Une année après l'éclosion du phénomène Byod, la mobilité reste un enjeu majeur pour les responsables de la sécurité. De la protection des applications à la gestion des identités, éditeurs et utilisateurs tentent de trouver une solution adaptée à la stratégie de mobilité.
Le smartphone Android ultra-sécurisé de Bull, Hoox m2, montre une forte appétence pour certains métiers à disposer d'une solution mobile très protégée. Un an après l'émergence de la tendance bring your own device (Byod), les Assises de la sécurité sont revenues sur la sécurisation de la mobilité en entreprise. Même Patrick Pailloux, directeur général de l'ANSSI, a lissé sa position radicale sur le byod en expliquant que ce phénomène s'il n'est pas interdit doit être maîtrisé au sein des entreprises. Pour autant Bernard Ourghanlian directeur technique et sécurité chez Microsoft souligne que « cette position castratrice n'est pas tenable. Il s'agit d'un mouvement de nature sociologique ». Il propose plutôt « d'aider les DSI et RSSI à passer du mode interdire les choses à permettre les choses ». Pour lui, il s'agit de mettre à disposition d'un salarié un catalogue de services en déterminant ce qu'il est possible de faire.
Une gestion des identités renforcée
Pour autant, avant d'installer ce catalogue de services, les responsables IT doivent obtenir l'identité des utilisateurs et celui du terminal, pour prétendre à la création de scénario d'usage. Plusieurs éditeurs présents sur le salon monégasque ont donc mis en avant leurs solutions d'IAM (Identity Access Management). Pour Gael Kergot, directeur solutions de sécurité chez CA Technologies, « l'authentification de l'identité est un premier pas dans une stratégie de byod ». Une analyse partagée par Pascal Colin, directeur général d'OpenTrust qui milite pour une méthode de «certificats avec du chiffrement couplé avec de la signature électronique ». Il constate aussi une prise de conscience avec l'affaire Prism impliquant « des demandes supplémentaires sur la traçabilité des personnes et des terminaux mobiles ». Bernard Ourghanlian met en avant lui une des dernières fonctionnalités de Windows 8.1 nommée Workspace join, permettant de créer un certificat pour lier l'identité d'un utilisateur à son terminal mobile.
Les applications sous surveillance
Autre axe de développement, la sécurisation des applications. Tous les éditeurs de solutions de sécurité ont constaté études après études les différentes menaces sur les OS des terminaux mobiles. Ainsi Symantec a repéré 415 vulnérabilités sur les OS dont 387 sur iOS et le nombre d'applications Android malveillantes a explosé au deuxième trimestre 2013 (718 000). Pour répondre à cette menace, il existe plusieurs approches. Pour Unisys, l'idée est d'encapsuler les applications et chiffrer les données. Une orientation de « conteneurisation » partagée par Citrix qui a ajouté à son outil de MDM (Mobile Device Management) Zenprise une couche de MAM (Mobile Application Management). Autre axe, l'analyse des applications téléchargées, un sujet qu'une start-up montpelliéraine, Pradeo, a dévoilé aux Assises. Elle a développé un moteur de recherche qui scanne les apps sur les différents stores pour donner un profil de risques, vol de données (accès de l'application à l'agenda, aux contacts, etc.), les pertes financières (SMS ou appels surtaxés) et la sécurité (malware, trojan).
Une chose est sure, c'est que les discussions avec les RSSI et les DSI ont été prolixes sur le salon. Les projets de mobilité se développent et les entreprises entendent bien en garder ou en reprendre le contrôle.
Mobilité et sécurité : thème majeur des Assises de la sécurité
Articles sur ANSSI
Articles Tendances technologiques
Articles les plus lus
Suivez-nous