Appareils mobiles :l’ABC de la sécurité

Les appareils nomades font partie intégrante de la vie des professionnels, en particulier des voyageurs d’affaires. La banalisation du téléphone mobile, l’usage intensif de l’ordinateur portable professionnel, la sophistication croissante des smartphones font que chacun est susceptible de transporter des données sensibles. Leur perte ou leur diffusion incontrôlée constituent un vrai risque stratégique. La problématique ne touche pas seulement les postes à haute responsabilité ou les secteurs sensibles. “Un e-mail sur la fusion entre telle et telle entreprise peut aisément être envoyé au mauvais destinataire, explique par exemple Nicolas Petit, directeur de la division mobilité de Microsoft France. Un fax reçu à la réception d’un hôtel et non récupéré est un cas banal.” Se profile ainsi la source majeure de fuites d’informations : l’erreur humaine. De l’avis des spécialistes des questions de sécurité des données, un papier qui traîne, une erreur d’adresse e-mail, une mauvaise manipulation la majorité des cas. Viennent ensuite l’oubli ou la perte du matériel, le vol et enfin, bon dernier, l’attaque informatique.

Sécuriser l’appareil et son contenu

“La sécurité de l’information numérique, c’est d’abord qu’elle ne soit pas communiquée aux mauvaises personnes, mais également que les données ne soient pas perdues”, poursuit Nicolas Petit. De là découlent deux types de solutions. Les premières, comportementales, sont largement relayées par l’Afom, (Association française des opérateurs mobiles), qui a lancé en juin 2007 une nouvelle campagne de sensibilisation aux risques de vol de téléphones portables. Il s’agit avant tout de faire attention à son matériel. Les secondes portent sur l’utilisation de son terminal, quel qu’en soit le type : faire des sauvegardes régulières, soit sur un support externe ou un PC fixe, soit sur un réseau d’entreprise quand il existe.

Le plus facile à sécuriser de tous les appareils, c’est le PC portable. Par sa taille et sa complexité, on peut y loger de nombreuses protections, logicielles (indispensables antivirus) ou physiques. “Un PC doit être fiable, robuste et l’accès aux données doit être protégé, explique Fabrice Gaudevin, chef de produit notebooks chez Lenovo, nos disques durs sont prémunis contre les chocs grâce à des accéléromètres qui détectent les chutes. Et nous proposons depuis plus de six ans une sécurisation par lecteur d’empreintes digitales et l’encryption complète du disque dur.” Ces fonctionnalités représentent plus de 50 % des ventes de Lenovo, preuve de la réelle demande des utilisateurs professionnels. La protection biométrique est donc une des grandes tendances. Toshiba propose également un smartphone et un PDAphone sécurisés par empreintes digitales.

Cible de choix : Le mobile

Le téléphone mobile (smartphone compris) reste l’instrument nomade par excellence. C’est aussi un appareil convoité : 181480 terminaux volés en 2006, selon la Police nationale, un chiffre relativement stable depuis 2003 grâce aux procédures de blocage à distance. Le numéro Imei permet de désactiver définitivement tout terminal communicant. Mais seuls les deux tiers des vols sont suivis d’une telle procédure. D’autre part, la sophistication des mobiles n’aide pas à leur sécurisation. La diversité des systèmes d’exploitation rend l’uniformisation des techniques de protection plus ardue, et leur diffusion plus lente. Mais contrairement aux idées reçues, l’interception d’informations en cours de communication est rare. “Les cryptages sont suffisamment forts pour rendre toute interception trop complexe. Il faut une motivation forte et ciblée pour chercher à voler des données à distance à un utilisateur, ajoute Nicolas Petit. Windows Mobile 6 permet une administration à distance d’un terminal mobile. Chaque utilisateur peut désormais bloquer ou effacer le contenu de son terminal sans transiter par un service informatique, pas toujours disponible.”

Sécuriser les données

Mais le must, c’est la protection des données mêmes. “Assurer la sécurité des appareils, c’est bien, mais il faut également savoir ce qu’ils contiennent, explique Dominique Loiselet, directeur France de Websense. Quel que soit le niveau hiérarchique, on peut transporter des données sensibles. Il faut donc émettre des droits sur l’information, des DRM, qui restreignent ou alertent sur l’émission d’une donnée.”

Cette démarche de data management est l’étape ultime, mais elle est aussi une obligation règlementaire. “La loi Sarbanes-Oxley, qui intéresse les sociétés cotées, oblige à la sécurisation de l’information financière.” Plus généralement, il est important de restreindre certains accès, typiquement aux sites web pornographiques ou aux réseaux d’échange de fichiers peer-to-peer, illégaux et à risques.

Le risque de fuites est encore mal connu en Europe car il n’existe pas d’obligation légale de déclaration de pertes de données. “La loi américaine contraint les entreprises à signaler toute perte ou vol d’informations client, et la liste est publique : le nombre de fuites est phénoménal. L’Europe ne va pas tarder à légiférer sur le sujet. N’aimeriez-vous pas savoir si votre numéro de carte bleue ou votre dossier médical circule librement dans la nature ?” demande Dominique Loiselet.