En complément du dernier billet de la Citadelle Électronique sur la protection des données sensibles pour les smartphones (Smartphone: Une startup Suisse assure la protection des données sensibles) je vous propose un article écrit par Alain Ceccato, consultant sécurité, traitant de la sécurité de ceux ci. Cet article très intéressant traite des menaces et donne des pistes technologiques et organisationnelles pour diminuer les risques liés à l'utilisation de ces "compagnons" que sont les smartphones.Bonne lecture.
Sylvain Maret
Smartphones: «Le maillon faible !»
Dès sa prise de fonction, le 44ème président des Etats-Unis a mis ses services de sécurité sous pression en insistant pour conserver son smartphone au doux nom de baie noire, basé sur une technologie et une infrastructure sous influence étrangère... Serait-il en effet admissible que l’homme à la tête du plus puissant des états ait ses communications espionnées ou puisse être facilement géo-localisé par la faute d’un appareil aujourd’hui si banal?
Cet événement parait certes anecdotique en regard d’une élection jugée historique, mais il doit néanmoins rappeler à tous ceux qui traitent de la sécurité des Systèmes d’Information (SI) que l’usage de ces téléphones «intelligents» au sein de leur entreprise n’est pas dénué de risques, au contraire... En effet, la multiplication de fonctionnalités tant réclamées par les utilisateurs crée tout autant de vulnérabilités qui, sans les protections adéquates, s’en viennent menacer sournoisement mais surement les SI.Des menaces bien identifiées
Pour s’en convaincre, passons en revue quelques classiques du genre:
- Avec leur grande capacité mémoire interne accessible par port USB ou cartes SD, les smartphones sont devenus une solution de stockage très attractive, notamment parce qu’ils sont toujours à portée de main. En cas de vol ou de perte, nul ne peut prédire ce qu’il adviendra des données confidentielles qui s’y trouvent.
- La diversité des moyens de communication intégrés, tant matériels (GPRS, Wifi, Bluetooth, Infrarouge, Modem PC, etc.) que logiciels (navigateur internet, messagerie instantanée, accès distant, VoIP, etc.), permet également l’évasion consciente ou non de données d’entreprises mais aussi la propagation de virus et autres malware, des connexions systèmes non autorisées (data ou voix), des possibilités de téléchargements illégaux, tout cela en contournant simplement les dispositifs habituels de protection réseau de l’entreprise.
- Les fonctions multimédias dont nous sommes tous si friands (dictaphone, appareil photo/vidéo, scanner code-barres, GPS) offrent une panoplie impressionnante d’outils pour capter des informations environnementales et mener des activités d’espionnage en toute simplicité (enregistrement de conversations secrètes, photos non autorisées de documents, vidéos clandestines, positionnement géographique, etc.).
Une situation propice
Sans être devin, on peut présumer que les futures évolutions techniques des smartphones augmenteront les risques qu’ils font peser sur la sécurité des SI d’entreprise à cause, par exemple, de capacités accrues de traitement de l’information (processeurs plus performants) ou de nouveaux éléments d’interactivité (détection et tracking par puce RFID).
Malgré leur potentiel élevé de nuisances pour les SI, force est de constater que les entreprises négligent encore trop souvent de protéger les smartphones de manière appropriée, peut-être parce que l’achat et la gestion de ces appareils se font sans réelle concertation avec les départements informatiques.
Réagir pour ne pas subirPourtant, on l’a vu, les smartphones représentent un défi sécuritaire comparable aux PC portables, nécessitant d’appliquer des recettes quasiment identiques pour garantir un niveau de sécurité des SI acceptable.
Notamment:
- Sur un plan technique: Implémenter les moyens de protection requis tels que contrôle d’accès, antivirus, pare-feu, chiffrement des données locales ou client VPN (oui, tout cela existe!) et appliquer régulièrement les mises à jour de sécurité (antivirus, firmware, logiciels).
- Sur un plan organisationnel: Homogénéiser le parc de smartphones pour réduire le nombre de vulnérabilités à traiter, établir une politique de sécurité claire (responsabilité de l’utilisateur, usages autorisés, applications standards supportées, etc.) et, bien sûr, sensibiliser les utilisateurs.
Évidemment, ces moyens de protection doivent être revus et adaptés en fonction des caractéristiques des appareils fournis pour chaque type d’utilisateurs et des risques qui leurs sont associés.
L’exemple vient aussi d’en haut
En dépit de son statut et du caractère passionnel de l’histoire, le locataire de la Maison Blanche a finalement choisit de se conformer aux règles de sécurité justifiées, auxquelles sa fonction l’astreint, et employer l’appareil validé par ses services de sécurité. N’est-ce pas là une belle leçon de pragmatisme qu’il nous faudrait aussi appliquer dans nos entreprises?
Alain Ceccato / Consultant sécurité - ICBO Sàrl
0 commentaires:
Enregistrer un commentaire