Les smartphones et, dans une moindre mesure, les tablettes grand public occupent une place importante dans les entreprises. Cette croissance s’explique aussi par le phénomène BYOD (Bring Your Own Device), ce dernier signifie que les salariés amènent et utilisent régulièrement leurs propres terminaux informatiques (smartphones, PC portables, etc..) pour accéder aux applications et aux outils collaboratifs de leur entreprise. Ces phénomènes obligent ces dernières à revisiter leur politique de gestion et de sécurité ; un vrai casse tête pour les RSSI et les services informatiques…

Des chiffres significatifs 

Rien que pour les tablettes, Gartner a estimé qu’il s’en écoulerait en 2011, 54,8 millions d’unités dans le monde, soit une progression des ventes de 181% par rapport à 2010. Le même phénomène se produit avec les smartphones et les tablettes. Selon une étude menée par IDC, 70% des employés utilisent leur propre smartphone ou tablette pour leur activité professionnelle. Résultat : ce n’est plus une seule plateforme mobile qui domine dans les entreprises, mais deux, trois voire plus qui coexistent.

Le début d’une réelle menace

Depuis 2004 et l’apparition du premier virus identifié pour téléphone portable : le ver “EPOC.Cabir” sous Symbian (qui se propageait par connexion Bluetooth), peu d’attaques ont été relevées sur les plateformes mobiles.

La menace actuelle sur les smartphones reste les chevaux de Troie (via SMS). Ces derniers envoient des messages vers des numéros surtaxés. Il existe aussi les botnets, un risque potentiel visant le vol des mots de passe, PIN en lien avec les comptes bancaires ; ils propagent une extension permettant de récupérer les SMS dont le contenu est un code d’accès.

Ces attaques peu fréquentes et peu dévastatrices ne doivent cependant pas être sous-estimées et les principales plateformes mobiles (Blackberry, iOS, Android, Symbian, Windows Phone) restent vulnérables même si elles sont réputées, souvent à tort,  plus sûres que celles des PC traditionnels.

Des solutions existent…

La diversité des systèmes d’exploitation fragilise la sécurité informatique dans l’entreprise, déjà par une augmentation importante des vols de ce type d’équipements et par des attaques sûrement plus nombreuses dans un avenir proche. Ce qui amène les services informatiques à réfléchir sur des solutions de sécurisation des terminaux mobiles : authentification, cryptage, effacement des données à distance, verrouillage à distance, activation d’un accès par mot de passe,  mise en place d’un pare-feu, antivirus et VPN mobile,…

De plus, avec le phénomène du BYOD (Bring Your Own Device), les RSSI font face à de nouvelles questions de sécurité liées à davantage de liberté du côté de l’utilisateur et donc de son comportement.

La question est donc la suivante : Le comportement des utilisateurs doit-il être contrôlé ?

Au fur et à mesure que la tendance du BYOD (Bring Your Own Device) se confirme, les entreprises doivent renforcer le maillage de leurs outils de sécurité pour faire face aux applications mobiles et aux services Cloud non sécurisés.

Comment ?

  • En l’obligeant à déclarer son smartphone personnel (smartphone ou ordinateur portable) au service informatique – Le contrôle doit être effectué au niveau du matériel. Une fois le terminal inventorié, l’utilisateur pourra avoir accès aux ressources de l’entreprise;
  • En anticipant la diversité des appareils (plateforme multi-OS);
  • En mettant en place une politique stricte de protection par mot de passe;
  • En verrouillant et en nettoyant à distance des appareils portables égarés ou dérobés, en procédant par exemple au nettoyage automatique de l’appareil portable au-delà de 10 échecs d’authentification;
  • En chiffrant les données;

Pour une entreprise, la mise en œuvre d’une solution de gestion des appareils mobiles est la première étape et c’est sûrement la plus critique du processus lui permettant d’assurer la gestion et la sécurisation de sa flotte mobile.

Pour se faireil existe aujourd’hui des solutions de PKI (certificat d’authenticité) embarquées dans des smartcards (de type SDCard par exemple) qui permettent d’accéder à ces fonctionnalités d’entreprises. C’est notamment le cas chez Safenet qui a lancé une solution d’identification de device SafeNet Authentication Manager (SAM), qui fait partie de SafeNet Fully Trusted Authentification Environment. IBM devrait aussi anticiper cette tendance courant 2012 en intégrant, avec Endpoint (issue du rachat de BigFix), une brique qui identifie les terminaux à Tivoli.

Notre but est d’accompagner nos clients à identifier et maîtriser les risques sur l’usage de ces terminaux et, de fait, anticiper et mettre en œuvre des solutions de gestion et de sécurisation éprouvées (authentification, cryptage, effacement des données à distance, verrouillage à distance, activation d’un accès par mot de passe,  mise en place d’un pare-feu, antivirus et VPN mobile).

David G.