Tendance BYOD: quelques conseils pour mieux gérer les smartphones sur le lieu de travail
Vous travaillez dans l’informatique ? Si oui, vous avez probablement déjà vécu la situation qui va suivre. Quelqu’un d’important dans l’entreprise brandit fièrement un nouveau joujou flambant neuf et vous pose cette question floue et compliquée : « Je peux l’utiliser ? »
Que répondez-vous ?
Observez cette première règle toute simple : ne dites pas non ! Refuser la demande d’un haut cadre aide rarement à faire progresser une carrière et il est fort peu probable que l’utilisation de ce smartphone bouleverse la sécurité au sein de votre entreprise.
Si vous ne parvenez pas à répondre à la demande d’un utilisateur, vous prenez les risques suivant : les collaborateurs aimant prendre des initiatives bidouilleront leur appareil au mépris de la sécurité. Mieux vaut accepter l’existence d’un risque maîtrisé et réfléchi, plutôt que de voir s’envoler des données vitales via la boîte email du CEO de votre entreprise (celle-ci fonctionne évidemment très bien sur son iPad).
Vous avez ainsi répondu à cette question par un « Ouais mais… ». Mais ensuite ?
Malheureusement, à première vue, les options dont vous disposez ne sont pas très réjouissantes : le positionnement classique qui consiste à centraliser la gestion de la configuration, les logiciels, les correctifs et l’antivirus est souvent impossible, voire inutile, sur ces plateformes.
Mais alors, par où commencer ? C’est le moment de prendre du recul et de repenser à des prérequis élémentaires. Commencer par la question « que voulez-vous faire avec cet appareil ? » vous aidera à solutionner plus facilement le problème.
Les besoins pour cet appareil sont probablement assez simples. Nous n’en sommes pas encore arrivés au point où les gens veulent se débarrasser de leur ordinateur portable, vos utilisateurs n’auront donc probablement pas besoin ou envie d’avoir accès à des choses critiques. D’ailleurs, ils commenceront peut-être par vous répondre deux choses : je souhaite accéder à mes mails et surfer sur le web.
5 étapes qui vous aideront à démarrer
1. Séparez
S’il n’y a aucune raison que l’iPad personnel d’un collaborateur puisse accéder directement et sans limite à vos serveurs vitaux, ne l’autorisez pas. Mettez en place un réseau sans fil, protégé par un pare-feu, et adaptez les accès aux besoins. Ne vous inquiétez pas des politiques de pare-feu complexes, ça n’est pas la peine. Les tablettes ne comprennent que quelques protocoles élémentaires (HTTP, DNS). L’ensemble de vos règles de pare-feu en seront le reflet.
2. Politiques
Elles doivent être simples, claires et illustrées par des exemples. Ainsi, vos utilisateurs en comprendront la nécessité.
Pas de jailbreak. Les logiciels installés ne proviendront que des app stores ou des marketplaces officiels etc…
Mot de passe de verrouillage de l’écran. Il devra être activé automatiquement après cinq minutes environ d’inactivité.
Longueur des mots de passe. Ce sujet est parfois source de problème. Mieux vaut donc privilégier le pragmatisme. Exigez des utilisateurs que leur mot de passe soit composé de 15 caractères et il ressemblera à ça : 111111111111111. Ils s’arrangeront également pour contourner les exigences de complexité. Les ordinateurs ont du mal à détecter l’aléatoire, les humains sont bien plus doués pour cela et ils trouveront facilement comment jouer au hasard la complexité via un algorithme.
Cela vous fait peur ? C’est assez compréhensible mais les contre-mesures doivent être proportionnelles à l’ampleur de la menace. Pour pirater le mot de passe de verrouillage de l’écran d’un smartphone, il faut déjà avoir physiquement accès à l’appareil. Maintenant, comparez ça aux mots de passe de votre réseau ou de votre boite email. N’importe qui doté d’une connexion internet peut deviner le mot de passe de votre passerelle VPN ou de vos serveurs de mail. Il vous faut donc protéger ces mots de passe contre l’ensemble de la population présente sur Internet (ce qui est beaucoup plus difficile !).
L’option « au moins six caractères » est probablement la bonne pour décourager un attaquant quelconque. Cependant, il faut toujours partir du principe qu’un téléphone perdu est, par définition, corrompu, peu importe le mot de passe mis en place (nous détaillerons ceci ci-dessous). Peu importe votre choix, assurez-vous que vous appliquez ces règles à vous-même. Vos collaborateurs n’accepteront jamais une chose que vous ne feriez pas.
Pour savoir comment choisir un mot de passe solide, Jérôme Vosgien a réalisé cette vidéo :
(Cette vidéo vous a plu ? Vous en trouverez d’autres sur la chaîne YouTube de @SophosFrance, vous pouvez également vous y abonner, si vous le souhaitez)
3. Evaluez
Chaque plateforme présente des risques différents. Les iPhones et les iPads sont chiffrés par défaut mais on sait qu’ils ont été déjà été piratés. Les appareils Androids ne le sont pas encore (cela arrivera un jour mais ne pariez pas trop dessus sur le moment). Dans les deux cas, la possibilité de supprimer les données à distance est une option intéressante mais prévenez vos utilisateurs, qu’en cas de perte de leur téléphone, vous l’activerez, afin qu’ils fassent régulièrement des sauvegardes !
Il est probable que le mot de passe réseau d’un utilisateur soit également sauvegardé sur l’appareil (pour assurer la récupération automatique des emails, par exemple). Ne pensez pas que le mot de passe sera sauvegardé de façon sécurisée ; en cas de perte de l’appareil, assurez-vous de sa modification.
Si vous utilisez Exchange Active Sync, notez bien ceci : actuellement iOS ignore la configuration « ne pas sauvegarder les pièces jointes ». (Pour tout savoir sur iOS et les politiques EAS, consultez les tests réalisés par le gens de Sysadmin Lab. Ne partez pas du principe que tout fonctionne correctement !)
Il semblerait qu’Android soit davantage la cible des malwares qu’iOS. Google essaie de régler le problème. Ils ont notamment ajouté un « bouncer » à leur marketplace. Celui-ci analyse les applications soumises. Cependant, gardez ça en tête lorsque vous établissez de nouvelles politiques de sécurité.
On connait par exemple ce malware Android capable d’intercepter les sms, qui permet ainsi au pirate de mettre en échec l’authentification à deux facteurs par sms. Prenez en compte tout ce que cela implique si vous utilisez cette méthode d’authentification pour protéger votre réseau ou l’accès à vos applications.
La gestion des correctifs varie également d’une plateforme, d’un constructeur et d’une version logicielle à l’autre. iOS se met automatiquement à jour mais pour les versions précédentes c’est à l’utilisateur de le faire lui-même.
Pour tout ce qui concerne les mises à jour de l’appareil lui-même, Android fait confiance aux fabricants du téléphone mais il semblerait qu’ils ne soient pas très efficaces dans ce domaine.
Dans une étude intitulée All Your Droid Are Belong To Us: A Survey of Current Android Attacks, l’université Carnegie Mellon aborde cette problématique et bien d’autres également. N’oubliez pas : moins un appareil sera corrigé, plus les risques qu’il soit compromis, notamment via une attaque « drive-by download » seront élevés.
La séparation est un bon moyen de défense dans ce cas. Si vous n’êtes pas satisfaits des process liés aux correctifs de vos appareils, ne les positionnez pas aux côtés de vos applications critiques.
Peut-être aussi devriez-vous envisager de protéger ces applications sensibles par un processus d’authentification à deux facteurs. Bien qu’un téléphone corrompu ne puisse pas accéder directement aux mots de passe et aux certificats, l’exploit drive-by download est peut-être déjà en train de voler des données sur le téléphone.
4. Formez vos collaborateurs
Des conseils clairs sont essentiels, à la fois pour vos utilisateurs et pour les équipes informatiques. Les équipes informatiques auront besoin de procédures pour non seulement, aider au provisioning mais également, effacer rapidement à distance les données des appareils mobiles perdus. Elles sont également proches des utilisateurs et sont donc de précieux alliés dans leur formation et dans la détection de comportement inadaptés ou dangereux.
Faites cette petite expérience : demandez à vos utilisateurs de rechercher l’expression « mot de passe » dans leur boite mail. Ils trouveront au moins un email, envoyé par un site web, dans lequel leur mot de passe sera écrit en toutes lettres. Rappelez-leur qu’un pirate ayant accès à leur téléphone essaiera fort probablement de faire la même chose.
Cet exemple permet d’illustrer l’importance de la suppression de ces emails en particulier. Pour chaque site web, un mot de passe différent, et choisissez des questions difficiles pour la réinitialisation des mots de passe.
5. Soyez pragmatique
C’est le plus important ! Ces plateformes sont difficiles à administrer et vous aurez probablement des choses plutôt déplaisantes à faire. Un dernier exemple : aucun administrateur système ne souhaite autoriser iTunes sur son réseau. Le logiciel consomme beaucoup de ressources système et c’est une catastrophe lorsqu’un utilisateur lance la synchronisation de son lecteur mp3 sur le serveur de l’entreprise.
Malheureusement, sans iTunes, un utilisateur ne peut pas sauvegarder facilement son iPhone (ou même le patcher pour les versions inférieures à iOS5). Cela ne vous concerne pas ? Et bien si ! Un utilisateur qui a perdu son téléphone sans en sauvegarder le contenu ne vous le dira pas tout de suite, conscient que vous effacerez le contenu du smartphone à distance. Il attendra un peu dans l’espoir de le retrouver derrière son canapé.
J’espère que cet article vous aura apporté des conseils simples et pratiques que vous pourrez instantanément mettre en pratique. Une bonne compréhension des risques, couplée à des précautions simples et basiques seront toujours un bon complément à un produit qui vous promet de résoudre tous vos problèmes.
Suivre @SophosFrance
// [divider]
Adaptation du billet original Bring your own: practical advice for handling smartphones in the workplace, par Ross McKerchar.
Qu’en pensez-vous ? Laissez un commentaire.