Dans le billet précédent BYOD: Rappels et évolution du modèle de sécurité, on a rappelé les grands principes de sécurité qui s’appliquent également au BYOD, et plus particulièrement le principe sur la sécurité de l’équipement ; la notion de niveau de confiance du terminal (ou équipement) a été évoquée mais sans détailler comment on pouvait mesurer ou catégoriser les équipements.

Ce billet a donc pour objectif de décrire de quelle manière on va pouvoir distinguer les différents types de terminaux pour intégrer les nouveaux venus du BYOD.

Précédemment, la classification des terminaux était binaire:

  • soit l’équipement était connu de l’entreprise, référencé dans l’annuaire, authentifié et contrôlé et pouvait accéder au système d’information ;
  • soit l’équipement était inconnu donc potentiellement dangereux et sa connexion devait être systématiquement interdite.

Pour prendre en compte le BYOD, il est nécessaire d’étendre la classification des terminaux pour y ajouter deux catégories supplémentaires qui correspondent à des niveaux intermédiaires et permettent d’élargir la prise en compte des périphériques d’accès au-delà d’une vision purement binaire.

Device classification (white)

 

Dans la représentation ci-dessus, on distingue désormais quatre catégories de terminaux :

1. La catégorie « Unmanaged » englobe les équipements qui tentent de se connecter au réseau de l’entreprise mais qui sont complètement inconnus : le terminal n’est pas référencé dans l’annuaire d’entreprise, il n’est pas en mesure de s’authentifier et est hors de contrôle des outils de gestion. Selon la politique de sécurité et dépendant de l’existence de mécanismes de contrôle d’accès réseau, il pourra être autorisé à se connecter dans une zone lui donnant une visibilité réduite à quelques services accessibles en mode invité, par exemple un accès internet. Le niveau de confiance des terminaux appartenant à cette catégorie est minimal car on ne dispose d’aucune assurance quant à leurs niveaux de sécurité : système d’exploitation utilisé, derniers correctifs de sécurité installés, protection anti-virus, pare-feu, etc.

2. La catégorie « Loosely controlled » regroupe des équipements qui sont décrits dans une base de données utilisée par l’entreprise sans être référencés dans l’annuaire réseau central (généralement Active Directory). Ils ne sont pas gérés au niveau sécurité par les outils de management de l’entreprise ce qui rend leur niveau de confiance tout juste au-dessus de la catégorie précédente. La connexion au réseau ou au service s’effectue le plus souvent à travers une authentification de type identifiant-mot de passe, basée sur l’identité de l’utilisateur ou, dans le meilleur des cas, l’utilisation d’un certificat. La politique de sécurité leur accordera un accès limité aux services de l’entreprise, ces services devant bénéficier d’un niveau élevé de protection ou d’une surface d’attaque réduite en relation avec la confiance limitée que l’on pourra accorder au terminal. Les données accessibles depuis le terminal ou pouvant y être stockées seront limitées à des données non critiques pour se garantir du risque de fuite d’informations sensibles.

On va retrouver classiquement dans cette catégorie les terminaux mobiles de type smartphone qui permettent à l’utilisateur d’accéder à sa messagerie d’entreprise ; ils sont référencés et contrôlés de manière « souple » à travers le protocole Exchange ActiveSync (EAS) qui autorise l’implémentation de politiques de sécurité basiques : exigence de la protection du périphérique par un mot de passe, politique du mot de passe, effacement du périphérique à distance, autorisation de l’accès aux pièces jointes, etc. Cependant, le protocole EAS ne permet ni de vérifier le niveau de sécurité du smartphone – par exemple est-il à jour des correctifs de sécurité ? – ni d’agir sur le terminal en lui téléchargeant des mises à jour. De plus, le périphérique ne s’authentifie pas en tant que terminal mais effectue la connexion au service à travers l’authentification de l’utilisateur.

3. La catégorie « Ligthly managed » concerne les terminaux qui sont référencés dans une base de données ou un annuaire de l’entreprise et gérés par un outil d’un point de vue sécurité. L’outil de gestion peut être hébergé sur des serveurs de l’entreprise où s’appuyer sur des offres de service dans le Cloud. L’intégration de ces terminaux passe par une phase d’enregistrement dans l’outil, cet enregistrement pouvant se faire en mode self-service par l’utilisateur. Un module client est installé sur le terminal qui permet à l’outil de gestion d’avoir un contrôle sur le périphérique allant au-delà du contrôle offert par le simple protocole Exchange ActiveSync : le pedigree précis du terminal est connu (version du système d’exploitation..) et l’outil de gestion peut, à travers le client installé, vérifier le niveau de sécurité du terminal, par exemple si l’anti-virus est activé et les signatures récentes, si le pare-feu embarqué est bien activé. Il peut, si nécessaire, procéder à l’installation des derniers correctifs de sécurité et distribuer des applications. L’outil de gestion peut, au moment de l’enregistrement, installer un certificat spécifique à ce terminal, qui pourra être utilisé pour son authentification et son référencement.

Par rapport à la catégorie précédente, il est important de noter que le périphérique est pris en charge d’un point de vue sécurité, qu’il est capable de s’authentifier ou a minima d’être reconnu indépendamment de son utilisateur ; on est en mesure de faire la distinction entre le terminal et l’utilisateur du terminal tout en faisant apparaitre une association entre l’utilisateur et le terminal à partir duquel il accède. Ce dernier point est important car il va permettre plus tard d’inclure le terminal dans la notion de contexte d’accès à l’information comme partie intégrante du doublet constitué de l’identité et du terminal.

Dans le contexte du BYOD, l’appartenance à cette catégorie peut être considérée comme intrusive par le fait que l’équipement personnel de l’utilisateur doit être référencé et contrôlé par la biais du logiciel client : c’est cependant la concession à faire pour se voir ouvrir un accès plus ouvert aux applications et services de l’entreprise. Comme exemple de terminaux appartenant à cette catégorie, on peut considérer la tablette iPad d’Apple ou Windows RT de Microsoft pris en charge par un outil de gestion de flottes de mobiles (Mobile Device Management) qui permet de s’assurer de leur référencement et de la gestion de leur sécurité. Pour étendre au-delà des terminaux mobiles, les postes Windows hors-domaine rentrent également dans cette catégorie si on leur associe un outil de gestion : à titre d’exemple, la prise en charge d’un ensemble de postes Windows non intégrés dans un annuaire Active Directory mais géré par un outil de gestion de type Windows Intune permet à la fois un référencement des postes, une gestion de leur sécurité et en conséquence l’assurance d’un niveau de confiance dans le périphérique nettement supérieur à la catégorie précédente.

4. La catégorie « Corporate managed » regroupe les terminaux qui sont référencés dans l’annuaire de l’entreprise (Active Directory) et sont complètement gérés et contrôlés à travers les outils de management internes. Les terminaux s’exécutant sous les systèmes Windows intègrent la possibilité de faire partie d’un domaine Active Directory ce qui se concrétise par l’existence d’un compte d’ordinateur dans l’annuaire. Par rapport aux terminaux sans jonction à un domaine, ils ont l’obligation de s’authentifier – chaque terminal dispose d’un mot de passe attribué et renouvelé de manière transparente – et reçoivent des paramètres de configuration de sécurité par le biais du mécanisme de stratégies de groupes (GPO). Ces terminaux vont en conséquence disposer d’un niveau de confiance maximal selon une vision sécurité. Les outils de management s’assurent que les postes sont en conformité avec les politiques de sécurité de l’entreprise : les postes sont mis à jour avec les derniers correctifs de sécurité au niveau du système, des composants, librairies et applications, les signatures anti-virus sont récentes, le pare-feu est actif et configuré selon les règles définies etc.

De plus, l’intégration au domaine apporte un autre bénéfice important d’un point de l’expérience utilisateur : la signature unique (SSO). Le terminal étant connu de l’annuaire et authentifié, l’utilisateur peut ouvrir une session authentifiée avec une identité également décrite dans l’annuaire ; l’accès à l’ensemble des ressources déclarées dans Active Directory se fait dès lors de manière transparente sans que l’utilisateur n’ait à fournir une nouvelle fois ses informations d’authentification (credentials).

La distinction entre le terminal et l’utilisateur est naturelle car les deux sont décrits dans l’annuaire sous forme d’objets différents et le terminal dispose d’attributs ou de revendications qui peuvent être potentiellement utilisés pour le caractériser et les prendre en compte dans les politiques de contrôle d’accès.

Le terminal peut être inclus dans des groupes de sécurité pour, par exemple, être ou non autorisé à communiquer avec d’autres points de terminaison par le biais du mécanisme d’isolation IPSec.

Ces terminaux correspondent au modèle où les postes sont entièrement sous contrôle de l’IT ; ce modèle est le plus rassurant d’un point de vue sécurité mais également le plus contraignant dans une vision BYOD où l’on souhaite a contrario offrir plus de souplesse vers d’autres types de périphériques et une plus grande liberté pour l’utilisateur. Dans la réalité, on devra s’attendre à un mixte entre des terminaux « Corporate Managed » qui offriront le niveau de confiance requis pour accéder à l’ensemble des ressources de l’entreprise – y compris les données critiques – , et d’autres terminaux classés dans les catégories de confiance moindre pour lesquels les politiques d’accès seront plus restrictives.

 

En synthèse, sur le sujet des périphériques d’accès, la prise en compte du BYOD implique de passer d’une vision binaire dans la catégorisation des terminaux vers une vision plus nuancée ; l’ajout de deux nouvelles catégories permet d’embrasser et d’autoriser les nouveaux scénarios autour de périphériques ne rentrant plus dans le modèle précédent.

Post-scriptum : Même si, pour l’instant l’approche vous semble bien théorique, cette notion de catégorisation des équipements est primordiale et constitue l’une des pièces importante du puzzle BYOD.

Dans le prochain billet, on abordera la notion importante de contexte d’accès.