La mobilité est le dernier casse-tête des responsables de la sécurité des systèmes d’information (RSSI). Le récent piratage des Smartphones de 14 parlementaires européens en témoigne (voir encadré). «Il arrive que les systèmes informatiques soient pris à défaut, synthétise Florian Malecki, directeur marketing des applications chez le constructeur informatique Dell. Mais ici, c’est le comportement de l’utilisateur qui semble en cause. Le chef d’accusation ? L’utilisation imprudente d’un terminal mobile. Que celui qui ne s’est jamais connecté à un réseau WiFi inconnu ou qui n’a jamais – dans sa précipitation – validé « ok » sans avoir compris le message d’alerte, lui jette la première pierre.» Le scénario est malheureusement courant si l’on en croit une étude du constructeur d’équipements réseau Verizon. 76% des intrusions sur le réseau exploitent des informations de connexion (mots de passe) faibles ou volées, 13% résultent de privilèges d’administration incorrectement attribués et enfin, le délit reste ignoré dans 66 % des cas.
14% des entreprises pratiquent déjà le Byod. Une chose est sûre : pour l’utilisateur comme pour l’entreprise, le risque est réel. Il a pour origine la multiplication des usages de type « Avec » (Venez avec votre équipement personnel de communication), qui est la traduction française officielle du terme anglo-saxon de Byod (Bring your own device). Pratiquement, il s’agit d’utiliser son outil de communication mobile personnel (smartphone, tablette, objet connecté) à des fins professionnelles, dans le cadre de son travail pour consulter ses e-mails, accéder aux fichiers ou aux applications du réseau d’entreprise. Ce nouveau mode de collaboration est mis en place sous la pression des salariés qui ont pris l’habitude d’utiliser leur smartphone à titre privé. Pour le cabinet d’études Markess International, 14% des entreprises pratiquaient le Byod en 2013. Le phénomène prend de l’ampleur puisque, selon l’étude « BYOD and Virtualization 1 » publiée par l’équipementier de réseaux informatiques Cisco, en 2014, chaque collaborateur utilisera en moyenne 3,3 appareils mobiles différents, tous connectés au système d’information de son employeur.
Là est tout le problème. Car tous ces nouveaux usages cohabitent avec les applications personnelles du salarié : réseaux sociaux, localisation, jeux, services en ligne, sites d’information… Or, selon une étude du laboratoire de Bitdefender, un éditeur d’anti-virus, plus de 1 % des applications de Google Play, la place de marché électronique d’applications mobiles de Google, seraient des copies illicites d’applications populaires, telles que Facebook et Twitter, et donc potentiellement infectées. Une dernière étude d’AV-Comparative, le laboratoire de test de solutions de sécurité informatique indépendant, identifie déjà 7.175 codes malveillants dans 20 Stores annexes pour Android, le système d’exploitation de Google pour appareils mobiles. Lequel se révèle le plus ouvert aux malwares et à la piraterie. Les vecteurs d’attaques sont de trois types, énumère Stéphane Pacalet, directeur général d’Edition Profil qui diffuse l’anti-malware Bitdefender: « Un, La source la plus fréquente d’attaques, c’est d’abord le téléchargement d’applications malveillantes à l’insu de l’utilisateur. Vient ensuite l’exploitation de codes pirates injectés sur les sites Web. Enfin, citons les failles, encore peu courante, dans les systèmes de synchronisation entre le serveur d’entreprise ou les applications mobiles. »
Le MDM, complément naturel de la classique gestion de parc. Les constructeurs ont, dans un premier temps, sécurisé leurs appareils. On cite souvent les iPhones d’Apple comme a priori très protégés, mais leur prise de contrôle par un responsable de la sécurité des systèmes d’information (RSSI) ou par un Directeur des systèmes d’information (DSI) est réduite. De son côté Samsung propose la solution Knox qui sécurise les mobiles sous Android. De son côté, Bull met en avant son Hoox, un smartphone sous Android sécurisé par chiffrage, vendu près de 2.000 euros ! Pour d’autres acteurs, comme Rim et son Blackberry, ou Microsoft et ses systèmes d’exploitation Windowsphone et Windows8RT (peu représentés sur le marché) le risque reste faible. Ces considérations ont conduit RSSI et DSI vers le Cyod (Choose your own device) qui permet au salarié de choisir son mobile parmi une liste de modèles sélectionnés et sécurisés par l’entreprise. Est-ce suffisant ? Non puisque le Byod se développe de toute façon.
Reste alors à piloter efficacement cette nouvelle flotte avec une solution de MDM (Mobile Device Management), ou système de gestion de terminaux mobiles. En complément d’un logiciel classique de gestion de parc, celle-ci assure un triple objectif de sécurité, de protection et de gestion. Il s’agit tout d’abord d’ordonner la distribution des applications d’entreprise supportées par le mobile (déploiement, installation, restauration, mise à jour, géolocalisation et blocage de l’appareil). Ensuite, de configurer la politique sécurité de l’entreprise, avec la gestion des supports, la mise de place des standards de sécurité comme l’authentification et l’encryptage, la suppression des données à distance en cas de perte, de vol du mobile ou en cas de départ du salarié. Enfin, il convient aussi de gérer les services et les coûts de connexion télécom.
Une centaine de progiciels de MDM existe sur le marché. Les uns sont vendus par les spécialistes du système d’exploitation (OS). Citons Apple et son Apple Configurator, RIM/Blackberry et son BES10, Microsoft et son System Center ou encore le MDM de Google. D’autres sont produits par des éditeurs spécialisés comme AirWatch, CA MDM, MobileIron, Zenprise, BoxTone, Fiberlink, ou Good Technology. Ce dernier propose aussi un système MAM (Mobile Application Management) dédié à la sécurité des applications mobiles professionnelles. Des MDM sont enfin commercialisés par les majors de la protection du poste de travail, intégré à leurs anti-malwares, comme McAfee Enterprise Mobility Management, Symantec Mobile Management, Bit Defender Gravity zone, F-Secure Mobile Security Solution ou Trend Micro Control Manager. Pour une PME, le coût d’une telle solution est de l’ordre de 20 euros/appareil/an, un peu moins pour une grande entreprise ayant un grand nombre de mobiles.
Sécuriser aussi les droits étendus des administrateurs. Plusieurs autres solutions se démarquent actuellement. Celle de Landesk, éditeur de solutions de sécurité informatique, associe gestion de parc et MDM pour les mobiles sous Android ou iOS (le système d’exploitation d’Apple pour mobiles)… le tout dans le Cloud. Baptisée SUM (Secure User Management), ce produit est facturé à l’utilisateur pour tous ses appareils (tablettes, mobiles, smartphones, PC, laptop , serveurs…) de 60 euros à 100 euros – auxquels il faut ajouter 20%/an pour la maintenance et le support. Ce produit peut être complété par la solution IT Service Management de Landesk ou encore s’interfacer avec une solution de CMDB (Configuration Management DataBase ; Base de données de gestion de configuration) qui unifie toutes les informations d’un système informatique (matériel, technique, logiciels, contrats). Pour Jean-Jacques Lapauw, directeur commercial France de Landesk, « intégrer le MDM dans la gestion de parc est un atout pour la DSI et la RSSI qui n’ont plus besoin de différencier les types de périphériques. Par exemple, pour télédistribuer le logiciel Microsoft Excel sur des tablettes et des PC, elle n’aura qu’une seule opération à assurer.»
Une autre solution complémentaire au MDM, proposée par le français Wallix, sécurise complètement l’infrastructure au moyen d’un appareil de filtrage qui gère le trafic entre le réseau privé et l’internet public. Point fort, le Wab (Wallix Admin Bastion) gère les accès opérés depuis un PC fixe, un notebook ou encore une tablette ou un smartphone.« Si les accès des utilisateurs sont généralement bien protégés, indique Marc Balasko, responsable produit chez Wallix, ce n’est pas assez le cas des usages des administrateurs qui détiennent des droits étendus sur le système d’information de l’entreprise. » Vendu de 20.000 euros à 100.000 euros, le Wab sécurise ainsi tous les comptes administrateurs ou utilisateurs. Enfin prochainement, Intel devrait commercialiser sa technologie Intel Device Protection qui sécurise les mobiles Android propulsés par Intel. De même, DavDroid, une société française, devrait éditer un OS Android sécurisé. De son côté, Ipass met en place des réseaux Wifi sécurisés.
Des utilisateurs formés, une politique claire et précise. Si le risque dû aux appareils mobiles est réel, est-il pour autant si élevé ? « Les éditeurs de solutions de sécurité informatique misent souvent sur le business de la peur, modère Laurent Geray, responsable Innovation chez Volvo IT France, une société de services informatiques interne au groupe Volvo, le constructeur d’origine suédoise de voitures et de camions. Dans les faits, il y a peu de sinistres, peu de pertes. Le mobile est uniquement une nouvelle porte d’entrée dont il faut simplement sécuriser les accès comme pour les autres équipements informatiques. Mieux vaut alors mettre en place des portiques de contrôle de type MDM pour surveiller le trafic et les données, vérifier que rien d’anormal ne se passe. » C’est aussi ce que propose LogRhythm, fournisseur de solution SIEM (Security Information and Event Management) qui analyse les logs et journaux d’activité, détecte les comportements anormaux et lance des alertes.
Dans la pratique, la perte ou le vol de mobile est de loin le risque le plus important. Un bon MDM permet alors de supprimer à distance et au plus vite les données et les accès. Surtout, recommande Laurent Geray, « il faut analyser son SI et définir ce qui doit être protégé ; les données à sécuriser réellement ne sont pas les plus nombreuses. » Pour sa part, Stéphane Pacalet le confirme : « La meilleure solution est d’avoir une politique sécurité claire et précise qui repose aussi sur la formation et l’information des utilisateurs aux risques encourus. Les menaces évoluent, l’originalité des attaques change, il faut donc souvent rappeler les règles de base. »
Les DSI et les RSSI les plus en pointe développent aujourd’hui leurs propres magasins d’applications d’entreprise. « En 2017, 25% des entreprises auront un Store sécurisé pour les applications professionnelles », prédit Gartner, le célèbre cabinet américain d’analyse du secteur IT. C’est ce que proposent déjà quelques éditeurs de progiciel de gestion d’entreprise comme Salesforce (leader mondial de la relation client et du marketing dans le Cloud) avec des Apps pré validées. Mais dans tous les cas, le magasin restera un complément de sécurité au MDM. Lui seul assure les fonctions de géolocalisation, de blocage et d’effacement des données à distance. Pour les RSSI, l’enjeu est de tailler le SI pour gérer la sécurité. Et non pas de le construire comme un château fort.
Hubert d’Erceville
Encadré : Des parlementaires qui se piratent eux-mêmes
Le site Médiapart a révélé récemment comment un pirate a réussi à accéder aux messageries professionnelles de 14 eurodéputés et assistants parlementaires français, allemands et portugais. Tranquillement installé dans un lieu public proche du parlement de Strasbourg, il a d’abord créé un point d’accès WiFi sur lequel les smartphones des élus se sont connectés automatiquement. Il a ensuite simulé un serveur Exchange dont le protocole assure la synchronisation du mobile avec la boîte aux lettres des parlementaires. Il s’est enfin ouvert un accès direct à leur messagerie, en contournant le chiffrement SSL (Secure Sockets Layer) normalement utilisé entre le serveur Exchange et le mobile. Les victimes ont sous-estimé – ou mal compris – le message d’alerte qui s’est affiché à l’écran dénonçant la connexion au mauvais serveur. C’est donc involontairement qu’ils ont livré eux-mêmes le contenu de leur messagerie au pirate.
Commentez