Sécurité des terminaux mobiles : zoom sur les bonnes pratiques

La sécurisation des terminaux mobiles et, en conséquence, des données et systèmes d’information susceptibles de les accueillir, constituait le thème de la matinée organisée mercredi 15 janvier par le Club de la presse Informatique B2B, animé par José Diz (par ailleurs collaborateur de Silicon.fr). Comme le faisait remarquer Bernard Montel, directeur technique chez RSA, « avant, les usages professionnels et personnels étaient très différenciés. Aujourd’hui, les utilisateurs veulent le même niveau de service [en entreprise] qu’avec les usages personnels ». Un constat sur lequel s’accorde chacun des participants venus présenter leur vision des bonnes pratiques de la sécurité du point de vue fournisseur. Il manquait, néanmoins, un témoignage utilisateur pour compléter la représentativité du marché autour de cette table ronde. Une approche de la sécurité qui tend à se concentrer sur l’infrastructure plus que sur le terminal lui-même comme nous allons le voir.

« L’approche copier-coller des solutions de sécurité du poste de travail vers le mobile a ses limites, avance le représentant de RSA. L’éclatement de la bulle périmétrique (3G, Wifi…) est à redéfinir pour savoir ce que l’on permet ou pas. » Autrement dit, redéfinir la gouvernance. Laquelle peut passer par l’applicatif embarqué. « Les entreprises les plus matures [sur la mobilité] acceptent de redévelopper une partie des applications métiers pour les besoins mobiles mais pas à 100% des fonctionnalités, indique Charles Gresset, directeur technique des services télécom chez Econocom-Osiatis. Elles acceptent de diminuer la richesse des fonctionnalité en renforçant la sécurité pour la mobilité. »

Sécurisation contextuelle

Selon la localisation du terminal, l’utilisateur aura donc accès à plus ou moins de richesse applicative. Une sécurisation contextuelle peu utilisée en France pour des raisons réglementaires propres aux données privées mais développée sur les marchés anglo-saxons. « Il est possible de mettre en place des règles de corrélation pour surveiller l’utilisateur, en fonction de sa géolocalisation, et les usages, indique Philippe Jouvellier, consultant sécurité chez HP. On va de plus en plus vers le contextuel et la surveillance de ce qui se passe dans l’infrastructure. Et, pour préserver les données, vers le coffre fort datacenter, local ou dans le Cloud. »

Une sécurisation de l’accès qui passe également par l’OS. « Microsoft va lancer un système de SSO (Single Sign On, NDLR) contenu dans l’OS mobile », glisse le responsable d’Econocom-Osiatis. Ce qui simplifiera les sessions d’identification/authentification contraignantes à appliquer sur un mobile selon les conditions environnementales. Sortir son porte-clé dans le métro pour saisir son numéro de Token sur son smartphone n’est effectivement pas des plus pratiques (pour ne citer qu’un exemple certes un peu extrême).

Mais l’authentification ne garantit pas tout au final. Et la protection de la donnée pourrait passer par sa classification. « En mobilité, on passe d’une position statique à une position mobile où j’ignore qui se connecte derrière son appareil, fait remarquer Charles Gresset. Il faut donc analyser en temps réel l’usage pour l’autoriser. » Une analyse que Econocom-Osiatis met en œuvre avec des partenaires éditeurs à coup de MDM (mobile device management), MCM (mobile content management) et MAM (mobile application management). « On redéfinit les règles d’accès. A partir de là, la classification de la donnée devient alors naturelle. »

Blinder l’accès au SI

Blinder l’accès au SI est l’approche choisie par Axway, éditeur français spécialisé dans la gouvernance des flux. « Axway se positionne au niveau de la sécurisation de l’accès au SI, c’est le choix de 70% des entreprises », indique Antoine Rizk, vice-président marketing des marchés verticaux. Une sécurisation qui « s’impose car les assets, les services que les entreprises utilisent sont de vraies sources de revenus supplémentaires pour celles qui s’ouvrent vers l’extérieur, vers ses partenaires, les développeurs, ou en interne pour mutualiser les usages des services. »

Une stratégie qui peut se faire par une politique d’API à laquelle Axway répond avec l’approche API Gateway, un serveur (une appliance) intermédiaire entre le back office et l’accès du SI, « qui peut constituer le seul point d’entrée sur le réseau » et offre trois niveau de sécurité : blocage des attaques via un firewall ; identification des accès utilisateurs, applications et terminaux ; et contrôle des messages (qui permet d’authentifier les données d’accès en fonction des usages utilisateurs). « Cela répond aux problématiques des mashup en allégeant le terminal et en se concentrant sur l’infrastructure, précise Antoine Rizk. On ne touche pas au back office. »

Être proactif

Une approche partagée par Teradata. « On s’inscrit dans cette même démarche d’analyse des connexions pour être proactif sur les anomalies et risques de fraude », explique Yaya Sylla. L’architecte solutions du fournisseur de datawarehouse aborde la problématique de la protection des données à travers deux approches : le cryptage des données classifiées stratégiques (ou non) pour sécuriser la partie accès (notamment face au risque de piratage interne à l’entreprise) ; et une partie prise de décision en temps réel « qui devient de plus en plus importante pour permettre aux entreprises de réagir en cas d’intrusion, de fraude, ou pour détecter une faille dans la politique de sécurité ».

Autrement dit, une réponse d’architecture pour donner accès, depuis un terminal mobile, à des informations qui ne sortiront jamais des serveurs de l’entreprise. A moins de « s’amuser » à faire des captures d’écran desdites informations confidentielles. Rien n’est imparable.

Crédit photo : © Slavoljub Pantelic – shutterstock

Voir aussi
Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes