C&ESAR 2011 - Introduction

C’est reparti pour une nouvelle conférence 🙂

Dans une ambiance bien plus feutrée, C&ESAR réunit un grand nombre d’officiels français, de grandes entreprises et d’acteurs de la sécurité sur Rennes. le tout dans l’auditorium du triangle.

C’est la 18ème édition de la conférence, créée à l’initiative de la DGA, C&ESAR est sponsorisé par la DGA, la DGSIC, la DIRISI, l’incontournable ANSSI, Orange Business Services et Technicolor.

Cette édition se fait sous le thème « Mobilité & Sécurité »

Le sujet à déjà été traité par cette conférence en 2002, et le talk d’introduction fait le constat de l’évolution de ces équipements mobiles. Au quotidien, on se retrouve avec un poste de travail mobile ou se mêlent les activités personnelles et professionnelles au grand dam des acteurs de la sécurité.

La maîtrise de la diversité de ces systèmes fortement connectés à internet dans cette « course à l’échalote » est un vrai casse tête. Et provoque la cohabitation d’OS très récents équipés de piles réseaux antédiluviennes. En plus de cela, la radio-logicielle et son essor facilite la mise en oeuvre d’attaques sur des médias qui jadis n’étaient exploitables que par des agences gouvernementales.

Ajoutons à ça des politiques de sécurité inadaptées aux terminaux mobiles, tablettes et autre gadgets dont les rôles et usages sont flous et vous obtenez un casse tête pour les RSSI.

Keynote : Francis Bruckmann – Orange

Une introduction sur les tendances du marché de la sécurité mobile, avec un slide bien chargé de chiffres ou se mélangent gestion de flotte, OS mobiles, botnets mobiles etc… Pour les entreprises, les inquiétudes se portent sur les politiques de mots de passes & mobiles, les problématiques de vols, et les antivirus pour smartphones (gare au troll).

Une autre approche, celle par le Risque dont on retiendra la modification / dévérouillage de l’OS pour l’installation de logiciels tiers, la multiplication des versions d’Android associée à une durée de vie de 6 mois des devices. On sent un parti pris pour Apple comparativement à Android en terme de sécurité de la part de l’Orateur, l’applestore étant plus regardant que le market Android par rapport aux applications malveillantes.

Troisième axe d’analyse: les usages, approche qui à la préférence de l’Orateur. A quoi servira le téléphone mobile (by orange) : téléphoner, surfer, mailer, mais aussi acheter/vendre, payer, troquer une « Orange Money » virtuelle, accès aux applications métier, social networking, badge d’accès à l’entreprise ou terminal d’identification des salariés à la cantine de l’entreprise. La croissance du BYOD (bring your own device) génèrent un vrai casse tête, à ceci s’ajoute les « génération X,Y,Z et leur approche différente vis à vis de la technologie et de l’entreprise.

Coté Enjeux, gérer les différents composants de sécurité du smartphone (NFC, Sim, Crypto), le cloisonnement et le chiffrement des données entre Pro et Perso… bref, on est pas sorti de l’auberge.

S’en suit une présentation de diverses techniques de paiement mobile, soit par des applications tierces qui fournissent un n° de transaction unique, soit par NFC (paiement sans contact, bonjour les attaques par relais). Le téléphone est vu comme un sésame universel, à la fois carte de transport, porte-monnaie électronique, voir un relais de la carte d’identité électronique.

L’entreprise qui fournit au salarié un device mobile, à un droit de regard sur les usages du smartphone, et il est envisageable d’installer des outils de cyber-surveillance (rootkit corporate…) pour contrôler les usages du mobile. Contrairement au BYOD ou l’employé fournit son mobile, et donc une charte doit être mise en place entre l’entreprise et le salarié quand à la politique d’usage des applications pro et ce qu’elles peuvent faire ou non sur le device de l’employeur (non-jailbreak, applications interdites, effacement à distance en cas de vol, etc…). L’avenir du smartphone, c’est la carte sim unique, soudée au device, et transmissible d’un opérateur à l’autre, sous contrôle commun de l’operateur et de l’entreprise.