Protéger les réseaux d’entreprise du téléchargement d’applications mobiles
Dans un contexte propice à l’usage de terminaux mobiles personnels en environnement professionnel, les services IT peinent à faire appliquer de bonnes pratiques en matière de sécurité. Les désormais très tendances applications mobiles corsent un peu plus le débat quand il s’agit de se prémunir contre les attaques et les vols de données.
Envie de partager secrètement vos contacts avec vos concurrents ? Il y une application pour ça. Vous avez besoin de tenir à l’œil, en cachette, vos employés ou votre épouse ? Il y a une application pour ça. Vous cherchez à obtenir les mots de passe de chaque transaction mobile ? Il y a aussi une application pour ça.
Grâce à la multiplication des sites de téléchargement d’applications mobiles, les utilisateurs d’iPhone et de Blackberry ont désormais à disposition un nombre considérable d’applications tierces pour leurs terminaux professionnels. Selon la dernière étude de Juniper Research, le nombre de téléchargements d’applications mobiles devrait atteindre les 20 milliards en 2014. Les professionnels de la sécurité des réseaux devront alors affronter de nouveaux enjeux, et ce de façon continue.
Peu d'options pour les services informatiques
La progression des terminaux mobiles ainsi que celle des applications tierces exposent l’entreprise plusieurs risques en matière de sécurité, comme l'irruption d'une plate-forme de distribution de malware et l'ouverture d'un accès non autorisé à l’information. Alors que les services informatiques subissent déjà des pressions internes pour intégrer et supporter les applications tierces, leur options pour se protéger contre les vecteurs de menaces sont réduites.
Dans un contexte où la sécurité de l’entreprise risque d'être compromise par le téléchargement d’applications mobiles - Apple offre actuellement des applications permettant d’exploiter des données issues d’applications d’entreprises, comme SAP, Oracle ou d’autres outils d’automatisation des ventes -, rester vigilant en matière de politique interne et de technologie s'avère indispensable.
Jack E. Gold, président et analyste principal chez Gold Associates LLC (un cabinet de conseil en technologie situé dans le Massachusset), indique que se concentrer uniquement sur les règles internes est difficile à moins d’avoir un système de gestion automatisé en place, comme Unwired Platform de Sybase ou Mobile Management de Symantec, qui contrôlent activement les politiques déployées sur chaque appareil. Toutefois, ces produits peuvent être onéreux et complexes à implémenter.
Déployer des smartphones professionnels pré-configurés
“Il est facile pour une entreprise de dire quel terminal utiliser et à quelles applications il sera limité. Le problème est qu’en agissant ainsi, vous bridez le choix de l’utilisateur et en fin de compte, la productivité. Il n’y a pas de vérité absolue et il existe un nombre de variables inhérentes à l’organisation. Si le Pdg arrive et dit “je veux tel terminal”, soit vous lui donnez, soit vous vous cherchez un autre travail. C’est une question d’équilibre à trouver”, souligne Gold.
Pour maintenir un contrôle optimisé sur les solutions sans fil, les entreprises choisissent la plupart du temps de déployer leurs propres smartphones pré-configurés. Bien que ce choix se traduise inévitablement une opération très chronophage et coûteuse pour l’entreprise, cela rend toutefois plus facile la mise en place de politiques liées à l’installation et à l’utilisation d’applications tierces. Les politiques de sécurité appliquées aux terminaux mobiles sont similaires à celles appliquées dans le monde filaire : si un service n’est pas nécessaire ou s’il expose l’entreprise à un risque quelconque, il doit être éteint, désactivé ou désinstallé.
Kraft Food : en finir avec les smartphones non déclarés
De grandes entreprises, comme Kraft Food, un géant de l'agroalimentaire aux Etats-Unis, déploient actuellement en masse des flottes de smartphones et de solutions mobiles. Mark Dajani, vice-président senior chez Kraft, a compris que les employés utilisaient de plus en plus de smartphones sans tenir compte des politiques de l’entreprise. Ainsi, son département a choisi non seulement de fournir des iPhone à certains employés, mais également de supporter les appareils détenus à titre personnel par les employés.
Dajani a pris l’initiative d’y installer les applications internes - email, agenda et contacts - et de connecter les utilisateurs directement à Microsoft Exchange Server. Choix qui non seulement permis d’ouvrir un accès à l’information en environnement professionnel, mais aussi de l’inclure dans une politique de sécurité d’entreprise. Pour avoir accès aux éléments de l’entreprise, les utilisateurs doivent s’authentifier avant d’accéder aux ressources en réseau. Au lieu de perdre du temps à essayer d’éloigner les solutions mobiles, Kraft a préféré concentrer son énergie sur le support, plutôt que dans la prévention.
Apple : des configurations trop permissives
Le Center for Internet Security (CIS - qui fournit les entreprises en bonnes pratiques en matière de sécurité et configuration d’outils de sécurité) a créé le Security Configuration Benchmarks, une série de bonnes pratiques standards autour de la configuration propre aux outils de sécurité qui aborde la problématique des terminaux mobiles, comme l’iPhone, ainsi que la kyrielle d’applications tierces que ces appareils supportent.
CIS conseille aux entreprises de demeurer “pratiques et prudentes” dans leurs politiques de sécurité sur les applications mobiles et dans la façon dont les utilisateurs sont autorisés à utiliser ces mêmes applications pour interagir avec le réseau et les données de l’entreprise. Par exemple, Apple facilite la configuration des iPhone pour accéder aux messageries email professionnelles ainsi qu’aux systèmes back-office (comme les CRM ou PGI), en créant un scenario par lequel les données sensibles de l’entreprise peuvent fuiter, et ce sans possibilité de contrôle. Un seul coup d'oeil aux benchmarks de CIS permet d'éviter la mise en application de ce scénario et ainsi, empêcher la fuite de perte de données.
Le paramétrage des mots de passe - la mise en place de fonctions comme “Mot de passe requis”, “Temps d’authentification dépassé” ou encore “Suppression des données après un nombre élevé d’échec” - fournit une bonne protection contre les pertes de données.
Le mode Avion pour couper les ailes aux connexions sans fil et GPS
Un autre vecteur potentiel de menaces réside dans le Wifi ou les services de géolocalisation (GPS), dont les terminaux dépendent pour transférer des données. CIS livre des explications et des instructions sur comment configurer les appareils de façon à désactiver ces services quand ils ne sont pas nécessaires.
Aujourd’hui, la réalité veut que les solutions mobiles peuvent échanger des données beaucoup plus facilement qu’avant, via des connexions sans fil. Il existe de nombreuses applications qui permettent de transférer, sans fil, des fichiers depuis un PC ou un portable vers un appareil mobile. Une personne qui souhaite voler un fichier du réseau n’a plus besoin de brancher un disque USB pour repartir avec des données sensibles. Pour minimiser ces risques, les appareils, comme l’iPhone, peuvent être configurés de façon à désactiver les fonctions émetteur-recepteur (généralement le mode Avion répond à cette problématique). Quand le mode Avion est activé, les fonctions de GPS sont inactives et tous les signaux sans fil (Wifi, Bluetooth ou GSM) bloqués.
L'émergence de solutions adaptées
Les utilisateurs peuvent également être encouragés à configurer leur terminal de façon à ce que la connexion automatique en Wifi soit désactivée. Ce paramétrage ne gêne pas nécessairement l’accès aux applications d’entreprise comme l’email ou le navigateur - elles restent accessibles via GSM -, mais il garantit en revanche que les terminaux restent fermés à toute attaque.
D’autres entreprises s’étant engouffrées dans la mobilité sécurisent les applications mobiles avec des outils tiers. Le nouveau firmware de l’iPhone apporte le support du VPN Cisco ainsi que celui de Microsoft Exchange. Toutefois, les entreprises IT ont besoin de davantage d’options de sécurité pour protéger leurs infrastructures contre les applications non autorisées et potentiellement dangereuses. La solution de gestion de la mobilité en entreprise (EMM) de Trust Digital, par exemple, supporte l’iPhone et permet de gérer et sécuriser ces terminaux depuis une console centralisée. “Il y a toujours ces 3 à 5 % d’utilisateurs prêts à faire des dégâts, mais les professionnels de l’IT ont désormais à leur disposition davantage d’options pour protéger les terminaux mobiles contre les risques émanant d’applications tierces”, résume Jack E. Gold.
par Sandra Kay Miller
Sandra Kay Miller est journaliste technique pour le magazine Information Security. Elle a passé 15 ans à développer et déployer des technologies de pointe pour l’industrie du pétrole, de l’hôtellerie et du logiciel et 10 ans en tant qu’analyste spécialiste des solutions d’entreprise.