C’est reparti pour une nouvelle confĂ©rence 🙂
Dans une ambiance bien plus feutrĂ©e, C&ESAR rĂ©unit un grand nombre d’officiels français, de grandes entreprises et d’acteurs de la sĂ©curitĂ© sur Rennes. le tout dans l’auditorium du triangle.
C’est la 18ème Ă©dition de la confĂ©rence, crĂ©Ă©e Ă l’initiative de la DGA, C&ESAR est sponsorisĂ© par la DGA, la DGSIC, la DIRISI, l’incontournable ANSSI, Orange Business Services et Technicolor.
Cette édition se fait sous le thème « Mobilité & Sécurité »
Le sujet Ă dĂ©jĂ Ă©tĂ© traitĂ© par cette confĂ©rence en 2002, et le talk d’introduction fait le constat de l’Ă©volution de ces Ă©quipements mobiles. Au quotidien, on se retrouve avec un poste de travail mobile ou se mĂŞlent les activitĂ©s personnelles et professionnelles au grand dam des acteurs de la sĂ©curitĂ©.
La maĂ®trise de la diversitĂ© de ces systèmes fortement connectĂ©s Ă internet dans cette « course Ă l’échalote » est un vrai casse tĂŞte. Et provoque la cohabitation d’OS très rĂ©cents Ă©quipĂ©s de piles rĂ©seaux antĂ©diluviennes. En plus de cela, la radio-logicielle et son essor facilite la mise en oeuvre d’attaques sur des mĂ©dias qui jadis n’Ă©taient exploitables que par des agences gouvernementales.
Ajoutons à ça des politiques de sécurité inadaptées aux terminaux mobiles, tablettes et autre gadgets dont les rôles et usages sont flous et vous obtenez un casse tête pour les RSSI.
Keynote : Francis Bruckmann – Orange
Une introduction sur les tendances du marchĂ© de la sĂ©curitĂ© mobile, avec un slide bien chargĂ© de chiffres ou se mĂ©langent gestion de flotte, OS mobiles, botnets mobiles etc… Pour les entreprises, les inquiĂ©tudes se portent sur les politiques de mots de passes & mobiles, les problĂ©matiques de vols, et les antivirus pour smartphones (gare au troll).
Une autre approche, celle par le Risque dont on retiendra la modification / dĂ©vĂ©rouillage de l’OS pour l’installation de logiciels tiers, la multiplication des versions d’Android associĂ©e Ă une durĂ©e de vie de 6 mois des devices. On sent un parti pris pour Apple comparativement Ă Android en terme de sĂ©curitĂ© de la part de l’Orateur, l’applestore Ă©tant plus regardant que le market Android par rapport aux applications malveillantes.
Troisième axe d’analyse: les usages, approche qui Ă la prĂ©fĂ©rence de l’Orateur. A quoi servira le tĂ©lĂ©phone mobile (by orange) : tĂ©lĂ©phoner, surfer, mailer, mais aussi acheter/vendre, payer, troquer une « Orange Money » virtuelle, accès aux applications mĂ©tier, social networking, badge d’accès Ă l’entreprise ou terminal d’identification des salariĂ©s Ă la cantine de l’entreprise. La croissance du BYOD (bring your own device) gĂ©nèrent un vrai casse tĂŞte, Ă ceci s’ajoute les « gĂ©nĂ©ration X,Y,Z et leur approche diffĂ©rente vis Ă vis de la technologie et de l’entreprise.
CotĂ© Enjeux, gĂ©rer les diffĂ©rents composants de sĂ©curitĂ© du smartphone (NFC, Sim, Crypto), le cloisonnement et le chiffrement des donnĂ©es entre Pro et Perso… bref, on est pas sorti de l’auberge.
S’en suit une prĂ©sentation de diverses techniques de paiement mobile, soit par des applications tierces qui fournissent un n° de transaction unique, soit par NFC (paiement sans contact, bonjour les attaques par relais). Le tĂ©lĂ©phone est vu comme un sĂ©same universel, Ă la fois carte de transport, porte-monnaie Ă©lectronique, voir un relais de la carte d’identitĂ© Ă©lectronique.
L’entreprise qui fournit au salariĂ© un device mobile, Ă un droit de regard sur les usages du smartphone, et il est envisageable d’installer des outils de cyber-surveillance (rootkit corporate…) pour contrĂ´ler les usages du mobile. Contrairement au BYOD ou l’employĂ© fournit son mobile, et donc une charte doit ĂŞtre mise en place entre l’entreprise et le salariĂ© quand Ă la politique d’usage des applications pro et ce qu’elles peuvent faire ou non sur le device de l’employeur (non-jailbreak, applications interdites, effacement Ă distance en cas de vol, etc…). L’avenir du smartphone, c’est la carte sim unique, soudĂ©e au device, et transmissible d’un opĂ©rateur Ă l’autre, sous contrĂ´le commun de l’operateur et de l’entreprise.