Avec le développement du télétravail ou du coworking, la mobilité devient un enjeu d’entreprise avec les risques de sécurité associés mais aussi les exigences nouvelles introduites par le RGPD (GDPR – General Data Protection Regulation). Les ordinateurs portables, les smartphones et autres tablettes ne profitent pas du même niveau de protection que les postes de travail fixes, bien sagement retranchés derrière le firewall et le proxy de l’entreprise.
Il suffit de laisser trainer son smartphone sur une table de restaurant ou se connecter à un wifi public pour s’exposer à un vol de données ou d’identifiants (code IMEI d’un smartphone). Une fuite qui peut ensuite donner lieu à une ransomware ou à une attaque ciblée par ingénierie sociale.
Au-delà de posséder un antivirus à jour, d’installer les correctifs et d’effectuer des sauvegardes régulières, il y a des consignes de bon sens à rappeler comme activer le chiffrement des données par défaut, verrouiller automatiquement une session par un mot de passe robuste, passer par un canal de transmission sécurisé (VPN), ne pas utiliser de clés USB extérieures etc.
Dans une fiche pratique, la plateforme cybermalveillance.gouv.fr énonce ces règles de base tandis que l’Anssi (Agence nationale de la sécurité des systèmes d’information) propose un « passeport de conseil aux voyageurs » .
Contenairisation
De son côté, l’employeur peut lutter contre le shadow IT en proposant dans un store interne un équivalent des applications de partage de fichiers grand public comme Dropbox ou Google Drive. Il s’agit aussi d’encadrer le phénomène du BYOD sans en restreindre l’usage. “La containerisation permet notamment la création de deux environnements, professionnel et personnel, parfaitement étanches sur les terminaux. “Il est ainsi possible de limiter l’usage professionnel si l’espace personnel a été compromis par, par exemple, un jeu mobile”, avance Vivien Raoul, CTO de Pradeo, éditeur de solutions de sécurité pour les mobiles.
La DSI peut être, elle-même, à l’origine de failles de sécurité. “Des applications métiers développées en interne embarquent parfois des bibliothèques qui serviront de porte d’entrée aux pirates”, poursuit-il. Une solution de Pradeo se propose d’auditer ces applications métiers pour détecter ces éventuelles failles de sécurité vulnérabilités. Une réponse au principe de privacy by design introduit par le RGPD.
En ce qui concerne les moyens à mettre en œuvre pour sécuriser une flotte de terminaux mobiles, il existe les solutions d’EMM (Enterprise Mobility Management) qui comprennent différents sous-modules. Le MDM (Mobile device management) prend en charge la partie matérielle, le MAM (Mobile application management) gère les applications et le MCM (Mobile content management) contrôle l’utilisation des données sensibles.
Une politique de sécurité adaptée au profil de l’utilisateur
L’administrateur adapte les paramètres selon les différentes populations de l’entreprise, une politique de sécurité ne s’appliquant pas de façon uniforme qu’il s’agisse d’un technicien de maintenance ou d’un cadre dirigeant qui empile les voyages d’affaires. En fonction de son métier et son statut (VIP ou non), il aura un accès plus ou moins restreint aux applications non référencées, aux données ou aux ports USB.
En cas de perte ou de vol du terminal, un EMM permet à distance d’effacer les données voire de réinitialiser la machine aux valeurs d’usine. Ce qui suppose que le collaborateur informe immédiatement le gestionnaire de flotte. Il devra pour cela être sensibilisé au sujet et informé sur la machine à suivre.
D’autres solutions comme celle de Pradeo va apporter une surcouche permettant une détection des menaces en temps réel. “Un agent sur le terminal va surveiller les applications actives, les connexions réseaux, la configuration du système et bloquer les applications non conformes ou couper une connexion à un réseau ouvert dans un aéroport”, explique Vivien Raoul.
Quand toutes ses parades ont échoué, il reste le chiffrement des données. Si un VPN assure ce cryptage, il peut aussi ralentir déraisonnablement le téléchargement comme le note Robin Harris, chief analyst chez TechnoQWAN LLC dans une tribune.
Il propose comme alternative le recours à une clé USB cryptée comme en commercialisent Kingston ou DataLocker. Le collaborateur dispose ainsi des informations sensibles inhérentes à son métier dans ce coffre-fort miniature, d’une capacité de 4 à 128 Go et utilisant généralement le cryptage AES 256 bits. Le téléchargement se fait à une vitesse d’environ 500 Mo/s pour le standard USB 3.0.
S’agissant d’un périphérique physique, il peut être lui aussi perdu ou volé. Au-delà du mot de passe, un logiciel de gestion des terminaux, tel celui de Data Locker, garantit que seuls les lecteurs autorisés peuvent lire et écrire des données.
L’accès aux données peut être également personnalisé. Des codes couleurs indiquent la classification des données – secrète, top secrète – ou à quel département – ingénierie, finance – le propriétaire du lecteur est rattaché. Certaines entreprises vont encore plus loin en modifiant le code de couleur de chaque fonction tous les trimestres environ, afin de s’assurer que les lecteurs sont régulièrement renvoyés et effacés.
