Maintenir des VPN « propres » à l’ère de l’anarchie mobile généralisée

Qu’ils travaillent dans un bar, un salon d’aéroport ou une chambre d’hôtel, les collaborateurs des entreprises se caractérisent aujourd’hui par leur mobilité. Les cinq dernières années ont marqué une évolution notable de nos habitudes et environnements de travail. Or, la mobilité a un prix.

Les équipements mobiles ont nettement gagné en puissance et en facilité d’utilisation, s’imposant comme des outils professionnels et des plates-formes de jeu indispensables.
Ainsi, comment les responsables informatiques peuvent-ils éviter l’anarchie tout en offrant aux mobiles un accès fiable et sécurisé ? Les chiffres sont vertigineux : une étude InfoTrends datée de 2011 [1] estime que les travailleurs intellectuels mobiles représentent actuellement plus de 60% de l’effectif total au Brésil, en Allemagne, en Inde ou au Japon et plus de 70% aux Etats-Unis, une proportion vouée à augmenter.
Encore plus saisissants : le nombre et la diversité des équipements mobiles utilisés pendant une journée de travail. De récentes statistiques publiées par le cabinet d’analystes Canalys[2] soulignent que 2011 est la première année où les ventes totales annuelles de smartphones ont dépassé celles, cumulées, d’ordinateurs de bureau ou portables, de netbooks et de tablettes.
Alors que bon nombre de smartphones et de tablettes sont à usage personnel, ces appareils sont de plus en plus déployés à l’intérieur – et en dehors – du firewall d’entreprise. Le phénomène « BYOD » (Bring Your Own Device), qui voit les collaborateurs apporter leurs propres équipements au bureau, est devenu une réalité pour les services informatiques avant même que cette expression entre dans leur vocabulaire courant.
Cette banalisation de l’informatique, qui se traduit par la prolifération des équipements et systèmes d’exploitation mobiles, suffit à faire aspirer tout responsable informatique ou dirigeant d’entreprise à davantage de contrôle et à une atténuation des risques. Les uns comme les autres doivent y réfléchir à deux fois avant de s’engager sur la voie de la sécurité mobile. Faute de cela, ils risquent de pâtir soit du coût direct des cyberattaques, soit du coût indirect des pertes de productivité et d’efficacité résultant d’une sécurité trop stricte pour les mobiles.
Les coûts sont bien réels de part et d’autre de l’équation : une récente enquête réalisée auprès de 50 des plus grandes multinationales américaines révèle que le coût moyen annuel des cyberattaques atteint 5,9 millions de dollars par entreprise.
De l’autre côté de l’équation de l’accès mobile, comment mesurer le coût des pertes de productivité et de la frustration des utilisateurs liées au blocage d’accès des terminaux mobiles ? La réalité est bien entendu que les utilisateurs ne pensent à la sécurité que lorsqu’ils perdent leurs données ou bien lorsqu’ils voient leur accès bloqué d’emblée. Lorsqu’il est question de pouvoir se connecter au réseau de l’entreprise à partir d’une tablette, d’un smartphone ou d’un ordinateur personnels, le collaborateur mobile lambda ne se soucie guère de sécurité. Tout ce qu’il souhaite, c’est avoir accès sans délai aux applications et données de l’entreprise afin de pouvoir accomplir son travail.
Dans ce cas, comment les entreprises peuvent-elles faire face à la déferlante du BYOD sans s’exposer elles-mêmes, ainsi que leurs données, à un risque massif voire catastrophique ?
Selon moi, il ne s’agit pas pour l’informatique d’un problème de contrôle mais de vulnérabilité. Trop souvent, les entreprises déploient des solutions de sécurité qui se focalisent sur une prise de contrôle et un blocage d’accès. Cette approche convient mal à l’univers des mobiles qui opèrent aussi bien à l’intérieur qu’à l’extérieur du firewall, car elle revient à enfoncer un clou au marteau-piqueur. Un contrôle excessif ralentit le réseau et nuit à ses performances comme à celles de l’entreprise. Pire, elle engendre une horde de collaborateurs frustrés et mécontents qui exigent tous d’avoir accès aux applications et aux données dont ils ont besoin.
La nécessité de trouver un équilibre entre sécurité et performances est due à la nature même du travail sur mobile : les équipements (et leurs utilisateurs) se trouvent physiquement autant à l’extérieur du firewall, sinon plus, qu’à l’intérieur du périmètre réseau. Une fois à l’extérieur du firewall, les terminaux mobiles doivent pouvoir se connecter par VPN, y compris via des hotspots wifi et des réseaux publics 3G/4G, afin de préserver la confidentialité et la sécurité des informations sensibles appartenant à l’entreprise. Du fait que les tablettes et smartphones véhiculent des flux d’informations, leurs utilisateurs peuvent involontairement voire intentionnellement propager des logiciels malveillants (malwares) au sein du réseau sécurisé. De tels risques ne font que croître à mesure que les pirates prennent conscience du potentiel d’accès, des informations et des vulnérabilités que recèlent ces équipements.
En conséquence, les services informatiques demandent la capacité d’analyser le trafic entrant afin de protéger l’intégrité du réseau et la sécurité des données. Le revers de la médaille est que les utilisateurs de terminaux mobiles s’attendent à pouvoir bénéficier de l’ensemble des mécanismes de protection et de sécurité offerts par les applications de pointe, d’autant que ce type d’équipements devient vital pour l’infrastructure des entreprises. Que ce soit à l’intérieur ou à l’extérieur du firewall, les responsables informatiques doivent pouvoir en permanence garantir la bande passante pour les applications critiques, tout en limitant le trafic indésirable ou dangereux.
La question est donc pour l’informatique de savoir comment maintenir un VPN « propre ».
Comment assurer à la fois l’accès et l’intégrité des données ?
S’il n’existe pas de réponse toute faite à cette question, une chose est néanmoins claire : les entreprises doivent déployer des outils de sécurité adaptés aux réalités opérationnelles de la banalisation de l’informatique et de la multiplication des collaborateurs mobiles dans leurs rangs.
En mettant en œuvre de nouvelles technologies de sécurité offrant une vue à 360° des utilisateurs et terminaux accédant au réseau, en temps réel et à grande échelle, les responsables informatiques pourront éviter une anarchie des données et des accès. Les administrateurs réseau avisés permettront ainsi à leur entreprise d’évaluer les menaces, d’y réagir immédiatement et de prendre leurs décisions d’autorisation d’accès en fonction des vulnérabilités.
Pour être véritablement efficace, la sécurité doit non seulement assurer une protection au niveau du firewall, mais aussi contrôler chaque application au niveau du terminal :
– Les firewalls de nouvelle génération doivent détecter et éliminer les menaces dans le trafic des terminaux mobiles franchissant les tunnels VPN SSL avant l’entrée sur le réseau.
– Lors des accès au réseau de l’entreprise, l’informatique doit pouvoir vérifier si la demande d’accès d’un terminal mobile est légitime, mais aussi déterminer si le terminal a été « jailbreaké », avec pour effet de neutraliser ses fonctions de sécurité intégrées et d’accentuer le risque d’infection.
– Au niveau applicatif, les responsables informatiques doivent également pouvoir définir et imposer des règles d’utilisation des applications et de la bande passante.
– Au niveau des terminaux, les administrateurs informatiques doivent pouvoir définir des règles pour en identifier les spécificités et veiller à ce que ces règles soient respectées avant de leur autoriser l’accès au réseau de l’entreprise.
Cette sécurité à 360° n’a pas uniquement pour résultat de bloquer les malwares au niveau du firewall. En effet, les services informatiques pourront désormais procéder à une augmentation dynamique de la bande passante suivant les besoins des applications critiques sur les équipements mobiles, tout en limitant la bande passante du trafic moins important voire indésirable. Ces nouvelles technologies de sécurité et d’accès favorisent l’agilité et la performance de l’entreprise, indépendamment du terminal et du moment ou du lieu où celui‑ci intervient dans le workflow.
Le travailleur intellectuel mobile lambda aura toujours accès au réseau depuis son terminal favori… mais ce ne sera pas le cas des malwares et des données ou applications indésirables. Moyennant le déploiement de la sécurité appropriée, l’anarchie mobile généralisée se transforme en productivité mobile généralisée.

 ----------------------
[1] « Mobile Knowledge Workers: Emerging Opportunities », Infotrends, janvier 2011.
[2] « Smartphones Overtake Client PCs in 2011 », Canalys, 3 février 2012.