> Mobilité > Palo Alto Networks : Sécurité & Mobilité, 5 étapes à ne surtout pas faire…

Palo Alto Networks : Sécurité & Mobilité, 5 étapes à ne surtout pas faire…

Mobilité - Par iTPro.fr - Publié le 09 mai 2016
email

Au coeur de la transformation numérique des entreprises, vous retrouvez le besoin irrépressible de mobilité pour tous les nouveaux usagers du numérique.

Palo Alto Networks : Sécurité & Mobilité, 5 étapes à ne surtout pas faire…

Arnaud Kopp, Directeur Technique Partenaire – Europe du Sud chez Palo Alto Networks nous livre les étapes à oublier immédiatement dès qu’on évoque la sécurité de la mobilité.

Un monde numérique pour tous

La promesse d’un monde numérique sans frontière fut d’abord au coeur de la transformation numérique du grand public. A la maison, le Wi-Fi a permis d’éviter d’ouvrir les murs et refaire la peinture. Grace à cette technologie, finies les prises Ethernet un peu partout, mais les plus sages se souviennent des terribles réseaux coaxiaux Ethernet en chaîne… La virtualisation du câble Ethernet, c’est l’apparition de la mobilité. Le téléphone sans fil, l’ordinateur sans fil, l’imprimante sans fil, et puis, rapidement, les attaques des réseaux sans fil. Le problème de la mobilité, c’est la virtualisation du mur qui bloquait l’accès au réseau. Alors, comment reconstituer ce mur qui assure autant que possible une certaine confidentialité des activités et contenus échangés, et éviter l’exploitation frauduleuse des ressources disponibles ?

Une mobilité pour tous

Aujourd’hui, pour des questions de simplicité, les cas d’usages sont décrits comme stratégies BYOD (Bring Your Own Device) ou COPE (Corporate-Owned Personally-Enabled), voire dans certains cas, CYOD (Choose Your Own Device).

Dans le cas du BYOD, l’utilisateur est responsable de son équipement, libre de son comportement mobile, voire inconscient des conséquences de ses actes sur son terminal. Du fait d’avoir choisi son terminal, il pense le maîtriser suffisamment pour avoir de bonnes raisons d’y installer applications et données personnelles, quand ce n’est pas de le ‘Jailbreaker’. Le Jailbreak, petite étape qui consiste à supprimer la mince et unique couche de sécurité mise en place par les constructeurs de devices mobiles. Dès lors, le device s’ouvre à un autre monde d’applications, pour lesquelles il est bien plus difficile pour l’utilisateur de comprendre les risques associés. Le COPE, quant à lui, permet aux DSI de forcer un contrôle du terminal mobile, s’agissant d’un actif de l’entreprise, et doit ainsi être considéré dans les audits de gestion des cyber-risques auxquels les entreprises sont sujettes. Si ce terminal est bien « Personally Enabled », il n’est cependant pas permis d’en faire n’importe quoi pour l’utilisateur final.

En entreprise, les initiatives autour de la mobilité ont généralement pour objectif de virtualiser le mur qui définissait l’espace de travail du collaborateur, en allant  jusqu’à virtualiser la définition même de temps de travail effectif. Travaille-t-on à la maison, est-on à la maison au travail ? La mobilité permet les deux et brouille la limite entre personnel et professionnel. Mais, il faut bien constater que la mobilité permet également de « rester en contact », lors de voyages et déplacements professionnels ou personnels. Conserver ses accès aux réseaux sociaux, à ses données personnelles et professionnelles, ses applications, et plus généralement se téléporter dans son espace numérique à tout moment, juste en activant son terminal, lorsque ce n’est pas lui qui vous active par une sonnerie ou un flash. Ces nouveaux comportements sont bien évidemment l’un des piliers de la transformation numérique des entreprises et des personnes. Dans une définition acceptée de la transformation numérique, SMAC (Social, Mobile, Analytics, Cloud) intègre, à très juste titre, la mobilité. Or, cette mobilité a créé de nouveaux risques et agrandi, temporairement, une surface d’attaques à la merci de nouvelles menaces…

Que ne faut-il surtout pas faire ? 

Ignorer l’écosystème et son but 

Entre l’entreprise, les terminaux (et leurs constructeurs), les réseaux, les applications, les utilisateurs, les données, il y a autant de motivations divergentes que de couleurs dans un arc en ciel. Il est donc crucial d’exposer une politique de la mobilité en respectant les principales motivations, et selon le cas du BYOD ou du COPE, les conséquences technologiques doivent être considérées différemment. Un plan directeur de la mobilité doit comprendre les métiers et usages attendus de cette transformation. L’étude des risques associés doit toujours tendre à réduire les conséquences d’une attaque sur ce vecteur de collaboration.

Surestimer les compétences techniques

Faire confiance à un utilisateur sur sa capacité technique de résoudre ses problèmes et de gérer la sécurité de son terminal mobile, c’est lui faire grâce de beaucoup de connaissances. En réalité, les problèmes techniques seront souvent laissés de côté, les applications étranges seront installées sans vraiment savoir à quel usage elles répondent, quand parfois ce n’est pas l’entourage de l’utilisateur qui conseille de « Jailbreaker » son terminal pour plus de flexibilité. Or, la flexibilité, qui permet d’être le maître absolu de son terminal, permet surtout à des logiciels malintentionnés de s’y installer. Par l’utilisation de technologies de gestion de la mobilité en entreprise, et dans le cas de Palo Alto Networks en partenariat avec AirWatch, vous pouvez simplifier la prise en compte de la mobilité.

Fusionner ses réseaux

La mobilité permettant une présence à distance, c’est également un point d’entrée du SI qui doit être contrôlé et qui nécessite une gestion précise des services et applications mises à disposition de ces utilisateurs mobiles. La simplicité d’utilisation ne doit pas venir à l’encontre du besoin de sécurité des données et infrastructures. Une politique de segmentation des réseaux, des accès aux applications de l’entreprise, et aux données, doit prendre en compte le caractère mobile de certains utilisateurs pour contrôler plus finement les besoins et droits d’accès. Au contraire d’une fusion des réseaux d’entreprise et des accès mobiles, il faut considérer une segmentation de ces infrastructures en se rapprochant des besoins métiers, et des risques que le terminal mobile peut faire naître.

Sans vouloir être exhaustif sur les risques de ces terminaux, il faut reconnaiîre que dans certaines situations, par exemple en connexions 4G et Wi-Fi simultanées, un terminal mobile peut servir de relais de communication pour procéder à une exfiltration silencieuse de données de l’entreprise. Dès lors, le contrôle ne peut plus uniquement être au niveau du réseau Wi-Fi, mais doit être rapproché des DataCenters. La segmentation des réseaux, préconisée par Forrester Research sous « Zero Trust Networks » est à la base de l’accompagnement en transformation de la sécurité, également conseillé par Palo Alto Networks. L’utilisation de la mobilité répond à un besoin métier, besoin d’entreprise et permet de continuer à assurer la sécurité du SI.

Téléchargez cette ressource

Sécuriser votre système d’impression

Sécuriser votre système d’impression

Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.

Mobilité - Par iTPro.fr - Publié le 09 mai 2016