABILITES V17 SUIVI des DYSFONCTIONNEMENTS Il n y a pas de processus d enregistrement et suivi des dysfonctionnements de toute nature permettant de réaliser des analyses pertinentes afin d éviter la récurrence. On est en mode «réactif» on traite le pb ponctuel sans analyser la cause réelle initiale qui parfois n est pas évidente à déterminer. Souvent, les «supports / assistance utilisateurs» n enregistrent pas les incidents liés à la sécurité. Par ailleurs, comme il n y a pas d obligation de déclaration d un incident, on ne peut connaître sa situation et améliorer correctement la disponibilité. Note: les fournisseurs de services télécoms ont l obligation de signaler leurs incidents de sécurité (nouvelle loi 2011). V18 Procédure de GESTION CENTRALISEE Il n y a pas de procédure de dotation et gestion des terminaux mobiles permettant de déployer rapidement des profils de sécurité et d assurer un suivi efficace depuis un Point central sur l ensemble d une flotte de Mobiles. Ceci de façon la plus automatique possible avec les outils appropriés pour diminuer les coûts de gestion. 31
Les VULNERABILITES V19 Autres vulnérabilités techniques -Hardware -Système exploitation -Logiciel développement -Progiciels / Applications Extrait base de données Vigilance d Orange Extrait p.1 32
Les VULNERABILITES Extrait base de données Vigilance d Orange Page 101 Il y en a 645 33
Les VULNERABILITES V20 V21 V22 COMPORTEMENTAL Nombreuses sont les vulnérabilités liées au comportemental Méconnaissance, insouciance, naïveté. +de 50% des atteintes à la sécurité viennent de l intérieur 60% du personnel qui quitte l entreprise, vole et part avec des documents de l entreprise Les nombreuses déviations sont liées au non respect de la confidentialité de l information: Ex affaire Wurths, Cahusac, SUIVI des DEPENSES / COUTS Il n existe pas de suivi efficace des dépenses liées à l utilisation des terminaux mobiles. Bien souvent il est partiel L entreprise s en rend compte quand le montant de la Facture est trop important. Entre autres menaces: le «phreaking» (détournement de ligne téléphonique) Obligations légales De nombreuses lois existent en France et en Europe. Constat: Le chef d entreprise ne respecte pas toutes ses obligations légales en matière De sécurité de l information. réf. loi informatique & libertés (6 articles), règles protection STAD (art 323 code pénal) 34
En synthèse, les failles & vulnérabilités sont là Qu il s agisse de dysfonctionnements et/ou d attaques Même si la probabilité évènementielle est faible, elles peuvent générer les risques potentiels suivants Vol du Smartphone Vol, détournement, destruction de DONNEES Virus Non respect des OBLIGATIONS LEGALES Sanctions pénales et financières INTRUSION / accès au réseau de l entreprise RISQUES COMMERCIAUX Perte de Clients / d affaires image de marque (perte crédibilité, confiance), Identification des décideurs et des collaborateurs, Désinformation et pollution des circuits de décision,... Interruption / Disponibilité Blocage utilisation Plutôt que d attendre l incident ou l accident, il convient d anticiper en décidant des mesures appropriées pour protéger la vie privée des utilisateurs, et ce qui est du domaine de la propriété intellectuelle de l'entreprise ou de l organisme. 35
GESTION de la SECURITE de l INFORMATION La prise en compte de la Sécurité de l Information doit être «effective» dans les entreprises ou organismes Si l entreprise et l organisme ont un processus de gestion de la sécurité en place : -Il doit être «complété» avec la prise en compte des «smartphones» / mobiles Dans le cas contraire, un dispositif «minimum» doit être mis en place afin «d anticiper» les risques potentiels. C est la responsabilité des «Dirigeants» 36
La sécurité de l information est assurée par la mise en œuvre de mesures adaptées, qui regroupent des règles, des processus, des procédures, des structures organisationnelles, des fonctions matérielles et logicielles. Ces mesures doivent être: -spécifiées, -mises en œuvre, -suivies, -réexaminées et améliorées aussi souvent que nécessaire, de manière à atteindre les objectifs spécifiques en matière de sécurité et d activité d un organisme. 11 Domaines concernés (approche ISO 27001/27002) 37
GESTION de la SECURITE de l INFORMATION Direction Générale Directions Fonctions Direction Informatique Politique Sécurité Organisation Sécurité Gestion des BIENS Gestion des Risques Managers La Sécurité et le Personnel Contrôle des Accès Sécurité Physique Gestion infrastructure IT COM-Relations Extérieures Gestion des Incidents Evolution Systèmes & Applications Conformité Continuité des activités Personnel 38
GESTION de la SECURITE de l INFORMATION LA CHARTE Domaine Politique Les entreprises doivent avoir une réelle politique de Sécurité de l information approuvée par la Direction Générale. -spécialement déclinée pour les appareils mobiles de l'entreprise. -doit mentionner l'utilisation des smartphones ou tablettes personnels apportées sur le lieu de travail -L'utilisation des appareils mobiles professionnels doit être strictement réservée au domaine professionnel (comme le poste de travail). -Sauf cas particulier justifié, il est interdit d utiliser les «mondes sociaux». Livrables/moyens -PSSI -Charte SSI -Politique ressources (BYOD) -Support direction générale Note: définir politique de ressources «mobiles» (achat par l entreprise et/ou utilisation du matériel personnel) La PSSI doit mentionner l utilisation des «mobiles» 39
GESTION de la SECURITE de l INFORMATION Domaine Organisation -Mise en œuvre de la gestion de la sécurité de l information -Responsabilités affectées à tous les acteurs -Centralisation Achats matériels informatique avec accord DSI -Plan amélioration du niveau de sécurité Livrables/moyens -Document descriptif gestion SSI -Procédure achats -Plan d action Domaine Gestion des biens -Politique de ressources (dont BYOD) -Inventaire des terminaux mobiles / régulier et à jour -Propriété information et matériels / logiciels / applications affectée à un responsable -Procédure classification de l information -Identification postes et données sensibles -Solutions de protection fichiers (mots de passe, crypto) Livrables/moyens -Réf PSSI -Résultat inventaire -Proc classification -Registre fichiers Confidentiels -liste PS -outils chiffrement 40
GESTION de la SECURITE de l INFORMATION Politique de ressources (dont BYOD) -Cohabitation usages privés et professionnels -Utiliser des smartphones dédiés à l usage professionnel (si utilisation des 2, mettre en place solution dédié de cloisonnement) -Une utilisation à titre personnel peut être admise sous réserve d un usage raisonnable et limité (et mettre en place les contrôles appropriés) -Définir le mode de dotation -L entreprise achète le matériel et paie l abonnement (total ou partiel) -Le personnel peut utiliser son matériel (BYOD) -Choix des produits pour la flotte -base: 1 ou 2 produits, standard, fiable, facile d utilisation. -Responsabilités des acteurs -Processus de gestion de la flotte (MDM: mobile device management-voir domaine Gestion exploitation-télécoms) 41
GESTION de la SECURITE de l INFORMATION Domaine du Personnel -Règles de sécurité (dont poste de travail réservé à des fins strictement professionnelles) -Responsabilités affectées -Cours formation / sensibilisation -Couverture sous traitants + information règles SSI (charte) -Obligation de signaler les incidents de sécurité (Charte) -Information du personnel (données vie privée) -Procédure de départ de l entreprise ou de l organisme - Livrables/moyens -Charte règles SSI -Contrat embauche -Règlement intérieur -Guide utilisation smartphones -Engagement respect Confidentialité -Checklist contrôle Départs -guide & conseils LA CHARTE 42
GESTION de la SECURITE de l INFORMATION Domaine Gestion Infrastructure IT (Exploitation informatique et télécommunications) -Procédure déploiement et gestion centralisée des terminaux mobiles (MDM) -Mesures de protection sur les systèmes de l entreprise ou organisme pour se protéger des codes malveillants -Politique de connexion à distance aux ressources de l'entreprise -Sécurisation de la messagerie -Procédure d échange des données dites "sensibles«-monitoring & contrôles avec déclenchement d'alertes préventives -Journalisation des accès aux systèmes -Procédures de sauvegardes (lien «continuité» / PRA) Livrables/moyens -outil gestion des Terminaux mobiles -procédure gestion des mobiles -outil analyse des logs -procédures d exploitation 43
GESTION de la SECURITE de l INFORMATION gestion centralisée des terminaux mobiles (MDM) Utiliser une solution de gestion de terminaux mobiles permettant de déployer rapidement depuis un point central des profils de sécurité sur l ensemble d une flotte de terminaux mobiles la sécurité doit être prise en compte tout au long du cycle de vie du mobile : sécurité intrinsèque lors du choix d un produit sécurisation du système avant délivrance des mobiles aux utilisateurs (firewall, anti-virus, accès aux serveurs de l entreprise via vpn sécurisé, ) définition «profil de configuration» (paramètres) non modifiable par l utilisateur la gestion des configurations permet d'automatiser la configuration du courrier électronique, du VPN, du Wi-Fi et d'autres paramètres du mobile, de telle sorte que l'utilisateur ne rencontre aucun problème de configuration procédure de télé-déploiement avec fonctionnalités de support (dont sauvegardes) maintien en conditions de sécurité de l ensemble du parc (application des correctifs de sécurité:,mise à jour du système d exploitation et des applications) pour les postes sensibles, procéder à une ré-initialisation du système et au changement des clefs de chiffrement suppression des données et remise à zéro des mobiles avant toute réaffectation ou mise au rebut 44
GESTION de la SECURITE de l INFORMATION Domaine Gestion des Accès -Politique d'attribution et de gestion des droits d accès (profils métiers) -Politique de mots de passe avec durée expiration 90 jours (mots de passe fort pour cas utilisation données sensibles) -Utilisez des mots de passe différents (notamment pour messageries personnelle et professionnelle) -Protection de l accès depuis les mobiles à tout système d information interne à l entreprise / l organisme http://www.ssi.gouv.fr/img/pdf/2011_12_08_- Guide_3248_ANSSI_ACE_Definition_d_une_architecture_de_passerelle_d_interconnexio n_securisee.pdf -Contrôles nb de tentatives d accès aux serveurs, aux postes de travail et aux mobiles (blocage session après 4 tentatives infructueuses) -Blocage verrouillage session après période d inactivité (postes de travail et mobiles) -Sensibiliser les utilisateurs aux risques liés à l'utilisation de l'informatique mobile en entreprise (tablette, Smartphone, etc..) Livrables/moyens -procédure gestion accès -outil contrôle qualité mots de passe -accès réseau entreprise sécurisé -outil SSO et autres solutions d identification / authentification -guide & conseils 45
GESTION de la SECURITE de l INFORMATION Domaine Evolution & Développements -Procédures de contrôle d installation et de maintenance des évolutions tant Systèmes qu applications. -Contrôle des applications sur les mobiles (souvent les applications sur les mobiles ont des droits non Justifiés-Exemple: droit d accès Internet et aux données de la carte de stockage amovible) -Développement Applications / solutions (appliquer les concepts de sécurité dans le cycle de développement (Secure Software Development Life Cycle/ SDLC- Intégrer les besoins de sécurité dans les spécifications / cahier des charges notamment dans les domaines sensibles: santé, ) -Réaliser des tests préalables complets avant la mise en opérationnel. -Les applications déployées doivent être mises à jour régulièrement et rapidement dès lors que des correctifs de sécurité sont proposés. -Site WEB Standard sécurisé -Application WEB sécurisées (http://www.clusif.asso.fr/) -Contrôle des vulnérabilités techniques (ctl des flux, des paramètres systèmes, des accès externes, ) Livrables/moyens -Procédures évolution systèmes et applications -Plan sécurité Projet -Audit & revues de Code -Outil de contrôle des Vulnérabilités 46
GESTION de la SECURITE de l INFORMATION Contrôles des applications sur les mobiles -Interdire l utilisation du magasin d applications par défaut, ainsi que l installation d applications non explicitement autorisées par l entreprise. (idem pour les applications pré-installées) -Analyser les applications installées (réputation, fiabilité, sécurité) avant toute autorisation de déploiement (idem pour les applications pré-installées avec désinstallation si nécessaire) -Les applications déployées doivent avoir les permissions strictement suffisantes à leurs fonctions, que ce soit pour l accès aux données ou à Internet, mais également pour le contrôle des divers capteurs. -Des test complets des solutions doivent être réalisés avant la mise en opérationnel. -Les permissions octroyées doivent être vérifiées a minima lors de leur installation et à chaque mise jour pour s assurer qu elles n ont pas évolué. -L accès au service de géo-localisation doit être interdit aux applications dont les fonctions liées à la position géographique ne sont pas utilisées (ceci en fonction de l usage professionnel prévu). -Les applications déployées doivent appliquer des profils de sécurité appropriés (principalement en ce qui concerne le navigateur Web et le client de courriels), distribués dans le cadre des politiques de sécurité centralisées. Sécurité NFC : http://didier.hallepee.pagesperso-orange.fr/livres/nfc.htm 47
GESTION de la SECURITE de l INFORMATION Domaine Gestion des incidents -Procédure de gestion des incidents / dysfonctionnements -Journal des incidents -Obligation pour le personnel de signaler un incident et/ou une faille ou risque en sécurité de l information -Conservation des éléments de preuve -Plan d actions correctrices pour limiter la récurrence -Information de la Direction Livrables/moyens -procédure gestion incidents -outil gestion et suivi des incidents -reporting Domaine Continuité -Analyse de risques -Liste applications vitales -Sauvegardes / externalisation (données et systèmes) -Plan de continuité / reprise d activités (PRA) + tests réguliers -Matériels en spare -Plan communication Livrables/moyens -Factualiser les risques potentiels -Plan reprise activités 48
GESTION de la SECURITE de l INFORMATION Domaine Conformité -Connaissance des obligations légales -Procédure de revue et suivi des obligations légales -Pour les données vie privée: Déclaration CNIL (+ respect des autres obligations: finalité, information personnel, protection des fichiers, sauvegardes) -Enregistrement des accès internet (1 an) -Protections des systèmes (article 323 code pénal) -Conservation des enregistrements liés aux obligations légales (récépissé CNIL, résultats audit, plan actions, logs accès internet, registre des fichiers sensibles ) -Information de la Direction Livrables/moyens -procédure revue obligations légales -veille avec spécialistes SSI -Tests intrusion -Audits & revues -reporting Voir annexe «LEGISLATION» 49
CONCLUSION Conseils & recommandations : ne pas attendre l incident / l accident. Anticiper en intégrant le domaine des «mobiles» dans le processus existant de «gestion de la sécurité de l information» pour le maintenir «ACTIF» en «PERMANENCE» A défaut, sélecter les points importants à prendre en compte et à affecter dans l organisation de l informatique existante (Charte/règles, Procédure centralisée de gestion des mobiles, sensibilisation du personnel, gestion des accès, antivirus, Veiller au domaine des applications et aux tests préalables, Outils de gestion & contrôle, ) Et informer votre Direction Générale pour avoir son support sur les décisions à prendre. Et selon le domaine concerné.. En amont, il y a le développement des nouvelles solutions avec les différents composants des «mobiles» -Prendre en compte les mesures de sécurité dès le début -Réaliser des test complets avant la mise en opérationnel Note: audit global «sécurité de l information» pour connaître votre situation. «Ne pas prévoir, c est déjà gémir.» Léonard de Vinci 50
Annexe Principaux usages -Applications professionnelles (vus par des décideurs) -Facteurs justificatifs de développement d applications -Principaux usages professionnels 51
-Domaines fonctionnels -Freins & besoins 52
-Facteurs de succès -Solutions applications professionnelles 53
ANNEXE Législation 54