4. BYOD - thèses
● Tout le monde fait déjà du BYOD
Aïkido ;-)
● Device = équipement + apps
La productivité augmente
● La sécurité est au centre du débat
Avez-vous une sécurité suffisante… sans le BYOD ?
● La frontière perso/pro s’atténue
Et dans les deux sens
● Le métier IT doit se rapprocher des métiers / usages
Assez de technique pour la technique
5. Tout le monde fait déjà du BYOD
● Utilisation du téléphone privé dans le cadre pro ?
L’employeur paie une partie des factures
● Combien d’employés sont équipés de deux mobiles ?
Dumb-phone pro + smart-phone perso !
● Combien d’utilisateurs administrateurs de leur PC ?
PC pro = PC perso payé par l’entreprise !
10. Sécurité : qui accède aux données ?
● Authentification forte à deux facteurs
Mot de passe + certificat PKI ou OTP
● Chiffrement sur les équipements mobiles
Smartphones, tablettes et laptops !
● Contrôler l’accès aux données sensibles
Limiter données locales, effacement à distance, audits des accès
● Sur vos PCs professionnels, où en êtes-vous ?
Droits administrateurs ? Mots de passe ? Chiffrement ?
11. Exemple 1 : fuite de données
● Le laptop de papa est utilisé au bureau
● Les enfants s’en servent aussi
Téléchargements, Facebook, peer-to-peer
● Ils divulguent des documents professionnels
Par inadvertance, sur emule
● Qui est responsable ?
12. Exemple 2 : virus
● Le laptop de maman est utilisé au bureau
● Les enfants s’en servent aussi
Téléchargements, Facebook, peer-to-peer
● Un virus est emmené et propagé au bureau
Le réseau informatique est inutilisable pendant 1j !
● Qui est responsable ?
13. Frontière perso/pro
● Le professionnel s’immisce dans le personnel
Travail hors des locaux, le soir ou le week-end, toujours dispo
● Ressources professionnelles fins personnelles
Téléphone, accès à Internet, messagerie, impressions…
● Situations complexes
Licenciement, disparition, séquestre
● Qui est propriétaire / responsable ?
Limiter les données sur l’équipement mobile
14. Nouvelles activités pour l’IT
● Mieux comprendre les besoins des utilisateurs
L’informatique n’est plus réservée aux experts
● Gérer l’externalisation
De (pas) faire à faire faire
● Maîtriser l’hétérogénéité
A l’impossible nul n’est tenu !
● Informez, éduquez, sensibilisez
Ces changements importants doivent être accompagnés
15. Nouvelles pratiques à intégrer
● Avenant au contrat de travail, charte BYOD & politique de sécurité
Modèles tebicom
Politique de sécurité de l’information – Niveaux de confidentialité
● Architectures techniques
Niveaux de 1 - Public 2 - Interne 3 - Confidentiel 4 - Secret
confidentialité Aucun besoin de confidentialité Faible besoin de confidentialité Besoin réel de confidentialité Besoin très élevé de confidentialité
Icônes
Le contenu du document est Accès limité aux employés de L’information est sensible et L’information est très
public et est largement la société, non autorisé à des est relative aux clients de la sensible. Notamment :
Ségrégation, VPN, « Desktop déstructuré »
disponible ou distribué : site tiers. Notamment : offres, société, à des données données stratégiques,
Internet, brochures RDI, documents relatifs aux personnelles (LPD) ou au comptabilité, données
marketing. L’information peut fournisseurs, emails, savoir-faire de la société. personnelles sensibles (LPD),
être distribuée librement à contacts, tâches et notes Notamment : documentation mots de passe, audits.
toute personne interne ou personnelles. La distribution à client, certains emails La distribution est limitée à un
Définitions et
exemples externe à la société. l’extérieur est interdite. Si un sensibles. groupe fermé de destinataires
document ne porte aucune La distribution est limitée à un (l’information ne doit pas
marque de sécurité, il est par groupe fermé de destinataires sortir de ce groupe).
défaut classé «interne». (l’information ne doit pas Toute exception nécessite une
Toute exception nécessite une sortir de ce groupe). approbation de la direction et
approbation de la direction et Toute exception nécessite une un accord de confidentialité.
un accord de confidentialité. approbation de la direction et
● Mobile Device Management – MDM
un accord de confidentialité.
Répertoires Pas de restriction. Répertoires sans contrôle Répertoires avec contrôle Répertoires avec contrôle
partagés (non d’accès spécifique. d’accès spécifique. d’accès spécifique.
exposés) Chiffrement.
Stockage de l’information
Systèmes Pas de restriction. Contrôle d’accès spécifique. Contrôle d’accès spécifique. Contrôle d’accès spécifique.
exposés
(portail) Chiffrement.
Solutions Pas de restriction. Contrôle d’accès spécifique. Contrôle d’accès spécifique. Contrôle d’accès spécifique.
Zenprise
Cloud Chiffrement. Chiffrement.
Supports mobiles
(clé USB, Pas de restriction. Pas de restriction. Chiffrement. Chiffrement.
smartphone, Rangement sous clé.
laptop, DVD...)
Document Pas de restriction. Pas de restriction. Rangement sous clé. Rangement sous clé.
papier
Destruction de Pas de restriction. Pas de restriction. Shredder. Shredder.
document
Pas de restriction. Autorisé. Interdit. Interdit.
Par FAX
Transfert de l’information
● Cloud apps
Pas de restriction. Pas de restriction. Chiffrement. Chiffrement.
Par email Accusé de réception.
Par transfert Pas de restriction. Pas de restriction. Chiffrement. Chiffrement.
électronique Accusé de réception.
(FTP, Dropbox,
etc.)
Pas de restriction. Pas de restriction. Lettre signature (accusé de Livraison par personne de
Par la Poste ou réception). confiance avec accusé de
transporteur
Box.com, Office365, Google Apps…
remise en mains propres.
Aux systèmes Pas de restriction. Authentification. Authentification forte. Chiffre- Authentification forte. Chiffre-
directement Chiffrement des ment des communications. ment des communications.
exposés communications. Journal des accès privilégiés. Journal de tous les accès.
Accès à distance à l’information
Pas de restriction. Authentification. Authentification forte. Chiffre- Authentification forte. Chiffre-
Aux systèmes Chiffrement des ment des communications. ment des communications.
via accès VPN
communications. Journal des accès privilégiés. Journal de tous les accès.
Aux Pas de restriction. Authentification. Authentification forte. Chiffre- Authentification forte. Chiffre-
applications
Chiffrement des ment des communications. ment des communications.
● Infrastructure IDP avec authentification forte
Cloud /
hébergées communications. Journal des accès privilégiés. Journal de tous les accès.
Mesures Pas de restriction. Accord de confidentialité. Accord de confidentialité. Accord de confidentialité.
supplémentaires
pour les tiers / Approbation de la direction. Approbation de la direction. Approbation de la direction.
partenaires Audits récurrents. Audits récurrents.
Mesures Pas de restriction. Approbation de la direction. Certification de sécurité Certification de sécurité
supplémentaires
pour le Cloud / approuvée (type SAS70). approuvée (type SAS70).
hébergement Approbation de la direction. Approbation de la direction.
Tebicom SA – 20.01.2012 NB : tout chiffrement doit être basé sur une clé privée de type AES256 ou équivalent
PKI, Active Directory, Okta.com…
16. Pour conclure
● BYOD : est-ce que j’y vais ? comment j’y vais ?
Problématique de responsabilités avant tout
● Le desktop n’est plus important
Concentrez-vous sur les apps et les données
● Prenez les devants
Intégrez le BYOD par paliers
● Elaborez une charte BYOD
Sécurité et responsabilités
Notes de l'éditeur
SalutationsPrésentation du présentateur !
USPComme dans l’aïkido, utilisez l’énergie déployée par les utilisateurs pour atteindre vos objectifs, notamment augmenter la productivité !
Proof of concept: les différentssautstechnologiquessontd’abordadoptés par le grand public !to point B : tebicom peut vous accompagner pour mettre en œuvre les nouvelles technologies dans la tendance BYOD