|
Accueil / Home | |||
| Chercher / Search |
| Mensuel : | Edition de janvier 2006 |
| Rubrique : | IT/Sécurité informatique |
| Titre : | Smartphones, smart mais secure ? |
| Article : | C’est souvent à l’occasion d’un déjeuner d’affaire ou lors d’une rencontre professionnelle qu’on les remarque. Les smartphones, téléphones évolués embarquant des fonctions telles que messagerie électronique, agenda ou encore liste de contacts, ont fait une entrée tonitruante sur le marché luxembourgeois en 2005. Les modèles de RIM (Blackberry), HP (6515 Mobile Messenger) ou encore Palm (Treo) remportent un vif succès auprès des cadres dirigeants et employés mobiles de l’entreprise. Et s’il est incontestable qu’ils apportent une liberté de mouvement sans précédent à leurs heureux possesseurs, ils sont également en passe de devenir le pire cauchemard des responsables de sécurité.
Pourtant, d’un point de vue organisationel, le problème n’est pas nouveau. En termes de fonctionnalités, un smartphone s’apparente à un ordinateur ultra portable dont le clavier et l’écran sont réduits au strict minimum. Toutefois les données traitées ne sont pas différentes et impliquent donc un niveau de sécurité identique. Or la plupart des banques pratiquent aujourd’hui une politique de gestion globale de la sécurité, incluant les aspects liés au nomadisme et en particulier concernant l’utilisation d’ordinateurs portables en dehors de l’enceinte de l’entreprise. Elle inclut notamment des procédures concernant les accès distants, le chiffrement des données, l’authentification forte ou encore la marche à suivre en cas de perte ou de vol. Même les utilisateurs, identifés à juste titre comme le maillon faible de la sécurité de l’entreprise, sont aujourd’hui soumis à des séances de sensibilisation. Tout cela est aujourd’hui bien maîtrisé par les banques. Mais alors, qu’est-ce qui fait du smartphone le casse-tête du responsable de la sécurité ? Tout d’abord le public visé par ce produit. Les fonctions qu’il offre et son encombrement réduit séduisent principalement les cadres dirigeants. En effet, il leur permet d’être en contact permanent avec l’entreprise et d’emporter avec eux les documents essentiels à leur travail dans la poche de leur veste. Or, les responsables de la sécurité le savent bien, les dirigeants sont des clients difficiles. Il est, par exemple, assez délicat d’expliquer à son patron que son mot de passe doit être composé d’un minimum de douze caractères, incluant trois chiffres non consécutifs et deux caractères spéciaux n’étant ni "slash", ni "underscore". Le deuxième problème du smartphone est lié à son faible encombrement. Si les chances de perdre ou se faire voler un ordinateur portable sont non négligeables, celles d’oublier un smartphone dans un taxi ou sur la table d’un restaurant sont nettement plus élevées. L’effet de mode actuel lié à ce type d’appareil en fait l’objet de toutes les convoitises et réduit d’autant les chances de récupération après un oubli. Enfin, d’un point de vue technologique, les faibles fonctions de sécurité dont disposent les smartphones sont quasi exclusivement dédiées au chiffrement des données. Le système proprement dit, par contre, est négligé et souvent peu, voire non protégé. Les nouveaux modèles disposent, en outre, d’interfaces de plus en plus nombreuses, que ce soit Edge, UMTS, Bluetooth ou même WiFi, et offrent donc autant de possibilité d’accès non autorisés. Les outils permettant de gérer ce type de vulnérabilité ne sont pas encore matures ou n’existe tout simplement pas. Comment, par exemple, suite à la découverte d’une faille critique, patcher le système d’exploitation de cinquante smartphones répartis sur toute la surface du globe en moins de 24 heures ? Fort heureusement, les virus et autres malwares sont encore rares pour ces systèmes et le risque est donc très limité. Mais la menace est réelle et nul doute que l’engouement pour ces terminaux mobiles ne fasse augmenter la probabilité de son occurrence de manière exponentielle dans les mois qui viennent. On l’aura bien compris, l’utilisation de smartphones dans l’entreprise engendre une augmentation du risque en terme de sécurité. La veille, déjà permanente, et les mécanismes de réponse aux incidents doivent être élargies aux nouvelles technologies utilisées. Une adaptation des procédures ayant trait à l’usage de terminaux mobiles et aux accès distants doit être soigneusement effectuée. Enfin, le déploiement de ce type de terminaux doit obligatoirement s’accompagner d’une sensibilisation particulière des utilisateurs aux nouveaux risques de sécurité. Laurent Mellinger Chief Technology Officer Secaron Route du Vin 12 L-6794 Grevenmacher |
Retour début de page