Services IBM Global Technology Services (GTS)

Livre blanc

Avril 2011

Sécuriser les terminauxmobiles des utilisateursdans l’entrepriseDévelopper une politique de sécurité applicable aux terminauxmobiles pour mieux protéger les données d’entreprise

2 Sécuriser les terminaux mobiles des utilisateurs dans l’entreprise

RécapitulatifLes appareils mobiles, tels que les smartphones et les tablettestactiles, permettent à un nombre croissant d’employés detravailler «en tout lieu, à tout moment». La sécurité des donnéesd’entreprise est donc une préoccupation majeure, en particuliersur les terminaux mobiles qui se perdent ou se volent facilement.Le risque de sécurité est renforcé par la prolifération desterminaux mobiles appartenant aux employés dans beaucoupd’entreprises. Les employés vont presque toujours opter pour la solution la plus simple lorsqu’ils utilisent leurs terminauxmobiles à des fins professionnelles, ce qui peut entraîner despratiques informatiques peu sûres. Il est donc indispensable de définir une politique de sécurité des terminaux mobilesclairement documentée et applicable pour réduire le risque de perte de données.

Ce livre blanc décrit les risques de sécurité des terminauxmobiles ayant accès aux données d’entreprise et propose desméthodes de limitation des risques, telles que l’authentification,le chiffrement de données, la protection contre les logicielsmalveillants et les virus et la sécurité du réseau.

Gérer divers terminaux et plateformesAutrefois, les entreprises validaient souvent une solution demobilité sur une plateforme unique (ex. : BlackBerry) qui étaitfournie à un nombre limité d’employés en raison de son coût.Aujourd’hui, de plus en plus d’employés possèdent leur propreterminal mobile et veulent l’utiliser à des fins professionnelles.La diversité des terminaux que les employés amènent au bureaurend le travail des services informatique plus difficile et metl’entreprise en danger. Beaucoup de terminaux et de plateformes

mobiles ciblent les consommateurs et ne sont donc pas aussisécurisés que des équipements d’entreprise. Lorsque l’on parlede sécurité des terminaux mobiles, plusieurs points nousviennent à l’esprit :

● le contrôle d’accès, qui peut inclure un verrouillage par mot de passe ;

● la protection des données, comme le chiffrement ;● la protection contre les logiciels malveillants.

Contrôler l’accèsDu fait de leur portabilité, les terminaux mobiles se perdent ouse volent facilement. L’obligation d’authentification, notammentpar un mot de passe, pourrait ainsi rendre les terminaux moinsaccessibles aux utilisateurs non autorisés. Le problème de laplupart des méthodes de protection est qu’elles peuvent aussirendre l’accès plus difficile au propriétaire du terminal etentraîner ainsi une baisse de la satisfaction des utilisateurs, enparticulier lorsqu’il s’agit de mobiles personnels. Il y a peu desolutions robustes, actuellement pour séparer l’accès auxdonnées personnelles de l’accès aux données professionnelles,même si cela est un domaine d’intérêt d’un certain nombre de fournisseurs.

Outre les mots de passe numériques et alphanumériquesstandard, il existe d’autres solutions de sécurité telles que labiométrie (reconnaissance d’empreintes digitales ou vocale), lescartes à puce, les jetons ou les certificats numériques. En réalité,plusieurs solutions de ce genre peuvent être requises pour uneauthentification multi-facteur.

3Services IBM Global Technology Services (GTS)

Prévenir la perte des données d’entrepriseDans sa sixième étude annuelle, le Ponemon Institute a montréque le coût organisationnel moyen de la violation de donnéesétait passé à 5,1 millions e et coûtait en moyenne aux entreprises153 e par enregistrement corrompu, soit une hausse notable parrapport à 2009 (147 e)1. L’étude s’appuie sur les cas de violationde données constatés dans 51 entreprises américaines de15 secteurs d’activité différents. Extrapolé à l’échelle mondiale,le coût annuel de la perte ou de la violation de données pour lesentreprises est considérable et il devrait encore s’accroître, lesterminaux mobiles étant de plus en plus petits et par conséquentfaciles à oublier dans un taxi ou sur un siège au restaurant.

Et puis il y a les attaques délibérées. L’étude du PonemonInstitute a identifié les attaques malveillantes comme la causepremière de 31 % des violations de données analysées, contre24 % en 2009 et 12 % en 20082. «Nettoyer» ou supprimertoutes les données d’un appareil mobile après plusieurs tentativesd’accès avec un mot de passe invalide peut contribuer à réduirele risque d’attaque en force. En outre, l’effacement à distance des «données locales» effectué par un utilisateur ou unadministrateur est une pratique recommandée en cas de perte ou de vol d’un appareil.

Le chiffrement des données sur les appareils mobiles peutapporter un niveau de sécurité supplément. Le chiffrementmatériel – l’une des méthodes les plus courantes – offre unavantage supplémentaire par rapport au chiffrement logiciel car il est intégré au terminal et peut ainsi optimiser sesperformances.

Les navigateurs et les applications virtualisées peuvent être des alternatives intéressantes au stockage des données sur lesterminaux mobiles. Dans ce cas, peu ou pas de données sontstockées sur l’appareil : il faut faire une requête et les donnéess’affichent alors selon les besoins, réduisant ainsi le risque deperte de données. Un accès au réseau est néanmoins nécessaire,si bien que les utilisateurs n’ont pas accès aux données lorsqu’ilssont hors ligne ou déconnectés. De plus, cette solution peut êtremoins performante qu’un client enrichi natif ayant accès auxdonnées locales sur le terminal mobile, et le temps de réponsepeut être plus long.

Affronter une nouvelle vague de virusBien que la menace de logiciels malveillants sur les PC soitréelle, la menace qui pèse sur les terminaux mobiles commencejuste alors que ceux-ci gagnent en popularité. Les utilisateurspeuvent sans le savoir infecter leur terminal en visitant un siteWeb corrompu, en réceptionnant un SMS ou simplement eninstallant une application. Même les applications des magasinsd’applications reconnus comme l’App Store d’Apple ou GoogleApps ne sont pas à l’abri. Il est pratiquement impossible pour lespropriétaires "d’application store" d’effectuer des revues de codeapprofondies sur toutes les applications. Pour contrer cettemenace, des logiciels de sécurité similaires à ceux qui existentdéjà pour les PC, gagnent progressivement l’acceptation dumarché. Ces logiciels s’exécutent sur le terminal mobile ; ilsrecherchent les logiciels malveillants et les virus et sontrégulièrement mis à jour en cas d’apparition de nouvellesmenaces.

4 Sécuriser les terminaux mobiles des utilisateurs dans l’entreprise

Définir une politique de sécuritéSur le plan pratique, il est très difficile d’empêcher les employés d’utiliser des appareils mobiles personnels à des finsprofessionnelles. Les experts informatiques peuvent prendre le pas sur cette tendance en établissant des politiques et desprocédures qui définissent à quel type de contenu les utilisateurssont autorisés à accéder sur ces terminaux, quels sont les moyensd’accès et comment l’entreprise va gérer la perte ou le vol desterminaux pouvant contenir des données professionnelles. Ainsi, les employés pourront continuer à être productifs endéplacement, à domicile ou chez un client tout en limitant le risque de perte de données suite à un accès illicite. Pourcommencer, vous trouverez ci-dessous un exemple de politiquede sécurité applicable aux terminaux mobiles des entreprises et des employés :

● Mot de passe d’appareil mobile à huit caractèresalphanumériques– Expiration au bout de 90 jours– Verrouillage de l’appareil au bout de 15 minutes– L’invite de mot de passe sur l’appareil doit se mettre en

pause pendant une durée incrémentiale après chaquetentative de connexion infructueuse afin de se protégercontre les tentatives de connexion forcées

● Effacement des données du terminal– A distance (par l’administrateur) en cas de perte ou de vol

de l’appareil– Après 10 tentatives de connexion par mot de passe invalides

afin de se protéger contre les tentatives de connexionforcées

● Chiffrement des données au repos pour les employésbénéficiant d’un accès stratégique ou sensible– Clé de chiffrement forte de 128 bits minimum (norme

AES [Advanced Encryption Standard])

– Protection des clés de cryptage associées échangées oustockées de manière difficilement récupérable sous formelisible au repos sur le système de fichiers ou dans latransmission

– Méthode reflétant l’état de chiffrement d’un terminaldonné en fonction de sa valeur, de l’application d’unepolitique ou d’une autre manière

● Configuration Bluetooth paramétrée de façon à ne pas êtredétectable et connectée uniquement à l’aide de périphériquesassociés à tous les terminaux mobiles prenant en charge cesfonctions

● Obligation, pour la synchronisation des données à distance oul’accès distant à l’infrastructure de l’entreprise, de passer parune gateway et de prendre en charge l’authentification desécurité requise

● Synchronisation locale via connexion directe par bus USB,liaison infrarouge, Bluetooth, réseau local sans fil (WLAN),réseau local (LAN) ou connexion sans fil

● Programme antivirus exécuté sur n’importe quel terminalayant accès au réseau d’entreprise

● Pare-feu exécuté sur le terminal mobile.

Conclusion : l’instauration d’une politiquede sécurité est indispensableUne fois que vous avez défini votre politique, les solutions detechnologie mobile peuvent vous aider à la mettre en œuvre. Le pilier de cette mise en œuvre sera probablement une solutionde gestion des appareils mobiles (MDM). Bien que la plupart des solutions de messagerie comme IBM Lotus Domino ouMicrosoft® Exchange possèdent des fonctions de gestion des

5Services IBM Global Technology Services (GTS)

terminaux de base, les solutions MDM proposent généralementune approche plus globale. Il s’agit notamment des fonctions enlibre-service telles que l’intégration des données, l’effacement àdistance ou l’aide en ligne et la capacité à gérer les applicationsmobiles ou à assurer le suivi des plans voix-données afin deréduire les coûts et d’améliorer la gestion. De plus, certainessolutions MDM peuvent faciliter la séparation donnéespersonnelles/données professionnelles et éliminer le besoin deverrouillage par mot de passe de tous les accès aux terminaux.Elles peuvent également proposer des fonctions d’effacement à distance des données d’entreprise uniquement, au cas oùl’employé quitte la société, en conservant intactes les donnéespersonnelles.

Les logiciels de sécurité des mobiles permettent aussi deprotéger les terminaux contre les logiciels malveillants et lesvirus. Leur association à une solution MDM permet de garantirun certain niveau de sécurité de l’appareil avant qu’il se connecte au réseau. Si l’appareil échoue au contrôle de sécurité,l’utilisateur pourra en être informé et l’appareil pourra être isolédes autres afin de réduire les risques d’intrusion au réseau del’entreprise.

S’associer à un partenaire expérimentéIBM Mobile Enterprise Services vous propose un ensemble defonctionnalités intégrées qui vont vous aider à aligner votrestratégie de mise en oeuvre d’outils collaboratifs, de réseauxsociaux et de communications avec vos principaux besoins demobilité et objectifs métier. Notre gamme complète de solutions

de gestion du cycle de vie peut vous aider à planifier, gérer,prendre en charge et fournir une qualité de service optimale aux utilisateurs de terminaux mobiles grâce à de nombreusesfonctionnalités :

● Compatibilité smartphones RIM BlackBerry et tablettesPlayBook

● Compatibilité Apple iPhone et iPad, Google Android,Windows® Mobile et Windows Phone 7, Symbian et HP webOS

● Gestion des terminaux mobiles (MDM)● Gestion des dépenses de télécommunication● Réseau privé virtuel (VPN) et autres services réseau● Evaluation, mise en œuvre et suivi de la politique de sécurité● Auto-assistance des employés et services de maintenance● Enterprise mobile application store et fourniture et gestion

d’applications● Messagerie basée sur le cloud, services de collaboration et

services mobiles de média sociaux.

Plus la mobilité se développe dans votre entreprise et plus lenombre de terminaux mobiles continue de croître, les risques desécurité sont croissants. Toutefois, si vous vous y préparez avecprécaution, vous pourrez tirer profit des derniers outils etcompétences dans ce domaine pour protéger au mieux vos actifs stratégiques.

Pour plus d’informationsPour en savoir plus sur les solutions de sécurité et l’offreIBM Mobile Enterprise Services, contactez votre représentantIBM ou visitez le site Web suivant : ibm.com/services/enduser

Les solutions de financement d’IBM Global Financing (IGF)peuvent faciliter la gestion de la trésorerie, protéger contrel’obsolescence des technologies et améliorer le coût total depossession ainsi que le retour sur investissements. En outre, nosservices GARS (Global Asset Recovery Services) apportent uneréponse aux enjeux environnementaux sous la forme de nouvellessolutions plus éco-énergétiques. Pour plus d’informationsconcernant IGF, consultez le site Web : ibm.com/financing/fr

Compagnie IBM France17 Avenue de l’Europe92275 Bois-Colombes CedexFrance

La page d’accueil d’IBM est accessible à l’adresse ibm.com

IBM, le logo IBM, ibm.com, Domino et Lotus sont des marquesd’International Business Machines Corporation aux Etats-Unis et/ou dans certains autres pays. Si ces marques et d’autres marques d’IBM sontaccompagnées d’un symbole de marque (® ou ™), ces symboles signalent desmarques d’IBM aux Etats-Unis à la date de publication de ce document. Cesmarques peuvent aussi être déposées ou reconnues par la législation généraledans d’autres pays.

La liste actualisée de toutes les marques d’IBM est disponible sur la page Web «Copyright and trademark information» à l’adresseibm.com/legal/copytrade.shtml

Microsoft et Windows sont des marques de Microsoft Corporation auxEtats-Unis et/ou dans certains autres pays.

Les autres noms de sociétés, de produits et de services peuvent appartenir àdes tiers.

, 2 «2010 Annual Study: U.S. Cost of a Data Breach», Ponemon Institute,LLC, 8 mars 2011.

Les références aux produits et services d’IBM n’impliquent pas qu’ils soientdistribués dans tous les pays dans lesquels IBM exerce son activité.

Toute référence à un produit, logiciel ou service IBM n’implique pas que seulce produit, logiciel ou service puisse être utilisé. Tout produit, logiciel ouservice fonctionnellement équivalent peut être utilisé.

Les informations contenues dans cette publication ne sont fournies qu’à titreindicatif et sont susceptibles d’être modifiées sans préavis. Veuillez contactervotre ingénieur technico-commercial IBM local ou votre revendeurIBM pour obtenir des informations à jour sur les produits et services IBM.

IBM ne donne aucun avis juridique, comptable ou financier, et ne garantitpas que ses produits ou services sont conformes aux lois applicables. Lesutilisateurs sont seuls responsables du respect des lois et réglementations desécurité en vigueur, en particulier les lois et réglementations nationales.

© Copyright IBM Corporation 2011All Rights Reserved.

1

AZW03001-FRFR-00