1 / 46

Securite des solutions de mobilité

Securite des solutions de mobilité. neXus – Corporate facts. Nexus – créée en 1984 HQ à Stockholm – 15 représentations dans 7 pays +/- 200 employés Centres R&D à Stockholm et Karlsruhe Revenus + 30 millions € Un réseau de partenaires experts.

buck
Download Presentation

Securite des solutions de mobilité

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Securite des solutions de mobilité

  2. neXus – Corporate facts • Nexus – créée en 1984 • HQ à Stockholm – 15 représentations dans 7 pays • +/- 200 employésCentres R&D à Stockholm et Karlsruhe • Revenus + 30 millions € • Un réseau de partenaires experts. • Technologies novatrices : PKI et CMS multi-tenant, BPMN workflows, Invisible Token, etc. USA UK France Allemagne Suède Inde Maroc

  3. Gartner 2014 • “Technology Nexus demonstrated very sound market understanding and very strong product strategy and innovation, and remains a Leader in this Magic Quadrant” • (Gartner, December 2013)

  4. neXus • Software IDs neXus PKI Identity Suite neXus Entitlement Management neXus Authentication and Access • Certificate Manager • Middleware “Personal” • OCSP Responder • Validation Server • Timestamp Server • SmartACT • Credential Manager • Hybrid Acces Gateway SE46 Professional Services

  5. Agenda • Les menaces liées à la mobilité • Le BYOD • Quelques solutions d‘accès depuis tous les devices • Point particulier de l‘authentification forte

  6. mobilité Non mobilité

  7. Les menaces liées à une connexion Internet Intrusions Codes malveillants Fuite d’information Dénis de services Spam, Spoofing, Phishing APT

  8. Les menaces liées au cloud Intrusions Codes malveillants Fuite d’information Dénis de services Spam, Spoofing, Phishing APT Usurpation d’identité Fuite d’information API non sécurisées Personnel « corrompu » Faille étanchéîté des hyperviseurs

  9. Les menaces liées à la mobilité « simple » Des équipements infectés La fuite/perte d’information en case de perte/vol du device Risques d’intrusion sur le poste Logiciels malveillants Usurpation d’identité Intrusions Codes malveillants Fuite d’information Dénis de services Spam, Spoofing, Phishing APT Usurpation d’identité Fuite d’information API non sécurisées Personnel « corrompu » Faille étanchéîté des hyperviseurs

  10. Les menaces liées au BYOD • La fuite/perte d’information en cas de départ du collaborateur • Vol d’information sur un device prêté • Confidentialité des données stockées sur les backups du device? • PIN trop faible Des équipements infectés La fuite/perte d’information en case de perte/vol du device Risques d’intrusion sur le poste Logiciels malveillants Usurpation d’identité Intrusions Codes malveillants Fuite d’information Dénis de services Spam, Spoofing, Phishing APT Usurpation d’identité Fuite d’information API non sécurisées Personnel « corrompu » Faille étanchéité des hyperviseurs

  11. Les contre-mesures liées à une connexion Internet Sensibilisation Firewall Prévention d’intrusion Proxies/Reverse Proxy Relais de messagerie (antispam, antivirus) Filtrage URL SIEM Gestion des patches Audits/Tests d’intrusion réguliers Chiffrement des données

  12. Les contre-mesures liées au cloud Sensibilisation Firewall Prévention d’intrusion Proxies/Reverse Proxy Relais de messagerie (antispam, antivirus) Filtrage URL SIEM Gestion des patches Audits/Tests d’intrusion réguliers Chiffrement des données Chiffrement des connexions Bien choisir son prestataire Gestion d’identité efficace (Fédération/Orchestration d’identité) Authentification forte

  13. Les contre-mesures liées à la mobilité « simple » Sensibilisation Firewall Prévention d’intrusion Proxies/Reverse Proxy Relais de messagerie (antispam, antivirus) Filtrage URL SIEM Gestion des patches Audits/Tests d’intrusion réguliers Chiffrement des données Etablir des communication chiffrées Authentification forte Considérer comme une extension du réseau (FW, IPS, Filtrage application, AV, Filtrage URL local) Filtrage périphériques amovibles Chiffrement du disque dur backups Chiffrement des connexions Bien choisir son prestataire Gestion d’identité efficace (Fédération/Orchestration d’identité) Authentification forte

  14. Les contre-mesures liées au BYOD MDM Protection des API Sensibilisation Firewall Prévention d’intrusion Proxies/Reverse Proxy Relais de messagerie (antispam, antivirus) Filtrage URL SIEM Gestion des patches Audits/Tests d’intrusion réguliers Chiffrement des données Etablir des communication chiffrées Authentification forte Considérer comme une extension du réseau (FW, IPS, Filtrage application, AV, Filtrage URL local) Filtrage périphériques amovibles Chiffrement du disque dur backups Chiffrement des connexions Bien choisir son prestataire Gestion d’identité efficace (Fédération/Orchestration d’identité) Authentification forte

  15. Agenda • Les menaces liées à la mobilité • Le BYOD • Quelques solutions d‘accès depuis tous les devices • Point particulier de l‘authentification forte

  16. BYOD Bring Your Own Drink Bring Your Own Disk Bring Your Own Drugs Bring Your Own Dessert Bring Your Own Dice (gaming) Bring Your Own Deck (playing cards) Be Your Own Detective Bring Your Own Disaster Bring Your Own Device

  17. BYOD Equipement Entreprise • Réalité historique • Équipement standard, facile à supporter • Socle matériel et logiciels connus et maîtrisés • Evolution • COPE ou CYOD • A commencé avec la lecture des emails sur les devices (Palm) • Consumérisation, Équipement pro non attractif, IT trop lente, • VIP/Gen Y, mélange vie professionnelle et personnelle • Rendue possible par la « webification » des applications (et les apps) et la multiplication des moyens d’accès • Gagnant/gagnant

  18. BYOD, Les effets • Les utilisateurs ont plusieurs devices • Les applications se webifient pour être accessible depuis un simple browser • Multiplications des apps • Pousse à l’adoption des standards pour une interopérabilité optimale entre les devices et les navigateurs (le cloud également) • Pas de panique

  19. Agenda • Les menaces liées à la mobilité • Le BYOD • Quelques solutions d‘accès depuis tous les devices • Point particulier de l‘authentification forte

  20. Les solutions techniques existent • Pour chacun des besoins

  21. Les solutions globales • Les applications « webisées » • La virtualisation • Le MDM/MAM • Le MIM • L’approche proposée par neXus

  22. Les applications "webisées » • Inconvénients • Toutes les applications ne sont pas webisées • Ne fonctionnent qu’en mode connecté • Avantages • pas de déploiement, • les données restent dans le Datacenter, • maintenance/évolutions simplifiées, • isolation privé/société, • Adapté à tous les devices • Mêmes accès depuis internet et depuis le LAN (3G/WIFI)

  23. La virtualisation • Inconvénients • Ne fonctionne qu’en mode connecté • Pas toujours adapté à l’aspect tactile des tablettes/petits écrans si pas d’applications dédiées/spécifiques • Avantages • Les données restent dans le Datacenter • maintenance/évolutions simplifiées • Déploiement de nouvelles applications rapide • Fonctionne rapidement avec des nouveaux devices • Même interface pour tous les devices • Accès à toutes les applications

  24. Le MDM • Inconvénients • intrusif sur le device: installer un client MDM sur un Device perso rencontre des freins "sociaux" • Beaucoup de systèmes (IOS, Android, BlackBerry, Windows, ChromeOS, bientôt Mozilla), complexité à la longue? • Gestion de tous les devices (pc et mac)? • Problématique de déploiement • Avantages • protection du device et conformité à la politique de l'entreprise • Chiffrement, 2FA, gestion des apps, jail break detection • Gestion centralisée et devices permettant de vérifier leur statut

  25. Le MAM • Inconvénients • perte des applications natives et de leur « look and feel » • Problématique de déploiement • Avantages • cloisonnement et chiffrement des données • la politique s'applique au container, • développement possible de plusieurs applications dans le container et possibilité de faire du SSO

  26. Le MIM • Inconvénients • sécurité inconnue • Application de contrôles difficile • monitoring difficile • Avantages • données centralisées • capacité à accéder aux données de presque tous les devices

  27. 2 approches globales • Ne RIEN stocker sur l’équipement • Applications web • Déport d’écran • Accès à un univers virtuel • Sécuriser les équipements et leur environnement • Chiffrement • Authentification • Politique de sécurité • Gestion de flotte • Isolation de la connexion réseau • Traçabilité, Supervision

  28. L’approche suggérée par neXus • Sécuriser infrastructure et l’accès au SI • Etablir un tunnel SSL vers le SI, même pour le bureau d’accès distant • Authentifier fortement les utilisateurs • Implémenter des politiques séparées pour les employés utilisant des devices personnels/de la société • Définir et implémenter des contextes d’accès dépendant: • De l’équipement • De la méthode d’authentification utilisée • De l’utilisateur • De sa localisation

  29. authentification Certificat OTP Mdp Non géré géré device utilisateurs partenaires LAN VIP nonVIP Internet localisation

  30. authentification Certificat OTP Mdp Non géré géré device utilisateurs partenaires LAN VIP nonVIP Internet localisation

  31. Avantages de cette solution • Pas d’administration des équipements • Rien à installer sur les terminaux • Réutiliser la gestion des droits définis en interne • Communications chiffrées • Authentification forte • Aucune information critique sur le device • Rienn’estsur le device après la session

  32. Agenda • Les menaces liées à la mobilité • Le BYOD • Quelques solutions d‘accès depuis tous les devices • Point particulier de l‘authentification forte

  33. L’authentification forte • 2 facteurs parmi • Ce que je connais • Ce que je possède • Ce qui me caractérise

  34. Evolution technologique • Demain Certificatesur support crypto Technologies biométrique One TimePasswords Certificat logiciels Ce jour et demain Username/Password TAN ID Passé PIN Terminaux sansAuthentification Temps Méthodes „knowledge-base“ Méthodes 2FA • e.g. User ID, PIN, simple password • Pas assez sécurisées • e.g. TAN or SMS OTP • Méhodes établies et acceptées • Public Key Infrastructure (PKI) • Méthodes sécurisée

  35. Authentification forte par OTP

  36. OTP avec tokens • Un algorithme • Une batterie • Une graine • Un facteur • Temps • Nombre d’événements

  37. OATH • Initiative de collaboration entre industriels pour définir une architecture de référence utilisant les standards ouverts pour l’authentification forte • Communication Protocol: RADIUS • Authentication methods: HOTP (RFC 4226), TOTP (RFC 6238), OCRA (RFC 6287) • Provisionning: PSKC (RFC 6030), DSKPP ( 6063) • http://oathinitiative.org/certification/OATHCertifiedProducts

  38. Tokens physiques et codes PIN • Sur le token (Tokens à clavier) • PIN fixé en usine • Le token avertit de la saisie d’un mauvais code PIN et se bloquer après n tentatives non journalisées • PIN composé de chiffres • Signature possible (OCRA) • Sur le serveur (Tokens « un bouton ») • Toute tentative d’authentification est journalisée • PIN plus complexe possible (mot de passe) • Plus économique, plus simple à utiliser

  39. Authentification forte

  40. Merci de votre attention.Des questions ?

More Related