Formation Sécurité des Appareils et des Applications Mobiles

1/ Test de Pénétration et Ethical Hacking

• Comprendre le Point de vue de l’attaquant

• Vue d'ensemble des applications mobiles du point de vue d'un Pentester

• Vue d'ensemble des différentes architectures mobile

• Vue d'ensemble des différents types de vulnérabilités

• Comment définir un périmètre et un processus de tests de vulnérabilité des applications mobiles

• Types de tests dans les Pentest

• Méthodologie pour améliorer la sécurité des applications mobiles

• Connaître les menaces

• La sécurisation du réseau, l'hôte et l'application

• L'intégration de la sécurité dans votre processus de développement de logiciels

• Politique de sécurité des applications mobiles

2/ Menaces mobiles, les attaques et vulnérabilités des plates-formes mobiles

• Caractéristiques techniques et vulnérabilités

• Jailbreak et Rooting

• Attaques des systèmes (iOS, Android, Windows Phone)

• Exemples de Menaces d'application / Attaques

3/ Exigences de sécurité clés dans l'environnement mobile

• Gestion du stockage de certificats

• Gestion du stockage de données

• Signature numérique

• Protection PIN / mot de passe

• Gestion de l'applet à distance

• Stockage de contenu / chiffrement

• Gestion des identités

• Échange de données sécurisé

• Authentification et gestion de l'intégrité

4/ Présentation des solutions du marché de sécurité

• Airwatch, Good Technology, MobileIron

• Citrix XenMobile, IBM, Microsoft, SAP/Afiria

• Vision et capacité opérationnelle des acteurs dans un marché en développement

• Commercialisation : appliance-serveur privé et Cloud SaaS des solutions de sécurité

5/ MDM (Mobile Device Management)

• Caractéristiques communes des solutions MDM :

• prise en main à distance

• géolocalisation des terminaux

• vérification de conformité....

• Utilisation limitée aux zones géographiques (exemple de solution)

• Renforcement des couches logicielles (SE Android)

• Création de la Trust Zone (étanchéité)

• Suivi de consommation

• Accès de l’utilisateur au terminal

• Métriques et critères essentiels de sélection des solutions

6/ MAM (Mobile Application Management)

• Caractéristiques communes des solutions MAM :

• mise à jour automatique des applications

• installation interdite des Apps....

• Isolation par les containers

• Apps Stores privés et autorisés : intégration des applications de l’écosystème par des API et connecteurs

• Séparation des interactions entre les applications du terminal et du serveur

• Métriques de qualité et critères principaux de choix

7/ MCM (Mobile Content Management)

• Définition du MCM

• Sécurité contre les fuites des données (DLP)

• Sécurité par la surveillance des activités (SIEM)

• Encryptions gérées des données (On Device Encryption FIPS 140-2 (AES))

• Cloud de stockage sécurisé et partagé pour les mobiles

8/ Sécurité des terminaux mobiles (BYOD)

• Enjeux du BYOD (sécurité, productivité, financier...)

• Définition du concept BYOD

• Isolation par la virtualisation du terminal associée aux MDM et MAM

• Sécurité par la responsabilisation : fixation d’un cadre légal d’utilisation (chartre d’utilisation, confidentialité CNIL...)

9/ Sécurité réseau

• Panorama des solutions existantes : VPN SSL, Firewall

• Authentification d’accès aux réseaux : NAC et RBAC

• Sécurité selon les types de réseaux GSM/4G et WiFi et les lieux de connexion

10/ Impacts et grandes tendances

• Banalisation et abstraction des plates-formes terminales mobiles

• Convergence des solutions mobiles et traditionnelles "fixes"

• Refonte des dispositifs de sécurité actuels