L`impact des téléphones intelligents sur la sécurité de l

Transcription

L’impact des téléphones intelligents sur
la sécurité de l’information en entreprise
Une recherche réalisée par :
Pier-Yves Poulin
Présentée à :
Jean-Pierre Fortier
Remerciement à :
Jean-Philippe Ferland
Sébastien Harbec
David Lévesque-Lafleur
Dans le cadre du cours :
SIO-2102 – sécurité, contrôle et gestion du risque
Département systèmes d’information organisationnels
Faculté des sciences de l’administration
Université Laval
TABLE DES MATIÈRES
INTRODUCTION ........................................................................................................................................ 4
L'UTILITÉ DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE ............................................... 6
UTILITÉ ....................................................................................................................................................... 6
PRODUCTIVITÉ ............................................................................................................................................ 6
ANALYSE DE RISQUES SUR L’UTILISATION DES TÉLÉPHONES INTELLIGENTS EN
ENTREPRISE .............................................................................................................................................. 8
LA CONFIDENTIALITÉ DE L’INFORMATION ................................................................................................... 8
LES FAIBLESSES DU SYSTÈME D’EXPLOITATION ET SES APPLICATIONS ........................................................ 9
LES ATTAQUES RÉSEAUX ............................................................................................................................10
LES ACCÈS NON AUTORISÉS ........................................................................................................................11
LA PERTE OU LE VOL ..................................................................................................................................12
L’ESPIONNAGE À DISTANCE........................................................................................................................12
LES MESURES DE SÉCURITÉ TECHNIQUE ......................................................................................14
LA CONFIDENTIALITÉ DE L’INFORMATION ..................................................................................................14
L’ACCÈS COURRIELS ..................................................................................................................................15
LA GESTION DE L’INFORMATION ................................................................................................................15
LES FAIBLESSES DU SYSTÈME D’EXPLOITATION ET SES APPLICATIONS .......................................................15
LES ATTAQUES RÉSEAUX ............................................................................................................................16
LES ACCÈS NON AUTORISÉS ........................................................................................................................16
LA PERTE OU LE VOL ..................................................................................................................................17
L’ESPIONNAGE À DISTANCE........................................................................................................................17
LE PARC HÉTÉROGÈNE................................................................................................................................17
LES TÉLÉPHONES PIRATÉS ..........................................................................................................................18
MESURE DE SÉCURITÉ À METTRE EN PLACE SELON LA NORME ISO 27002 .......................19
ARTICLE 6 - ORGANISATION DE LA SÉCURITÉ DE L’INFORMATION .............................................................19
ARTICLE 7 - GESTION DES BIENS ................................................................................................................20
ARTICLE 8 - SÉCURITÉ LIÉE AUX RESSOURCES HUMAINES ..........................................................................20
ARTICLE 10 GESTION DE L’EXPLOITATION ET DES TÉLÉCOMMUNICATIONS................................................20
ARTICLE 11 - CONTRÔLE D’ACCÈS .............................................................................................................21
ARTICLE 12 - ACQUISITION, DÉVELOPPEMENT ET MAINTENANCE DES SYSTÈMES D’INFORMATION ............22
L’ASPECT
HUMAIN
SUR
LA
SÉCURITÉ
D’UTILISATION
DE
TÉLÉPHONES
INTELLIGENTS EN ENTREPRISE ........................................................................................................23
RESPONSABILITÉ PARTAGÉE DE LA SÉCURITÉ D’INFORMATION DES TECHNOLOGIES MOBILES....................25
2|Page
QUELLES PERSONNES DANS L’ORGANISATION DEVRAIENT ÊTRE AUTORISÉES À UTILISER DES TÉLÉPHONES
INTELLIGENTS CORPORATIFS? ....................................................................................................................26
1-
SEGMENTATION DES EMPLOYÉS ........................................................................................................27
2-
PROFILS UTILISATEURS .....................................................................................................................29
3-
ARCHITECTURE ET APPAREILS...........................................................................................................30
RISQUE RÉSIDUEL APRÈS L’APPLICATION DES MESURES DE SÉCURITÉ ...........................34
PERTE OU VOL DU TÉLÉPHONE MOBILE.......................................................................................................34
L’UTILISATEUR RESTE UN ÊTRE HUMAIN ....................................................................................................35
FAILLE DE SÉCURITÉ DU MATÉRIEL ............................................................................................................36
ÊTRE LA CIBLE D’UN PIRATE.......................................................................................................................37
CONCLUSION ............................................................................................................................................38
BIBLIOGRAPHIE ......................................................................................................................................40
3|Page
INTRODUCTION
Introduction
Depuis quelques années, nous avons pu remarquer une évolution très rapide de
la technologie dans le domaine de la communication mobile. Parmi les multiples
générations qui ont inondé le marché, autrefois, les téléphones cellulaires servaient
principalement à recevoir et à envoyer des appels. Au fil des années, les téléphones
cellulaires ont rapidement évolué pour nous permettre aujourd’hui, une utilisation
beaucoup plus pratique et globale en matière de communication et de gestion de
l’information. Prenons par exemple, la caméra numérique, le transport de données de
masse et la gestion des courriels, ces nouvelles caractéristiques du téléphone intelligent,
nous permettent aujourd’hui d’être constamment en ligne, prêts à accomplir des tâches
impossibles à réaliser avec les téléphones cellulaires d’autrefois. Donc, à partir du
creux de notre main, n’importe où et n’importe quand, nous pouvons être opérationnels
en matière de gestion administrative. Même si les premières séries de téléphones
intelligents ont vu le jour sur le marché depuis quelques années, ce n’est que depuis
peu que nous assistons à une véritable explosion de la demande sur le marché des TI
mobiles.
Dans les entreprises modernes, l’utilisation des technologies de l’information est un
facteur très important lorsqu’il est question de favoriser le degré d’efficacité et de
performance. Considérant que les téléphones intelligents présentement sur le marché
sont d’un point de vue technologique, davantage comparables à des micro-ordinateurs
qu’à un simple téléphone cellulaire. Ces nouvelles possibilités sont pour plusieurs, une
possibilité incroyable d’optimiser la disponibilité de l’information essentielle à
l’accomplissement des multiples fonctions et des tâches à réaliser. De plus en plus
rapidement, la demande de ces appareils ne cesse de croître, ce qui renforce le besoin
pressant de s’ajuster d’un point de vue technique. Par contre, l’utilisation de ce matériel
peut soulever plusieurs questions en matière de sécurité de l’information, il faut donc
que son utilisation soit encadrée par des politiques de sécurité qui soit à la hauteur des
4|Page
INTRODUCTION
risques encourus. Il est donc fondamental de bien saisir l’idée que si son utilisation
n’est pas supportée et sécurisée de manière adéquate, il devient très risqué de s’en
servir sans s’exposer aux conséquences majeures quelle peut apporter. En ce sens, il y a
par exemple le vol d’information partielle ou totale contenue sur l’appareil,
l’espionnage en temps réel et plein d’autres. Donc, si les mesures visant à renforcer la
sécurité ne sont pas adéquates, ces nouveaux téléphones mobiles peuvent représenter
une porte d’entrée qui, si piratée, peut avoir d’énormes répercussions négatives dans le
processus d’affaires des entreprises modernes.
Ne pouvant nier le fait que l’impact qu’ont les téléphones intelligents sur les normes et
les mesures de sécurité de l’information à prendre pour les utiliser de façon sécuritaire
est bien présent, nous allons dans un premier temps, définir l'utilité des téléphones
intelligents en entreprise, pour ensuite, analyser leur impact sur sa sécurité. Après, nous
traiterons des risques technologiques associés à l’utilisation de ces téléphones
intelligents, des mesures de sécurité à mettre en place selon la norme ISO 27002, des
politiques de sécurité sur l’utilisation des téléphones intelligents en entreprise, des
solutions technologiques à mettre en place selon les recommandations et ses risques
résiduels après l’application des mesures de sécurité.
5|Page
L’UTILITÉ DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE
L'utilité des téléphones intelligents en entreprise
Avec l’arrivée des téléphones intelligents, les entreprises ne peuvent ignorer les
nombreuses possibilités qu’apportent ces téléphones dans l’accomplissement des
fonctions reliées à un poste. Permettant à l’organisation moderne d’être plus compétitive
par rapport aux autres, aujourd’hui il devient difficile de s’en passer, et cela, pour de
multiples raisons.
Utilité
Le travail à distance, le besoin d’avoir un accès constant à l’information actuelle, la
mondialisation, etc., tous ces facteurs viennent justifier le besoin grandissant des
téléphones intelligents. Une personne qui travaille régulièrement sur la route peut à
présent recevoir en tout temps, de l’information actuelle, nécessaire à l’accomplissement
des fonctions de l’employé. Cette technologie permet de maintenir un accès facile à des
données essentielles, par exemple les propositions de contrats, la bourse, les horaires de
la semaine, les contacts d’affaires, les nouvelles. De plus, ce type de téléphone mobile
permet, d’un seul contrôle de la main, de suivre les informations concernant le statut des
projets et des listes de tâches, par exemple. Et que dire de la possibilité de synchroniser
son téléphone intelligent avec son ordinateur du bureau? Cela veut dire qu’il est
maintenant possible d’entreposer, d’afficher et de travailler ses documents professionnels
directement reliés à votre ordinateur de poche. Pour rendre l’information disponible à
tout moment, la popularité des applications soutenues par les téléphones intelligents sont
des outils de taille pour la réalisation des tâches d’affaires.
Productivité
Avec l’arrivée des téléphones intelligents, les nouvelles possibilités en matière de gestion
sont augmentées. Cette technologie offre une possibilité de gestion telle que la capacité
de soutenir des collègues de travail ou des clients avec des programmes accessibles par
un simple navigateur. En plus des extensions telles que Word, Excel, PDF, le navigateur
6|Page
L’UTILITÉ DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE
offre la possibilité de faire des recherches, peu importe où la personne se trouve. La
communication est pour l’entreprise moderne, sa principale fondation, et le téléphone
intelligent a pour première utilité, la communication. Donc, il est très intéressant d’avoir
en sa possession les meilleurs outils de communication disponibles sur le marché. Le fait
de pouvoir travailler et d’accomplir certaines des fonctions reliées à un poste de travail,
fait du téléphone intelligent, un outil précieux pour l’entreprise.
7|Page
ANALYSE DE RISQUES SUR L’UTILISATION DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE
Analyse de risques sur l’utilisation des téléphones intelligents en entreprise
L’utilisation des téléphones intelligents en entreprise amène de nouveaux risques
associés à des technologies encore émergentes, parfois encore immatures ou mal adaptées
à l’entreprise. Ces téléphones sont cependant déjà très utilisés dans les entreprises, il est
donc essentiel de bien connaître les risques associés à ceux-ci afin de les comprendre, les
contrôler et avoir une vision claire des solutions et mesures de sécurité à mettre en place
afin d’en diminuer les risques d’utilisation pour l’entreprise lorsqu’il est possible de le
faire.
Pour bien comprendre et identifier les risques, il est intéressant de comparer le téléphone
intelligent à un ordinateur portable. Les deux appareils font face à des risques semblables
au niveau de la confidentialité de l’information, les faiblesses du système d’exploitation
et ses applications ainsi que les accès non autorisés. Cependant, l’appareil cellulaire serait
plus à risque au niveau des attaques réseau, de la perte ou le vol de l’appareil ainsi qu’à
l’espionnage à distance.
La confidentialité de l’information
Le niveau de sensibilité de l’information présente sur un téléphone intelligent est très
semblable à celle sur un ordinateur de travail portable. Une des principales
fonctionnalités du téléphone intelligent est la gestion des courriels. Dans la majorité des
cas, ces courriels se retrouvent directement, en totalité ou en partie, sur l’appareil. Il va
sans dire que l’information présente dans les courriels peut avoir un caractère hautement
confidentiel pour l’entreprise et ne doit pas tomber entre de mauvaises mains.
L’utilisateur du téléphone en question peut aussi stocker plusieurs gigaoctets
d’information sur ce téléphone où peuvent se côtoyer données personnelles et
professionnelles. Pour un espion averti, il est souvent chose facile d’obtenir l’ensemble
des données de l’appareil, si ce dernier a l’appareil entre les mains, en contournant les
quelques mesures de sécurité de base incluses avec l’appareil. Selon Jonathan Zdziarski,
c’est le cas, pour le iPhone 3Gs de dernière génération. Mr Zdziarski a démontré cette
8|Page
faille de sécurité en juillet 2009. L’exploit a été rapporté par plusieurs quotidien
numérique, notamment Wired.com, dans l’article « Hacker Says iPhone 3GS Encryption
is ‘useless’ for businesses », publié le 23 juillet 2009, par Brian X. Chen.. Ceci représente
donc un risque et une menace considérable concernant l’utilisation du téléphone
intelligent en entreprise.
Les faiblesses du système d’exploitation et ses applications
Les téléphones intelligents ont tous leur système d’exploitation. Tout comme un
ordinateur, le système d’exploitation est le logiciel central gérant le téléphone, la
mémoire, le processeur et toutes les autres applications. Ce ne sont pas tous les systèmes
d’exploitation qui sont développés avec un souci de sécurité en tête. Dans le cas des
appareils cellulaires, ce sont souvent les fonctionnalités de l'entreprise ou même de
divertissements qui priment devant la sécurité de l’appareil. C’est pourquoi il y a un
risque relativement élevé de failles et d’exploits de sécurité sur ces systèmes
d’exploitation. Par exemple, ces systèmes sont vulnérables aux virus, aux vers, aux
logiciels espions, etc. Ce fut le cas pour le Black Berry en janvier 2009, la compagnie
Reseach In Motion, propriétaire de la marque Black Berry, a déclaré une faille
concernant l’utilisation des PDF1. Elle a cependant publié un rapide correctif, suivi d’une
mise à jour du système quelques jours après l’annonce. Aucun système d’exploitation
n’est à l’abri de ce genre de problème et les différents fournisseurs se démarquent entre
autre dans la rapidité à mettre à jour leur système devant ce genre de faille.
Si le système d’exploitation peut présenter certains risques de sécurité, il en est de même
pour les applications interagissant avec les données sur le téléphone et le système
d’exploitation. Même que dans certains cas, ils ne sont pas développés par le distributeur
officiel de l’appareil et ainsi, augmente le risque de présenter des faiblesses de
développement et facilite l’intégration volontaire de logiciels malicieux dans le
1
Auteur non spécifié. « RIM fixes serious BlackBerry PDF handling flaws ». Search Security
[En ligne].
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1344774,00.html
(Page consulté le 3 avril 2010)
9|Page
programme, distribué ensuite au grand public. C’est le cas pour le iPhone et le Apple
store, permettant à tous de développer et de vendre son propre programme à tous les
utilisateurs de téléphone. Une simple recherche dans Internet montre qu’il existe
d’ailleurs plusieurs livres afin d’aider les programmeurs à développer des applications sur
le IPhone. Si ceci semble vendeur du point de vue de l’utilisateur, ceci est certainement
un risque de plus d’un point de vue de sécurité.
Les attaques réseaux
Les téléphones intelligents présentent de plus en plus de connectivité avec de plus en plus
de réseaux. Il n’est pas rare de voir un appareil offrir la compatibilité avec les réseaux
wifi, le Bluetooth, et bien sûr, le réseau cellulaire et ses différents modes de transmission.
Ceci est un des points importants séparant les ordinateurs portables des téléphones
intelligents et augmentant le risque d’utilisation de ce dernier. Évidemment, d’un point de
vue de sécurité, plus il y a de types de connectivités avec différents réseaux, plus le risque
de vulnérabilités et d’attaques est grand. Chacune de ces technologies présente leurs
propres faiblesses de sécurité et fait de ces cellulaires des cibles de choix pour les
attaques via le réseau.
Le wifi ainsi que le Bluetooth sont des technologies développées avec la facilité
d’utilisation en tête plutôt que la sécurité. Pour s’en convaincre, il suffit de penser aux
premières versions de ces protocoles où le niveau de sécurité était très faible. Encore
aujourd’hui les protocoles utilisés présentent des faiblesses de conception utilisable par
de potentiels attaquants, surtout si ceux-ci sont dans l’environnement immédiat de
l’utilisateur de l’appareil. De plus, le réseau cellulaire possède lui aussi ses failles de
sécurité. Par exemple, il y a peu de temps, une vulnérabilité est apparue au sujet des
messages SMS. Un attaquant pouvait prendre le contrôle d’un téléphone à distance
simplement par la communication de message SMS2. Heureusement, des efforts de
2
Foresman, Chris. « iPhone/GSM phones vulnerable to SMS hacks, patch coming soon ». Ars
Technica,[En ligne]. http://arstechnica.com/apple/news/2009/07/iphonegsm-phonesvulnerable-to-sms-hacks-patch-coming-soon.ars (Page consulté le 3 mars 2010).
10 | P a g e
sécurisations sont présentement en cours par différents fournisseurs tentant de moderniser
les infrastructures et d’améliorer cet aspect.
Cependant, l’utilisation d’un réseau wifi, d’un lien Bluetooth ou d’une connexion
cellulaire impliquant un transfert de données non chiffré pourrait être interceptée par une
personne malveillante. Cette personne pourrait, sans trop d’effort, obtenir des
informations confidentielles au sujet de l’entreprise ou encore, pour procéder à une
attaque de social engineering contre l’entreprise en but d’obtenir des informations
confidentielles.
De plus, les téléphones intelligents sont la nouvelle porte d’entrée sur le réseau de
l’organisation. Ceux-ci doivent souvent se connecter directement sur un serveur de
l’entreprise, entre autres, le serveur de courriels. Il est donc très possible qu’un éventuel
vers ou un virus soit transféré à partir d’un cellulaire infecté, pour ensuite, se déployer sur
le réseau en entier.
Les accès non autorisés
Les téléphones intelligents offrent, en majorité, certains contrôles d’accès afin de
prévenir les accès physiques non autorisés à l’appareil. Cependant, très peu sont efficaces
et ils sont souvent faciles à contourner. Les mots de passe ou passcode définis par
l’utilisateur sont rarement conformes avec les politiques de l’entreprise, et sont souvent
devinables après quelques essais3. Lorsque ce n’est pas le cas, il est souvent simple de
trouver un processus étape par étape ou un logiciel permettant de contourner cette
première couche de sécurité. Notamment sur le iPhone où ceci n’est qu’une simple
formalité, tel que démontré par Zdziarski. Parfois, c’est même la compagnie du cellulaire
qui a choisi elle-même de permettre le contournement de sécurité afin de pouvoir régler
3
Jansen, Wayne et Scarfone, Karent. « Guidelines on Cell Phone and PDA Security » NIST :
National Institue of Standards and Technology, U.S. Departement of Commerce, Special
Publication 800-124, Page 3-3, [PDF], http://csrc.nist.gov/publications/nistpubs/800124/SP800-124.pdf (document consulté le 26 février 2010).
11 | P a g e
certains problèmes à leur façon4. Une fois le mot de passe contourné ou retiré, même si
l’appareil est chiffré, l’accès est automatiquement autorisé, puisque l’accès à la clé de
déchiffrement à été confirmé par l’appareil. Évidemment, ceci est un risque important
puisqu’il indique que toute personne malveillante pourrait obtenir la totalité de
l’information d’un téléphone, malgré l’utilisation d’un mot de passe et même, du
chiffrement de l’appareil.
La perte ou le vol
Il a été prouvé statistiquement que la perte ou le vol d’un appareil cellulaire est chose très
fréquente. Le Gartner Group estime qu’en 2001, 250 000 téléphones ont été perdus ou
volés dans les aéroports et seulement 30 % ont été retrouvés par leur propriétaire4. Ces
chiffres sont beaucoup moins élevés pour ce qui en est des ordinateurs portables. Ceci
constitue donc un facteur de risque supplémentaire pour l’entreprise, considérant qu’une
personne mal intentionnée ayant l’appareil en mains peut, comme mentionné ci-haut,
facilement contourner les premières couches de sécurité pour ensuite, obtenir l’accès à
l’ensemble des données sur l’appareil. Dans certains cas, même si la mémoire du
téléphone a été effacée pour la revente, il est possible de retrouver les données originales
sur le téléphone avec certains logiciels spécialisés. Par exemple, ce genre d’outil est
aisément disponible sur Internet pour le populaire iPhone à partir d’une simple recherche
pour les mots « iPhone Data Recovery ».
L’espionnage à distance
Lorsqu’un espion a la possibilité d’obtenir un accès physique à un téléphone, il est
possible qu’il utilise la technique de clonage du cellulaire afin de simuler le téléphone à
espionner et y incorporer une pièce permettant l’écoute des conversations et suivre les
déplacements de l’utilisateur. Ceci pourrait être l’équivalent de l’utilisation d’un
4
Jansen, Wayne et Scarfone, Karent. « Guidelines on Cell Phone and PDA Security »
NIST : National Institue of Standards and Technology, U.S. Departement of
Commerce, Special Publication 800-124, Page 3-3, [PDF],
http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf (document consulté le
26 février 2010).
12 | P a g e
enregistreur de frappe, du terme anglais keylogger, sur un ordinateur. Cependant, avec le
temps, ce genre de techniques s’est amélioré et permet à un espion, en installant un
logiciel à distance sur un appareil, d’avoir accès aux conversations en temps réel, en plus
des déplacements physiques de l’utilisateur. Ce genre de logiciels est très accessible sur
Internet et fonctionne avec plusieurs modèles de téléphones. Pour une entreprise, il n’est
sans doute pas acceptable qu’un espion puisse écouter les conversations à distances
autant pour la sécurité des données de l’entreprise que pour la sécurité de l’employé. Ceci
doit donc être considéré comme étant un risque très important au niveau de l’utilisation
d’un appareil cellulaire.
Comme indiqué dans cette analyse de risques entourant l’utilisation des téléphones
intelligents en entreprise, il existe plusieurs risques à utiliser ces appareils et l’entreprise
se doit de comprendre et gérer ces risques afin de veiller au bon fonctionnement de celleci et éviter les fuites d’informations ou les intrusions non désirées de pirates, d’espions,
de virus ou de vers. L’entreprise se doit donc de mettre certaines mesures de sécurité en
place afin de contrôler et mitiger les risques énoncés ci-haut. Les mesures seront donc
considérées selon la norme ISO 27002. Après quoi, il sera question de la politique de
sécurité sur l’utilisation des téléphones intelligents en entreprise.
13 | P a g e
MESURES DE SÉCURITÉ
Les mesures de sécurité technique
Les entreprises utilisant les téléphones intelligents dans le cadre du travail se
doivent de penser à ces téléphones comme l’extension d’un système informatique
accessible à l’employé, tout comme l’ordinateur portable l’a été il y a quelques années.
Ce sont maintenant ces téléphones qui doivent être intégrés dans le parc informatique de
l’entreprise afin d’être comptabilisés et sécurisés en conséquence. Le cadre d’utilisation
et la considération de ces appareils se doivent donc de faire partie des politiques de
sécurité de l’entreprise et chaque employé et utilisateur se doit de la comprendre et de s’y
conformer.
Pour s’assurer d’un maximum de sécurité, il est fortement avantageux de prévoir le
déploiement d’une flotte de téléphone uniforme avant toute autre utilisation. Si les
téléphones sont déjà en place, il sera plus difficile de reprendre un certain contrôle sur
ceux-ci. L’uniformité a surtout l’avantage de ne pas multiplier les efforts de sécurité
inutilement, mais aussi de se concentrer sur un ou deux modèles de téléphones et de
cerner ces téléphones du point de vue de leurs risques pour ensuite appliquer les
correctifs nécessaires. De plus, dans plusieurs cas, il est possible de gérer et imposer
certains profils sur les téléphones. Ceux-ci seront très utiles lors de la mise en place des
mesures de sécurité.
La confidentialité de l’information
Idéalement, le modèle de téléphone choisi devra offrir la possibilité de chiffrer la
mémoire. Dans le meilleur des cas, choisir un chiffrement physique plutôt que logiciel,
puisque celui-ci offre un maximum de protection (stockage plus sécuritaire de la clé) et
d’efficacité (composant dédié). Ensuite, il est important d’avoir la flexibilité de
supprimer rapidement les données du téléphone à distance. En cas de perte ou de vol,
c’est l’une des meilleures protections afin de conserver la confidentialité de
l’information. Cependant, cette action doit être exécutée rapidement afin de ne pas laisser
le temps à une personne mal intentionnée de profiter de l’accès physique au téléphone.
14 | P a g e
Ceci jumelé au chiffrement de données, compliquera sérieusement toutes tentatives de
récupération d’information, à moins d’avoir la clé originale de chiffrement.
L’accès courriels
Ensuite, au niveau de l’accès courriel, il est fortement plus sécuritaire de ne pas
synchroniser ses courriels du serveur sur le téléphone et plutôt d’accéder au portail web
de courriels de l’entreprise, lorsque disponible. Cet accès ne laisse que peu de traces et
est normalement sécurisé sous HTTPS. Autrement, si les courriels doivent être
synchronisés sur l’appareil, choisir de télécharger seulement les entêtes, et le reste du
courriel seulement s’il est consulté par l’utilisateur, plutôt que de tout synchroniser le
contenu par défaut. Ainsi, en cas de perte ou de vol, l’information présente sur le
téléphone sera considérablement réduite.
La gestion de l’information
Il est possible, avec certains logiciels, d’empêcher les utilisateurs de téléphones de
brancher ceux-ci à l’ordinateur de bureau afin d’empêcher la synchronisation de données.
Ceci est une mesure de sécurité efficace, mais peu flexible. La classification de
l’information et la formation des utilisateurs sont de meilleures réponses à ce risque.
Ainsi, avec l’étiquetage du niveau de confidentialité et la compréhension, par la
formation, des meilleurs pratiques de sécurité, l’utilisateur du téléphone évitera d’y
déposer des informations confidentielles ou le fera en connaissance des conséquences et
devra prendre la responsabilité de son acte. L’amalgame de ces mesures aidera sans
aucun doute à mieux gérer le risque de possibles fuites d’information provenant des
téléphones.
Les faiblesses du système d’exploitation et ses applications
Lorsqu’il est possible de sélectionner les téléphones faisant partie du parc informatique
de l’entreprise, il est aussi possible d’en choisir le système d’exploitation. C’est dans ce
contexte que la gestion des profils et du déploiement de ceux-ci sur les appareils prend
tout son sens. Il est alors possible d’imposer les mises à jour de l’appareil et certaines
15 | P a g e
applications ou, à l’opposé, de prohiber l’installation de certaines applications. Ceci
permet plus de flexibilité afin de mieux gérer le parc de téléphone dans l’entreprise, mais
aussi d’imposer certaines mesures de sécurité sur ces appareils. Encore une fois, ceci
permet de s’assurer d’une certaine uniformité des appareils, ce qui en facilite grandement
la gestion et la sécurisation. Par exemple, un utilisateur demandant l’utilisation d’une
nouvelle application devra en faire la demande et cette application pourra être analysée
par l’équipe de sécurité avant de la mettre en place. Ainsi, il est possible de s’assurer
d’une certaine stabilité des systèmes d’exploitation et applications sur l’appareil.
Les attaques réseaux
Les multiples connectivités étant un risque important pour l’utilisation des téléphones
intelligents, il est possible, avec la gestion des profils, de permettre l’accès seulement sur
des réseaux connus et sécurisés. Par exemple, l’utilisation du wifi pourrait être possible
seulement avec le réseau de l’entreprise selon des paramètres de connexion choisis
(Ex :802.11g WPA2). La connexion Bluetooth aurait avantage à être simplement
désactivé, excepté pour la synchronisation de casques d’écoute à mains libres, pour la
sécurité au volant. Autrement, les autres fonctionnalités du Bluetooth amènent un bon lot
de risques et très peu d’avantages. En le désactivant, à l’exception d’une fonctionnalité, le
spectre de menaces s’en trouve davantage diminué.
Les accès non autorisés
Tout comme sur un ordinateur portable se connectant au réseau, il est essentiel que les
téléphones aient des mots de passe respectant la politique de mot de passe de l’entreprise.
La gestion des profils permet le renforcement de cette mesure afin de se protéger contre
l’attaque en force brute ou, tout simplement contre l’utilisation d'un mot de passe faible
par l’utilisateur. Ceci ne couvre pas tous les risques associés aux accès non autorisés,
mais permet sans doute d’en décourager certains. Ensuite, s’il est possible de choisir
l’appareil à utiliser pour la majorité des utilisateurs, il est alors possible de capitaliser sur
le modèle le moins sensible à ce genre d’attaques.
16 | P a g e
La perte ou le vol
Il est difficile de se prémunir de la perte ou du vol, puisque ce sont souvent des
événements hors du contrôle de l’utilisateur. Cependant, il n’y a aucun doute que de la
formation sur les meilleures pratiques de sécurité entourant l’utilisation d’un téléphone
intelligent pourrait renforcer l’attention de l’utilisateur afin d’éviter la perte, et même
parfois le vol. À titre d'exemple, éviter de déposer le téléphone sur la table et ne pas le
quitter du regard, même pour une minute. Ensuite, il est aussi possible d’utiliser des
services de géolocalisation afin de retrouver le téléphone. Cependant, il est plus efficace
si la mesure d’effacement rapide ainsi que de chiffrement de l’appareil sont en place.
Ainsi, le risque est diminué de beaucoup et la perte se chiffre aux alentours du coût de
l’acquisition d’un autre appareil.
L’espionnage à distance
Le fait d’avoir un bon contrôle sur son parc de téléphones cellulaires aide à se protéger
contre l’espionnage à distance. Il ne sera pas facile, voire impossible pour un pirate,
d’installer un logiciel à distance si un système d’autorisation par profil contrôle les
installations d’applications. Aussi, il faut s’assurer de maintenir le système d’exploitation
et d'application à jour afin que l’espion ne puisse utiliser une faille de sécurité reliée à
ceux-ci et tenter d’y installer un logiciel espion. Cependant, il est plus difficile pour
l’entreprise de se protéger contre le clonage d’appareil, lorsque l’espion à un accès
physique au téléphone. Dans le cas d’un clonage de mauvaise qualité ou quelque peu
apparent, il est possible que le subterfuge soit détecté par les responsables des téléphones
d’entreprises, ceux-ci ayant une certaine expertise sur le sujet, si une certaine uniformité
de la flotte est conservée.
Le parc hétérogène
Évidemment, tout ne peut être parfait en entreprise, et si le cas de démarrer avec de tout
nouveaux cellulaires est un cas idéal, alors, dans la réalité, il est souvent question d’un
parc plutôt hétérogène. Ainsi, il est fortement conseillé de faire l’inventaire du parc, afin
d’identifier les modèles les plus populaires. Ensuite, l’entreprise pourrait décider de
17 | P a g e
supporter seulement certains types de téléphones, plus sécuritaires que les autres, et d’y
gérer certains profils génériques. Éventuellement, il sera possible pour l’entreprise
d’exclure les modèles moins sécuritaires et d’en privilégier un ou deux, avec des profils
plus sécuritaires, flexibles ou restrictifs, au besoin.
Les téléphones piratés
Évidemment, les téléphones piratés, souvent appelés jailbreaké en anglais, ne devraient
pas avoir leur place sur le réseau de l’entreprise et jamais ceux-ci ne devraient avoir la
possibilité de se synchroniser avec les serveurs de l’entreprise. Ces derniers étant une
source potentielle de failles de sécurité extrêmement importante.
18 | P a g e
Mesure de sécurité à mettre en place selon la norme ISO 27002
Les articles de la norme ISO 27002 peuvent aussi s’appliquer et faire partie d’un
plan de sécurité de l’information pour l’utilisation de téléphones intelligents dans un
contexte d’affaires. Cette présente section du document proposera les mesures de sécurité
spécifiques aux téléphones mobiles et à son utilisation à appliquer afin de limiter au
maximum les risques au niveau de la sécurité dans un contexte d’affaires.
Article 6 - Organisation de la sécurité de l’information
Mesure 6.1.1 Engagement de la direction vis-à-vis de la sécurité de l’information
Mesure 6.1.3 Attribution des responsabilités en matière de sécurité de
l’information
Mesure 6.1.5 Engagements de confidentialité
Mesure 6.1.6 Relations avec les autorités
Mesure 6.1.7 Relations avec des groupes de spécialistes
Mesure 6.2.1 Identification des risques provenant des tiers
Mesure 6.2.3 La sécurité dans les accords conclus avec des tiers
Explication de l’impact de l’article:
Cet article fait office de pilier de la sécurité dans l’organisation. Ces mesures aident à
établir les bases de la gestion de la sécurité dans l’organisation. Ces mesures régissent
aussi les relations que doit avoir l’entreprise avec les entreprises tierces. Étant donné
l’échange massif d’information et de services avec plusieurs autres entreprises, il est
nécessaire d’établir des marches à suivre à ce niveau.
19 | P a g e
Article 7 - Gestion des biens
Mesure 7.1.2 Propriété des biens
Mesure 7.1.3 Utilisation correcte des biens
Mesure 7.2.2 Marquage et manipulation de l’information
Cet article régit la propriété des biens et établit certains standards quant à l’utilisation des
téléphones. Il est important de déterminer clairement les droits et les obligations de
chaque partie en lien avec les biens physique et intellectuels à sa disposition.
Article 8 - Sécurité liée aux ressources humaines
Mesure 8.1.1 Rôles et responsabilités
Mesure 8.2.1 Responsabilités de la direction
Mesure 8.2.2 Sensibilisation, qualification et formations en matière de sécurité de
l’information
Mesure 8.3.1 Responsabilités en fin de contrat
Mesure 8.3.2 Restitution des biens
Cet article se concentre sur les mesures à mettre en place vis-à-vis les ressources
humaines de l’entreprise. De leur embauche à leur départ de l’organisation, les employés
doivent avoir la documentation et la formation adéquates afin d'utiliser, conformément
aux politiques internes, leur téléphone mobile.
Article 10 Gestion de l’exploitation et des télécommunications
Mesure 10.1.1 Procédures d’exploitation documentées
Mesure 10.1.2 Gestion des modifications
Mesure 10.2.2 Surveillance et réexamen des services tiers
Mesure 10.4.1 Mesures contre les codes malveillants
Mesure 10.4.2 Mesures contre le code mobile
Mesure 10.5.1 Sauvegarde des informations
20 | P a g e
Mesure 10.6.2 Sécurité des services réseau
Mesure 10.7.1 Gestion des supports amovibles
Mesure 10.7.2 Mise au rebut des supports
Mesure 10.8.1 Politiques et procédures d’échange des informations
Mesure 10.8.3 Supports physiques en transit
Mesure 10.8.4 Messagerie électronique
Mesure 10.10.1 Rapport d’audit
L’article 10 de la norme 27002 propose des mesures sur les activités globales et les
équipements informatiques et électroniques de l’organisation. Ces mesures proposent des
pratiques à respecter pour diverses situations d’exploitation et en contexte d’échange
d’information.
Article 11 - Contrôle d’accès
Mesure 11.1.1 Politique de contrôle d’accès
Mesure 11.2.3 Gestion du mot de passe utilisateur
Mesure 11.3.1 Utilisation du mot de passe
Mesure 11.4.1 Politique relative à l’utilisation des services en réseau
Mesure 11.4.2 Authentification de l’utilisateur pour les connexions externes
Mesure 11.4.4 Protection des ports de diagnostic et de configuration à distance
Mesure 11.7.1 Informatique mobile et télécommunications
Mesure 11.7.2 Télétravail
Tout équipement doit avoir un maximum de barrière de sécurité afin de freiner quiconque
voudrait avoir accès à du contenu dont il n’aurait pas les droits d’accès. Par exemple, les
téléphones portables devraient toujours être verrouillés d’un code d’accès. Même chose
pour chaque plateforme réseau que l’entreprise offre.
21 | P a g e
Article 12 - Acquisition, développement et maintenance des systèmes d’information
Mesure 12.3.1 Politique d’utilisation des mesures cryptographiques
Mesure 12.3.2 Gestion des clés
Mesure 12.4.1 Mesure relative aux logiciels en exploitation
Mesure 12.5.1 Procédures de contrôle des modifications
Mesure 12.6.1 Mesure relative aux vulnérabilités techniques
Il est important d’entretenir ses équipements informatiques performants et propres.
Plusieurs mesures soutiennent l’importance d’avoir de l’équipement de qualité en tout
temps. L’équipement à la disposition des employés aura un fort impact sur la qualité
finale du travail. Il faut avoir les bons outils, et ceux-ci doivent être en parfait état de
fonctionnement.
22 | P a g e
L’ASPECT HUMAIN SUR LA SÉCURITÉ D’UTILISATION DE TÉLÉPHONES INTELLIGENTS EN ENTREPRISE
L’aspect humain sur la sécurité d’utilisation
de téléphones intelligents en entreprise
La téléphonie sans fil est là pour rester. Conséquemment, les gestionnaires
d'organisations doivent reconnaître les défis concernant la sécurité et les vulnérabilités
liées à ces nouvelles technologies et aux comportements des utilisateurs en fonction de
ces dernières.
En effet, tout comme dans les autres domaines de la sécurité de l'information, le facteur
humain est le maillon faible de la sécurité des téléphones intelligents corporatifs. Il est
donc nécessaire de bien baliser l'utilisation de ces téléphones au niveau des ressources
humaines et d'appliquer une politique de sécurité spécifique à l'utilisation de ces outils
technologiques.
Tel que le démontre la figure 1, selon une étude de Quorica, le plus grand risque associé à
l'utilisation de téléphones intelligents en entreprise était que des mauvaises mains
s'approprient des données de l'organisation via le vol ou la perte de l'appareil de
télécommunications5.
Toutefois, il est clair que les organisations actuelles sont conscientes de l'importance
d'avoir une politique de sécurité liée à l'utilisation de ces technologies mobiles. Toujours
selon l'étude de Quorica, plus de 70% des répondants ont répondu qu'il était important,
voire vital, d'avoir une politique de sécurité couvrant l'utilisation des technologies sans
fil.
5
Quorica
Insight
Report,
Mobile
Security
and
Responsibility,
janvier
2006.
http://regmedia.co.uk/2006/01/31/security_responsibility_report.pdf, page 3 (page consultée le 24 mars
2010)
23 | P a g e
Voici, selon Gartner6, quelques mesures (reliées aux risques humains) essentielles à
mettre en place avant d'autoriser l'utilisation d'un téléphone intelligent en entreprise:
6
Gartner, Best Practices in Wireless and Mobile Security : Planning for 2009, 2 décembre 2008.
Publication
ID:
G00163477.
http://my.gartner.com/portal/server.pt?open=512&objID=260&mode=2&PageID=3460702&docCode=163
477&ref=docDisplay [en ligne]. Page consultée le 30 mars 2010.
24 | P a g e
Responsabilité partagée de la sécurité d’information des technologies mobiles
Au niveau de l'imputabilité, la responsabilité est partagée entre l'utilisateur et
l'organisation7. L'organisation a la responsabilité d'équiper les employés avec de la
technologie mobile sécuritaire, ce qui peut inclure l'authentification sécuritaire, un outil
pour protéger des virus, une synchronisation et sauvegarde des données et plus encore.
L'organisation a également pour importante responsabilité d'informer les utilisateurs des
ressources à contacter en cas de problème lié à la sécurité de l'information sur leur
appareil mobile.
Le département des ressources humaines et les gestionnaires intermédiaires jouent
également un rôle important de sensibilisation et de suivi d'adoption d'une attitude
sécuritaire d'utilisation d'appareils de télécommunication. De plus, ces personnes agissent
à titre d'exemple pour les employés. Ils doivent donc faire un usage responsable et
sécuritaire de leurs appareils s'ils en ont un. En guise d'exemple, un employé sera peu
motivé à protéger son appareil par un NIP si son gestionnaire ou le responsable de la
sécurité des télécommunications n'en a pas lui-même.
Chaque employé doit reconnaître son rôle dans la sécurité de l'organisation, cela est
d'autant plus vrai pour les employés travaillant avec des téléphones intelligents, car ils
sont en constante possession d'actifs informationnels de l'organisation. Maintenant, avec
cette technologie, ils doivent constamment faire un usage sécuritaire de leur appareil de
télécommunications.
Selon Gartner, plusieurs organisations de renommée ont de solides politiques de sécurité
ainsi qu'une imputabilité claire de leurs actifs « câblés » (par inversion à sans-fils) et tout
le contraire pour leurs actifs sans fil comprenant notamment, les téléphones intelligents.
Gartner a donc identifié de meilleures pratiques soulignant bien l'importance qu'il y ait un
département dans l'organisation qui ait la responsabilité de la sécurité des
communications sans fil.
7
Quorica
Insight
Report,
Mobile
Security
and
Responsibility,
janvier
2006.
http://regmedia.co.uk/2006/01/31/security_responsibility_report.pdf [en ligne], page 5 (page consultée le
24 mars 2010)
25 | P a g e
« Security Best Practice: Coordination and cooperation are essential to
preventing weakness when ensuring that organizations are not inadvertently
undermining each other's security. A single IT department or other section should
be established as "owning" the responsibility for managing and securing all wired
mobile
and wireless connectivity. The security organization should extend
existing information security policies to cover wireless technologies and should
ensure that security operations does as well. »8
Quelles personnes dans l’organisation devraient être autorisées à utiliser des
téléphones intelligents corporatifs?
Il est nécessaire de déterminer les personnes ayant droit à utiliser des téléphones
intelligents corporatifs. De plus, il sera primordial de déterminer les informations
auxquelles ces personnes auront accès à partir de leur outil technologique, par rapport à
leur rôle et fonction.
En un peu plus d’un an, au moins 500 clients de Gartner ont demandé de l’aide et du
support afin de déterminer qui, dans leur organisation, devrait avoir quoi au niveau du
client informatique (ordinateur) et/ou de la téléphonie mobile9. Jusqu’à récemment, la
plupart des organisations favorisaient une approche unique, soit de considérer qu’un
modèle de téléphone, avec un système d’exploitation particulier ainsi qu’un groupe
d’applications bien précis. Dans un désir de flexibilité et d’autonomisation des
utilisateurs, cette approche se veut plus restrictive. Toujours selon le même article de
Gartner, les organisations qui segmentent leurs utilisateurs (contrairement à celles qui
appliquent une approche unique) poursuivent quatre objectifs primaires lorsqu’elles
décident de déployer des appareils informatiques / mobiles pour leurs employés :
• S’assurer que les utilisateurs possèdent les capacités informatiques qu’ils ont
besoin;
8
Gartner, Wireless Security Trends: Planning Principles for a New Decade, 18 février 2010.
http://my.gartner.com/resources/174400/174403/wireless_security_trends_pla_174403.pdf?h=32B33DA45
2BDD4F98A7DA57783A3F6E45D4E4712 [en ligne]. Page consultée le 30 mars 2010.
9
Gartner, Segmenting Users for Mobile and Client Computing, 16 septembre 2009.
http://my.gartner.com/portal/server.pt?open=512&objID=260&mode=2&PageID=3460702&resId=118072
1&ref=QuickSearch&sthkw=mobile+device+roles [en ligne]. Page consultée le 30 avril 2010.
26 | P a g e
• S’assurer que les capacités informatiques et les appareils s’adaptent de manière
adéquate avec les préférences et les attentes des utilisateurs;
• Optimiser le capital et les coûts opérationnels;
• Indépendance technologique.
1- Segmentation des employés
Gartner a utilisé quatre critères distincts pour segmenter les travailleurs de l’organisation
et ainsi leur offrir des outils technologiques adaptés. Il s’agit de l’autonomie, la mobilité,
les processus d’affaires et de la collaboration10.
Mobilité
Le critère de mobilité identifie les locations d’où le travail sera effectué et le degré de
mobilité nécessaire par l’utilisateur. Ceci détermine donc le périmètre physique où le
travailleur devra être en mesure de travailler.
10
27 | P a g e
Autonomie
Ce critère définit le niveau d’indépendance que l’utilisateur sera permis d’avoir en ce qui
concerne les choix technologiques et la configuration. Ceci correspond donc à qui est
l’utilisateur et comment l’entreprise devrait l’approcher.
Processus d’affaires
Ce critère concerne ce que l’utilisateur doit être en mesure de réaliser (au niveau du
contenu et des données). Ceci correspond donc au comment est-ce que l’utilisateur
travaille.
28 | P a g e
Collaboration
La collaboration correspond au niveau d’interactions et à la nature de ces dernières entre
les participants dans un processus d’affaires donné. Ceci correspond donc au comment
est-ce que l’employé interagit et exécute son travail.
2- Profils utilisateurs
Après avoir segmenté les utilisateurs
selon les quatre critères précédents, il est
pertinent de créer des profils génériques
qui
regrouperont
l’ensemble
des
utilisateurs. Il est recommandé d’avoir
entre trois et cinq profils d’utilisateurs
distincts.
Un
profil
peut
combler
plusieurs rôles.
Gartner propose le modèle ci-contre11
pour faciliter l’évaluation des rôles et
identifier des profils leur correspondant.
Il est important de bien évaluer chacun des rôles en fonction des critères, car la définition
11
29 | P a g e
de la sécurité en dépend. En guise d’exemple, si un rôle n’a pas besoin de processus
d’affaires, on ne lui donnera accès qu’aux fonctions de base de son téléphone intelligent.
Il n’aura donc pas accès aux données et représentera un risque de moins pour
l’organisation.
3- Architecture et appareils
La dernière étape est de définir l’architecture et les appareils en lien avec chacun des
critères. En fonction des critères sélectionnés, chacune des technologies et l’architecture
de cette dernière devraient être soigneusement évaluées, car la sécurité en découlera. En
guise d’exemple, si un employé a une mobilité régulière et qu’il a besoin d’accès sans-fils
à la maison et au bureau, il faut définir des politiques d’utilisation et de sécurité liées à
chacune de ces technologies.
Qui devrait avoir un téléphone intelligent corporatif?
La réponse à cette question est un résumé des points suivants. Cela dépend donc des
critères de segmentation de l’organisation, des rôles qu’elles y associent et des
technologies liées à ces critères. Les employés occupant des rôles qui seront associés à
des segments ayant besoin de mobilité, de collaboration, de processus d’affaires et/ou
d’autonomie justifiant un téléphone intelligent devraient donc en avoir un.
Conditions d’utilisation des téléphones mobiles corporatifs
Les personnes utilisant des téléphones intelligents doivent être balisées dans leur
utilisation par des conditions d'utilisation. Ce sera de leur responsabilité de respecter ces
conditions et ce sera de la responsabilité de l'organisation de surveiller leur respect et
d'entreprendre des mesures préalablement déterminées dans le cas d'un enfreint à ces
conditions.
Les employés devraient être mis au courant des politiques d'utilisation des téléphones
intelligents à deux moments clés, soit lorsqu'ils débutent leur emploi et lorsqu'ils
reçoivent l'appareil en question.
Les conditions d’utilisation se résument donc à l’acceptation de la politique d’utilisation
et de possession d’un tel outil corporatif.
30 | P a g e
Sensibilisation, éducation et formation des utilisateurs
Les utilisateurs doivent être sensibilisés à la sécurité de l'information lors de l'utilisation
de ces téléphones. Ils doivent être éduqués à comprendre pourquoi la sécurité de
l'information est importante lors d'utilisation de technologies cellulaires dans un contexte
d'affaires. La formation leur montrera comment faire pour adopter des pratiques
d'utilisation sécuritaires.
Toutefois, la réalité organisationnelle est bien différente. En effet, selon une étude de la
Computer Technology Industry Association12, 68 % des entreprises sondées n’avaient pas
implanté de formation en sécurité sur les technologies mobiles pour les utilisateurs de ces
technologies. Seulement, 10 % des organisations avaient un plan de formation sur la
sécurité de l’information dans les technologies mobiles. Ce manque de sensibilisation,
formation et éducation a pour conséquence directe l’augmentation de la vulnérabilité de
l’organisation.
Selon Whitman et Mattord, le cadre de travail SETA en sécurité de l’information permet
de13 :
• Améliorer la sensibilisation au besoin de protéger les ressources du système;
• Développer des compétences et des connaissances visant à ce que les utilisateurs
performent leur travail de façon plus sécuritaire;
• Favoriser le développement de connaissances liées, si besoin il y a, au design,
implantation, formation et sensibilisation à l’intérieur de l’organisation.
12
WALSH, Lawrence. No Mobile Security Training at Most Businesses, 12 novembre 2007.
http://www.baselinemag.com/c/a/Projects-Security/No-Mobile-Security-Training-at-Most-Businesses/ [en
ligne]. Page consultée le 30 mars 2010.
13
WHITMAN, Michael et MATTORD, Hebert. Principles of Information Security, troisième edition, 2009,
598 pages. Page 207.
31 | P a g e
Plus particulièrement, voici en quoi se compose le cadre de travail comparatif du SETA :
Sensibilisation
Formation
Éducation
Attribut
Quoi
Comment
Pourquoi
Niveau
Information
Connaissances
Idée
Objectif
Média
Instructions
Compréhension
pratiques
Méthode
Vidéos
Lecture
Séminaire de
Infolettres
Études de cas
discussion
Posters
Lecture d'arrièreplan
Pratiques hands-on
Mesure de succès Vrai ou faux
Résolution
de Essai
Questions à choix problèmes
multiples
Espace-temps
Court terme
Moyen terme
Long terme
Selon le modèle SETA ci-haut, il est donc pertinent de croire que les organisations
devraient appliquer de la sensibilisation, de la formation et de l’éducation sur la sécurité
des technologies mobiles d’entreprise.
Sensibilisation
Il est important de conscientiser les gens à qu’est-ce que la sécurité de l’information au
niveau mobile. S’ils ne savent pas de quoi il est question, ils ne pourront jamais
l’appliquer. Il serait possible, par exemple, de publier une infolettre aux propriétaires de
téléphones intelligents afin de leur expliquer ce qu’est la sécurité de l’information au
niveau cellulaire et en quoi cela les concerne. Cette infolettre pourrait être suivie d’un
court questionnaire afin de valider qu’ils en aient compris le contenu.
Éducation
L’éducation va permettre aux employés de comprendre pourquoi la sécurité de
l’information au niveau mobile est importante. Il est donc possible de convier les
32 | P a g e
utilisateurs périodiquement par groupes pour leur expliquer les bases de l’importance de
la sécurité de l’information ainsi que les dernières nouvelles les concernant. Suite à ces
interventions, il sera, par exemple, possible de leur demander d’écrire en quoi cela les
concerne afin qu’ils interprètent les notions acquises.
Formation
Finalement, il faudra convier les utilisateurs à des formations pratiques afin qu’ils sachent
qu’elles sont les pratiques à adopter afin de faire une utilisation sécuritaire de ces
technologies.
33 | P a g e
RISQUE RÉSIDUEL APRÈS L’APPLICATION DES MESURES DE SÉCURITÉ
Risque résiduel après l’application des mesures de sécurité
Comme nous l’avons vu précédemment, l’usage de téléphone mobile dans un
contexte d’affaires engendre divers risques. Nous vous avons présenté plusieurs sources
de risques ainsi que plusieurs mesures afin de prévenir ou corriger de malheureuses
situations. Cependant, même avec l’application de toutes ces mesures, il existe des
risques résiduels majeurs. Cette section présentera quelques risques résiduels que doivent
accepter les entreprises modernes en utilisant des téléphones mobiles intelligents.
Perte ou vol du téléphone mobile
Les téléphones mobiles récents sont plus compacts que jamais. Cette course à la
miniaturisation amène indirectement certains problèmes. Le téléphone suit son utilisateur
à longueur de journée et dans de telles conditions, il est fort possible que l’utilisateur
perde son téléphone mobile. Que ce soit un oubli ou un individu malhonnête qui vol
intentionnellement le téléphone, le téléphone peut se retrouver entre de mauvaises mains.
Au niveau des précautions, il est difficile de contrer l’erreur humaine à ce niveau. Même
chose pour ce qui est du vol. Il faut donc sensibiliser les utilisateurs de cellulaires sur les
précautions à prendre avec leur cellulaire. Toujours le garder dans un endroit sécuritaire,
à l’abri des regards indiscrets, est une précaution simple et efficace dans la plupart des
situations. Chaque téléphone mobile a un numéro d’identification unique. Prendre en note
ce numéro est essentiel, car en cas de perte ou de vol, il est conseillé d’avertir notre
fournisseur de service mobile afin qu’il bloque le compte de téléphonie. Certains
fournisseurs peuvent même bloquer complètement le téléphone à distance. Pour connaître
le numéro d’identification unique d’un téléphone, il suffit de taper sur son clavier le
«*#06#».
De plus, afin de ne pas perdre les informations importantes présentes sur la mémoire
interne du téléphone, il serait judicieux de sauvegarder votre répertoire en synchronisant
votre téléphone avec votre ordinateur de travail.
34 | P a g e
Finalement, certaines entreprises, comme Mobile Manager en France par exemple,
proposent des services de sécurité avancés pour la gestion de téléphone. Par exemple, il
leur est possible de connaitre l’utilisation que l’employé fait du téléphone, de connaître le
lieu géographique où se trouve le téléphone en temps réel et de savoir si une
manipulation malhonnête a été tentée sur le téléphone, comme la modification de la puce
SIM par exemple.14 Tous ces services sont cependant dispendieux. Il faut donc privilégier
la sensibilisation des employés et mettre en œuvre le plus de mesures possibles. Pour ces
téléphones à très haute valeur pour une entreprise, ce type de service peut s’avérer très
utile, voire nécessaire.
L’utilisateur reste un être humain
Les connaissances et la débrouillardise de chacun avec ce type de produits électroniques
diffèrent beaucoup d’une personne à l’autre. Il est reconnu que les dernières générations
sont beaucoup plus à l’aise avec les technologies récentes tandis que certaines
générations d’employés plus âgées peuvent avoir plus de réticence face aux nouvelles
technologies. Par ailleurs, bien qu’il ait eu la formation adéquate, l’utilisateur du
téléphone peut dénigrer l’importance de la sécurité et ne pas tout mettre en pratique ce
qui lui a été enseigné.
D’autre part, il est connu que les individus utilisent souvent les fonctions secondaires des
téléphones intelligents modernes à des fins personnelles. L’usage du téléphone cellulaire
à des fins personnelles peut amener divers problèmes. Le téléchargement du contenu de
divertissement sur internet est la source numéro un des infections informatiques. Bien
souvent, les serveurs ne sont pas sécurisés ou le contenu qu’il fournit n’est pas vérifié. En
téléchargeant des applications supplémentaires, on augmente les risques de télécharger
des programmes malveillants.
La solution optimale serait d’empêcher l’utilisation des téléphones mobiles à des fins
personnelles. Cette mesure est souvent difficilement acceptée par les employés qui y
14
Site
web
de
l’entreprise
européenne
Mobile
Manger
http://www.mobilemanager.fr/index.php?option=com_content&view=article&id=14&Itemid=12[en ligne]. Page consultée le
30 mars 2010.
35 | P a g e
voient une lacune de confiance à leur égard. De plus, un programme de sensibilisation
sérieux dans l’entreprise ne peut avoir qu’un impact positif sur l’opinion des employés
face aux problèmes de sécurité.
Faille de sécurité du matériel
Tous ces jouets électroniques sont la création de l’homme. Il est donc réaliste de croire
que ces bijoux de la technologie présentent des failles de sécurité. Suite à la sortie d’un
téléphone, de multiples experts analysent les produits et décèlent certaines failles. La
compagnie mère des produits crée et fournit ainsi des solutions. L’application de ces
correctifs de sécurité se fait par le biais de mises à jour logicielles ou au niveau du
«firmware» des produits.
Il arrive cependant que ceux qui décèlent les failles soient des pirates professionnels de
mauvaise foi. Il y aura donc des victimes avant que le fabricant soit au courant de la
situation et fournisse un correctif. Il est à noter que cette situation est valable pour tous
les téléphones du marché. Aucun n’est parfait et tous ont des failles. À ce niveau, la
meilleure précaution est de vérifier régulièrement si notre produit possède les derniers
correctifs disponibles.
Voici quelques exemples de failles de sécurité que divers téléphones mobiles présents sur
le marché comportent :
Vulnérabilité générale des téléphones mobiles par le service de gestion de la
messagerie texte: http://uimagicinc.com/blog/?p=191 [en ligne]. Page consultée le 30
mars 2010.
Failles
des
iPhone
3GS au
niveau
du
cryptage
des
données :
http://www.wired.com/gadgetlab/2009/07/iphone-encryption/ [en ligne]. Page consultée
le 30 mars 2010.
Des failles de sécurité dans les téléphones mobiles Bluetooth Nokia et Sony Ericsson :
http://www.zdnet.fr/actualites/internet/0,39020774,39141148,00.htm [en ligne]. Page
consultée le 30 mars 2010.
36 | P a g e
Être la cible d’un pirate
Malgré l’application de toutes les mesures de sécurité, si un individu devient la cible d’un
expert en piratage informatique, il y a danger! Les experts en piratage sont extrêmement
dangereux. Ils possèdent souvent les connaissances, les aptitudes et les outils matériels et
logiciels pour faire ce qu’ils veulent. Les outils de dissimulation d'activités
(« Rootkit »)15 sont des outils qui, jumelés à un virus ou à un trojan, peut s’avérer être
une menace importante vis-à-vis l’information que le téléphone transmettra, et ce, par le
biais de tous les modules de communications possibles. Le Rootkit s’assurera de rester
invisible en opérant ses commandes presque invisiblement sous l’œil de la plupart des
utilisateurs moyens de téléphones mobiles. Avec les outils nécessaires, il est même
possible d’utiliser un téléphone mobile comme un micro afin de faire de l’espionnage, et
ce, même si ce dernier est éteint.16
Afin de freiner de telle manœuvre, beaucoup de mesures doivent être mises en place.
L’employé doit être sensibilisé et bien informé. Le téléphone mobile doit être configuré
de manière optimale et les derniers correctifs doivent être en place. Limiter l’usage du
téléphone à des fins personnelles et minimiser le téléchargement du contenu provenant de
source inconnue.
15
Researchers: Rootkits Work Nicely On Smartphones, Thank You, Tim Wilson, févr. 23, 2010
http://www.darkreading.com/vulnerability_management/security/client/showArticle.jhtml?articleID=22310
0433 [en ligne]. Page consultée le 30 mars 2010.
16
Site web de la défense national canadienne http://www.army.dnd.ca/land-terre/ciedtf-focdec/storyreportage-fra.asp?id=3592 [en ligne]. Page consultée le 30 mars 2010.
37 | P a g e
CONCLUSION
Conclusion
En conclusion, il est possible de constater que la venue des téléphones intelligents dans le
milieu organisationnel émane de réels besoins. Toutefois, ces appareils emmènent de
nouveaux risques pour ces organisations. Celles-ci doivent donc utiliser des politiques et
des mesures appropriées afin que le risque ne soit pas une menace pour elles.
Il a été démontré que les organisations ont un besoin grandissant de telles devises,
notamment pour le travail à distance, l’accessibilité aux données, le gain de productivité
et les différents canaux de communication.
Au niveau des risques liés à l’utilisation de ces téléphones en entreprise, un parallèle a été
fait entre les risques associés aux ordinateurs portables et aux téléphones intelligents (tout
en considérant des aspects spécifiques à la dernière catégorie). Cette analyse a permis de
constater que le niveau de sensibilité de l’information sur un téléphone intelligent est
comparable à celle d’un ordinateur de travail. Des risques sont également associés au
système d’exploitation de ces téléphones et des applications. Les risques comprennent
également les attaques réseaux, les accès non autorisés, la perte ou le vol ainsi que
l’espionnage à distance.
La pertinence d’application de plusieurs articles et mesures de la norme ISO 27002 ont
été mis à l’évidence. La norme ISO 27002 fournit de solides bases pour une organisation
voulant sécuriser l’utilisation de tels outils.
Suite à ces risques et mesures, il a été démontré que le facteur humain n’est pas à
négliger. Le maillon faible de la sécurité de l’information reste dans ce cas-ci
l’utilisateur. Ceux-ci doivent donc être balisés dans une politique d’utilisation de
téléphones mobiles intelligents dans un contexte organisationnel. Toutefois, ce n’est pas
seulement à l’utilisateur qu’incombe la responsabilité de la sécurité liée à l’utilisation de
son appareil de téléphonie mobile. En effet, l’organisation a également sa part de
responsabilité de sorte qu’elle doit fournir des outils, une infrastructure et un
environnement de travail sécuritaire à l’utilisateur. L’organisation devrait également
segmenter ses employés afin de déterminer des rôles qui auront le droit à utiliser ce genre
38 | P a g e
CONCLUSION
d’appareils. Suite à la segmentation, il faudra définir quelles fonctionnalités sont
permises à chaque rôle. Il a également été démontré que la formation, l’éducation et la
sensibilisation des employés à un usage sécuritaire des téléphones intelligents corporatifs
sont primordiales.
Plusieurs points ont été mis de l’avant au niveau des mesures de sécurité technique et leur
pertinence a été démontrée. L’information devra pouvoir être chiffrée pour conserver sa
confidentialité, l’accès aux courriels devra être sécurisé, les informations devront être
classifiées afin d’appliquer des mesures de sécurité adaptées à chacune, il faudra gérer
efficacement le système d’exploitation et les applications du parc informatique de
l’organisation, les connectivités devront être restreintes afin de prévenir les attaques
réseaux et l’authentification devra être efficace afin d’éviter les accès non autorisés.
Outre ces mesures, il est clair que les risques résiduels existent toujours et sont à
considérer. Tel que mentionné précédemment, la perte ou le vol restent et resteront un
risque présent à l’utilisation de cette technologie. Les utilisateurs et l’utilisation qu’ils en
font constituent également un risque résiduel. Certains utilisateurs se servent des
fonctions secondaires à des fins personnelles ce qui engendre un risque au niveau de la
sécurité. Il y aura toujours de nouvelles failles de sécurité et ces dernières peuvent faire
l’objet d’attaques par des personnes malveillantes.
Finalement, il peut être intéressant de considérer une nouvelle méthode d’utilisation
organisationnelle répondant à des besoins d’affaires évolutifs pour les entreprises. En
effet, au lieu d’avoir un cadre très rigide d’utilisation de téléphone mobile corporatif,
plusieurs organisations permettent aux utilisateurs d’utiliser leur téléphone mobile
personnel à des fins professionnelles17. Cette utilisation reste balisée sous diverses
politiques et dans un contexte de sécurité. Il pourrait donc être intéressant d’analyser les
différences dans la gestion de la sécurité de l’information entre une organisation étant
propriétaire de ses téléphones contre celles où les employés sont propriétaires de leur
appareil personnel et en font un usage professionnel.
17
GRUMAN,
Galen.
Who
should
own
your
Smartphones?,
http://www.infoworld.com/print/117173 [en ligne]. Page consultée le 5 avril 2010.
24
mars
2010.
39 | P a g e
BIBLIOGRAPHIE
Bibliographie
1. Auteur non spécifié. « RIM fixes serious BlackBerry PDF handling flaws ». Search Security
[En ligne].
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1344774,00.html
(Page consulté le 3 avril 2010)
2. Foresman, Chris. « iPhone/GSM phones vulnerable to SMS hacks, patch coming soon ».
Ars Technica,[En ligne]. http://arstechnica.com/apple/news/2009/07/iphonegsmphones-vulnerable-to-sms-hacks-patch-coming-soon.ars (Page consulté le 3 mars 2010).
3. Jansen, Wayne et Scarfone, Karent. « Guidelines on Cell Phone and PDA Security » NIST :
National Institue of Standards and Technology, U.S. Departement of Commerce, Special
Publication 800-124, Page 3-3, [PDF], http://csrc.nist.gov/publications/nistpubs/800124/SP800-124.pdf (document consulté le 26 février 2010).
4. Jansen, Wayne et Scarfone, Karent. « Guidelines on Cell Phone and PDA
Security » NIST : National Institue of Standards and Technology, U.S.
Departement of Commerce, Special Publication 800-124, Page 3-3, [PDF],
http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf (document consulté
le 26 février 2010).
5. Quorica Insight Report, Mobile Security and Responsibility, janvier 2006.
http://regmedia.co.uk/2006/01/31/security_responsibility_report.pdf, page 3 (page
consultée le 24 mars 2010)
6. Gartner, Best Practices in Wireless and Mobile Security : Planning for 2009, 2
décembre 2008. Publication ID: G00163477.
http://my.gartner.com/portal/server.pt?open=512&objID=260&mode=2&PageID
=3460702&docCode=163477&ref=docDisplay [en ligne]. Page consultée le 30
mars 2010.
7. Quorica Insight Report, Mobile Security and Responsibility, janvier 2006.
http://regmedia.co.uk/2006/01/31/security_responsibility_report.pdf [en ligne],
page 5 (page consultée le 24 mars 2010)
8. Gartner, Wireless Security Trends: Planning Principles for a New Decade, 18
février 2010.
http://my.gartner.com/resources/174400/174403/wireless_security_trends_pla_17
4403.pdf?h=32B33DA452BDD4F98A7DA57783A3F6E45D4E4712 [en ligne].
Page consultée le 30 mars 2010.
9. Gartner, Segmenting Users for Mobile and Client Computing, 16 septembre 2009.
=3460702&resId=1180721&ref=QuickSearch&sthkw=mobile+device+roles [en
ligne]. Page consultée le 30 avril 2010.
40 | P a g e
BIBLIOGRAPHIE
12. WALSH, Lawrence. No Mobile Security Training at Most Businesses, 12
novembre 2007. http://www.baselinemag.com/c/a/Projects-Security/No-MobileSecurity-Training-at-Most-Businesses/ [en ligne]. Page consultée le 30 mars
2010.
13. WHITMAN, Michael et MATTORD, Hebert. Principles of Information Security,
troisième edition, 2009, 598 pages. Page 207.
14. Site web de l’entreprise européenne Mobile Manger http://www.mobile-
manager.fr/index.php?option=com_content&view=article&id=14&Itemid=12[en
ligne]. Page consultée le 30 mars 2010.
15. Researchers: Rootkits Work Nicely On Smartphones, Thank You, Tim Wilson,
févr. 23, 2010
http://www.darkreading.com/vulnerability_management/security/client/showArtic
le.jhtml?articleID=223100433 [en ligne]. Page consultée le 30 mars 2010.
16. Site web de la défense national canadienne http://www.army.dnd.ca/land-terre/ciedtf-focdec/storyreportage-fra.asp?id=3592 [en ligne]. Page consultée le 30 mars 2010.
17. GRUMAN, Galen. Who should own your Smartphones?, 24 mars 2010.
http://www.infoworld.com/print/117173 [en ligne]. Page consultée le 5 avril
2010.
41 | P a g e

L`impact des téléphones intelligents sur la sécurité de l

Transcription

Documents pareils

Allo, t`es ou ? - Fiche pedagogique - Environnement

Téléphonie mobile ACN... ...en partenariat avec Phone House

Charte du bénévole - Club de Défense des Animaux Paris 12

10 règles médicales sur les téléphones portables!

Les applications internet sur téléphones mobiles

Liste des documents à fournir pour constitution du dossier

Lire le communiqué

Projet ELBA 3 G European Location Based Advertising

En collaboration avec l`Ambassade de France en Syrie

BLUE MULTI productsheet FR_LR