Principes de sécurité fondamentaux de la communication mobile

Guillaume Séguin, OKIOK -01/05/2008

L'essor de la mobilité entraîne de nouveaux problèmes de sécurité, et les dispositifs mobiles ne sont pas toujours dotés de la protection adéquate. Face au danger grandissant, les entreprises doivent mettre en place certaines mesures essentielles.

La première règle découlant d'une saine sécurité des appareils mobiles consiste sans doute à les protéger à l'aide d'un mot de passe au démarrage. Celui-ci empêchera une personne mal intentionnée d'accéder aux informations stockées dans l'appareil. Pour utiliser ce dernier, la personne se verra forcée d'en supprimer le contenu. Cela ne décourage pas nécessairement le vol, car les voleurs ont l'habitude de supprimer les données afin de faciliter la revente des appareils. Par contre, les informations confidentielles seront protégées.

Bien sûr, le mot de passe n'est pas une solution infaillible. Il sera toujours possible d'avoir accès au contenu de l'appareil si le vol survient alors qu'il est allumé. Ce qui est plutôt fréquent dans le cas d'assistants numériques personnels et de téléphones cellulaires, puisque les utilisateurs n'éteignent que rarement ces dispositifs lors de leurs déplacements. Pour ce qui est des ordinateurs portables, ils sont davantage susceptibles d'être volés lorsqu'ils sont éteints, mais on peut quand même contourner leur mot de passe. Il suffit d'utiliser un programme de démarrage sur cédérom, que l'on peut télécharger d'Internet.

Autre règle de base, il est nécessaire de garder à jour la protection des appareils mobiles en appliquant les rustines pertinentes. L'exercice est plus difficile qu'avec des ordinateurs de table. En effet, il n'est pas aisé de prévoir à quel moment seront en ligne les appareils d'employés se déplaçant fréquemment, afin de pouvoir y acheminer les rustines. Il revient donc à chaque utilisateur de veiller à faire ses mises à jour – non seulement celles qui sont destinées à l'appareil même, mais aussi à l'application de courrier électronique, au navigateur, etc.

Il s'agit, en fait, d'une extension du processus d'application des rustines à l'intérieur des murs de l'entreprise. Plus ce processus est évolué, plus il sera facile d'appliquer les rustines aux appareils mobiles. Une façon de simplifier les choses consiste à réduire le choix de dispositifs offert aux employés, de manière à rendre le parc d'appareils mobiles le plus homogène possible. Certaines grandes entreprises choisissent même d'installer dans leurs locaux le serveur de gestion des dispositifs mobiles. Ainsi, pour se relier au réseau d'entreprise, les utilisateurs doivent se servir de certains modèles.

Chiffrement du courriel

Il existe des solutions de chiffrement du courrier électronique pour la plupart des appareils mobiles. Par contre, si le chiffrement n'est pas utilisé au sein de l'entreprise pour le courriel régulier, il s'avérera difficile de l'implanter en mobilité. Le chiffrement du courrier électronique apporte un élément de protection clé, mais attention! Il peut affecter la performance et la disponibilité de certaines fonctions, comme la recherche de messages indexés.

Une entreprise qui dispose de l'infrastructure nécessaire peut automatiser le chiffrement en certaines circonstances, ce qui évite d'avoir à déterminer ce qui devrait être chiffré ou non. Ainsi, une personne souhaitant protéger des informations confidentielles lorsqu'elles sont transmises à l'extérieur du réseau d'entreprise n'aura pas à se demander si le destinataire est à son poste de travail ou en déplacement. Nul besoin, puisqu'une solution de chiffrement en périphérie peut chiffrer automatiquement les messages sortants dès qu'ils ont quitté les limites du réseau interne.

Vol d'appareils

Bien que les médias ne semblent pas en faire état au même titre que les infections et les autres attaques perpétrées par le truchement d'Internet, le vol d'appareils mobiles a atteint des proportions semblables. Selon le dernier sondage annuel du Computer Security Institute (CSI) sur le crime et la sécurité informatiques, 50 % des entreprises américaines en ont été victimes l'année dernière, comparativement à 52 % pour les incidents de type virus. En 2007, les pertes découlant du vol d'appareils mobiles se sont élevées à 3,9 millions $ en matériel et à 4,5 millions $ en données (pour les 194 participants de l'étude).

Lorsque survient un tel incident, il est nécessaire de prendre des mesures d'urgence. Premièrement, on doit changer tout mot de passe associé à l'appareil volé et permettant d'accéder au réseau de l'entreprise. Pareillement, les accès identifiables ainsi que les clés de chiffrement et de signature stockées dans l'appareil doivent être révoqués.

On veillera aussi à dresser l'inventaire des données contenues dans l'appareil, en portant une attention particulière à celles qui n'étaient pas chiffrées. Les clients et toute autre personne concernée devraient être mis au courant si ces données comprennent des renseignements personnels leur appartenant. Enfin, il s'avérera utile – dans la grande entreprise surtout – de recueillir les informations pertinentes sur l'incident. Grâce à cette mesure, l'entreprise pourra compiler des statistiques permettant de dégager les tendances et d'apporter les correctifs nécessaires pour contrer le vol de dispositifs.

Retour à la page 1

Suite à la page 2 - Sécurité des réseaux sans fil

Les commentaires de ce site sont propulsés par Disqus

delicious  |    Digg it  |    Diigo   |    Google  |    Technorati  |    StumbleIt  |    Yahoo!

505, Boul. René-Lévesque Ouest, bureau 1502 - Montréal, QC - H2Z 1Y7 T: (514) 876-9964 E: redaction@directioninformatique.com
© 2010 - Tous droits réservés