Les RIAM 2010, Saint-Tropez. La discussion consacrée à la sécurité de la flotte mobile a été l’occasion de découvrir une tendance étonnante : l’iPad, bien que pas encore vendu en France à cette heure, est déjà présent dans les entreprises, souvent acheté à l’étranger par des cadres et des dirigeants qui l’amènent ensuite au bureau. Et nombre de RSSI présents savent qu’il est illusoire de l’interdire, au même titre que l’iPhone : « même en interdisant la synchronisation avec le poste de travail, les utilisateurs se forwardent les emails sur leur compte GMail, qui lui se synchronise sans souci avec iPhone OS via la 3G », observe un participant désabusé.

Mieux vaut donc tenter de supporter ces terminaux de manière sécurisée. Et c’est bien là tout le problème. Car au delà de l’iPad, qui n’est que la dernière mode en date, l’on trouve aussi l’iPhone – qui s’est lui aussi imposé bien avant d’être supporté officiellement, potentiellement les terminaux sous Android et probablement d’autres à terme. « Il y a quelques années on disait ‘l’iPhone n’entrera jamais chez moi’. Et il est là. Aujourd’hui on dit pareil de l’iPad, et pourtant il y en a déjà. Demain, ça sera quoi ? Android ? Autre chose ? C’est un vrai problème de ‘futur obsolète’ : le temps d’adresser convenablement un OS, il sera dépassé et le suivant à la mode sera très différent », commente ainsi un autre participant.

Et pourtant la nécessité est d’autant plus importante que nombre d’analystes prédisent que les terminaux mobiles seront à terme majoritaires pour l’accès à Internet (et donc au Système d’Information). Or si le parc des postes de travail est plutôt bien contrôlé, c’est encore loin d’être le cas pour les terminaux mobiles. Pour OpenTrust, qui animait cette rencontre à l’occasion du lancement de sa solution de sécurité mobile, l’enjeu est d’être en mesure d’appliquer les mêmes recettes qui ont fait leurs preuves sur les postes de travail. « Il faut pouvoir pousser sur les terminaux des règles de sécurité, des applications sécurisées, y installer des certificats exactement comme on le fait sur le poste de travail », résume Sherley Brothier, Directeur Technique chez OpenTrust.

Mais ce n’est pas trivial pour autant : si les outils de gestion de flotte existent bien, la brique sécurité demeure complexe à gérer pour des fonctionnalités parfois simplistes. C’est le cas du certificat numérique, par exemple, essentiel pour assurer le chiffrement et la signature des courriers sur le terminal. Où le stocker ? Dans le monde des postes de travail, utiliser le certificates store logiciel de Windows est considéré comme un pi aller et l’on préfère de loin une carte ou une clé USB à puce. Mais comment faire avec un iPad qui ne possède pas de port USB et encore moins de lecteur de cartes à puce ? L’on est obligé de télécharger le certificat via la connexion WiFi et de le stocker de manière logicielle, dans un certificates store qui est loin d’être aussi répandu que celui de Windows que l’on hésite pourtant déjà à utiliser.

L’objectif est bien là cependant : appliquer les mêmes exigences de sécurité aux terminaux mobiles qu’aux postes de travail. Et parfois sans que la SSI n’ait son mot à dire quant aux technologies mises en oeuvre. « Nous avions enfin bien maîtrisé le chiffrement des courriers sous Lotus Notes avec le BlackBerry quand on nous annonce une migration sous Microsoft Exchange en mode SaaS ! Nous voilà donc contraints d’étendre le chiffrement aux postes de travail (car les courriers ne seront plus stockés chez nous). Nous avons décidé de standardiser sur S/MIME, qui exige un certificat. Et comme nous refusons de faire confiance au certificates store de Windows, la carte à puce s’impose. Mais comment faire sur les BlackBerry ? », s’interroge un autre participant. Dans son cas la solution était toute trouvée : un pilote avec Open Trust a permis de tester une carte MicroSD sécurisée à insérer dans le BlackBerry, qui agit comme une carte à puce et contient le certificat.

Mais tous les nouveaux terminaux à la mode (d’Apple, par exemple) n’offrent pas de port MicroSD ou USB. Voire, certains ne fournissent tout simplement aucun service de sécurité crédible sous le capot : « en la matière c’est Google qui nous étonne le plus : ils n’ont rien fait en matière de sécurité bas niveau avec Android ! », regrette Sherley Brothier. La route promet d’être longue !