Protection des données et mobilité

UN LIVRE BLANC UBM
FÉVRIER 2010
Protection des données et mobilité
Quatre informations que toutes les entreprises (petites, moyennes et grandes)
devraient connaître sur la protection des données stratégiques sur les
plateformes informatiques mobiles
Proposé par
Protection des données et mobilité
Quatre informations que toutes les entreprises (petites, moyennes et grandes)
devraient connaître sur la protection des données stratégiques sur les
plateformes informatiques mobiles
Par Curtis Franklin, Jr.
Le défi : un personnel mobile
Le vaste monde qui s'étend au-delà de l'enceinte de
votre pare-feu protecteur pose une menace
grandissante pour la sécurité des informations
sensibles de votre entreprise. Comme chaque
individu, du
président-directeur
général au
charpentier, emporte son réseau d'entreprise chez ses
clients, de plus en plus d'activités s'effectuent dans ce
monde.
Les données contenues sur ou accessibles via
des appareils mobiles sont beaucoup plus précieuses
pour l'entreprise que l'ordinateur portable, le
smartphone ou tout autre appareil mobile qui les
héberge. C'est pourquoi chaque entreprise doit
élaborer une stratégie de sécurisation des
informations prenant en compte les scénarios
mobiles.
Le défi est encore plus grand pour les PME : le
personnel et l'expertise limités les rendent
particulièrement vulnérables face à des adversaires
sophistiqués qui, au lieu de viser les cibles évidentes
(les grandes banques, par exemple), s'attaquent à des
entreprises perçues comme des proies plus faciles. Ce
livre blanc étudie la nature des problèmes de sécurité
inhérents aux appareils informatiques hyper mobiles,
ainsi que les blocs de construction des solutions à ces
problèmes.
2
Définir les menaces
À PROPOS DE L'AUTEUR
Curtis Franklin, Jr. est un
journaliste
spécialiste
des
technologies qui couvre les
secteurs de l'informatique, des
réseaux et des communications
depuis plus de vingt ans. Il a
rédigé des articles sur de
nombreux sujets, notamment
sur les problèmes de sécurité,
de mobilité et de mise en
réseau des entreprises.
Les principaux risques pour les informations mobiles
proviennent de trois types de violation des données :
la perte de données, la fuite de données et le vol de
données.
La perte de données est la divulgation
accidentelle d'informations sensibles consécutivement
à la perte de l'appareil sur lequel résident les
données.
La fuite de données est la divulgation non
intentionnelle, mais non autorisée, d'informations
sensibles consécutivement aux actions d'un employé,
sous-traitant ou autre individu faisant partie de
l'entreprise.
Le vol de données est le détournement
d'informations sensibles par une personne non
autorisée extérieure à l'entreprise.
La combinaison de ces trois types de divulgation
des données représente un risque intellectuel et
financier considérable pour l'entreprise. D'après
certaines estimations, l'impact économique de la
divulgation des données est de 85 à 200 dollars par
dossier, et comme de nombreux incidents impliquent
plusieurs centaines ou milliers de dossiers, le coût peut
rapidement devenir astronomique.
Une solution efficace de sécurité des informations
mobiles doit englober les quatre aspects décrits ciaprès.
1. Règles et technologies de contrôle
d'accès
La protection d'une entreprise contre la divulgation
non autorisée de données suppose d'articuler les
réponses autour de quatre sphères d'activité : les
individus, les règles et les processus de l'entreprise, et
les technologies utilisées pour implémenter ces règles
et processus.
Bien qu'elles tendent à mobiliser toute l'attention
de la presse, les technologies arrivent en bas de la liste
pour une raison bien simple : pour être efficaces, les
technologies doivent appliquer des règles et
procédures exploitables, et être utilisées par des
personnes qui comprennent l'importance de la sécurité
des informations, ainsi que les conséquences des failles
de sécurité.
La sécurité commence par le contrôle d'accès.
L'entreprise ne peut pas commencer à s'attaquer à la
divulgation non autorisée de données sans avoir défini
qui est autorisé à accéder aux données et ce qui lui est
permis de faire avec ces données. Le processus
consistant à déterminer qui a accès à quelles données
est la clé de voûte du contrôle d'accès. Bien que cela
puisse être perçu comme une tâche fastidieuse et
superflue, les entreprises, aussi petites soient-elles,
peuvent définir les classifications de postes habilités à
consulter et utiliser certains types de données et
procéder aux ajustements nécessaires à mesure
qu'elles se développent.
La croissance des entreprises et les rotations de
personnel sont
LIVRE BLANC UBM | Protection des données et mobilité
responsables de l'un des aspects les plus souvent
négligés du contrôle d'accès : la révision du contrôle
quand les classifications de postes ou les missions des
individus changent. De nombreux incidents de
divulgation de données sont aggravés parce que le
compte ou le système à l'origine de la perte cumule
les privilèges de tous les postes que l'individu a
occupés au sein de l'entreprise, au lieu des seuls
privilèges
Partez du principe que des individus non
autorisés accéderont tôt ou tard aux données. L'enjeu est donc
de veiller à ce que les données ne soient ni identifiables, ni
exploitables par quiconque n'est pas autorisé à les utiliser.
3
liés au poste qu'il occupe actuellement. La révision
des privilèges d'accès aux et de traitement des
données à chaque fois qu'un individu change de
poste permet de résoudre préventivement de
nombreux problèmes de sécurité.
Une fois que des règles adéquates sont en place,
il est possible de recourir aux technologies pour
vérifier que l'individu qui utilise un appareil est
autorisé à le faire. Le contrôle d'accès est
généralement décrit en termes de « facteurs »,
l'authentification à deux facteurs étant souvent
considérée comme un bon compromis entre la
sécurité et le confort de l'utilisateur. Dans la plupart
des cas, les deux facteurs sont un processus exécuté
par l'utilisateur — un système, un jeton de sécurité
ou une empreinte digitale, par exemple — et une
information que l'utilisateur connaît — généralement
un mot de passe ou un code confidentiel. Une fois les
deux facteurs présentés, l'identité de l'utilisateur est
supposée être authentique et l'accès peut être
accordé.
Des options telles que naviGo et iCLASS de HID
Global utilisent les fonctionnalités d'authentification
avant démarrage présentes sur les ordinateurs
portables Dell et d'autres constructeurs pour
authentifier l'utilisateur à partir d'un mot de passe et
d'une empreinte digitale ou d'une carte à puce avant
l'invocation
du
système
d'exploitation
afin
d'empêcher les accès illicites par contournement du
mot de passe du système d'exploitation.
Aujourd'hui, l'une des préoccupations majeures
concernant le contrôle d'accès est la « fédération
d'identités », ou l'« authentification unique », qui
permet d'établir l'identité des utilisateurs lorsqu'ils se
connectent à leur ordinateur portable ou
smartphone, puis de les accepter sans autre
vérification par les réseaux et applications qu'ils
utilisent. Les entreprises doivent déterminer si les
mécanismes de contrôle d'accès des appareils
portables sont suffisamment sûrs et fiables pour servir
de « garde-barrière » au réseau de l'entreprise. Des
mécanismes d'authentification renforcée de différents
fournisseurs sont disponibles sur de nombreux
appareils, tels que RSA, avec son système à jetons
SecureID, et peuvent suffire pour assurer la sécurité
de base de certaines entreprises.
2. Chiffrement
Bien qu'un niveau raisonnable de confiance doive
exister entre une entreprise et ses employés, on peut
légitimement penser que des individus non autorisés
accéderont aux données à un moment ou à un autre.
L'enjeu pour la sécurité est donc de veiller à ce que les
données ne soient ni identifiables, ni exploitables par
quiconque n'est pas autorisé à les utiliser.
Le chiffrement permet d'éviter que des données
ne puissent être exploitées par des utilisateurs non
autorisés. Avant d'élaborer une stratégie de sécurité
complète pour l'entreprise, il est important de
comprendre quand et comment utiliser le chiffrement.
Pour les utilisateurs qui travaillent dans des secteurs
d'activité ou des sites où les documents sont soumis à
des réglementations telles que la loi HIPAA ou
Massachusetts 201 CMR 17.00, le chiffrement est
essentiel pour protéger les données. Il peut même
constituer une technologie de basculement obligatoire
en cas de perte ou de vol d'un appareil. Dans tous ces
cas, il est extrêmement important de connaître les
différences entre les deux principaux types de
chiffrement utilisés en informatique : le chiffrement
des données en place et le chiffrement des données en
transit.
Le chiffrement des données en place désigne le
chiffrement sécurisé de tout ou partie du système de
stockage d'un appareil mobile. Le chiffrement du
disque complet consiste à chiffrer l'ensemble des
fichiers de données tels qu'ils sont stockés sur
l'appareil et à les déchiffrer à la demande lorsqu'ils
doivent être utilisés ou modifiés. Le chiffrement du
disque complet offre l'avantage d'être sûr et simple
pour l'utilisateur ; il n'est pas nécessaire de se rappeler
quelle partie du disque est chiffrée ni comment chiffrer
chaque fichier. L'inconvénient du chiffrement du
disque complet est une baisse de performances,
chaque fichier étant soumis à un traitement
supplémentaire
pour
le
chiffrement
et
le
déchiffrement. En termes de sécurité, le chiffrement
du disque complet garantit qu'aucune donnée, aussi
anodine puisse-t-elle paraître, ne pourra être utilisée
par un individu non autorisé qui réussirait à accéder à
l'appareil. Le chiffrement de fichiers ou de répertoires
individuels pose certains risques ; un utilisateur peut
stocker un fichier dans le répertoire erroné, oublier de
chiffrer un fichier ou commettre une autre erreur
susceptible de rendre les données vulnérables.
Des éditeurs de logiciels tiers tels que Wave
Systems, PGP, Sophos, GuardianEdge et Credant
proposent des solutions de chiffrement de fichier au
niveau d'un répertoire ou d'un disque complet. En
outre, Windows 7 et Macintosh OS X Snow Leopard
offrent également cette fonctionnalité. En général, le
système d'exploitation des smartphones n'intègre pas
de fonctionnalité de chiffrement d'appareil, mais des
fournisseurs
tels que PGP, Navastream et
GuardianEdge proposent des produits applicables à
certains modèles de smartphone pour protéger les
données en place sur l'appareil.
LIVRE BLANC UBM | Protection des données et mobilité
4
Les données protégées en place permettent
d'examiner le cas plus courant de la protection des
données lors de leur transfert d'un système à l'autre.
Les réseaux privés virtuels (VPN) sont de loin le
mécanisme le plus courant pour chiffrer les données
en transit. Qu'ils soient inaugurés via un service Web
SSL ou en utilisant un programme distinct pour créer
un tunnel IPSec basé sur le protocole PPTP ou L2TP,
les réseaux VPN chiffrent toutes les données
transférées entre deux systèmes ou réseaux reliés par
des tunnels. En général, chaque connexion VPN
utilise une paire de tunnels, chacun laissant passer les
données dans un sens.
Le talon d'Achille d'un réseau VPN est le
processus d'authentification au début de la
transaction. Si les protocoles ne sont pas gérés
correctement, les informations d'identification de la
connexion initiale peuvent être envoyées « en clair »
et être interceptées par un individu malveillant.
Plusieurs types de tunnel ou protocoles empilés
peuvent offrir une protection contre les formes les
plus élémentaires de vol d'informations de connexion
à l'entrée du tunnel.
Le chiffrement permet de se protéger contre
plusieurs schémas de vol de données, mais suppose
que les données soient déchiffrées à l'arrivée pour
être affichées ou traitées. Des attaques sophistiquées
au niveau du réseau ou du point d'extrémité peuvent
détecter et voler les données à ce point vulnérable.
La protection des systèmes contre les codes viraux
malveillants était autrefois considérée comme le principal moyen de protéger
les données d'un ordinateur. Aujourd'hui, les logiciels antivirus ne sont que
l'une des applications de sécurité stratégiques des systèmes mobiles.
Le blocage de ces attaques incombe aux logiciels de
protection, bien que la capacité des logiciels à contrer
les attaques les plus sophistiquées d'aujourd'hui
soient de plus en plus remise en question.
3. Logiciels de protection
La protection des systèmes contre les codes viraux
malveillants était autrefois considérée comme le
principal moyen de protéger les données d'un
ordinateur. Aujourd'hui, les logiciels antivirus ne sont
que l'une des applications de sécurité, généralement
considérées comme stratégiques, pour protéger un
système mobile. Les logiciels de protection contre le
spam et les logiciels publicitaires sont importants, de
même que les pare-feu et les systèmes de détection
d'intrusion. Pour de nombreuses entreprises, les
logiciels de protection contre les menaces induites
par le Web sont aussi importants que les filtres pour
le trafic entrant et sortant balisé comme malveillant.
Ces solutions peuvent être déployées séparément ou
réunies dans un gestionnaire de menaces universel
(UTM) combinant plusieurs mécanismes de protection
dans un seul progiciel pour tenter d'assurer une
meilleure défense.
Les virus, vers, chevaux de Troie et autres ayant
généralement un mode opératoire spécifique au
système, le logiciel utilisé pour se protéger contre eux
doit également être spécifique au système. Certains
systèmes
d'exploitation,
notamment
Microsoft
Windows, ont été une cible privilégiée pour les
créateurs de virus en raison du nombre élevé
d'ordinateurs Windows sur le marché. En guise de
réponse, Microsoft intègre maintenant un logiciel antiprogramme malveillant dans Windows 7. En outre, des
logiciels tiers sont disponibles auprès de nombreux
éditeurs de logiciels, tels que Norton, Symantec, CA, Fsecure et AVG. L'accent mis sur la protection des
ordinateurs Windows contre les programmes
malveillants a conduit certains partisans d'autres
systèmes à affirmer qu'aucun logiciel anti-programme
malveillant n'était requis. Bien que les ordinateurs
Macintosh et Linux soient la cible d'un nombre
nettement moins élevé de menaces que les ordinateurs
Windows, seuls les utilisateurs aveuglés par leur foi
peuvent croire qu'aucune protection n'est requise.
Des virus et des vers de validation de principe ont
été propagés pour les ordinateurs Macintosh et Linux,
ainsi que pour les smartphones BlackBerry, Palm et
Qualcomm. Bien que très peu de virus ciblant les
smartphones soient apparus « dans la nature », des
logiciels antivirus pour différents téléphones sont
disponibles auprès de plusieurs éditeurs de logiciels,
notamment F-secure, Norton, Kaspersky et avast!.
Miser sur l'impopularité relative de la protection des
systèmes est une vision à court terme qui devrait très
rapidement avoir des conséquences négatives.
Les progiciels anti-programme malveillant ciblent
les logiciels non autorisés qui tentent de devenir
résidents sur un ordinateur. Par contre, les pare-feu
bloquent l'accès à l'ordinateur via les ports réseau, qui
sont susceptibles d'avoir été laissés ouverts à
l'extérieur par inadvertance ou qui sont requis pour
une utilisation normale de l'ordinateur, mais ont été
ciblés pour un accès non autorisé. Microsoft et Apple
intègrent une fonctionnalité de pare-feu dans leurs
systèmes d'exploitation, et des pare-feu pour
ordinateur mobile sont disponibles auprès de
nombreux éditeurs de logiciels, tels que Norton,
Symantec, ZoneAlarm et Comodo.
Moins courants, les pare-feu pour smartphone
commencent à devenir disponibles auprès d'éditeurs
de logiciels tels que Norton, McAfee et Trend Micro.
Pour compléter les pare-feu, des systèmes de détection
d'intrusion surveillent les schémas de trafic et les
transactions de transfert de données sur les systèmes.
Comme leur nom l'indique, de nombreux systèmes de
détection d'intrusion se contentent de signaler les
schémas de transfert de données suspects à
l'utilisateur ou à l'administrateur en lui laissant, ou à
une autre application, le soin d'éliminer la menace.
LIVRE BLANC UBM | Protection des données et mobilité
5
D'autres systèmes réagissent proactivement aux
transactions suspectes en fermant les connexions
réseau ou en limitant la bande passante pour ralentir
ou bloquer les activités potentiellement malveillantes.
Tout cela est complexe et consomme de
nombreuses ressources. Ces descriptions expliquent
pourquoi tant d'entreprises et d'individus ne
déploient que certains des logiciels de protection
susmentionnés,
et
pourquoi
un
nombre
étonnamment élevé d'entreprises estiment que la
protection est superflue.
La plupart des experts en sécurité ne remettent
pas en question la nécessité d'utiliser des logiciels de
protection, mais plutôt leur efficacité face à des
attaques sophistiquées. En fait, tout dépend de la
capacité des ingénieurs qui développent les
signatures de code et schémas comportementaux des
logiciels de protection à conserver une longueur
d'avance sur les cybercriminels qui imaginent des
moyens de contourner ces logiciels. Autrefois, les
deux se suivaient de près, principalement grâce aux
efforts des experts en sécurité indépendants, qui
découvraient les problèmes et en informaient d'abord
l'éditeur de logiciels, ce qui lui laissait le temps de
développer et de diffuser un correctif avant de
partager les détails de la vulnérabilité avec le reste du
monde. Toutefois, aujourd'hui, un petit nombre
d'experts reprochent aux éditeurs de logiciels de ne
pas avoir traité sérieusement leurs informations et ont
décidé de publier les détails des vulnérabilités quasi
immédiatement, dans l'espoir de les forcer à résoudre
rapidement les problèmes.
Résultat : une suite de logiciels de protection
reste essentielle, mais ne suffit plus pour les
ordinateurs mobiles. Dans l'environnement moderne,
les logiciels de protection sont importants, car ils
éliminent le « bruit de la sécurité » en bloquant les
nombreux sondages et attaques élémentaires pour
permettre aux experts en sécurité de se concentrer
sur les règles et la surveillance des attaques modernes
plus sophistiquées. Un chiffrement adéquat, une
authentification sécurisée, des processus intelligents
et des sauvegardes efficaces sont aussi importants
que les logiciels réputés pour la sécurité mobile
globale.
4. Sauvegarde
D'une certaine manière, la sauvegarde est le parent
pauvre de la sécurité des données mobiles. Souvent
ignorée pour les ordinateurs portables et mini
portables, elle est généralement inexistante pour les
smartphones. Cette erreur peut s'avérer fatale quand
surviennent des problèmes nécessitant une
régénération
complète
de
l'environnement
d'exploitation de l'appareil, une étape souvent
nécessaire pour une éradication totale des violations
de la sécurité les plus sophistiquées.
En fait, la sauvegarde des ordinateurs mobiles n'a
jamais été aussi simple pour les entreprises de toutes
tailles et les individus, car des applications de
sauvegarde
sont
maintenant
intégrées
dans
Windows 7 et les ordinateurs Macintosh, les logiciels
tiers d'une myriade d'éditeurs, et une multitude de
services de sauvegarde à bas coût basés sur le cloud.
De plus en plus d'options de sauvegarde sont
également disponibles pour les smartphones. La
sauvegarde est intégrée dans la routine de
synchronisation de l'iPhone ; des produits tels que
Sprite Mobile, PIM Backup et SPB Backup 2 sont
disponibles pour les smartphones Windows Mobile, et
DataPilot (entre autres) intègre un logiciel de
sauvegarde compatible avec une grande variété de
smartphones de différents fournisseurs. Le manque de
logiciels n'est plus une excuse valable pour ne pas
sauvegarder les appareils mobiles.
Où trouver la protection
Avec la multiplication des options de protection et la
nécessité de garantir le fonctionnement synergique des
différents progiciels, l'intégration des logiciels de
sécurité devient de plus en plus importante. Les
intégrateurs de systèmes et les fournisseurs de matériel
jouent maintenant des rôles clés en veillant à ce que
tous les logiciels résident
RÔLE JOUÉ PAR DELL
DANS LA SÉCURITÉ DES
INFORMATIONS MOBILES
Dell intègre la protection des
données et des systèmes dans ses
solutions
an
appliquant
une
philosophie qui repose sur quatre
piliers : protéger le système et les
données tout en empêchant les
accès non autorisés et les attaques
malveillantes. Le gestionnaire de
sécurité Dell ControlPoint permet à
la personne qui configure un
ordinateur portable d'activer, de
configurer et de vérifier l'état des
logiciels de partenaires tels que RSA
et HID Global pour le contrôle
d'accès, Wave Systems pour le
chiffrement du disque complet, et
Norton ou Symantec pour la
protection contre les programmes
malveillants. En outre, le système de
repérage
et
récupération
des
ordinateurs
portables
Dell
ProSupport permet de localiser et
récupérer les ordinateurs portables
perdus ou volés. Ces fonctionnalités
sont disponibles avec les ordinateurs
portables Dell Latitude et Optiplex
commandés auprès de Dell Business
Solutions.
LIVRE BLANC UBM | Protection des données et mobilité
sur une plateforme fiable, et à ce que la configuration
initiale permette une implémentation correcte des
règles de sécurité du client.
Toutes les options de sécurité, qu'elles soient installées
sur les appareils mobiles ou les ordinateurs centraux, doivent équilibrer
facilité d'utilisation et protection des données.
6
De plus en plus de clients se tournent vers les
fournisseurs de systèmes pour l'installation de
logiciels de sécurité complets, préférant la simplicité
d'un interlocuteur unique à la flexibilité (possible) de
l'acquisition de leur propre infrastructure de sécurité.
Cela concerne tout particulièrement les appareils
hyper mobiles, pour lesquels le support et la
maintenance à distance sont plus souvent la règle
que l'exception. Dell, par exemple, combine des
fonctionnalités internes, telles que la puce de sécurité
dédiée ControlVault, le lecteur d'empreintes digitales
intégré et l'authentification avant démarrage, avec
des logiciels préchargés de partenaires tels que RSA,
Wave Systems, Seagate et HID Global afin de
présenter un frontal de sécurité unifié administrable
via le gestionnaire de sécurité Dell ControlPoint.
Un point de réponse unique, que la demande émane
de l'utilisateur ou du centre d'assistance, simplifie
considérablement la gestion dans les meilleurs délais
d'un sujet aussi sensible que la sécurité.
La protection doit être utilisée
pour le travail
Le développement de l'utilisation des appareils mobiles
est principalement dû à l'importance croissante de
l'efficacité des utilisateurs et de la commodité des
systèmes. Toutes les options de sécurité, qu'elles
soient installées sur les appareils mobiles ou les
ordinateurs centraux, doivent équilibrer facilité
d'utilisation et protection des données. Sur les
appareils mobiles, cet équilibre est encore plus
important, étant donné la nature de ces appareils. Un
appareil mobile rendu peu commode à utiliser sera
abandonné en faveur d'un autre système
(potentiellement moins sûr) ou son système de sécurité
sera dégradé par un utilisateur prisant davantage la
commodité que l'équipe informatique.
La sensibilisation des utilisateurs mobiles sur
l'importance de la sécurité, l'élaboration de règles et
de procédures consensuelles pour sécuriser l'utilisation
des systèmes et données, et le déploiement de la
technologie adéquate pour implémenter des règles
strictes permettra d'éviter la fuite des données de
l'entreprise, aussi loin que puissent se trouver les
appareils sur lesquels elles résident. ★
À PROPOS DE DELL
Dell Inc. est à l'écoute de ses clients et leur fournit une technologie innovante, ainsi
que des services reconnus pour leur fiabilité et leur qualité. En tant que fournisseur
de services et de systèmes dont la renommée n'est plus à faire sur le plan
international, notamment grâce à son modèle commercial direct et unique, Dell est
classé trente-troisième dans la liste des plus grandes entreprises américaines au
Fortune 500. Pour en savoir plus, consultez le site www.dell.com ou, pour
communiquer directement avec Dell via de nombreux canaux en ligne, accédez à la
page http://www.dell.com/conversations. Pour obtenir directement les actualités Dell,
consultez le site http://www.dell.com/RSS.