1
Module : IFC2
Markus Jaton
Sécurité
• La protection dans les réseaux
d’entreprise se fonde essentiellement sur les firewalls
2
Sécurité
• En simplifiant, on peut dire :
– Tout ce qui est derrière le firewall est sûr – Ce qui est à l’extérieur est potentiellement
dangereux
• Le rôle du firewall est de limiter l’accès au réseaud’entreprise
• Si l’accès au réseau est correctement contrôlé, alors les ressources sont protégées !
Sécurité
Ressources Château-fort, Firewall
4
Ennemis Ennemis
Sécurité
Ressources Ennemis
Ennemis
5
Sécurité
• Le château protège une surface sise à l’intérieur du mur d’enceinte, pas spécialement les ressources.
• Le firewall protège le réseau pas les
• Le firewall protège le réseau, pas les données
Sécurité (VPN)
Ressources
Ennemis
7
Ennemis
Ennemis
Sécurité
• Un tunnel protégé permet le transport sécurisé.
• Il faut néanmoins que les extrémités soient sûres
8
sûres
• Si une extrémité du tunnel est vulnérable, alors l’ensemble est mis en péril. Un VPN constitue un tunnel à ce point de vue.
Mobilité
• Un téléphone mobile, même de bas de gamme, véhicule des données sensibles
Mobilité
• Gérer des données sur des terminaux mobiles nécessite une réflexion spécifique
• Il s’agit de protéger des ressources, et non plus un réseau
10
p
• Par ressources, il faut comprendre : – Les données
– Les programmes
– Le terminal mobile lui-même – L’environnement
Les données
• Les données ne devraient pas résider sur le mobile
• Lorsque c’est toutefois nécessaire, il faut les encrypter
11
yp
• Des données encryptées ne doivent pas nécessiter d’introduction de clé, ni d’opérations trop complexes
• La clé doit pouvoir être aisément anéantie au besoin
Les programmes
• Encrypter les données ne sert à rien s’il est possible de modifier les programmes qui les manipulent
• L’accès aux données ne doit être consenti
• L accès aux données ne doit être consenti qu’à des programmes authentifiés
Le mobile
• Il est important d’être à même de s’assurer de l’identité du terminal mobile effectuant la requête
• Un code dûment authentifié s’exécutant
13
sur un terminal inconnu peut remettre en cause les mesures de sécurité prises
• Un terminal non identifié constitue par lui- même une anomalie justifiant des mesures de blocage
L’environnement
• L’environnement, c’est surtout l’utilisateur
• Si le terminal est volé ou confisqué, il faudrait le détecter
L’id tifi ti t d t
14
• L’identification par mot de passe est peu fiable et fastidieuse sur un mobile
• La sécurité, lorsqu’elle constitue une gêne, est le pire ennemi de la sécurité
L’environnement
• L’environnement, c’est aussi le contexte d’utilisation
• Dans l’enceinte de l’entreprise, les contraintes de sécurité peuvent être p relaxées
• Certaines zones sensibles, en revanche (visite chez un concurrent, passage de douane) réclament une attention décuplée
• Privilégier la simplicité pour l’utilisateur
Architectures
• La validation de ces paramètres nécessite le concours d’un serveur situé dans le périmètre d’entreprise
• Certaines solutions introduisent un serveur
16
• Certaines solutions introduisent un serveur tiers, qui représente un risque sécuritaire accru pour les solutions à haute sécurité
Mobile VPN
• Plusieurs constructeurs et/ou opérateurs proposent d’assurer la sécurité à l’aide d’un VPN (Virtual Private Network)
– Microsoft Windows Mobile 6.x Nokia Mobile VPN
17
– Nokia Mobile VPN
– Swisscom Corporate Network Access
• Problèmes de roaming
• Souvent basés sur TLS (Transport Layer Security)
• Optimisation pour transport à basse vitesse
Swisscom CNA
• Solution d’opérateur – APN : Access Point Name
– GGSN : Gateway GPRS Support Node
Réseau Swisscom Mobile
LAN
VPN
• Solution aisée à mettre en place, simple client VPN à installer
• Pas de mesures à prendre au niveau du réseau d’entreprise
19
p
• Support de pratiquement tous mobiles
• Protection du réseau, pas des ressources
• Le vol ou la confiscation du mobile rend les données locales, voire le réseau d’entreprise éventuellement accessible par le VPN
OSMOSYS
20
OC OC BlackBerry NOC BlackBerry NOC
er er BlackBerry Server BlackBerry Server OC
OC BlackBerry NOC BlackBerry NOC
22
rv rv Osmosys
Osmosys Enterprise ServEnterprise Serv