Gartner : l’encapsulation et le confinement des applications, clés de la sécurité mobile
Dans une note de recherche, Gartner explique qu’une politique de sécurité des environnements mobiles en entreprise se passe avant tout au niveau des apps. Mais qu'elle repose aussi sur un équilibre délicat des solutions. Décryptage.
Pour Gartner, la sécurité des mobiles en environnement professionnel doit s’effectuer au niveau applicatif. C’est l’une des conclusions que l’on peut tirer de la note de recherche publiée par le cabinet d’analystes, intitulée « comment choisir entre les contrôles de sécurité de la MADP (Mobile Application Development Platform), la MAM (Mobile Application Management) et l’EMM (Enterprise Mobility Management) pour les apps mobiles ».
« Dans la mobilité, les menaces sont différentes de celles que l’on peut rencontrer dans la cybercriminalité ». Les principales menaces viennent des utilisateurs eux-mêmes, résume Dionisio Zumerle, co-auteur de cette note, mais elles sont moins communiquées que les grosses attaques comme celle de Sony. « Et il faudra quelque chose de gros pour pousser les entreprises à véritablement investir ».
Pourtant, selon lui, les investissements en sécurité ne se situent pas en majorité dans la mobilité, mais davantage dans la protection du réseau. « Il faut changer la mentalité », invite-t-il.
Aujourd’hui, pourtant, les entreprises ont compris qu’il fallait mettre en place des politiques et des règles de protection des données dans un environnement mobile, et qu'il fallait différencier les données professionnelles de celles personnelles. Reste à trouver le bon équilibre à la fois entre les pratiques et les outils de sécurité disponibles sur le marché.
Gartner réalise quatre constats : « la technologie de MDM est l’outil de plus utilisé pour la sécurité mobile, mais elle est pourtant insuffisante, pour la protection de la majorité des apps entre entreprise et employés » ; « les entreprises sont perplexes devant la diversité des options qui s’offrent à elles pour appliquer des politiques et des contrôles de sécurité entre les produits de EMM, MAM et de MADP » ; « le fait d’imposer des politiques de sécurité sur l’appareil entier plutôt que sur l’app peut s’avérer peu pratique » ; et « la sécurité des apps mobiles peut être appliquée soit pendant le développement soit après, mais les entreprises ont du mal à savoir quelle approche convient le mieux à une app donnée ».
On l’aura compris : la sécurité de la mobilité en entreprise repose sur une alchimie complexe, laissant les DSI dans l’embarras.
Porter la sécurité au niveau de l’application
Selon Dionisio Zumerle, la démarche qui consiste porter la sécurité au niveau du seul terminal, dans une logique de MDM (Mobile Device Management) ne suffit pas. D’où la nécessité de remonter cette notion de protection au niveau de l’application. « Si vous pensez comme un pirate, il vous faut attaquer au niveau de l’application. Ainsi si vous voulez protéger les données de l’entreprise, il vous faut protéger les applications. C’est là qu’intervient alors le MAM, Mobile Application Management, ainsi que la conteneurisation d’application, où l’entreprise est plus libre de mettre en place des actions. »
En 2015, les techniques d’encapsulation d’applications vont de plus en plus être utilisées, prédit-il. Tout comme celles dédiées à l’Enterprise Rights Management et DLP portées par des start-ups dédiées qui se mettent en place. Des solutions de sécurité natives vont également se multiplier, comme la technologie de conteneurs intégrée à Android Lollipop (Android Work).
Prendre en compte l’utilisateur
Enfin, il faut également intégrer les utilisateurs dans cette difficile équation de la sécurité des environnements mobiles. « En bloquant par exemple, Dropbox, l’utilisateur aura pour réaction de trouver une alternative, avec la même expérience utilisateur. Le département IT n’a plus l’exclusivité. La solution est ainsi d’offrir une expérience attractive avec des outils qui fonctionnent bien. L’utilisateur n’a aucune raison d’aller chercher un outil tiers. »
Les conteneurs vont dans ce sens. « Ils apportent de la liberté aux utilisateurs, tout en sécurisant l’entreprise. Le problème est qu’avec un mobile, on ne peut pas tout voir », insiste-t-il. Avec les conteneurs, on isole justement ce qui doit être protégé.
Mais cela est également mieux pour affronter, plus tard, des menaces qui aujourd’hui restent dormantes : les malwares mobiles. Dionisio Zumerle anticipe l’apparition d’anti-malwares adaptés aux mobiles, qui analysent les anomalies, la consommation de la batterie, la configuration et la sécurité des connexions réseaux. « Ces outils donnent ensuite un score à l’entreprise pour savoir si le dispositif est fiable ou pas. Aujourd’hui, les attaques et malware mobiles sont peu courants en entreprise, sauf dans le Mobile Banking », précise-t-il.
Les recommandations de Gartner en matière de sécurisation des applications mobiles :
- Utilisez l’encapsulation des apps lorsque les ressources de développement sont limitées, mais suivez une approche de SDK pour les impératifs de sécurité complexes ;
- Appliquez des politiques de confinement des données au niveau des apps pour atténuer les fuites de données. Exploitez l’encapsulation d’apps de l’EMM/ MAM pour des politiques cohérentes au niveau des données et un confinement sans codage, notamment lorsque les apps sont développées à l’aide de multiples outils ou par des prestataires d’externalisation ;
- Assurez-vous que tous les utilisateurs disposent de la version la plus récente et sécurisée de l’app mobile. Utilisez des MADP avec des fonctions de gestion d’apps pour appliquer et transmettre les mises à jour, mais utilisez les encapsuleurs de l’EMM/ MAM si la MADP n’offre pas de telles capacités ;
- Chiffrez les données au repos des apps et étendez la protection aux données en transit au niveau du système dorsal. Employez le SDK ou les encapsuleurs de l’EMM/MAM si un accès VPN par app est requis ;
- Mettez en œuvre une authentification et une autorisation transparentes et sécurisées sur les systèmes dorsaux, au moyen de personnalisation. Utilisez les capacités d’authentification fournies par la MADP pour une intégration cohérente, mais combinez-les avec le SDK de l’EMM/MAM lorsque les capacités de la MADP ne suffisent pas pour les scenarii complexes.