Smartphones : cinq conseils sécurité du bon Dr IBM

iPhone, BlackBerry, et autres PDA : les RSSI commencent à s’angoisser

On le sait, les smartphones sont de plus en présents en entreprise avec des gains incontestables en termes de productivité et de souplesse. Mais depuis leur apparition, se pose la question de la sécurité : ces terminaux sont en effet régulièrement connectés au SI de l’entreprise.

Jusqu’à ce jour, les menaces de malwares sont assez peu nombreuses et aucun incident majeur de détournement de données professionnelles n’a été révélé. D’ailleurs, le vrai risque concerne la perte ou le vol de ces combinés. Pour autant, le récent épisode de la faille dans le gestionnaire des fichiers PDF dans le BlackBerry Entreprise Server, a ravivé les craintes. RIM, son fabricant, répète que cette vulnérabilité n’a pas été exploitée (de toute façon, aucune entreprise n’est prête à révéler ce genre d’incident…).

Pour autant, les éditeurs de sécurité se sont engouffrés dans la brèche. Et rivalisent de communiqués de presse alarmistes mettant en avant leurs solutions. La division ISS (Internet Security Systems) d’IBM n’échappe pas à la règle mais préfère jouer la carte du conseil.

Le spécialiste de la sécurité met en avant cinq pratiques. Mettre en place une politique de mots de passe renforcée. Les smartphones professionnels doivent être configurés de manière à ce que l’écran se verrouille après une courte période d’inactivité. Les mots de passe doivent être complexes et doivent être changés régulièrement, souligne ISS.

Protéger l’accès VPN des smartphones. Les serveurs dédiés aux smartphones et les sorties VPN doivent être placés sur un réseau équipé d’un pare-feu et séparé du reste de l’intranet. Les connexions venant des téléphones doivent être régulées par des systèmes de prévention des intrusions. L’accès VPN des smartphones doit être restreint aux serveurs réellement nécessaires aux utilisateurs de portables, poursuit l’éditeur.

Etablir des procédures à suivre en cas de perte ou de vol. C’est en fait le principal risque auquel sont confrontés les RSSI. Pour ISS, il est recommandé d’établir un point de contact pour les employés ayant perdu leur téléphone, de façon à ce que les données soient effacées au plus vite et qu’un téléphone de remplacement soit envoyé.

Contrôler l’installation des applications tierces. Les téléchargements hasardeux peuvent être synonymes de logiciel malveillant. Les entreprises doivent penser à mettre en place des restrictions concernant l’installation d’applications tierces, en particulier si elles ne comportent pas de signature numérique. Bref, il s’agit de restreindre l’utilisation du terminal de la même façon qu’un PC de bureau connecté.

Evaluer les solutions anti-virus pour smartphones. Si le risque d’infection par un virus est aujourd’hui encore quasiment inexistant, ISS préconise de commencer dès maintenant à déterminer à quel moment les smartphones seront inclus dans le déploiement de leur logiciel de sécurité.

A lire : Mobiles & Sécurité : quels sont les vrais risques pour les entreprises ?