Cryptologie, biométrie, protection des données disséminées dans le cloud, contrôle des identités et des accès : la sécurisation des données fait l’objet de toutes les attentions. Mais la mobilité ajoute à la complexité de la tâche…

Une étude menée par Cisco révèle que 49% des salariés transfèrent des fichiers professionnels vers leur ordinateur personnel (tablette, smartphone ou ordinateur portable). Au total, ce sont 200 millions d’e-mails et 693 gigabits échangés dans le monde chaque minute en 2012… La croissance des flux de données sur le plan mondial est exponentielle. Selon cette estimation, fournie par John Michelsen, responsable des technologies chez CA Technologies, les appareils connectés atteindront le nombre de 50 milliards dans le monde d’ici à 2020. Cela démultiplie d’autant les risques en cas de perte, piratage, virus ou vol de données.

Patrick Pailloux, directeur général de l’Agence nationale de sécurité des systèmes d’information (Anssi), citait récemment en exemple une simple application gratuite d’annuaire, « via laquelle vous pouviez directement, en tapant les nom et prénom, obtenir le téléphone d’une personne ». Une fois installée sur votre smartphone, cette application accédait à tous vos contacts et les rendait disponibles à qui le voulait sur la planète. « Nous ne sommes même pas là en présence d’un cas d’attaque informatique. De plus, les conditions d’utilisation de cette application précisaient clairement l’accès aux contacts, mais bien sûr dans les petites lignes qu’on ne lit jamais… », se désolait-il.

Selon une étude de McAfee, l’un des principaux éditeurs mondiaux de logiciels de sécurité, 1 300 logiciels malveillants circulaient en 2011 sur des terminaux mobiles, contre 900 l’année précédente. Les smartphones représentent de nouveaux vecteurs d’attaques. Une grande part des 9 000 nouvelles failles de sécurité décelées par IBM cette année ont été découvertes dans des environnements mobiles. Le phénomène croissant du Bring your own device (Byod), qui consiste à apporter son terminal personnel dans l’entreprise, accentue les risques. Patrick Pailloux prend la menace au sérieux : « Il faut arrêter de faire n’importe quoi dans les entreprises, s’emporte-t-il. Des dispositifs de sécurité doivent impérativement être mis en place dès lors qu’on décide d’équiper ses collaborateurs en terminaux mobiles. » Selon l’Agence, la sécurité doit primer sur le désir de confort des salariés.

La sécurité, une affaire rentable
La sécurité a un coût. En toute logique, le chiffre d’affaires des éditeurs de logiciels de sécurité ne cesse de grimper : + 7,5 % en 2011, + 7,9 % en 2012, pour atteindre 19 milliards de dollars (14 milliards d’euros). Cinq éditeurs se partagent 43 % de ce juteux marché, en tête desquels Symantec (3,74 milliards de dollars) et McAfee (1,68 milliard). Suivent Trend Micro, IBM et EMC. Un grand nombre d’éditeurs se partagent les 57 % restants.

Le cloud computing et la mobilité ont largement contribué à cette croissance. La stratégie des acteurs du numérique suit le mouvement : « Sécuriser l’IT, notamment sur le cloud, constitue l’un des trois piliers de notre stratégie, définis depuis l’arrivée de Mike Gregoire à la tête du groupe », souligne Gaël Kergot, directeur des solutions de sécurité de CA Technologies. Les éditeurs rivalisent d’ingéniosité pour proposer leurs services : Avira lance tout juste une application de sécurité mobile pour iPhone, iPad et iPod. Appelé Avira Mobile Security, le logiciel recherche les processus malveillants, contrôle la mise à jour de l’OS et des tentatives de débridage de l’appareil, propose 5 Go de stockage cloud fournis pour la sauvegarde ou le partage sécurisé de photos et vidéos. En cas de perte ou de vol, il permet de déclencher à distance une alarme sonore sur le terminal ou de le géolocaliser…

IBM a aussi développé une nouvelle technologie d’identification sécurisée pour le mobile basée sur le standard radio NFC (communication en champ proche). Cette technologie permet aux utilisateurs des tels appareils et de cartes à puce sans contact de bénéficier de mesures de sécurité supplémentaires lors de leurs transactions mobiles. Le procédé s’applique aussi aux services de banque en ligne ou aux signatures électroniques pour les accès aux intranets d’entreprise et aux cloud privés.

Enfin, la France décide d’investir dans sa propre défense… Le consortium*, à la tête du programme de recherche Davfi (Démonstrateurs d’antivirus français et internationaux), vient de finaliser une première version de son nouvel antivirus. Ce produit, qui s’adresse pour l’instant aux entreprises (une version gratuite pour les particuliers devrait suivre), sortira l’an prochain. D’abord destiné aux appareils sous Android (téléphone mobile et tablette), Davfi sera étendu à d’autres systèmes d’exploitation, comme Windows et Linux.

Le groupe Doublet, leader dans la fabrication des drapeaux, défend une vision « structuraliste » de l’information.

Vers des solutions embarquées
Pour l’un des leaders mondiaux en matière d’authentification, l’américain EMC, la sécurité représente environ 10 % de son chiffre d’affaires global, à travers les solutions mises en œuvre par sa filiale RSA. Bernard Montel, directeur technique de RSA France, met en avant quelques solutions comme le mot de passe non rejouable adapté pour les terminaux mobiles : « Un même niveau de sécurité que pour les postes fixes reste valable. Le logiciel est tout simplement embarqué dans le smartphone ou la tablette, en lieu et place des porte-clés, ou token, utilisés auparavant. Des flottes complètes de clients sont ainsi passées au logiciel embarqué. » RSA traite plutôt avec des grands groupes : « C’est la stratégie retenue. Mais via notre réseau de revendeurs, nous servons 1 200 clients en France actuellement, de toutes petites PME comme de grandes administrations comme l’Éducation nationale. La nature de l’activité de l’entreprise détermine l’utilisation de solutions de sécurité, indépendamment de sa taille. »

Capgemini s’est, lui, associé avec l’éditeur SAP et Amazon Web Services (AWS) pour proposer une solution de MDM (mobile device management, ou gestion des appareils mobiles) dans le cloud à 1 euro par mois et par appareil. Une façon de s’adresser à la TPE comme à la multinationale, avec une solution évolutive utilisant le logiciel Afaria. La question du coût reste en effet cruciale quelle que soit la taille de l’entreprise. Selon Cyrill Sourzac, directeur de l’offre mobilité France chez Capgemini, hors MDM en entreprise, point de salut : « Le Byod impose de mettre en place un MDM, compte tenu de la diversité des systèmes d’exploitation, iOS, Android ou Windows… La mobilité existe en France depuis quinze ans ! Le pays compte 24 millions de smartphones et 5 millions de tablettes, dont un tiers à usage professionnel, soit environ 10 millions d’appareils. Chacun comporte en moyenne une dizaine d’applications utilisées régulièrement, sur 30 à 40 téléchargées. » Samuel Gaudard, en charge du centre d’excellence mobilité chez Capgemini, poursuit : « Le risque majeur, c’est tout simplement le vol ou la perte du terminal. Ce sont des objets convoités. Un MDM est une première brique dans une politique de sécurité d’une entreprise, en permettant notamment le blocage à distance du terminal. »

Un guide d’hygiène informatique
La protection des données ne nécessite pas forcément d’investir beaucoup d’argent dans des solutions de protection. L’Anssi a publié un Guide d’hygiène informatique** en entreprise, comprenant quarante règles de base à appliquer pour protéger les systèmes d’information, fixes ou mobiles. Luc Doublet, président du conseil de surveillance du groupe Doublet, a ainsi sa propre approche des questions de sécurité : « Il y a quelques années, on nous a volé notre parc d’ordinateurs. Une journée et demie plus tard, nous avons pu redémarrer, se félicite-t-il. Et cela grâce à des données réparties sur dix-sept serveurs et plusieurs sites miroirs. » A la tête d’une entreprise leader dans la fabrication de drapeaux, l’industriel défend une vision « structuraliste » de l’information : « Comme dans la presse, c’est la question qui détermine la réponse. Dans notre système, l’information est morcelée, nos données sont disséminées, donc plus difficiles à utiliser que si elles étaient concentrées sur un seul et même site, souligne le dirigeant. Nous possédons un parc de 300 appareils mobiles. L’accès à ces données est constamment tracé, et nous savons en permanence qui a accès à quoi. »

* Ce projet, financé à hauteur de 5,5 millions d’euros sur deux ans via le Fonds national pour la société numérique (FSN), dans le cadre du programme des investissements d’avenir, est soutenu par un consortium composé d’experts de l’École supérieure d’informatique, électronique et automatique (Esiea) et d’entreprises (Nov’IT, Init SYS, Qosmos, Teclib’ et DCNS Research).
** Le Guide d’hygiène informatique est disponible sur : http://bit.ly/GDGLGV

Le français Bull vient de lancer Hoox m2, le seul smartphone européen hautement sécurisé pour un usage professionnel, conçu intégralement en France. La biométrie investit les smartphones Les appareils mobiles sont déjà à l’heure de la biométrie, puisque Apple utilise le lecteur d’empreintes digitales Touch ID sur son iPhone 5s, tandis que Google a cofondé, en début d’année 2013, l’Alliance Fido (Fast Identity Online), visant à créer un standard commun, avec l’aide de nombreux industriels, en généralisant l’usage de senseurs biométriques sur les smartphones ou les ordinateurs. Les premiers téléphones Android avec capteur biométrique Fido devraient voir le jour dans le courant de l’année 2014, et MasterCard vient de rejoindre l’alliance. Parmi les autres membres du consortium figurent PayPal, Blackberry, Lenovo ou LG. De son côté, Bull sort un smartphone sous Android (3G+), appelé Hoox m2 (photo) et destiné à des entreprises sensibles et des décideurs politiques. Selon le fabricant, l’appareil apporte « une sécurité bien supérieure aux solutions de chiffrement sur smartphones du commerce, et répond aux contraintes de sécurité pour les données sensibles à diffusion restreinte grâce à un contrôle strict des accès aux données de l’utilisateur, qui sont stockées et chiffrées localement ». Sur les traces d’Apple, le fabricant taïwanais HTC propose le smartphone HTC One Max, équipé d’un capteur biométrique d’empreintes digitales, qui sera sur le marché européen en 2014. Selon David Hemm, chercheur chez l’éditeur de logiciels Kaspersky Lab, « si quelqu’un arrive à leurrer le lecteur d’empreintes [exploit qui a été réalisé sur le dernier iPhone par les hackers allemands du Chaos Computer Club en… 3 jours !, ndlr], il n’existe aucune alternative pour renforcer la sécurité de l’appareil. Une initiative qui semble représenter un niveau de protection maximum pourrait donc facilement mener à une impasse et devenir finalement une bien pauvre alternative au mot de passe traditionnel ».

Cet article est extrait du n°6 d’Alliancy, le mag – Découvrir l’intégralité du magazine