Chadi Hantouche (Solucom) "L'iPhone et Android ne sont pas assez sécurisés"

Le succès des smartphones comme nouveaux outils de travail contraint les RSSI à s'adapter. Définir des critères stricts d'accès au système d'information est plus que jamais requis.

JDN Solutions. L'explosion des smartphones iPhone et Android  fait-elle évoluer les règles de sécurisation mobile existantes ?

Chadi Hantouche. Ces dernières années et plus encore ces derniers mois, les RSSI des grandes entreprises sont confrontées à de nouvelles problématiques en matière de sécurisation des terminaux mobiles. En particulier avec l'explosion des smartphones sous Android et l'iPhone qui ont dynamisé un marché jusqu'alors dominé par Windows Mobile et BlackBerry. Les craintes des RSSI sont d'autant plus grandes pour l'iPhone qu'il a, contrairement aux autres, d'abord été pensé pour un usage grand public.

La priorité est désormais pour les RSSI de se concentrer sur les données clés de l'entreprise à sécuriser. Peu importe si un collaborateur utilise telle ou telle application sur son smartphone pour planifier son trajet en métro. Ce qui compte, c'est de sécuriser et chiffrer les informations qui doivent l'être en appliquant une règle de sécurité simple. A savoir que tout terminal qui ne se révèle pas conforme aux exigences de sécurité fixées par l'entreprise se voit interdire d'accès au SI.

Cela permet de simplifier les procédures de sécurisation, par exemple en termes de déploiement de correctif. Il sera ainsi plus efficace de laisser l'utilisateur lui-même effectuer une mise à jour de son terminal, par exemple via l'iTunes s'il a un iPhone, que de le contraindre à mettre à jour son smartphone via une procédure de push généralisée. S'il ne le fait pas, on pourra alors bloquer son accès au système d'information afin de respecter une consigne claire : si vous voulez accéder aux services de l'entreprise via votre smartphone, il faut que ce dernier soit conforme aux règles de sécurité fixées par l'entreprise.

"Jusqu'à présent, les entreprises adaptaient aux terminaux mobiles les règles de sécurité en vigueur pour les postes de travail"

Les règles de sécurisation mobile actuelles sont donc complètement dépassées ?

Depuis les BlackBerry et autres smartphones sous Windows Mobile, les politiques de sécurité mobiles consistaient largement à adapter aux terminaux mobiles les politiques de sécurité en vigueur pour les postes de travail et les ordinateurs portables. Or, il apparaît que le modèle de château fort consistant à verrouiller les fonctionnalités présentant des risques de failles et de sécurité potentiels telle que l'utilisation du lecteur multimédia, du navigateur Web voire de l'appareil photo, n'est plus applicable pour ces nouveaux terminaux. Pour la bonne et simple raison qu'ils ont justement été conçus pour proposer l'accès à un tel éventail fonctionnel.

L'entreprise et le RSSI doivent donc s'adapter et trouver un nouveau paradigme en termes de sécurité mobile. Celui du blocage de l'accès au système d'entreprise en cas de non-conformité du terminal en est précisément un. Les RSSI doivent également répondre à de nouveaux besoins émanant de deux populations distinctes : les cadres dirigeants qui veulent être à la pointe de la technologie d'une part, et la nouvelle génération de collaborateurs naturellement très connectée d'autre part.  

Sachant que leur marge de manœuvre variera en fonction de la maturité de la pénétration des terminaux mobiles. Car il est toujours plus facile de mettre en œuvre de nouvelles bonnes pratiques et solutions de sécurisation pour un parc mobile pas encore développé, plutôt que déjà à maturité. Le risque d'accroître le mécontentement des utilisateurs est dans ce cas bien plus élevé.

"La découverte du jailbreak de l'iPhone a remis en question la sécurisation de ce smartphone"

Quels smartphones présentent le plus de risques en termes de sécurité ?

La sécurisation des terminaux mobiles passe par trois points : la sécurisation du terminal, de l'échange des données, et du système d'information. Alors que la sécurisation des deux derniers points via du chiffrement AES256bits et une DMZ est bien maîtrisée, celle des terminaux eux-mêmes est encore faible.

En particulier dans le cas de l'iPhone. Son succès a en effet amené une communauté mondiale de pirates à trouver tous les moyens possibles pour contourner ses systèmes de sécurité, alors même que son statut de plate-forme propriétaire de téléchargement d'applications devrait au contraire contribuer à limiter son exposition aux attaques. Or ce n'est pas le cas. L'iPhone, tout comme Android, sont des systèmes d'exploitation qui intrinsèquement ne disposent pas pour le moment d'un niveau de sécurité suffisant pour un usage en entreprise, des mesures complémentaires devant être apportées.

Il existe bien des solutions additionnelles tierces pour leur amener un niveau de sécurité supplémentaire. Apple réfléchit même à ce sujet et devrait présenter bientôt ses propres outils de gestion de flottes et de sécurisation pour iPhone. Le problème est que tout a été remis en question avec la découverte du piratage de l'Iphone OS qui annihile tout système de sécurité. Reste à l'entreprise à faire preuve de pédagogie envers les utilisateurs en les prévenant que tout smartphone jailbreaké, aussi bien personnel que professionnel, ne pourra plus se connecter au SI de l'entreprise s'il ne respecte pas les règles de sécurité en vigueur.

Chadi Hantouche est consultant senior spécialisé notamment sur les problématiques liées aux smartphones. En charge du pôle de compétences en sécurité réseaux et systèmes au sein du cabinet Solucom, il est intervenu auprès de nombreux grands comptes pour les accompagner dans la définition de stratégies smartphones, de déploiement de ces technologies et a suivi de nombreux audits sur ce thème.