Yoann Le Corvic
Senior Security Engineer / ISO 27001 Lead Auditor
tel. +41 22 727 05 55
Yoann.lecorvic@e-xpertsolutions.co...
AGENDA
Dans la peau d’un Cybercriminel
La mobilité s’impose… et nous expose !
Gérer ou subir
Architectures type
Services e...
Récupération de fichiers …
…en 5 minutes chrono !
LA MOBILITÉ S’IMPOSE …
… ET NOUS EXPOSE
LA MOBILITÉ : ÉVOLUTION NATURELLE ?
Téléphone
Fixe
Natel
Smartphone
Tablette Hybride ???
LA MOBILITÉ S’IMPOSE...
6
ET LA MOBILITÉ NOUS EXPOSE…
Genève : 1 vol / heure, 8000 sur l’année
2011 (4245 en 2006) (source : Police Cantonale
de Gen...
SUBIR OU GÉRER ?
il était une fois …
SUBIR
RÉSULTATS
10
► Parc hétérogène, géré (ou pas) «artisanalement», sans politique de
sécurité globale, sans visibilité global...
11
GÉRER
PRAGMATISME
L’amener à exprimer les besoins, même de façon sommaire.
Communiquer avec le management sur les besoi...
RÉSULTATS
12
► Parc homogène, supervisé, maitrisé
o Configuration centralisée
► Expérience utilisateur, support amélioré, ...
PROJET MOBILITÉ
ET SES PIÈGES
LUTTER CONTRE LES «MYTHES» DE LA MOBILITÉ
► Tous les employés doivent avoir un accès complet à l’entreprise.
► Les employé...
DIMENSIONNEMENT
► Saturation des bornes Wifi
► Saturation des connexions Internet
► Saturation de liens WAN
o Rapatriement...
SÉCURITÉ
► Peut-on imposer les mécanismes de sécurité en place ?
o Protection du surfing Internet
o Protection des mails
o...
GESTION DES MAILS
► Mails chiffrés
o Comment les lire sur les smartphones ?
o Problématique chiffrement de mails Lotus Not...
INTÉGRATION DE TECHNOLOGIES NON MAITRISÉES
► Exemple : l’authentification par certificat numérique
► Gestion du cycle de v...
ARCHITECTURES
Reverse Proxy
LA GESTION DES EMAILS
Lotus
Exchange
Mail Gateway
 Proxy ActiveSync
 SSL Offloading
 Authentification Cer...
Reverse Proxy
SINGLE POINT OF ACCESS
Lotus
Exchange
Mail Gateway
lotus.e-xpertsolutions.com
exch.e-xpertsolutions.com
Multiples points d’accès (wifi, accès guest, 3G, …)
L’équipement n’appartient pas au domaine Microsoft de l’entreprise
Sup...
23
CHOISIR LA BONNE ARCHITECTURE PROXY WEB
► Besoin d’authentification pour les utilisateurs
internet ?
► Appliquer la mêm...
LE RETOUR DE LA PKI
► Usages :
o Authentification e-mail, wifi, vpn
o Chiffrement et signatures des e-mails
o Chiffrement ...
Reverse Proxy
ARCHITECTURE PKI
MDM
CA Root
CA Mobilité
Validation du certificat
Enrôlement, révocation, etc.
 Validation ...
26
DEMO – REMOTE ACCESS
1. Authentification par certificat numérique
2. Validation du certificat client via les CRLDP (CRL...
E-XPERT
APPROCHE E-XPERT SOLUTIONS
► Sensibiliser / Accompagner
o Echanger avec la direction et présenter de façon transparente, l...
APPROCHE E-XPERT SOLUTIONS
► Concevoir
o Maitrise des concepts et technologies infrastructures, réseau, sécurité
pour défi...
APPROCHE E-XPERT SOLUTIONS
► Supporter et faire évoluer
o Maintien en condition opérationnel
o Evolutions, prise en compte...
www.e-xpertsolutions.com
www.e-xpertsolutions.com/rssglobal
blog.e-xpertsolutions.com
twitter.com/expertsolch
linkedin.com...
Prochain SlideShare
Chargement dans…5
×

Séminaire Evolution de la Mobilité - Subir ou gérer ?

792 vues

Publié le

La mobilité s'impose et nous expose. Faut-il subir ou gérer ? L'évolution de la mobilité en entreprise présentée et agrémentée par des démonstrations d'attaque et par les moyens de ...

Publié dans : Mobile
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
792
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
8
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Séminaire Evolution de la Mobilité - Subir ou gérer ?

  1. 1. Yoann Le Corvic Senior Security Engineer / ISO 27001 Lead Auditor tel. +41 22 727 05 55 Yoann.lecorvic@e-xpertsolutions.com www.e-xpertsolutions.com L’EVOLUTION «MOBILITÉ» Subir ou gérer ? Yann Desmarest Innovation Center Manager tel. +41 22 727 05 55 Yann.desmarest@e-xpertsolutions.com www.e-xpertsolutions.com Séminaire sécurité du 12 juin 2014
  2. 2. AGENDA Dans la peau d’un Cybercriminel La mobilité s’impose… et nous expose ! Gérer ou subir Architectures type Services e-Xpert Solutions Projet mobilité et ses pièges
  3. 3. Récupération de fichiers … …en 5 minutes chrono !
  4. 4. LA MOBILITÉ S’IMPOSE … … ET NOUS EXPOSE
  5. 5. LA MOBILITÉ : ÉVOLUTION NATURELLE ? Téléphone Fixe Natel Smartphone Tablette Hybride ???
  6. 6. LA MOBILITÉ S’IMPOSE... 6
  7. 7. ET LA MOBILITÉ NOUS EXPOSE… Genève : 1 vol / heure, 8000 sur l’année 2011 (4245 en 2006) (source : Police Cantonale de Genève) New York : près de 12000 iPhone/iPads entre le 01.01.2012 et 23.09.2012 (source : NYPD) 70 million de téléphones perdus chaque année – seulement 7% retrouvés (source : Etude Intel 2009) 50% des utilisateurs de smartphones y stoquent des mot de passe, informations personnelles et données de carte de crédit (source : Etude Intel 2009) 36% des tablettes contiennent des informations professionnelles (source : Etude Intel 2009) 700 000 applications Android malveillantes (source : rapport Trend Micro)
  8. 8. SUBIR OU GÉRER ?
  9. 9. il était une fois … SUBIR
  10. 10. RÉSULTATS 10 ► Parc hétérogène, géré (ou pas) «artisanalement», sans politique de sécurité globale, sans visibilité globale… ► Perte quasi-totale du contrôle des données d’entreprise o Dommage, à l’heure ou la fuite d’information est un sujet majeur ► Potentiel risque d’être «Hors la loi» en Suisse ou dans une filiale 60 % des entreprises européennes n’ont aucune “stratégie” mobilité (Source : PAC - 2013)
  11. 11. 11 GÉRER PRAGMATISME L’amener à exprimer les besoins, même de façon sommaire. Communiquer avec le management sur les besoins, mais aussi problématiques. Gérer le projet mobilité comme un …. Projet. Choisir la solution technique, et l’intégrer. Former les administrateurs, helpdesk, opérateurs. Former les utilisateurs, au moins les sensibiliser. Ne pas sous estimer les aspects RH et Juridiques Cf. Présentation Me Fanti https://www.youtube.com/user/expertsolch BYODornottoBYOD? Thatisthequestion.
  12. 12. RÉSULTATS 12 ► Parc homogène, supervisé, maitrisé o Configuration centralisée ► Expérience utilisateur, support amélioré, sans pour autant être très intrusif ► Fonctionnalités sécurité offertes par les fonctions MDM (Enterprise Wipe, Compliance)
  13. 13. PROJET MOBILITÉ ET SES PIÈGES
  14. 14. LUTTER CONTRE LES «MYTHES» DE LA MOBILITÉ ► Tous les employés doivent avoir un accès complet à l’entreprise. ► Les employés qui utilisent les devices connaissent des risques. ► Les entreprises doivent attendre que le marché devienne mature ► L’augmentation de la flotte mobile augmente nécessairement le risque de faille de sécurité. ► Le MDM dans le cloud, ce n’est pas sécurisé. 14
  15. 15. DIMENSIONNEMENT ► Saturation des bornes Wifi ► Saturation des connexions Internet ► Saturation de liens WAN o Rapatriement d’emails o Accès aux intranets o Accès aux documents ► Dépassement de forfait / frais de Roaming ► Dimensionnement des composants MDM o SGBD o Système de fichier pour le MCM (Mobile Content Management) 15
  16. 16. SÉCURITÉ ► Peut-on imposer les mécanismes de sécurité en place ? o Protection du surfing Internet o Protection des mails o Analyse Anti Virus ► Faire face aux BUGS  o Déni de service sur l’infrastructure Exchange ActiveSync via IOS o Bypass du login du device ► Sécurité = compromis o Trop de sécurité = Se retrouver avec n smartphones / tablettes par collaborateur. 16
  17. 17. GESTION DES MAILS ► Mails chiffrés o Comment les lire sur les smartphones ? o Problématique chiffrement de mails Lotus Notes ► Serveurs de messagerie o Technologies (Microsoft / Lotus) o Architecture distribuées (problématique d’accès à des serveur en filiale) o Problématique de haute disponibilité 17
  18. 18. INTÉGRATION DE TECHNOLOGIES NON MAITRISÉES ► Exemple : l’authentification par certificat numérique ► Gestion du cycle de vie des certificats numériques o Ex : Gestion du certificat pour la connexion au service Apple APNs ► Contrôle d’accès avec validation par CRL ou OCSP o Problèmes d’implémentations sur certains systèmes o Mécanismes nécessaires mais non intégrés dans le design du projet 18
  19. 19. ARCHITECTURES
  20. 20. Reverse Proxy LA GESTION DES EMAILS Lotus Exchange Mail Gateway  Proxy ActiveSync  SSL Offloading  Authentification Certificat  Contrôle d’accès LDAP  Load Balancing  Proxy ActiveSync  Contrôle de compliance  Load Balancing
  21. 21. Reverse Proxy SINGLE POINT OF ACCESS Lotus Exchange Mail Gateway lotus.e-xpertsolutions.com exch.e-xpertsolutions.com
  22. 22. Multiples points d’accès (wifi, accès guest, 3G, …) L’équipement n’appartient pas au domaine Microsoft de l’entreprise Support limité des mécanismes d’authentification Fonctionnalités variables dépendant du type d’équipement (IOS, Android, etc.) Protection du surfing internet
  23. 23. 23 CHOISIR LA BONNE ARCHITECTURE PROXY WEB ► Besoin d’authentification pour les utilisateurs internet ? ► Appliquer la même politique de sécurité pour tous les utilisateurs ? ► Il n’existe pas de solution miracle, mais une multitude de compromis à accepter ! ► Déploiements : ► Explicit ► WCCP ► Transparent ► Cloud
  24. 24. LE RETOUR DE LA PKI ► Usages : o Authentification e-mail, wifi, vpn o Chiffrement et signatures des e-mails o Chiffrement et authentification pour les apps internes o Chiffrement du contenu
  25. 25. Reverse Proxy ARCHITECTURE PKI MDM CA Root CA Mobilité Validation du certificat Enrôlement, révocation, etc.  Validation CRLDP ou OCSP  Extraction du « Subject »  Extraction d’un attribut spécifique
  26. 26. 26 DEMO – REMOTE ACCESS 1. Authentification par certificat numérique 2. Validation du certificat client via les CRLDP (CRL Distribution Point) 3. Est-ce qu’il s’agit d’un device Apple IOS (iPhone, iPad, iPod, etc.) ? 4. Est-ce que la connexion s’établit depuis l’application «F5 Edge Client» ? 1 2 3 4
  27. 27. E-XPERT
  28. 28. APPROCHE E-XPERT SOLUTIONS ► Sensibiliser / Accompagner o Echanger avec la direction et présenter de façon transparente, les enjeux, avantages, inconvénients, risques de la mobilité dans le contexte client. o En faire ressortir les besoins ► Gérer o Gestion de projet de bout en bout. Si nécessaire avec la coordination des acteurs internes et externes (autre prestataires) o Capacité à s’engager au forfait (maitrise des coûts) 28
  29. 29. APPROCHE E-XPERT SOLUTIONS ► Concevoir o Maitrise des concepts et technologies infrastructures, réseau, sécurité pour définir une solution globale o Définition des politiques de sécurité pour les équipements gérés ► Mettre en œuvre o Maîtrise et certifications sur les solutions AirWatch • (MDM, MCM, MAM, MEM, AppWrapping, Workspace) o Composants techniques d’infrastructure • Load Balancing (environnement HA) • Reverse proxies / WAF • Architecture de cloisonnement 29 https://training.air-watch.com/verify/AWCRF4YJYJLDVR3Z
  30. 30. APPROCHE E-XPERT SOLUTIONS ► Supporter et faire évoluer o Maintien en condition opérationnel o Evolutions, prise en compte de nouveaux besoins ► Former o Management, IT et Utilisateurs 30
  31. 31. www.e-xpertsolutions.com www.e-xpertsolutions.com/rssglobal blog.e-xpertsolutions.com twitter.com/expertsolch linkedin.com/company/110061?trk=tyah slideshare.net/e-xpertsolutions https://www.youtube.com/user/expertsolch MERCI DE VOTRE ATTENTION Yoann Le Corvic Senior Security Engineer / ISO 27001 Lead Auditor tel. +41 22 727 05 55 Yoann.lecorvic@e-xpertsolutions.com www.e-xpertsolutions.com Yann Desmarest Innovation Center Manager tel. +41 22 727 05 55 Yann.desmarest@e-xpertsolutions.com www.e-xpertsolutions.com

×