C&ESAR 2011 - Comment allier objectifs d'usages et de sécurité
Pierre-Yves Gouardin et al. – Orange
Sous fond de scénario théorique d’une grande entreprise de l’armement dont les cadres sont mobiles et travaillent sur des appels d’offres hautement concurentiel, Orange nous propose une analyse des risques et solutions. (ça sonne très commercial :/).
Bon, en gros, c’est le bordel, des smartphones, des tablettes, des ordiphones des gadgets sous fond de BYOD, c’est le bordel niveau sécu, entre le VIP avec son Windows phone « sécurisé » et le super cadre commercial « sensible » à la sécurité, et la secrétaire caricaturale qui met à mal la sécurité sans s’en rendre compte, la société TargetSA est mal barrée… heureusement il existe des « solutions » (je vous passe le nombre de fois ou on à pu entendre iPhone dans la présentation).
La « solution » réside en un empilement de fonctionnalités de sécurité: chiffrement, remote-wipe, ordinateur sécurisé + (lol), un windows phone sécurisé + (rofl), etc…
S’en suivent les scénarios d’attaque : application piégée correspondant aux gouts du VIP, la secretaire qui utilise sont smartphone Android tout pourri pour traiter des documents confidentiels et qu’elle perd. Le super-cadre commercial en déplacement lui ne se fait pas avoir parcequ’il dispose d’un ordiphone banalisé sans données sensibles.
Les Orateurs enchaînent les démonstrations d’analyse de risques prenant compte de la « dépérimetrisation » et qui prend tout bien les besoins en compte comme il faut pour que l’utilisateur ne contourne pas la sécurité pour arriver à ses fins (mwai).