Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Le RSSI bien seul face aux smartphones à sécuriser

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

1285257153_phone.pngLa solitude du RSSI était palpable ce matin à l’occasion du cinquième petit-déjeuner thématique de SecurityVibes, que nous avons consacré à la sécurisation d’une flotte de smartphones. Et pour cause : toute l’entreprise lui réclame des terminaux à la mode qu’il n’a ni les moyens de sécuriser… ni les moyens d’interdire.

Pire : non seulement ce RSSI est-il seul lorsqu’il s’agit de protéger les téléphones mobiles intelligents, mais il est aussi pris en tenaille ! Car si l’on savait déjà que l’iPhone et maintenant l’iPad arrivent « par le haut » à la demande des VIP de l’entreprise, ce matin nous avons découvert que Android arrive désormais lui aussi, mais cette fois par le bas poussé par la population plus technique des geeks.

Pour l’heure la vaste majorité de nos participants reconnaissent lutter contre la déferlante en n’ayant qu’un seul terminal officiellement autorisé pour un usage d’entreprise (généralement le BlackBerry et son Enterprise Server). Les autres terminaux mobiles ne sont pas reconnus et n’ont pas le droit de se connecter au réseau de l’entreprise : pas d’accès à l’agenda Exchange, pas de synchronisation des emails… les smartphones vivent en marge.

Mais nos RSSI savent que cela ne pourra pas durer. Déjà, les utilisateurs contournent l’interdit : « le point de friction, c’est le webmail« , reconnaît un participant. L’analyste Forrester Research estime d’ailleurs dans une étude datée d’août 2010 que d’ici 12 à 18 mois les entreprises devront revoir intégralement leurs politique de déploiement et de gestion des clients informatiques afin de prendre en compte officiellement au moins le Blackberry, l’iPhone et Android, au même titre que les autres clients lourds. La politique du terminal officiel et de l’interdiction semble donc vivre ses dernières heures.

Tous nos participants en sont parfaitement conscients et avaient en commun ce matin de chercher une solution afin de mieux gérer, de manière sécurisée, une flotte devenue hétérogène et non-contrôlable, faite de téléphones dont on ne sait plus très bien s’ils sont personnels ou professionnels. « On voudrait du BES (Blackberry Enterprise Server, ndlr) parce que c’est génial, mais adapté aux OS de tous les autres téléphones« , résume parfaitement un intervenant.

Bien entendu de telles solutions existent : dans son étude Forrester Research identifie pas moins de 26 solutions de gestion multi-OS pour les téléphones intelligents (voir illustration en fin d’article). Une poignée d’entre elles prennent en charge la totalité des systèmes les plus populaires (Android, BlackBerry, Apple iOS, Palm OS, Symbian, HP WebOS, Windows Embedded et Windows Mobile). Et si l’on se limite aux trois grands (BlackBerry, iOS et Android), elles sont encore plus nombreuses.

Ces solutions permettent d’appliquer une politique de sécurité commune à une flotte de téléphones mobiles diversifiée. Elles autorisent notamment à contrôler la longueur et la robustesse des mots de passe, leur fréquence de changement, les applications qui peuvent y être installées et leurs droits d’exécution, l’utilisation des fonctions d’appareil photo ou de GPS intégrées. Elles prennent en charge le chiffrement des données lorsque nécessaire (notamment la séparation effective des données et des applications professionnelles)

Il y a donc un besoin et des solutions capables d’y répondre… alors où est le problème ? Il apparaît en fait que l’introduction de smartphones d’entreprise pose des problèmes beaucoup plus épineux que le simple déploiement d’une solution logicielle. Le téléphone mobile, en effet, est un animal déroutant. « L’utilisateur pense que c’est le sien, l’entreprise considère que c’est le sien, l’opérateur estime que c’est le sien, et le fabriquant dit que c’est le sien« , résume avec amertume un autre participant.

En effet, contrairement au PC que l’on va pouvoir acheter chez un seul fournisseur et pour lequel on n’aura qu’un seul interlocuteur, avec un smartphone l’équation est plus complexe. « Un iPhone ne fonctionnera pas sans un compte iTunes et un Android ne démarrera pas sans un compte Google. Qui gère les identifiants de ces comptes pour chaque utilisateur dans le cadre d’un terminal professionnel ? Comment gère-t-on la perte du mot de passe, ou la ré-installation du téléphone ?« , s’interroge un autre participant. Même question au sujet de la carte bancaire utilisée sur la place de marché (iTunes Store ou Android Market par exemple) : va-t-on vraiment utiliser celle de l’entreprise ?

Et puis ces appareils permettent une navigation internet largement plus agréable qu’auparavant. Ce qui pose d’autres questions, d’ordre juridique celles-ci. Par exemple l’on sait que l’employeur est responsable des actes de ses salariés sur le lieu de travail. Mais qui est responsable si un salarié utilise le smartphone de son entreprise via une connexion 3G pour publier des commentaires injurieux ou diffamatoires sur le web ? Est-ce l’entreprise, l’utilisateur ou l’opérateur ?

Un constat se dégage alors naturellement des discussions entre les membres de SecurityVibes : nous arrivons probablement à la fin de la pratique du téléphone d’entreprise, au profit du modèle « BYOP », pour Bring Your Own Phone (« amenez votre propre téléphone »). Les salariés seraient alors autorisés à utiliser le terminal de leur choix, acheté par leurs propres moyens avec un dédommagement éventuel de l’entreprise. La cohabitation des usages personnels et professionnels devra alors être garantie, bien entendu.

C’est donc un changement de paradigme qui est nécessaire bien plus qu’une nouvelle solution logicielle de gestion de flotte. L’entreprise doit envisager de ne plus s’attacher au terminal mais à l’usage : la connexion à telle ou telle ressource métier ou l’accès à tel ou tel type de données ne dépend alors plus du modèle du téléphone utilisé mais plutôt de l’identité et des droits de l’utilisateur ainsi que de l’état de son terminal. Le lecteur observateur comprendra alors que l’on parle finalement ici de NAC mobile (et le lecteur expérimenté ajoutera « bonne chance » !).

Bien entendu cela impliquera nécessairement une solution technique en bout de réflexion. Et là aussi, les RSSI sont inquiets. « Ce marché est encore jeune et ses éditeurs sont, à quelques exceptions près, très petits. Il se pose alors la question de la pérennité de la solution choisie« , observe un participant. La question se pose d’ailleurs d’autant plus que les solutions sont incompatibles entre elles, comme le veut tout marché naissant.

Autre point d’inquiétude, la capacité de ces éditeurs à suivre le rythme de l’évolution des OS mobiles. Android, notamment, évolue non seulement très vite mais se balkanise : chaque fabriquant le personnalise jusqu’à créer une version potentiellement différente des autres quant à leur gestion. La maintenance de ces OS éparpillés pourra alors coûter plus cher que le bon vieux BES actuel.

A l’heure du bilan de notre petit-déjeuner aucune solution miracle n’a émergé. La solitude, en revanche, aura peut-être reculé : nos RSSI ont pu se rendre compte que tous leurs confrères étaient aujourd’hui confrontés aux mêmes problèmes et rencontraient les mêmes difficultés face aux terminaux mobiles de nouvelle génération. C’est déjà ça.

Suppléments :

  • Vous pouvez également visualiser ou télécharger la présentation de ce petit-déjeuner.
  • La liste des solutions identifiées par Forrester Research est disponible ci-dessous.

forrester_smartphones.png
Les solutions de gestion et de sécurisation de smartphone identifiée par Forrester Research. Source : Forrester Research.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

5 réponses à Le RSSI bien seul face aux smartphones à sécuriser

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.