Aller directement au contenu principal

Posture de sécurité des appareils

Avec Bravas, toutes vos identités en ligne sont sécurisées par la confiance que nous introduisons dans vos appareils gérés. C'est pourquoi il est important de faire correspondre la posture de sécurité et les risques auxquels vous faites face.

Comme partagé dans notre vision, nous avons pensé Bravas comme une solution qui anticipe la plupart des besoins et qui vous aide à vous concentrer sur vos besoins fonctionnels. Cela signifie qu'une partie de votre sécurité est poussée par Bravas et ne peut pas être désactivée. D'autres points de sécurité sont paramétrables pour les rendre conformes en fonction de vos régulations marché.

Qu'est-ce qui est obligatoire avec Bravas ?

Pour le moment, Bravas ne supporte que des appareils considérés comme des appareils mono-utilisateurs. Chaque appareil est utilisé par une seule personne au quotidien. Nous ne supportons pas pour le moment les appareils partagés. Une session pour plusieurs opérateurs ou des situations multi-utilisateurs comme une salle de classe.

Dans ce contexte, tous les appareils enrôlés dans Bravas devront :

  • être chiffrés
  • et avoir un passcode local.

Quand nous lancerons le support pour les appareils partagés ou multi-utilisateurs, nous adapterons certains de ces requis à ces contextes spécifiques. Mais pour des appareils assignés, les mots de passe et le chiffrement sont obligatoires.

Qu'est-ce que vous pouvez configurer ?

Stratégie de code de verrouillage

Directement en sortie du carton, Bravas requiert un passcode simple à 6 caractères sur tous les appareils. Vous pouvez modifier la complexité de ces mots de passe en fonction du type d'appareil.

Les types d'appareils actuellement supportés sont les smartphones, tablettes et ordinateurs. Jusqu'à présent, nous n'avons pas fait de distinction entre un ordinateur portable et un ordinateur fixe. Et nous essayons autant que possible de ne pas exposer les différences entre les différents OS managés car cela ne sera pas gérable pour vous.

La complexité des passcode peut être paramétrée comme ci-suit :

  • requiert plus de caractères
  • requiert des caractères alpha-numérique
  • requiert des caractères non alpha-numérique
  • refuse les valeurs simples (caractères répétitifs, séquences ascendantes ou descendantes, etc.)

Vous pouvez également configurer la période d'inactivité avant que l'écran ne se verrouille et la période de grâce après que l'écran se verrouille, avant qu'un passcode ne soit redemandé pour déverrouiller l'appareil.

Nous ne permettons pas pour le moment de paramétrer des dates d'expiration de passcode. L'expiration des passcode est une pratique ancienne qui ne contribue pas de façon positive à la sécurité de votre parc. Il a été prouvé que l'expiration des mots de passe baisse la posture de sécurité en poussant l'utilisateur à adopter des mots de passe suivant un schéma qui peut être détecté par les pirates.

De ce que nous savons, toutes les normes ont maintenant été mises à jour et sont d'accord que l'expiration des mots de passe n'est plus nécessaire alors que l'authentification par deux facteurs l'est.

Par design, tous les accès gérés par Bravas utilisent deux facteurs :

  • avoir accès à un appareil de confiance qui a été enrôlé avec un certificat de sécurité qui est stocké dans l'enclave sécurisée ou un jeton d'authentification
  • et connaître le passcode d'un appareil spécifique.

Une personne avec un Mac et un iPhone n'aura pas le même code pour les deux appareils et aucun de ces mots de passe n'est synchronisé dans le cloud. Ce qui signifie qu'ils ne peuvent pas être attaqués à distance ni brute forcée sans avoir un accès physique à l'appareil.

Si vous êtes en train de passer un audit de sécurité avec un auditeur qui n'est pas à jour sur ses connaissances et veut vous pénaliser pour ne pas avoir un renouvellement périodique de mot de passe, contactez-nous et nous fournirons tous les documents nécessaires pour défendre votre position durant votre audit.

Mise à jour

Pour la sécurité de votre organisation, il est essentiel de nos jours d'être le plus à jour possible, autant pour le système d'exploitation que pour les applications.

Applications

Par conception, Bravas forcera la mise à jour de vos applications car il nous est impossible de vous garantir une version validée d'une application donnée. En effet, le déploiement par l'AppStore déploie toujours la dernière version d'une app, même si nous ne mettions pas à jour les applications déjà déployées, nous ne pourrions pas garantir que les terminaux nouvellement enrôlés aient la même version validée. De fait, nous forçons l'ensemble de votre flotte à être sur la dernière version disponible de vos applications AppStore. Le même principe s'applique pour les applications en téléchargement direct, où vos terminaux obtiennent vos applications depuis le site web de l'éditeur, nous ne pouvons pas garantir un accès long terme à une version donnée et pour le moment nous ne proposons pas de plan d'hébergement pour disposer de votre propre copie des outils d'installations.

En option, nous pouvons tenter de mettre à jour les applications installées manuellement par vos utilisateurs, qui sont connues de Bravas, mais non présente dans votre politique de déploiement. Cela contribuera à votre posture de sécurité globale.

Système d'exploitation

La stratégie de mise à jour du système d'exploitation proposée par Bravas vous permet deux réglages : une durée de rétention pendant laquelle une mise à jour publiée par l'éditeur n'est pas proposée aux usagers, et une limite obligeant aux usagers son installation par un redémarrage.

Par défaut Bravas présente toutes mises à jour immédiatement et la force 15 jours plus tard.

Sécurité des données

Bravas vous permet de configurer vos stratégies de sécurité des données en offrant actuellement la capacité de limiter l'usage des médias externes.

Dans le cadre de terminaux mobiles, il est possible d'autoriser ou bloquer les stockages externes.

Dans le cas des ordinateurs, il est possible également de limiter aux médias en lecture seule. Attention cependant, sur macOS cela limite aux médias en lecture seule par nature (CD/DVD), les clefs USB ne seront pas accessibles.