La mobilité s'impose et nous expose. Faut-il subir ou gérer ? L'évolution de la mobilité en entreprise présentée et agrémentée par des démonstrations d'attaque et par les moyens de ...

1. Yoann Le Corvic
Senior Security Engineer / ISO 27001 Lead Auditor
tel. +41 22 727 05 55
Yoann.lecorvic@e-xpertsolutions.com
www.e-xpertsolutions.com
L’EVOLUTION «MOBILITÉ»
Subir ou gérer ?
Yann Desmarest
Innovation Center Manager
tel. +41 22 727 05 55
Yann.desmarest@e-xpertsolutions.com
www.e-xpertsolutions.com
Séminaire sécurité du 12 juin 2014

2. AGENDA
Dans la peau d’un Cybercriminel
La mobilité s’impose… et nous expose !
Gérer ou subir
Architectures type
Services e-Xpert Solutions
Projet mobilité et ses pièges

3. Récupération de fichiers …
…en 5 minutes chrono !

4. LA MOBILITÉ S’IMPOSE …
… ET NOUS EXPOSE

5. LA MOBILITÉ : ÉVOLUTION NATURELLE ?
Téléphone
Fixe
Natel
Smartphone
Tablette Hybride ???

6. LA MOBILITÉ S’IMPOSE...
6

7. ET LA MOBILITÉ NOUS EXPOSE…
Genève : 1 vol / heure, 8000 sur l’année
2011 (4245 en 2006) (source : Police Cantonale
de Genève)
New York : près de 12000 iPhone/iPads
entre le 01.01.2012 et 23.09.2012 (source :
NYPD)
70 million de téléphones perdus chaque
année – seulement 7% retrouvés (source :
Etude Intel 2009)
50% des utilisateurs de smartphones y
stoquent des mot de passe,
informations personnelles et données
de carte de crédit (source : Etude Intel 2009)
36% des tablettes contiennent des
informations professionnelles (source :
Etude Intel 2009)
700 000 applications Android
malveillantes (source : rapport Trend Micro)

8. SUBIR OU GÉRER ?

9. il était une fois …
SUBIR

10. RÉSULTATS
10
► Parc hétérogène, géré (ou pas) «artisanalement», sans politique de
sécurité globale, sans visibilité globale…
► Perte quasi-totale du contrôle des données d’entreprise
o Dommage, à l’heure ou la fuite d’information est un sujet majeur
► Potentiel risque d’être «Hors la loi» en Suisse ou dans une filiale
60 % des entreprises
européennes n’ont aucune
“stratégie” mobilité
(Source : PAC - 2013)

11. 11
GÉRER
PRAGMATISME
L’amener à exprimer les besoins, même de façon sommaire.
Communiquer avec le management sur les besoins, mais aussi problématiques.
Gérer le projet mobilité comme un …. Projet.
Choisir la solution technique, et l’intégrer.
Former les administrateurs, helpdesk, opérateurs.
Former les utilisateurs, au moins les sensibiliser.
Ne pas sous estimer les aspects RH et Juridiques
Cf. Présentation Me Fanti https://www.youtube.com/user/expertsolch
BYODornottoBYOD?
Thatisthequestion.

12. RÉSULTATS
12
► Parc homogène, supervisé, maitrisé
o Configuration centralisée
► Expérience utilisateur, support amélioré, sans pour autant être très
intrusif
► Fonctionnalités sécurité offertes par les fonctions MDM (Enterprise
Wipe, Compliance)

13. PROJET MOBILITÉ
ET SES PIÈGES

14. LUTTER CONTRE LES «MYTHES» DE LA MOBILITÉ
► Tous les employés doivent avoir un accès complet à l’entreprise.
► Les employés qui utilisent les devices connaissent des risques.
► Les entreprises doivent attendre que le marché devienne mature
► L’augmentation de la flotte mobile augmente nécessairement le
risque de faille de sécurité.
► Le MDM dans le cloud, ce n’est pas sécurisé.
14

15. DIMENSIONNEMENT
► Saturation des bornes Wifi
► Saturation des connexions Internet
► Saturation de liens WAN
o Rapatriement d’emails
o Accès aux intranets
o Accès aux documents
► Dépassement de forfait / frais de Roaming
► Dimensionnement des composants MDM
o SGBD
o Système de fichier pour le MCM (Mobile Content Management)
15

16. SÉCURITÉ
► Peut-on imposer les mécanismes de sécurité en place ?
o Protection du surfing Internet
o Protection des mails
o Analyse Anti Virus
► Faire face aux BUGS 
o Déni de service sur l’infrastructure Exchange ActiveSync via IOS
o Bypass du login du device
► Sécurité = compromis
o Trop de sécurité = Se retrouver avec n smartphones / tablettes par
collaborateur.
16

17. GESTION DES MAILS
► Mails chiffrés
o Comment les lire sur les smartphones ?
o Problématique chiffrement de mails Lotus Notes
► Serveurs de messagerie
o Technologies (Microsoft / Lotus)
o Architecture distribuées (problématique d’accès à des serveur en filiale)
o Problématique de haute disponibilité
17

18. INTÉGRATION DE TECHNOLOGIES NON MAITRISÉES
► Exemple : l’authentification par certificat numérique
► Gestion du cycle de vie des certificats numériques
o Ex : Gestion du certificat pour la connexion au service Apple APNs
► Contrôle d’accès avec validation par CRL ou OCSP
o Problèmes d’implémentations sur certains systèmes
o Mécanismes nécessaires mais non intégrés dans le design du projet
18

19. ARCHITECTURES

20. Reverse Proxy
LA GESTION DES EMAILS
Lotus
Exchange
Mail Gateway
 Proxy ActiveSync
 SSL Offloading
 Authentification Certificat
 Contrôle d’accès LDAP
 Load Balancing
 Proxy ActiveSync
 Contrôle de compliance
 Load Balancing

21. Reverse Proxy
SINGLE POINT OF ACCESS
Lotus
Exchange
Mail Gateway
lotus.e-xpertsolutions.com
exch.e-xpertsolutions.com

22. Multiples points d’accès (wifi, accès guest, 3G, …)
L’équipement n’appartient pas au domaine Microsoft de l’entreprise
Support limité des mécanismes d’authentification
Fonctionnalités variables dépendant du type d’équipement (IOS, Android, etc.)
Protection du surfing internet

23. 23
CHOISIR LA BONNE ARCHITECTURE PROXY WEB
► Besoin d’authentification pour les utilisateurs
internet ?
► Appliquer la même politique de sécurité pour tous
les utilisateurs ?
► Il n’existe pas de solution miracle, mais une
multitude de compromis à accepter !
► Déploiements :
► Explicit
► WCCP
► Transparent
► Cloud

24. LE RETOUR DE LA PKI
► Usages :
o Authentification e-mail, wifi, vpn
o Chiffrement et signatures des e-mails
o Chiffrement et authentification pour les apps internes
o Chiffrement du contenu

25. Reverse Proxy
ARCHITECTURE PKI
MDM
CA Root
CA Mobilité
Validation du certificat
Enrôlement, révocation, etc.
 Validation CRLDP ou OCSP
 Extraction du « Subject »
 Extraction d’un attribut spécifique

26. 26
DEMO – REMOTE ACCESS
1. Authentification par certificat numérique
2. Validation du certificat client via les CRLDP (CRL Distribution Point)
3. Est-ce qu’il s’agit d’un device Apple IOS (iPhone, iPad, iPod, etc.) ?
4. Est-ce que la connexion s’établit depuis l’application «F5 Edge Client» ?
1
2 3
4

27. E-XPERT

28. APPROCHE E-XPERT SOLUTIONS
► Sensibiliser / Accompagner
o Echanger avec la direction et présenter de façon transparente, les
enjeux, avantages, inconvénients, risques de la mobilité dans le contexte
client.
o En faire ressortir les besoins
► Gérer
o Gestion de projet de bout en bout. Si nécessaire avec la coordination des
acteurs internes et externes (autre prestataires)
o Capacité à s’engager au forfait (maitrise des coûts)
28

29. APPROCHE E-XPERT SOLUTIONS
► Concevoir
o Maitrise des concepts et technologies infrastructures, réseau, sécurité
pour définir une solution globale
o Définition des politiques de sécurité pour les équipements gérés
► Mettre en œuvre
o Maîtrise et certifications sur les solutions AirWatch
• (MDM, MCM, MAM, MEM, AppWrapping, Workspace)
o Composants techniques d’infrastructure
• Load Balancing (environnement HA)
• Reverse proxies / WAF
• Architecture de cloisonnement
29
https://training.air-watch.com/verify/AWCRF4YJYJLDVR3Z

30. APPROCHE E-XPERT SOLUTIONS
► Supporter et faire évoluer
o Maintien en condition opérationnel
o Evolutions, prise en compte de nouveaux besoins
► Former
o Management, IT et Utilisateurs
30

31. www.e-xpertsolutions.com
www.e-xpertsolutions.com/rssglobal
blog.e-xpertsolutions.com
twitter.com/expertsolch
linkedin.com/company/110061?trk=tyah
slideshare.net/e-xpertsolutions
https://www.youtube.com/user/expertsolch
MERCI DE VOTRE ATTENTION
Yoann Le Corvic
Senior Security Engineer / ISO 27001 Lead Auditor
tel. +41 22 727 05 55
Yoann.lecorvic@e-xpertsolutions.com
www.e-xpertsolutions.com
Yann Desmarest
Innovation Center Manager
tel. +41 22 727 05 55
Yann.desmarest@e-xpertsolutions.com
www.e-xpertsolutions.com