Sécurité : le terminal mobile n’est pas un terminal comme un autre
Pour RSA, les environnements informatiques des entreprises sont confrontés à deux éléments fortement disruptifs, notamment en matière de sécurité : le Cloud Computing et la mobilité. Comme pour le premier, l’éditeur mise sur les partenariats pour apporter des réponses complètes aux problématiques posées par le second. Mais la mobilité semble être un domaine où l’expérimentation semble encore largement nécessaire, ne serait-ce que pour ne pas aller à l’encontre des attentes des utilisateurs.
Pour Tom Corn, directeur de la stratégie de RSA, le Cloud Computing et la mobilité ont au moins une chose en commun, une conséquence : ils conduisent à des environnements IT que «l’on contrôle de point à point ». Dans les deux cas, et comme on l’a déjà vu pour le Cloud, il s’agit donc de déterminer le risque à la volée et de vérifier, en continu, la confiance. Pour Tom Corn, l’un des points clés est que les terminaux tels que les smartphones ou les tablettes mettent à mal le modèle classique du VPN : «mon iPad, par exemple, se connecte directement au service que je veux utiliser [...] le VPN ralentit cela, il est un peu lourd. Mais en même temps, le terminal mobile n’est pas, par essence, particulièrement sûr; le niveau de mon authentification est relativement bas, ce qui est préoccupant.» Mais la question n’est pas triviale pour autant : «il n’est pas question de faire en sorte que les terminaux mobiles reproduisent le comportement des terminaux fixes classiques. D’ailleurs, les utilisateurs attendent moins d’interférence dans leur utilisation. Typiquement, personne ne supporterait qu’on lui demande un token de sécurité à chaque fois qu’il veut utiliser un service sur son iPhone !»
Tom Corn explique notamment ces exigences des utilisateurs par les spécificités d’utilisation des smartphones et des tablettes : «sur un ordinateur, je me connecte à un serveur pour une longue période. Sur mon smartphone, je connecte brièvement, puis je me déconnecte, et je me reconnecte, etc.» L’utilisateur picore, en quelque sorte. C’est l’observation de ces spécificités qui a conduit RSA à lancer le projet Athena, explique Tom Corn, pour définir sa stratégie mobile, en s’appuyant sur les cas d’usage pour lesquels il fallait trouver une solution, «et voir comment le faire, d’un point de vue technologique». Et c’est sur le terrain de la gestion et de la validation de l’identité de l’utilisateur que l’éditeur indique avoir, à ce jour, le plus avancé, misant donc sur une évaluation du risque à plusieurs facteurs.
Comme pour le Cloud Computing, RSA a ainsi lancé un programme partenaires dédié qui vise à permettre à des tiers d’intégrer ses technologies d’authentification mobile à leurs applications, pour iOS, Android et Blackberry. Parmi les premiers partenaires à avoir rejoindre l’initiative, on compte Citrix, qui a intégré les technologies de RSA à son client mobile Receiver à sa passerelle de services Cloud CloudGateway. Juniper est également au rendez-vous, avec sa solution d’accès nomade aux ressources de l’entreprise Junos Pulse VPN, ainsi que Good Technologies, qui entend simplifier l’intégration des solutions d’authentification de RSA aux applications métiers développées via son framework de développement d’applications iOS Good Dynamics.