PDA, portables, clés USB: la mobilité reste le maillon faible de l’entreprise

Souvent hors de contrôle, ces terminaux et accessoires peuvent présenter un danger pour la sécurité du S.I. de l’entreprise, notamment en cas de perte ou du vol. Peu d’entre elles cryptent leurs contenus

Les terminaux mobiles sont désormais une réalité en termes de parcs dans beaucoup d’entreprises. Réseaux haut débit et capacité de stockage à la hausse permettent aux cadres et toutes les équipes nomades de rester en contact et d’échanger des informations avec leur entreprise. En jeu: des gains de temps et, donc, de productivité.

Mais le succès de la mobilité professionnelle a son revers: la sécurité. Si les postes de travail fixes sont désormais bien protégés (encore que…), les terminaux mobiles (PDA, PC portables, smartphones) et/ou les outils amovibles comme les clés USB (lire notre encadré) sont souvent hors de contrôle.

Surtout, ces terminaux peuvent être perdus ou volés. Les informations stockées deviennent alors accessibles pour n’importe qui.

Selon le dernier rapport du Clusif (Club de la Sécurité de l’Information Français), 37% des PME ont constaté au moins un vol en 2005, contre 6% en 2003. Ce taux passe à 65% (!) chez les entreprises de plus de 1.000 salariés. En moyenne, 44% des entreprises interrogées par le Clusif ont constaté des vols ou des disparitions de matériel en 2005.

Or, selon une autre étude menée sur le salon Infosecurity en 2005, 81% des PDA stockent des contacts professionnels, 59% des agendas professionnels et 27% des données d’entreprises.

La perte de terminaux source de la majorité des vols de données

De la même façon, une étude menée en 2005 par Pointsec sur les pertes d’appareils mobiles dans les lieux publics dans la ville de Copenhague montre que 566 PDA ont été perdus en 6 mois dans les taxis de Copenhague, soit une augmentation de 350% depuis 2001. 11.971 téléphones portables ont également été oubliés dans les taxis.

Dans les six derniers mois, 5.838 Pocket PC et 4.973 laptops ont été perdus dans les taxis londoniens. Des chiffres colossaux…

Sachant que 60% des vols de données proviennent d’un appareil volé ou perdu contre seulement 25% pour une intrusion de réseau, il devient alors critique pour une entreprise de protéger ces terminaux en allant plus loin que les outils fournis par les fabricants comme l’éternel duo ‘login-password’.

Mais le Clusif souligne que les entreprises prennent leur temps. 9% d’entre elles autorise l’utilisation de pDA et de smartphones sans conditions ». 46% autorisent l’usage sous conditions et 43% interdisent leurs utilisations, ce qui n’est pas forcément la bonne solution.

Pour autant, Mikaël Taillepied directeur général de Pointsec France (un éditeur spécialisé dans les outils de cryptage) estime que les entreprises ont pris conscience du problème. « Il y a une véritable attente désormais. Les données se baladent dans la nature et les entreprises y voient un danger », nous explique-t-il.

Pointsec a flairé le bon filon. Après le cryptage des données des postes de travail, l’éditeur s’est naturellement tourné vers la protection des terminaux mobiles et des accessoires amovibles. « Notre solution permet de chiffrer les données stockées dans le disque dur ou dans une memory card et pas seulement l’accès au terminal », poursuit le dg.

Pour autant, la question du déploiement de ce type de solution se pose. Surtout dans le cadre d’immenses flottes. « Nous développons des kits d’installation centralisés multi-OS. Ensuite, il suffit de ‘pousser’ l’outil de protection vers les terminaux, à la manière du push e-mail. Ce qui se fait en toute transparence « .

Preuve que cette prise de conscience existe bien, le chiffrement des PDA représente désormais 40% du chiffre d’affaires de Pointsec contre 20% il y a un an. Les revenus globaux ont bondi de 56% atteignant 34 millions de dollars en 2005. Ses principaux clients sont les organismes financiers, les cabinets d’avocat ou de consulting dont les données sensibles sont de plus en plus nomades.

Le cas des clés USB

Elles sont partout et traînent dans les poches de dizaines de milliers de salariés. Il faut dire qu’elles sont quasiment données aujourd’hui.

Mais ces supports de stockage amovibles constituent également un danger pour le SI de l’entreprise. Elles peuvent être à l’origine de l’injection de codes malveillants dans un poste de travail. A l’inverse, elles permettent d’aspirer des données sensibles.

« Elles échappent complètement au contrôle des entreprises », souligne Mikaël Taillepied directeur général de Pointsec France.

Ainsi, en une année, le nombre de personnes ayant reconnu avoir eu recours à l’utilisation de clés USB pour enregistrer les données de leur entreprise sur leur lieu de travail a quasiment doublé. Cependant, les équipes informatiques sont persuadées que la majorité d’entre elles ne sont pas sécurisées.

Un échantillon de 2/3 des professionnels informatiques qui utilisent eux mêmes ces médias amovibles au travail admettent qu’ils ne les protègent pas par un chiffrement même s’ils sont conscients des dangers associés. Dans le même temps, 56% des employés enregistrent les informations de l’entreprise sur leurs clés USB.

Par ailleurs, 65% des professionnels informatiques admettent que les médias amovibles représentent potentiellement une bombe à retardement. Seulement 21% des médias amovibles de l’entreprise sont sécurisés par des mots de passe ou un chiffrement.

Certaines entreprises (12%) en interdisent l’usage en neutralisant par exemple les ports USB des machines. Ce qui n’est pas tenable. Une autre solution consiste alors à chiffrer les données qui sortent d’un PC comme le préconise Pointsec.

« L’utilisateur peut transférer un fichier vers un support amovible, mais sa lecture a posteriori sera bloquée si telle est la volonté de l’entreprise », poursuit le dg.

« Notre recommandation est d’introduire des procédures strictes sur l’usage des médias amovibles dans les lieux de travail et d’investir dans un logiciel de chiffrement qui permettra aux administrateurs de forcer le chiffrement de toutes les données enregistrées dans un média amovible. Les entreprises réaliseront bientôt que ce type de logiciel est tout aussi vital et non coûteux que l’usage d’un logiciel anti-virus. », explique de son côté Martin Allen, Directeur de Pointsec UK.