Maintenir des VPN « propres » à l’ère de l’anarchie mobile généralisée
Qu’ils travaillent dans un bar, un salon d’aéroport ou une chambre d’hôtel, les collaborateurs des entreprises se caractérisent aujourd’hui par leur mobilité. Les cinq dernières années ont marqué une évolution notable de nos habitudes et environnements de travail. Or, la mobilité a un prix.
Les équipements mobiles ont nettement gagné en
puissance et en facilité d’utilisation, s’imposant comme des outils professionnels
et des plates-formes de jeu indispensables.
Ainsi, comment les responsables informatiques peuvent-ils
éviter l’anarchie tout en offrant aux mobiles un accès fiable et
sécurisé ? Les chiffres sont vertigineux : une étude InfoTrends datée
de 2011 [1]
estime que les travailleurs
intellectuels mobiles représentent actuellement plus de 60% de l’effectif total au Brésil, en Allemagne, en Inde
ou au Japon et plus de 70% aux
Etats-Unis, une proportion vouée à augmenter.
Encore plus saisissants : le nombre et la diversité
des équipements mobiles utilisés pendant une journée de travail. De récentes
statistiques publiées par le cabinet d’analystes Canalys[2]
soulignent que 2011 est la première année où les ventes totales annuelles de
smartphones ont dépassé celles, cumulées, d’ordinateurs de bureau ou portables,
de netbooks et de tablettes.
Alors que bon nombre de smartphones et de tablettes sont
à usage personnel, ces appareils sont de plus en plus déployés à l’intérieur – et en
dehors – du firewall d’entreprise. Le phénomène « BYOD » (Bring Your Own Device), qui voit les
collaborateurs apporter leurs propres équipements au bureau, est devenu une réalité
pour les services informatiques avant même que cette expression entre dans leur
vocabulaire courant.
Cette
banalisation de l’informatique, qui se traduit par la prolifération des
équipements et systèmes d’exploitation mobiles, suffit à faire aspirer tout
responsable informatique ou dirigeant d’entreprise à davantage de contrôle et à
une atténuation des risques. Les uns comme les
autres doivent y réfléchir à deux fois avant de s’engager sur la voie de la
sécurité mobile. Faute de cela, ils risquent de pâtir soit du coût direct des
cyberattaques, soit du coût indirect des pertes de productivité et d’efficacité
résultant d’une sécurité trop stricte pour les mobiles.
Les coûts sont bien réels de part et d’autre de
l’équation : une récente enquête réalisée auprès de 50 des plus grandes
multinationales américaines révèle que le coût
moyen annuel des cyberattaques atteint 5,9 millions de dollars par
entreprise.
De l’autre côté de l’équation de l’accès mobile,
comment mesurer le coût des pertes de productivité et de la frustration des
utilisateurs liées au blocage d’accès des terminaux mobiles ? La réalité
est bien entendu que les utilisateurs ne pensent à la sécurité que lorsqu’ils
perdent leurs données ou bien lorsqu’ils voient leur accès bloqué d’emblée.
Lorsqu’il est question de pouvoir se connecter au réseau de l’entreprise à
partir d’une tablette, d’un smartphone ou d’un ordinateur personnels, le
collaborateur mobile lambda ne se soucie guère de sécurité. Tout ce qu’il
souhaite, c’est avoir accès sans délai aux applications et données de
l’entreprise afin de pouvoir accomplir son travail.
Dans ce cas, comment
les entreprises peuvent-elles faire face à la déferlante du BYOD sans s’exposer
elles-mêmes, ainsi que leurs données, à un risque massif voire
catastrophique ?
Selon moi, il ne s’agit pas pour l’informatique d’un
problème de contrôle mais de vulnérabilité. Trop souvent, les entreprises
déploient des solutions de sécurité qui se focalisent sur une prise de
contrôle et un blocage d’accès. Cette approche convient mal à l’univers
des mobiles qui opèrent aussi bien à l’intérieur qu’à l’extérieur du
firewall, car elle revient à enfoncer un clou au marteau-piqueur. Un
contrôle excessif ralentit le réseau et nuit à ses performances comme
à celles de l’entreprise. Pire, elle engendre une horde de collaborateurs
frustrés et mécontents qui exigent tous d’avoir accès aux applications et aux
données dont ils ont besoin.
La nécessité de trouver un équilibre entre sécurité et performances est due
à la nature même du travail sur mobile : les équipements (et leurs
utilisateurs) se trouvent physiquement autant à l’extérieur du firewall, sinon
plus, qu’à l’intérieur du périmètre réseau. Une fois à l’extérieur du firewall,
les terminaux mobiles doivent pouvoir se connecter par VPN, y compris
via des hotspots wifi et des réseaux publics 3G/4G, afin de préserver
la confidentialité et la sécurité des informations sensibles
appartenant à l’entreprise. Du fait que les tablettes et smartphones véhiculent
des flux d’informations, leurs utilisateurs peuvent involontairement voire
intentionnellement propager des logiciels malveillants (malwares) au sein du
réseau sécurisé. De tels risques ne font que croître à mesure que les pirates
prennent conscience du potentiel d’accès, des informations et des
vulnérabilités que recèlent ces équipements.
En conséquence, les services informatiques demandent la capacité
d’analyser le trafic entrant afin de protéger l’intégrité du réseau et la
sécurité des données. Le revers de la médaille est que les
utilisateurs de terminaux mobiles s’attendent à pouvoir bénéficier
de l’ensemble des mécanismes de protection et de sécurité offerts par les
applications de pointe, d’autant que ce type d’équipements devient vital
pour l’infrastructure des entreprises. Que ce soit à l’intérieur ou à
l’extérieur du firewall, les responsables informatiques doivent pouvoir en
permanence garantir la bande passante pour les applications critiques,
tout en limitant le trafic indésirable ou dangereux.
La question est donc pour
l’informatique de savoir comment maintenir un VPN « propre ».
Comment assurer à la fois l’accès et l’intégrité des données ?
S’il n’existe pas de réponse toute
faite à cette question, une chose est néanmoins claire : les entreprises
doivent déployer des outils de sécurité adaptés aux réalités opérationnelles de
la banalisation de l’informatique et de la multiplication des collaborateurs
mobiles dans leurs rangs.
En mettant en œuvre de nouvelles technologies de sécurité offrant une
vue à 360° des utilisateurs et terminaux accédant au réseau, en temps réel et à
grande échelle, les responsables informatiques pourront éviter une anarchie des
données et des accès. Les administrateurs réseau avisés permettront ainsi à
leur entreprise d’évaluer les menaces,
d’y réagir immédiatement et de prendre leurs décisions d’autorisation
d’accès en fonction des vulnérabilités.
Pour
être véritablement efficace, la sécurité doit non seulement assurer une
protection au niveau du firewall, mais aussi contrôler chaque application au
niveau du terminal :
– Les
firewalls de nouvelle génération doivent détecter et
éliminer les menaces dans le trafic des terminaux mobiles franchissant les
tunnels VPN SSL avant l’entrée sur le réseau.
– Lors des accès au réseau de l’entreprise,
l’informatique doit pouvoir vérifier si la demande d’accès d’un terminal mobile
est légitime, mais aussi déterminer si le terminal a été « jailbreaké », avec pour effet de
neutraliser ses fonctions de sécurité intégrées et d’accentuer le risque
d’infection.
– Au
niveau applicatif, les responsables informatiques doivent également pouvoir
définir et imposer des règles d’utilisation des applications et de la bande
passante.
– Au
niveau des terminaux, les administrateurs
informatiques doivent pouvoir
définir des règles pour en identifier les spécificités et veiller à ce que
ces règles soient respectées avant de leur autoriser l’accès au réseau de
l’entreprise.
Cette sécurité
à 360° n’a pas uniquement pour résultat de bloquer les malwares au niveau
du firewall. En effet, les services informatiques pourront désormais procéder à
une augmentation dynamique de
la bande passante suivant les besoins des applications critiques sur les
équipements mobiles, tout en limitant la bande passante du trafic moins
important voire indésirable. Ces nouvelles technologies de sécurité et
d’accès favorisent l’agilité et la performance de l’entreprise, indépendamment
du terminal et du moment ou du lieu où celui‑ci intervient dans le workflow.
Le travailleur intellectuel mobile lambda aura
toujours accès au réseau depuis son terminal favori… mais ce ne sera pas le cas
des malwares et des données ou applications indésirables. Moyennant le
déploiement de la sécurité appropriée, l’anarchie mobile généralisée se
transforme en productivité mobile généralisée.
----------------------
[1] « Mobile Knowledge Workers:
Emerging Opportunities »,
Infotrends, janvier 2011.
[2] « Smartphones Overtake Client PCs in 2011 », Canalys, 3 février
2012.