Bring Your Own Device, Vision sécurité et approche de solutions Article technique Microsoft France Date de publication: Septembre 2013 Version. 2. 0 Auteur : Jean-Yves Grasset (Microsoft France) Relecteurs : Bernard Ourghanlian (Microsoft France), Philippe Beraud (Microsoft France), Arnaud Jumelet (Microsoft France). Copyright C 2013 Mi Résumé : Le phénom est une tendance pr org7 Sni* to View ights reserved. vite » (BYOD) nt d’appareils personnels de plus en plus puissants qui sont désormais indispensables à notre lien avec l’extérieur. Ces nouveaux outils, pensés au départ pour le grand public, tendent à s’introduire dans a sphère professionnelle par le biais de la porosité de la frontière entre la vie privée et le travail. Il nous semble vain de tenter d’ignorer ou de rejeter ce phénomène lié à une véritable mutation que fon peut qualifier de soclologique.
Après une première analyse du phénomène BYOD, et la description d’une démarche plus globale, ce document propose une évolution du modèle de sécurité périmétrique à travers la notion de contexte d’accès – sécurité du terminal, confiance de l’identité, force de l’authentification et lieu de connexion – pour adapter les autorisations en fonction du niveau de sensibilité es données. Les directions de solutions sont recensées pour vous permettre d’accueillir ces nouveaux périphériques dans les d’adresser les nouveaux défis liés au BYOD et les transformer en véritable opportunité business pour votre entreprise.
Table des matières Bring Your Own Device: Quelle réalité, quelle démarche? 3 L’envolée des smartphones et tablettes 3 BYOD: Causes et adoption 4 BYOD : ces risques 5 Les scénarios d’usage 7 Démarche globale et checklist 7 Bring Your Own Device: l’approche Microsoft 14 Comment aborder le problème ? 14 Les grands principes et l’évolution du modèle 14 La classificatlon des terminaux 16 Le contexte d’accès 19 Politiques de sécurité: l’équation complète 22 Rôles et autorisations 23 Les directions de solution 24 MDM et VDI : l’unique réponse ? 4 Les 4 niveaux de protection 26 Authentification (multi-facteur) de l’utilisateur27 Authentification de l’appareil 33 Assoclation entre l’appareil et l’identité de futilisateur 33 Protection niveau couche appareil 39 Protection au niveau couche réseau 46 Protection au niveau couche service48 Protection au niveau couche Données 53 Enterprise Mobile Management 63 Conclusion 66 Bring Your Own Device: Quelle réalité, quelle démarche?
L’envolée des smartphones et tablettes Le phénomène « Bring Your Own Device » (BYOD) désigne le scénario par lequel les employés apportent leur propre matériel dans les locaux de l’entreprise pour un usage professionnel, en plus de leur utilisation dans un cadre purement privé, avec l’accord et éventuellemen l’employeur. Cest PAGF g) de plusieurs facteurs.
Nous vivons dans un monde de plus en plus connecté, que ce soit à la maison où Vinternet est disponible en Wi-Fi depuis n’importe quelle pièce, à l’extérieur à travers le réseau 3G/4G, depuis ‘hôtel, le hall d’aéroport, l’accès au web est artout disponible et a modifié de manière durable notre rapport au monde. Dans son rapport sur le trafic et les données marché daté de juin 20121, Ericsson prédit une couverture 3G de 85% de la population mondiale en 2017 et de pour la 4G.
Les estimations sur le trafic de données pour la téléphonie mobile font état d’une multiplication par quinze entre 2011 et 2017. Nous profitons de cette connexion omniprésente pour consommer rinformation sous toutes ses formes : journaux d’information sous leur forme numérique plutôt que papier, messagerie personnelle ou privée, visualisation de vidéos, éseaux sociaux pour rester en contact avec un nombre de plus en plus impressionnant d’amis, chat en ligne avec les proches, jeux, etc.
Ces nouveaux usages sont rendus disponibles par des équipements portables légers et de petite taille (smartphones), de la dimension d’une feuille de papier pour une meilleure lecture et doté d’une interface tactile (tablettes), équipés d’un écran et d’un clavier mais poids plume (Ultrabook). Le point commun entre ces différents équipements est leur puissance permettant de faire tourner des applications de plus en plus addictives, téléchargeables depuis des magasins d’applications et dont le ombre se calcule en centaines de milliers même si toutes n’ont pas le même intérêt.
Poussée par le marketing des fabricants leaders du marché et par une concurrence acharnée, la fréquence de renouvellement est stupéfiante même si les innovations ne sont pas toujours a 3 OF g) acharnée, la fréquence de renouvellement est stupéfiante même si les innovations ne sont pas toujours au rendez-vous des nouveaux modèles. Il faut dire que la taille du marché est phénoménale puisque, selon une source Gartner datant de février 201 22, il s’est vendu près de milliard de téléphones obiles en 2011 dans un marché que l’on considère pourtant comme pratiquement saturé, dont 31% de smartphones soit 472 millions d’unités.
Toujours selon le rapport Ericsson, si le nombre d’abonnement de smartphones était de 700 millions en 2011, il devrait atteindre 3 milliards en 2017. Le smartphone est, sans conteste, en train de devenir le moyen d’accès privilégié ? internet. Les prévisions de Forrester pour 2016 permettent d’établir la proportion d’équipements en tablettes et smartphones : rien que pour les Etats-Unis, Forrester anticipe que les foyers américains eront en possession de 126 millions de tablettes et 256 millions de smartphones3.
Le facteur de forme est un élément privilégié dans le monde du grand public de même que l’attraction liée à la marque qui fait de vous quelqu’un dans Pair du temps par la simple possession de l’objet. Avec un tel engouement pour les terminaux intelligents, les utilisateurs technophiles sont à la fos de plus en plus autonomes, à la pointe de la technologie et deviennent eux- mêmes prescripteurs de technologies. BYOD: Causes et adoption Quel est le rapport entre ces chiffres mettant en évidence la progression phénoménale des équipements personnels ntelligents et l’entreprise ?
Sil on en croit le Gartner, « L’émergence des programmes « Bring You Own Device » est tout simplement le tournant le plus radical dans l’économie de l’informatique client pour les entreprises depuis que les PC ont envah depuis que les PC ont envahi le lieu de travai14». L’adoption massive des nouveaux équipements intelligents provoque un véritable décalage entre le marché des consommateurs et les outils qui sont mis à disposition de leurs employés par les entreprises.
Dans son analyse « he BYOD Effect5 la société Mobi18 décrit bien ce décalage : précédemment, l’adoption des périphériques ar l’entreprise précédait sa diffusion en masse sur le marché de la consommation courante ; BlackBerry est l’exemple concret d’une innovation pensée pour l’entreprise qui a ensuite essaimé chez les particuliers. Cette tendance s’est complètement inversée avec l’arrivee des smartphones et tablettes Apple ou Android qui ont été ciblées uniquement pour le marché grand public.
A présent, c’est lorsque ce marché a adopté ces nouveautés technologiques que l’entreprise se voit sollicitée par les employés devenus prescripteurs pour les intégrer dans son périmètre. Cependant, les contraintes de l’entreprise dans le choix de ses ?quipements ne sont pas les mêmes que pour le particulier ; les critères de l’IT sont tournés vers la gestion, le contrôle et la sécurité. L’introduction de nouveaux périphériques nécessite un minimum de qualificatlon car l’entreprise aura la charge den assurer le support.
Par mesure de rationalisation des dépenses, les achats sont faits par quantité importante avec un stock suffisant pour assurer les retours des périphériques défaillants. Une forte hétérogénéité des périphériques est synonyme de coût supplémentaire et de difficulté de maitrise par les équipes de HelpDesk. Pour respecter ce processus, l’entreprise s’inflige un deuxième décalage par rapport au cycle de mise sur le march PAGF s OF g) processus, l’entreprise s’inflige un deuxième décalage par rapport au cycle de mise sur le marché des nouveaux équipements.
Le collaborateur dispose pour son usage personnel d’un périphérique attrayant, qu’il a choisi personnellement, dont il maitrise parfaitement le fonctionnement: il va être incité en toute logique à étendre son utilisation dans le cadre de son travail pour éviter d’avoir à assumer un équipement supplémentaire ourni par l’entreprise et, de plus, déjà démodé. Il est prêt ? assurer lui-même la maintenance de son équipement et ? admettre un entrelacement ou une certaine porosité entre vie privée et professionnelle.
L’entreprise peut entrevoir, en première approche, des bénéfices comme un gain de productivité des employés et une réduction des coûts liés à l’acqulsitlon et la maintenance des terminaux. Même si la satisfaction des utilisateurs n’est toujours facilement quantifiable, l’adoption du BYOD peut également redorer le blason de l’I Le BYOD correspond-il à un effet de mode ? Le taux d’adoption, elon l’étude Gartner déjà citée, évalue en moyenne que les CIO aux Etats-Unis s’attendaient à ce que 38% des effectifs utilisent des terminaux personnels en fin 2012 et environ la moitié de ce taux pour l’Europe.
Une enquête de Cisco datée de fin 2011 menée auprès de 1500 décideurs aux Etats-Unis et en Europe, note un rapport de 3 entre les demandes de tablettes en proportion des téléphones. Ces chiffres confirment que, malgré leurs réticences, les entreprises ne peuvent ignorer ce qui devient bien plus qu’une tendance. L’adoption du BYOD ne se résume pas au choix et à la mise en ?uvre d’un outil de gestion de flotte de mobiles (« Mobile Device Management » ou MDM).
Ceci explique que la majorité des entreprises (60%) con OF g) mobiles (« Mobile Device Management » ou MDM). Ceci explique que la majorité des entreprises (60%) continue encore sur le modèle où tous les périphériques sont fournis et gérés en interne – il se peut que des mobiles « pirates » soient connectés sur le réseau interne mais en dehors d’un programme accrédité -. Environ implémentent un modèle hybride (c’est le cas de l’informatique interne de Microsoft) et sont passées à un programme BYOD complet6.
BYOD : ces risques Le défi majeur apporté par le BYOD tient au fait que ces périphériques ne sont pas conçus pour l’entreprise mais pour le grand public. Selon toute logique, le frein le plus important ? l’adoption du BYOD est la sécurité. Tout responsable sécurité jugera inacceptable d’ouvrir l’accès à son réseau interne à des terminaux inconnus, en-dehors de tout contrôle de l’IT par le simple biais d’une authentification de l’utilisateur.
L’exposition au risque pourrait sembler limitée s’il s’agit d’autoriser uniquement l’accès à la messagerie d’entreprise ; cependant le risque est loin ‘être négligeable dès lors que l’utilisateur entre ses informations d’identification (identifiant et mot de passe) de l’entreprise sur un terminal pour lequel le niveau de confiance est limité et pouvant être compromis par un keylogger.
De plus, l’acces à la messagerie d’entreprise est une porte ouverte vers la fuite d’information . si la tablette ou le smartphone sont utilisés par un VIP, les informations sensibles qu’il transfère sur son équipement seront à disposition de personnes malintentionnées en cas de perte.
L’ENISA dans son document « Consumerization of IT: Top Risks nd Opportunities7 » classe les risques liés au BYOD et la Consumérisation de l’IT en trois catégories : les risques relati risques liés au BYOD et la Consumérisation de l’IT en trois catégories : les risques relatifs au coût, les risques relatifs aux aspects légaux et réglementaires, et enfin ceux affectant les données (confidentialité, intégrité, dlsponibilité ou respect de la vie privée).
Dans les risques liés au coût, la fuite d’information par des comportements négligents de la part des utilisateurs et ses impacts en termes d’image sont cités en premier lieu. La complexité et la diversité des périphériques, le vol des équipements peuvent être à l’origine de coûts supplémentaires. Enfin, des coûts sont à envisager pour que l’entreprise prenne en compte les modifications dans l’architecture de sécurité pour passer d’un modèle de protection périmétrique à une sécurité de bout-en-bout, l’adaptation des politiques de sécurité, la sensibilisation et la formation des utilisateurs.
Dans la catégorie des risques légaux, le manque de contrôle sur les terminaux détenus par les employés complexifie la traçabilité des actions vis-à-vis des actifs de l’entreprise, la gestion des ncidents de sécurité et le respect de la conformité réglementaire. Par le mélange entre vie privée et vie professionnelle qu’implique le BYOD, il devient plus difficile pour l’entreprise de s’assurer du respect des contraintes réglementaires liées aux ressources humaines par exemple télétravail caché, dépassement des heures de travail.
Le manque de distinction entre les données personnelles et professionnelles peut ajouter de la difficulté dans la recherche de preuve au format électronique (e-discovery) et augmenter la probabilité de litiges entre les entreprises et leurs mployés dans le domaine du respect de la vie privée. La dernière catégorie de risques concerne les données proprement di BOF g) du respect de la vie privée. proprement dites ce qui est, de notre avis, le point focal.
L’augmentation du risque de fuite d’informatlon est le risque le plus prégnant en cas de contrôle plus lâche de l’application des politiques de sécurité sur les périphériques ; la diversité des équipements ajoute à la difficulté de leur contrôle ; leur inadaptation aux contraintes de l’entreprise par manque de maturité technologique favorise la diffusion incontrôlée de données sensibles. Par leur niveau de sécurité plus faible les rendant plus sensibles aux malwares et une forte exposition, ces terminaux peuvent devenir des cibles privilégiées pour obtenir l’accès à des données critiques de l’entreprlse.
La citation de Tony Scott CVP & Microsoft CIO parlant de la consumérisation « This is a data, not a device discussion » – reflète bien que l’importance du défi est concentré sur la protection des données. Les autres études comme celle produite par la Cloud Security Alliance « Top threats to Mobile Computing8 » relèvent les mêmes types de risques concentrés autour de la fuite de données que e soit par perte, vol ou dé-commissionnement de terminaux, vol de données par malware ou négligence dans la protection ou le comportement des utilisateurs.
L’une des recommandations de Symantec dans son rapport sur l’utilisation des technologies mobiles en entreprise en 20129 met en évidence cette approche : [Adoptez une] Sécurité exhaustive : dépassez le cadre des règles de mot de passe, d’effacement et de blocage d’applications. Concentrez-vous sur l’information et les endroits où elle est visualisée, transmise et stockée. une intégration avec les règles existantes de prévention des pertes de données, de chi t stockée.
Une intégration avec les règles existantes de prévention des pertes de données, de chiffrement et d’authentification garantit la conformité systématique avec les polltiques internes et les réglementations. Pour résumer, les défis posés par le BYOD sont relatifs au manque de contrôle des terminaux lié à leur diversité et au fait qu’ils ne soient pas la propriété de l’entreprise, un mélange entre les données privées et professionnelles, une inadaptation du modèle de protection périmétrique.
Ceci expose aux risques de fuite d’information et de non-respect de conformité églementaire. Face à ces risques, la maturité de rentreprise en termes de sécurité est structurante : quel est le fossé pour passer d’une infrastructure de sécurité où [‘ensemble des terminaux était – dans le meilleur des cas – contrôlés et où tous les efforts étaient concentrés sur la protection périmétrique à une dynamique de contrôle d’accès concentré sur les données ?
Si un système de classification des données est déjà en place et que le contrôle d’accès aux données est basé sur une gestion des identités sérieuse et des principes d’authentification forte, le chemin ? arcourir pour prendre en compte le BYOD sera nettement moins ardu. A contrario, si la gestion de la sécurité de l’entreprise et la protection de l’accès à ses données est plus aléatoire, les risques auxquelles elle s’expose par l’ouverture aux scénarios de BYOD n’en seront que plus forts.
Les scénarios d’usage Les utilisateurs des périphériques autorisés dans le cadre d’un programme BYOD en feront une utilisation mixte privée- professionnelle. Pour avoir une vision complète des scénarios, il est intéressant de disposer d’éléments sur les usages les plus communs dans un contexte privé pour com
