Tablettes : certains les craignent, d’autres pas
La tablette est devenu un compagnon électronique de référence pour ses utilisateurs, et c'est ce qui inquiète certains responsables de la sécurité informatique. Ils voient proliférer des tablettes sans les contrôler, des appareils utilisés pour accéder aux applications métiers ainsi qu’à des applications non testées et téléchargées depuis Internet.
Les tablettes perdues ou volées peuvent contenir des informations confidentielles de l'entreprise, ou fournir à des personnes malintentionnées le moyen d'accéder aux comptes de l’entreprise. Mais ces craintes, dès lors qu’elles concernent les tablettes, sont-elles justifiées ?
Les politiques de sécurité en place devrait suffire
Selon Jamie Marshall, responsable des solutions de IT chez Equanet, un intégrateur de systèmes installé à Bury et détenu par Dixons Retail, une grande partie de l'anxiété liée aux tablettes est déplacée. "Il y a une certaine part d’a priori induite par l'extrême simplicité d'utilisation de ces appareils ainsi que par le fait qu’ils soient toujours allumés. Ce qui les rend fondamentalement peu sûrs. Mais une fois que les gens comprennent comment fonctionne la sécurité sur les tablettes, ils cessent de les voir comme un problème", assure-t-elle.
Marshall juge ainsi que le chiffrement intégré à l’iPad, par exemple, le rend très sûr. "Tout ce que vous devez faire en tant que personne morale est d’appliquer une politique de mot de passe fort pour les utilisateurs. Si l'appareil est perdu, les tiers ne peuvent pas y accéder, et vous pouvez provoquer un effacement à distance."
Appliquer les politiques de sécurité sur des tablettes peut toutefois être compliqué en raison de la diversité des plateformes et de leurs modes de fonctionnement. La tâche peut être simplifiée en utilisant un système de gestion des terminaux mobiles (MDM), qui permet aux administrateurs de définir une politique et d'appliquer cette politique à travers des plateformes multiples. Equanet utilise AirWatch pour son propre personnel; mais ce n'est qu'une des nombreuses solutions du marché aux côtés de concurrents comme Good Technology, MobileIron ou Sybase.
Pour Marshall, si les entreprises fournissent des tablettes à leurs employés, elles ont toute légitimité à faire respecter leurs politiques de sécurité. Mais si les utilisateurs sont autorisés à utiliser leur propre équipement, le contrôle peut être plus difficile à faire accepter.
Cependant, Marshall conseille toujours, même pour des appareils détenus par les utilisateurs, de déployer une solution de MDM afin de rendre impératif l’usage de mots de passe forts. "Vous devez également faire comprendre aux utilisateurs que s’ils utilisent leur terminal mobile dans le cadre de leurs activités professionnelles, vous avez la capacité de l’effacer à distance lorsqu’ils quittent l’entreprise. Un accord doit être conclu dans ce sens entre les utilisateurs et l’entreprise," explique-t-elle.
Des questions préoccupantes
Certaines personnes sont moins optimistes au sujet de la menace posée par les tablettes. "Les tablettes représentent une technologie encore relativement immature", estime pour sa part Phil Robinson, directeur au sein du cabinet de conseil londonien Digital Assurance. "Elles ne bénéficient pas d’autant de correctifs et de mises à jour [que les postes de travail conventionnel, NDLR] et leur cycle de mise à jour n'est pas aussi court que pour Windows. En outre, l'utilisateur dispose d'un haut niveau de privilège sur le dispositif."
Rob Newburn, directeur de la sécurité de l’information chez le New-Yorkais Trustmarque Solutions, abonde. "La plupart de ces appareils n’ont pas été conçus pour le monde de l’entreprise", relève-t-il. Et si les virus mobiles ne représentent toujours qu’une petite menace pour les tablettes, ajoute-t-il, les fuites de données et la perte de productivité sont des menaces sérieuses.
Ian Kilpatrick, président du distributeur de produits de sécurité Wick Hill Group, compare la situation actuelle des tablettes avec celle des ordinateurs portables connectés à distance il y a 10 ans. "Tout comme lorsque nous avons déployé les premiers PC portables, c’est l’application qui détermine l’exploitation et la sécurité cherche à prendre le train en marche", souligne-t-il. "Certaines entreprises ont mis en place un peu de sécurité, mais elles n'ont pas de politique coordonnée et ne peuvent donc pas gérer le problème dans sa globalité. Elles donnent aux employés l'accès au réseau afin qu'ils puissent lire leurs e-mails, puis les employés utilisent cet accès pour se connecter à d'autres systèmes."
Tracer la voie de la sécurité des tablettes
Tout le monde semble convenir que les tablettes sont ici pour rester et qu’il va falloir supporter leur usage dans les entreprises. Le pire qu'une entreprise puisse faire, c’est d'ignorer cette tendance, parce que cela ne fera qu’encourager l'introduction de tablettes en dehors de tout contrôle, estime pour sa part Ray Stanton, vice-président des services professionnels chez BT Global Services.
"Si la politique est de permettre l'utilisation de tablettes, alors mettez en place des règles de sécurité comme vous le feriez pour un ordinateur portable", insiste-t-il. "Si les utilisateurs accèdent aux données de l’entreprise, les règles de l'entreprise doivent s’appliquer, indépendamment du terminal utilisé."
Certaines grandes entreprises parviennent à combiner l'équilibre délicat entre la liberté d'utilisation et un contrôle strict des données. Par exemple, le géant du réseau Cisco a lancé, dès 2008, une politique de Bring Your Own Device (qui consiste à permettre aux salariés d’utiliser leurs équipements personnels, NDLR). Ce qui, selon le directeur technique britannique du groupe, Ian Foddering, a suscité un vif enthousiasme chez les utilisateurs.
Plus de 17 000 salariés de Cisco utilisent leur smartphone personnel pour travailler. Et Cisco voit chaque mois 400 nouveaux iPad de salariés arriver sur son réseau, de préférence à un ordinateur portable. Les utilisateurs qui enregistrent leurs équipements doivent télécharger un client VPN pour accéder aux données de l’entreprise. Ils doivent également signer une décharge qui autorise Cisco à effacer l’appareil à distance en cas de perte ou de compromission.
Par ailleurs, les utilisateurs doivent assumer leur propre support technique; un forum en ligne est là pour les y aider. "Nous avons observé une diminution de 20% du nombre de sollicitation du help desk," explique Foddering.
Il est clair que l’approche traditionnelle de la sécurité des terminaux mobiles est en train de devenir obsolète. L’industrie des tablettes est jeune et en évolution rapide. Le lancement européen de l'iPad ne remonte qu’à 18 mois, en mai 2010. Apple et Google travaillent à rendre leurs produits plus faciles à gérer et à sécuriser, et les éditeurs se précipitent pour offrir des moyens d’administration pour ces nouveaux appareils.
En attendant, les responsables de la sécurité vont simplement devoir faire du mieux qu'ils peuvent. "Ces dispositifs sont venus sur le marché très rapidement, et avec un mépris relatif pour la sécurité. Maintenant, il y a un risque que les utilisateurs apportent ce mépris sur le lieu de travail. Nous devons passer par un processus de pédagogie auprès des utilisateurs", explique Newburn de Trustmarque Solutions. "C'est une décision de sécurité de base. Si les risques l'emportent sur les avantages pour l'entreprise, ne l’autorisez pas. Si les avantages l'emportent sur les risques et que vous pouvez les contenir à un niveau acceptable, alors allez-y."
Adapté de l’anglais par la rédaction