2003 a été
marqué par l'entrée du monde informatique dans l'ère de la
mobilité. Intel a joué la carte du protocole WiFi avec Centrino.
Microsoft a parié sur les terminaux mobiles avec son système pour
Tablet PC et la famille Windows mobile 2003. Les opérateurs téléphoniques
français ont sorti chacun à leur tour leur offre GPRS.
Après l'explosion de la téléphonie cellulaire à la
fin des années 90, le "data mobile" est la prochaine grande révolution.
En effet, il permet à tous les travailleurs nomades d'accéder à
leur messagerie et planning, et plus largement à leur système d'information.
Ainsi, les forces de vente peuvent consulter leurs stocks et leur outil de facturation
depuis les locaux de leur client ; les inspecteurs ou techniciens de terrain peuvent
envoyer leurs données depuis leur lieu d'intervention ; les médecins
peuvent accéder aux dossiers de leurs patients depuis les salles d'hospitalisation
; etc.
Cependant, un des freins à l'expansion des
solutions de "data mobile" en entreprise est leur mauvaise réputation
en terme de sécurité.
Un
passé douloureux
Le passé a donné assurément raison aux sceptiques. En
effet, les premiers PDA étaient assez peu sécurisés : ils
proposaient un système de protection par mot de passe désactivé
par défaut et facile à contourner. Par ailleurs, ils étaient
souvent achetés à titre personnel par des collaborateurs qui les
synchronisaient de façon anarchiques avec les données de leur système
d'information. Des informations sensibles pouvaient ainsi être dispersées
dans la nature sans aucun contrôle ni traçabilité.
Les PDA ont ainsi été, à leurs débuts, le cauchemar
des responsables de informatiques. C'est une des raisons pour lesquelles la solution
de mobilité utilisée universellement par les entreprises est le
PC portables sous Windows et le PDA.
Les risques du stockage sur le terminal
La problématique du contrôle d'accès aux données
stockées sur les PDA est aujourd'hui mieux gérée. Pocket
PC 2003 offre des mécanismes satisfaisants d'authentification par mots
de passe. La biométrie par vérification de l'empreinte digitale
a même fait son apparition sur certains iPAQ. La sécurité
de Palm OS 5 reste contournable, mais Palm OS 6 qui doit sortir à la fin
de l'année sera fortement amélioré en terme de sécurité.
Les SmartPhones, sous Symbian ou autres systèmes, bénéficient
d'un système d'authentification de très haut niveau : la carte SIM.
Le problème du stockage de données
sensibles est critique avec les terminaux mobiles. En effet, ces derniers ne proposent
guère de solution de cryptage en natif. De plus, ils utilisent fréquemment
des cartes de stockage externes (cartes SD, Compact Flash, etc.) faciles à
extraire et à relire. Si des solutions de chiffrement apparaissent sous
Palm OS ou Pocket PC, leur maniement reste malaisé.
Enfin, les terminaux mobiles comportent un risque fondamental pour l'intégrité
des données, car le stockage sur ces plates-formes est assuré sur
une mémoire volatile. Ainsi, en cas de déchargement total du terminal,
les données sont perdues.
L'approche la plus appropriée est donc d'utiliser
des terminaux mobiles uniquement avec des applications Web en mode connecté,
la persistance étant ainsi assurée par un serveur intégré
au système d'information.
Dans le cas de l'utilisation d'applications résidant sur le terminal, utilisé
en mode déconnecté, il est sage d'utiliser une sauvegarde sur une
carte de stockage non volatile. Si l'application doit gérer des données
sensibles, un chiffrement peut être géré au travers d'un développement
spécifique.
Dans tous les cas, il est pertinent d'utiliser
des solutions de MDM (Mobile Device Management) afin de gérer le parc de
terminaux mobiles et le déploiement d'applications. Ces solutions permettent
en particulier d'imposer une sécurisation des terminaux par mot de passe.
Des éditeurs comme Extended Systems ou XCelleNet offrent aujourd'hui des
offres matures de MDM.
Les risques liés aux échanges
Dans le cadre de la mobilité, on rencontre 3 grandes typologies d'échanges
de données :
- La synchronisation, inventée avec les PDA
- Les échanges en temps réel sur réseau local (partage de
fichiers, d'imprimantes, etc.)
- Les échanges en temps réel sur réseau distants (applications
Web, messagerie, etc.)
La synchronisation est généralement
utilisée pour les données d'agenda, carnet d'adresse et messagerie,
parfois aussi pour l'échange de données structurées et de
fichiers. Si les solutions de synchronisations fournies avec les terminaux sont
assez limitées, il existe aujourd'hui des solutions d'entreprise comme
celles d'Extended Systems ou de Synchrologic compatibles avec tous types de terminaux
mobiles. Ces solutions fonctionnent sur réseau filaire et sur réseaux
sans fil (WiFi, GSM/GPRS, etc.). Elles offrent un très bon niveau de sécurité
: authentification forte, chiffrement des échanges, reprise sur incident,
et traces.
Dans le cas des échanges en temps réel,
la problématique de confidentialité est particulièrement
sensible avec les protocoles sans fil.
En particulier, WiFi a la réputation d'être mal sécurisé
: le protocole de chiffrement WEP (Wired Equivalent Privacy) qui lui est intégré
est facile à casser. La confidentialité des réseaux WiFi
exige donc l'utilisation d'une surcouche de chiffrement.
GSM et GPRS incluent un système de chiffrement, mais, de même que
pour WiFi, il est préférable de leur ajouter une surcouche de sécurité.
Dans le cadre de ces protocoles, la surcouche de chiffrement est d'autant plus
importante que les échanges peuvent passer par différentes infrastructures
: réseaux téléphoniques, Internet, lignes privées,
etc. (voir schéma)
Dans le cas
où le terminal accède au système d'information au travers
d'applications Web, cette surcouche de chiffrement sera le protocole SSL.
Pour l'accès à d'autres applications du système d'information,
le VPN (réseau privé virtuel) offre une bonne solution de sécurisation
des échanges. Les technologies VPN sont aujourd'hui intégrées
dans Palm OS, Pocket PC. Il semble d'ailleurs qu'avec l'arrivée de l'UMTS,
la dichotomie entre réseau local et réseau distant va probablement
disparaître, et le VPN se généraliser.
Pour ce qui concerne l'authentification vis-à-vis
des applications distantes, elle peut s'appuyer sur des certificats numériques
sous la dernière version de Pocket PC (Windows Mobile 2003). Ce mode d'authentification
sera probablement intégré dans Palm OS 6. Les terminaux téléphoniques
ont quand à eux tout intérêt à s'appuyer sur l'authentification
par carte SIM.
Pour finir, si l'on renforce la sécurité
intégrée aux protocoles sans fils, il existe aujourd'hui des solutions
fiables de sécurisation des échanges pour terminaux mobiles.
Des perspectives prometteuses
Compte tenu des avantages qu'elle propose en terme de souplesse d'utilisation
la montée en puissance du " data mobile " semble inexorable.
Pour accompagner cet essor, il existe aujourd'hui
des solutions de sécurisation des terminaux mobiles matures et fiabilisées.
Ces solutions sont faciles à mettre en uvre dans le cas d'accès
à des applications distantes (mode connecté). Elles sont plus délicates
à utiliser si des données sensibles doivent être stockées
sur le terminal pour des applications locales (mode déconnecté).
Aujourd'hui, la sécurité n'est plus
un frein pour des solutions de mobilité qui deviennent un levier incontournable
en terme d'amélioration de la productivité et de la compétitivité.
|