« Il est autorisé d'interdire » paraphrasait Patrick Pailloux, directeur général de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) à propos du phénomène du BYOD, dans son discours d'ouverture des Assises de la sécurité. Sauf que l'arrivée des terminaux personnels dans l'entreprise est souvent quelque chose de subit par les RSSI. « Comment dire non à un VIP de l'entreprise, quand il vous demande d'avoir sa messagerie ou une application métier sur sa tablette personnelle ? » avoue un responsable de la sécurité informatique d'un groupe industriel lors d'un atelier.
La tâche est donc plus politique que technique. « Il y a un réel besoin de sensibilisation et d'éducation des cadres dirigeants sur les risques encourus. Un moyen peut être par exemple de lui faire un test de piratage de son terminal et d'enregistrer une de ses conversations », explique Frederic Zink, directeur marketing Sécurité de Telindus. Il précise que le BYOD peut s'inscrire dans un projet de mobilité de l'entreprise et que parallèlement il doit s'accompagner d'un projet de sécurité.
Les solutions techniques se multiplient
Avec plus d'un tiers des ateliers relatifs à la problématique de mobilité, les fournisseurs de solutions de sécurité savent que la tendance existe et que les responsables informatiques vont avoir besoin de réponses à leur besoin. Comme le rappelle Laurent Heslault, directeur des stratégies sécurité chez Symantec, « il n'existe pas de chief mobile officer dans les entreprises. Qui est-ce qui gère la mobilité dans l'entreprise : l'IT ou les divisions métiers ? ». La priorité des RSSI est d'abord d'avoir un état des lieux des terminaux personnels circulant dans l'entreprise et de gérer cette flotte. Il est nécessaire de renforcer l'authentification réseau et le MDM (Mobile Device Management).
Chaque acteur a sa stratégie en la matière. Cisco mise sur le réseau comme le rappelle Manish Gupta, son vice-président en charge des produits réseaux et de la sécurité des contenus, « le terminal doit être authentifié sur le réseau. Celui-ci doit comprendre des éléments contextuels, comme où, quand, comment, pour ensuite appliquer des politiques de sécurité ». La gestion de flotte vient en complément à travers des partenariats. D'autres acteurs comme Kaspersky travaillent sur leurs propres outils de MDM, qui devraient voir le jour au début 2012, pour proposer un point d'accès unique en plus de la sécurisation du terminal mobile.
Autres solutions demandées par certains responsables informatiques, le chiffrement des données et même de la voix. « Nous avons des personnes nomades qui échangent des données sensibles et qui peuvent être écoutées par certains Etats » nous confie un RSSI d'un groupe de la grande distribution qui recherche des solutions française. Les sociétés se tournent alors vers des offres fournies par Thales avec son smartphone Theoreme ou celui de Bull, le SPhone. Mais dans ce cas-là, on s'éloigne du BYOD pour retrouver une tendance sous-jacente aux Assises « la re-professionnalisation du terminal personnel ».
Une orientation service et une fédération d'identité
Si les solutions de MDM existent, le BYOD apporte une problématique applicative, le « MAM (Mobile Application Management). Pour ce faire, les éditeurs vont proposer d'encapsuler les applications en vérifiant le trafic entrant et sortant. L'objectif est de créer un app center d'entreprise complétement étanche par rapport à l'utilisation personnelle du terminal.
Mais qui dit sécurisation des applications, dit aussi gestion des identités. En effet, comme le rappelle Laurent Heslault, « un salarié peut utiliser jusqu'à une dizaine d'applications dans la journée. Il y a donc une multiplicité d'identification ». Une entreprise peut vouloir aussi gérer à travers les identités les applications autorisées par les collaborateurs. « La question de la granularité du contrôle va se poser très vite pour les responsables informatiques » affirme Vincent Leclerc, Responsable service IT Security consultants de Kaspersky. La réponse à cette problématique se nomme fédération d'identités pour unifier les contrôles d'accès. Il ne s'agit pas de quelque chose de récent, mais avec le développement des applications mobiles, des services cloud, les acteurs ou opérateurs s'intéressent à ce concept.
Assises de la sécurité 2012 : Les réponses sécuritaires aux défis du BYOD
0
Réaction
Le phénomène de l'intégration des terminaux mobiles personnels au sein de l'entreprise était au coeur des discussions des Assises 2012. Si les RSSI freinent l'arrivée de cette tendance, les éditeurs affûtent leurs propositions commerciales et anticipent les prochaines étapes, notamment sur les usages.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire