L impact des téléphones intelligents sur la sécurité de l information en entreprise

Transcription

1 L impact des téléphones intelligents sur la sécurité de l information en entreprise Une recherche réalisée par : Pier-Yves Poulin Présentée à : Jean-Pierre Fortier Remerciement à : Jean-Philippe Ferland Sébastien Harbec David Lévesque-Lafleur Dans le cadre du cours : SIO-2102 sécurité, contrôle et gestion du risque Département systèmes d information organisationnels Faculté des sciences de l administration Université Laval

2 TABLE DES MATIÈRES INTRODUCTION... 4 L'UTILITÉ DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE... 6 UTILITÉ... 6 PRODUCTIVITÉ... 6 ANALYSE DE RISQUES SUR L UTILISATION DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE... 8 LA CONFIDENTIALITÉ DE L INFORMATION... 8 LES FAIBLESSES DU SYSTÈME D EXPLOITATION ET SES APPLICATIONS... 9 LES ATTAQUES RÉSEAUX...10 LES ACCÈS NON AUTORISÉS...11 LA PERTE OU LE VOL...12 L ESPIONNAGE À DISTANCE...12 LES MESURES DE SÉCURITÉ TECHNIQUE...14 LA CONFIDENTIALITÉ DE L INFORMATION...14 L ACCÈS COURRIELS...15 LA GESTION DE L INFORMATION...15 LES FAIBLESSES DU SYSTÈME D EXPLOITATION ET SES APPLICATIONS...15 LES ATTAQUES RÉSEAUX...16 LES ACCÈS NON AUTORISÉS...16 LA PERTE OU LE VOL...17 L ESPIONNAGE À DISTANCE...17 LE PARC HÉTÉROGÈNE...17 LES TÉLÉPHONES PIRATÉS...18 MESURE DE SÉCURITÉ À METTRE EN PLACE SELON LA NORME ISO ARTICLE 6 - ORGANISATION DE LA SÉCURITÉ DE L INFORMATION...19 ARTICLE 7 - GESTION DES BIENS...20 ARTICLE 8 - SÉCURITÉ LIÉE AUX RESSOURCES HUMAINES...20 ARTICLE 10 GESTION DE L EXPLOITATION ET DES TÉLÉCOMMUNICATIONS...20 ARTICLE 11 - CONTRÔLE D ACCÈS...21 ARTICLE 12 - ACQUISITION, DÉVELOPPEMENT ET MAINTENANCE DES SYSTÈMES D INFORMATION...22 L ASPECT HUMAIN SUR LA SÉCURITÉ D UTILISATION DE TÉLÉPHONES INTELLIGENTS EN ENTREPRISE...23 RESPONSABILITÉ PARTAGÉE DE LA SÉCURITÉ D INFORMATION DES TECHNOLOGIES MOBILES P a g e

3 QUELLES PERSONNES DANS L ORGANISATION DEVRAIENT ÊTRE AUTORISÉES À UTILISER DES TÉLÉPHONES INTELLIGENTS CORPORATIFS? SEGMENTATION DES EMPLOYÉS PROFILS UTILISATEURS ARCHITECTURE ET APPAREILS...30 RISQUE RÉSIDUEL APRÈS L APPLICATION DES MESURES DE SÉCURITÉ...34 PERTE OU VOL DU TÉLÉPHONE MOBILE...34 L UTILISATEUR RESTE UN ÊTRE HUMAIN...35 FAILLE DE SÉCURITÉ DU MATÉRIEL...36 ÊTRE LA CIBLE D UN PIRATE...37 CONCLUSION...38 BIBLIOGRAPHIE P a g e

4 INTRODUCTION Introduction Depuis quelques années, nous avons pu remarquer une évolution très rapide de la technologie dans le domaine de la communication mobile. Parmi les multiples générations qui ont inondé le marché, autrefois, les téléphones cellulaires servaient principalement à recevoir et à envoyer des appels. Au fil des années, les téléphones cellulaires ont rapidement évolué pour nous permettre aujourd hui, une utilisation beaucoup plus pratique et globale en matière de communication et de gestion de l information. Prenons par exemple, la caméra numérique, le transport de données de masse et la gestion des courriels, ces nouvelles caractéristiques du téléphone intelligent, nous permettent aujourd hui d être constamment en ligne, prêts à accomplir des tâches impossibles à réaliser avec les téléphones cellulaires d autrefois. Donc, à partir du creux de notre main, n importe où et n importe quand, nous pouvons être opérationnels en matière de gestion administrative. Même si les premières séries de téléphones intelligents ont vu le jour sur le marché depuis quelques années, ce n est que depuis peu que nous assistons à une véritable explosion de la demande sur le marché des TI mobiles. Dans les entreprises modernes, l utilisation des technologies de l information est un facteur très important lorsqu il est question de favoriser le degré d efficacité et de performance. Considérant que les téléphones intelligents présentement sur le marché sont d un point de vue technologique, davantage comparables à des micro-ordinateurs qu à un simple téléphone cellulaire. Ces nouvelles possibilités sont pour plusieurs, une possibilité incroyable d optimiser la disponibilité de l information essentielle à l accomplissement des multiples fonctions et des tâches à réaliser. De plus en plus rapidement, la demande de ces appareils ne cesse de croître, ce qui renforce le besoin pressant de s ajuster d un point de vue technique. Par contre, l utilisation de ce matériel peut soulever plusieurs questions en matière de sécurité de l information, il faut donc que son utilisation soit encadrée par des politiques de sécurité qui soit à la hauteur des 4 P a g e

5 INTRODUCTION risques encourus. Il est donc fondamental de bien saisir l idée que si son utilisation n est pas supportée et sécurisée de manière adéquate, il devient très risqué de s en servir sans s exposer aux conséquences majeures quelle peut apporter. En ce sens, il y a par exemple le vol d information partielle ou totale contenue sur l appareil, l espionnage en temps réel et plein d autres. Donc, si les mesures visant à renforcer la sécurité ne sont pas adéquates, ces nouveaux téléphones mobiles peuvent représenter une porte d entrée qui, si piratée, peut avoir d énormes répercussions négatives dans le processus d affaires des entreprises modernes. Ne pouvant nier le fait que l impact qu ont les téléphones intelligents sur les normes et les mesures de sécurité de l information à prendre pour les utiliser de façon sécuritaire est bien présent, nous allons dans un premier temps, définir l'utilité des téléphones intelligents en entreprise, pour ensuite, analyser leur impact sur sa sécurité. Après, nous traiterons des risques technologiques associés à l utilisation de ces téléphones intelligents, des mesures de sécurité à mettre en place selon la norme ISO 27002, des politiques de sécurité sur l utilisation des téléphones intelligents en entreprise, des solutions technologiques à mettre en place selon les recommandations et ses risques résiduels après l application des mesures de sécurité. 5 P a g e

6 L UTILITÉ DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE L'utilité des téléphones intelligents en entreprise Avec l arrivée des téléphones intelligents, les entreprises ne peuvent ignorer les nombreuses possibilités qu apportent ces téléphones dans l accomplissement des fonctions reliées à un poste. Permettant à l organisation moderne d être plus compétitive par rapport aux autres, aujourd hui il devient difficile de s en passer, et cela, pour de multiples raisons. Utilité Le travail à distance, le besoin d avoir un accès constant à l information actuelle, la mondialisation, etc., tous ces facteurs viennent justifier le besoin grandissant des téléphones intelligents. Une personne qui travaille régulièrement sur la route peut à présent recevoir en tout temps, de l information actuelle, nécessaire à l accomplissement des fonctions de l employé. Cette technologie permet de maintenir un accès facile à des données essentielles, par exemple les propositions de contrats, la bourse, les horaires de la semaine, les contacts d affaires, les nouvelles. De plus, ce type de téléphone mobile permet, d un seul contrôle de la main, de suivre les informations concernant le statut des projets et des listes de tâches, par exemple. Et que dire de la possibilité de synchroniser son téléphone intelligent avec son ordinateur du bureau? Cela veut dire qu il est maintenant possible d entreposer, d afficher et de travailler ses documents professionnels directement reliés à votre ordinateur de poche. Pour rendre l information disponible à tout moment, la popularité des applications soutenues par les téléphones intelligents sont des outils de taille pour la réalisation des tâches d affaires. Productivité Avec l arrivée des téléphones intelligents, les nouvelles possibilités en matière de gestion sont augmentées. Cette technologie offre une possibilité de gestion telle que la capacité de soutenir des collègues de travail ou des clients avec des programmes accessibles par un simple navigateur. En plus des extensions telles que Word, Excel, PDF, le navigateur 6 P a g e

7 L UTILITÉ DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE offre la possibilité de faire des recherches, peu importe où la personne se trouve. La communication est pour l entreprise moderne, sa principale fondation, et le téléphone intelligent a pour première utilité, la communication. Donc, il est très intéressant d avoir en sa possession les meilleurs outils de communication disponibles sur le marché. Le fait de pouvoir travailler et d accomplir certaines des fonctions reliées à un poste de travail, fait du téléphone intelligent, un outil précieux pour l entreprise. 7 P a g e

8 ANALYSE DE RISQUES SUR L UTILISATION DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE Analyse de risques sur l utilisation des téléphones intelligents en entreprise L utilisation des téléphones intelligents en entreprise amène de nouveaux risques associés à des technologies encore émergentes, parfois encore immatures ou mal adaptées à l entreprise. Ces téléphones sont cependant déjà très utilisés dans les entreprises, il est donc essentiel de bien connaître les risques associés à ceux-ci afin de les comprendre, les contrôler et avoir une vision claire des solutions et mesures de sécurité à mettre en place afin d en diminuer les risques d utilisation pour l entreprise lorsqu il est possible de le faire. Pour bien comprendre et identifier les risques, il est intéressant de comparer le téléphone intelligent à un ordinateur portable. Les deux appareils font face à des risques semblables au niveau de la confidentialité de l information, les faiblesses du système d exploitation et ses applications ainsi que les accès non autorisés. Cependant, l appareil cellulaire serait plus à risque au niveau des attaques réseau, de la perte ou le vol de l appareil ainsi qu à l espionnage à distance. La confidentialité de l information Le niveau de sensibilité de l information présente sur un téléphone intelligent est très semblable à celle sur un ordinateur de travail portable. Une des principales fonctionnalités du téléphone intelligent est la gestion des courriels. Dans la majorité des cas, ces courriels se retrouvent directement, en totalité ou en partie, sur l appareil. Il va sans dire que l information présente dans les courriels peut avoir un caractère hautement confidentiel pour l entreprise et ne doit pas tomber entre de mauvaises mains. L utilisateur du téléphone en question peut aussi stocker plusieurs gigaoctets d information sur ce téléphone où peuvent se côtoyer données personnelles et professionnelles. Pour un espion averti, il est souvent chose facile d obtenir l ensemble des données de l appareil, si ce dernier a l appareil entre les mains, en contournant les quelques mesures de sécurité de base incluses avec l appareil. Selon Jonathan Zdziarski, c est le cas, pour le iphone 3Gs de dernière génération. Mr Zdziarski a démontré cette 8 P a g e

9 ANALYSE DE RISQUES SUR L UTILISATION DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE faille de sécurité en juillet L exploit a été rapporté par plusieurs quotidien numérique, notamment Wired.com, dans l article «Hacker Says iphone 3GS Encryption is useless for businesses», publié le 23 juillet 2009, par Brian X. Chen.. Ceci représente donc un risque et une menace considérable concernant l utilisation du téléphone intelligent en entreprise. Les faiblesses du système d exploitation et ses applications Les téléphones intelligents ont tous leur système d exploitation. Tout comme un ordinateur, le système d exploitation est le logiciel central gérant le téléphone, la mémoire, le processeur et toutes les autres applications. Ce ne sont pas tous les systèmes d exploitation qui sont développés avec un souci de sécurité en tête. Dans le cas des appareils cellulaires, ce sont souvent les fonctionnalités de l'entreprise ou même de divertissements qui priment devant la sécurité de l appareil. C est pourquoi il y a un risque relativement élevé de failles et d exploits de sécurité sur ces systèmes d exploitation. Par exemple, ces systèmes sont vulnérables aux virus, aux vers, aux logiciels espions, etc. Ce fut le cas pour le Black Berry en janvier 2009, la compagnie Reseach In Motion, propriétaire de la marque Black Berry, a déclaré une faille concernant l utilisation des PDF 1. Elle a cependant publié un rapide correctif, suivi d une mise à jour du système quelques jours après l annonce. Aucun système d exploitation n est à l abri de ce genre de problème et les différents fournisseurs se démarquent entre autre dans la rapidité à mettre à jour leur système devant ce genre de faille. Si le système d exploitation peut présenter certains risques de sécurité, il en est de même pour les applications interagissant avec les données sur le téléphone et le système d exploitation. Même que dans certains cas, ils ne sont pas développés par le distributeur officiel de l appareil et ainsi, augmente le risque de présenter des faiblesses de développement et facilite l intégration volontaire de logiciels malicieux dans le 1 Auteur non spécifié. «RIM fixes serious BlackBerry PDF handling flaws». Search Security [En ligne]. (Page consulté le 3 avril 2010) 9 P a g e

10 ANALYSE DE RISQUES SUR L UTILISATION DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE programme, distribué ensuite au grand public. C est le cas pour le iphone et le Apple store, permettant à tous de développer et de vendre son propre programme à tous les utilisateurs de téléphone. Une simple recherche dans Internet montre qu il existe d ailleurs plusieurs livres afin d aider les programmeurs à développer des applications sur le IPhone. Si ceci semble vendeur du point de vue de l utilisateur, ceci est certainement un risque de plus d un point de vue de sécurité. Les attaques réseaux Les téléphones intelligents présentent de plus en plus de connectivité avec de plus en plus de réseaux. Il n est pas rare de voir un appareil offrir la compatibilité avec les réseaux wifi, le Bluetooth, et bien sûr, le réseau cellulaire et ses différents modes de transmission. Ceci est un des points importants séparant les ordinateurs portables des téléphones intelligents et augmentant le risque d utilisation de ce dernier. Évidemment, d un point de vue de sécurité, plus il y a de types de connectivités avec différents réseaux, plus le risque de vulnérabilités et d attaques est grand. Chacune de ces technologies présente leurs propres faiblesses de sécurité et fait de ces cellulaires des cibles de choix pour les attaques via le réseau. Le wifi ainsi que le Bluetooth sont des technologies développées avec la facilité d utilisation en tête plutôt que la sécurité. Pour s en convaincre, il suffit de penser aux premières versions de ces protocoles où le niveau de sécurité était très faible. Encore aujourd hui les protocoles utilisés présentent des faiblesses de conception utilisable par de potentiels attaquants, surtout si ceux-ci sont dans l environnement immédiat de l utilisateur de l appareil. De plus, le réseau cellulaire possède lui aussi ses failles de sécurité. Par exemple, il y a peu de temps, une vulnérabilité est apparue au sujet des messages SMS. Un attaquant pouvait prendre le contrôle d un téléphone à distance simplement par la communication de message SMS 2. Heureusement, des efforts de 2 Foresman, Chris. «iphone/gsm phones vulnerable to SMS hacks, patch coming soon». Ars Technica,[En ligne]. (Page consulté le 3 mars 2010). 10 P a g e

11 ANALYSE DE RISQUES SUR L UTILISATION DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE sécurisations sont présentement en cours par différents fournisseurs tentant de moderniser les infrastructures et d améliorer cet aspect. Cependant, l utilisation d un réseau wifi, d un lien Bluetooth ou d une connexion cellulaire impliquant un transfert de données non chiffré pourrait être interceptée par une personne malveillante. Cette personne pourrait, sans trop d effort, obtenir des informations confidentielles au sujet de l entreprise ou encore, pour procéder à une attaque de social engineering contre l entreprise en but d obtenir des informations confidentielles. De plus, les téléphones intelligents sont la nouvelle porte d entrée sur le réseau de l organisation. Ceux-ci doivent souvent se connecter directement sur un serveur de l entreprise, entre autres, le serveur de courriels. Il est donc très possible qu un éventuel vers ou un virus soit transféré à partir d un cellulaire infecté, pour ensuite, se déployer sur le réseau en entier. Les accès non autorisés Les téléphones intelligents offrent, en majorité, certains contrôles d accès afin de prévenir les accès physiques non autorisés à l appareil. Cependant, très peu sont efficaces et ils sont souvent faciles à contourner. Les mots de passe ou passcode définis par l utilisateur sont rarement conformes avec les politiques de l entreprise, et sont souvent devinables après quelques essais 3. Lorsque ce n est pas le cas, il est souvent simple de trouver un processus étape par étape ou un logiciel permettant de contourner cette première couche de sécurité. Notamment sur le iphone où ceci n est qu une simple formalité, tel que démontré par Zdziarski. Parfois, c est même la compagnie du cellulaire qui a choisi elle-même de permettre le contournement de sécurité afin de pouvoir régler 3 Jansen, Wayne et Scarfone, Karent. «Guidelines on Cell Phone and PDA Security» NIST : National Institue of Standards and Technology, U.S. Departement of Commerce, Special Publication , Page 3-3, [PDF], (document consulté le 26 février 2010). 11 P a g e

12 ANALYSE DE RISQUES SUR L UTILISATION DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE certains problèmes à leur façon 4. Une fois le mot de passe contourné ou retiré, même si l appareil est chiffré, l accès est automatiquement autorisé, puisque l accès à la clé de déchiffrement à été confirmé par l appareil. Évidemment, ceci est un risque important puisqu il indique que toute personne malveillante pourrait obtenir la totalité de l information d un téléphone, malgré l utilisation d un mot de passe et même, du chiffrement de l appareil. La perte ou le vol Il a été prouvé statistiquement que la perte ou le vol d un appareil cellulaire est chose très fréquente. Le Gartner Group estime qu en 2001, téléphones ont été perdus ou volés dans les aéroports et seulement 30 % ont été retrouvés par leur propriétaire 4. Ces chiffres sont beaucoup moins élevés pour ce qui en est des ordinateurs portables. Ceci constitue donc un facteur de risque supplémentaire pour l entreprise, considérant qu une personne mal intentionnée ayant l appareil en mains peut, comme mentionné ci-haut, facilement contourner les premières couches de sécurité pour ensuite, obtenir l accès à l ensemble des données sur l appareil. Dans certains cas, même si la mémoire du téléphone a été effacée pour la revente, il est possible de retrouver les données originales sur le téléphone avec certains logiciels spécialisés. Par exemple, ce genre d outil est aisément disponible sur Internet pour le populaire iphone à partir d une simple recherche pour les mots «iphone Data Recovery». L espionnage à distance Lorsqu un espion a la possibilité d obtenir un accès physique à un téléphone, il est possible qu il utilise la technique de clonage du cellulaire afin de simuler le téléphone à espionner et y incorporer une pièce permettant l écoute des conversations et suivre les déplacements de l utilisateur. Ceci pourrait être l équivalent de l utilisation d un 4 Jansen, Wayne et Scarfone, Karent. «Guidelines on Cell Phone and PDA Security» NIST : National Institue of Standards and Technology, U.S. Departement of Commerce, Special Publication , Page 3-3, [PDF], (document consulté le 26 février 2010). 12 P a g e

13 ANALYSE DE RISQUES SUR L UTILISATION DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE enregistreur de frappe, du terme anglais keylogger, sur un ordinateur. Cependant, avec le temps, ce genre de techniques s est amélioré et permet à un espion, en installant un logiciel à distance sur un appareil, d avoir accès aux conversations en temps réel, en plus des déplacements physiques de l utilisateur. Ce genre de logiciels est très accessible sur Internet et fonctionne avec plusieurs modèles de téléphones. Pour une entreprise, il n est sans doute pas acceptable qu un espion puisse écouter les conversations à distances autant pour la sécurité des données de l entreprise que pour la sécurité de l employé. Ceci doit donc être considéré comme étant un risque très important au niveau de l utilisation d un appareil cellulaire. Comme indiqué dans cette analyse de risques entourant l utilisation des téléphones intelligents en entreprise, il existe plusieurs risques à utiliser ces appareils et l entreprise se doit de comprendre et gérer ces risques afin de veiller au bon fonctionnement de celleci et éviter les fuites d informations ou les intrusions non désirées de pirates, d espions, de virus ou de vers. L entreprise se doit donc de mettre certaines mesures de sécurité en place afin de contrôler et mitiger les risques énoncés ci-haut. Les mesures seront donc considérées selon la norme ISO Après quoi, il sera question de la politique de sécurité sur l utilisation des téléphones intelligents en entreprise. 13 P a g e

14 MESURES DE SÉCURITÉ Les mesures de sécurité technique Les entreprises utilisant les téléphones intelligents dans le cadre du travail se doivent de penser à ces téléphones comme l extension d un système informatique accessible à l employé, tout comme l ordinateur portable l a été il y a quelques années. Ce sont maintenant ces téléphones qui doivent être intégrés dans le parc informatique de l entreprise afin d être comptabilisés et sécurisés en conséquence. Le cadre d utilisation et la considération de ces appareils se doivent donc de faire partie des politiques de sécurité de l entreprise et chaque employé et utilisateur se doit de la comprendre et de s y conformer. Pour s assurer d un maximum de sécurité, il est fortement avantageux de prévoir le déploiement d une flotte de téléphone uniforme avant toute autre utilisation. Si les téléphones sont déjà en place, il sera plus difficile de reprendre un certain contrôle sur ceux-ci. L uniformité a surtout l avantage de ne pas multiplier les efforts de sécurité inutilement, mais aussi de se concentrer sur un ou deux modèles de téléphones et de cerner ces téléphones du point de vue de leurs risques pour ensuite appliquer les correctifs nécessaires. De plus, dans plusieurs cas, il est possible de gérer et imposer certains profils sur les téléphones. Ceux-ci seront très utiles lors de la mise en place des mesures de sécurité. La confidentialité de l information Idéalement, le modèle de téléphone choisi devra offrir la possibilité de chiffrer la mémoire. Dans le meilleur des cas, choisir un chiffrement physique plutôt que logiciel, puisque celui-ci offre un maximum de protection (stockage plus sécuritaire de la clé) et d efficacité (composant dédié). Ensuite, il est important d avoir la flexibilité de supprimer rapidement les données du téléphone à distance. En cas de perte ou de vol, c est l une des meilleures protections afin de conserver la confidentialité de l information. Cependant, cette action doit être exécutée rapidement afin de ne pas laisser le temps à une personne mal intentionnée de profiter de l accès physique au téléphone. 14 P a g e

15 MESURES DE SÉCURITÉ Ceci jumelé au chiffrement de données, compliquera sérieusement toutes tentatives de récupération d information, à moins d avoir la clé originale de chiffrement. L accès courriels Ensuite, au niveau de l accès courriel, il est fortement plus sécuritaire de ne pas synchroniser ses courriels du serveur sur le téléphone et plutôt d accéder au portail web de courriels de l entreprise, lorsque disponible. Cet accès ne laisse que peu de traces et est normalement sécurisé sous HTTPS. Autrement, si les courriels doivent être synchronisés sur l appareil, choisir de télécharger seulement les entêtes, et le reste du courriel seulement s il est consulté par l utilisateur, plutôt que de tout synchroniser le contenu par défaut. Ainsi, en cas de perte ou de vol, l information présente sur le téléphone sera considérablement réduite. La gestion de l information Il est possible, avec certains logiciels, d empêcher les utilisateurs de téléphones de brancher ceux-ci à l ordinateur de bureau afin d empêcher la synchronisation de données. Ceci est une mesure de sécurité efficace, mais peu flexible. La classification de l information et la formation des utilisateurs sont de meilleures réponses à ce risque. Ainsi, avec l étiquetage du niveau de confidentialité et la compréhension, par la formation, des meilleurs pratiques de sécurité, l utilisateur du téléphone évitera d y déposer des informations confidentielles ou le fera en connaissance des conséquences et devra prendre la responsabilité de son acte. L amalgame de ces mesures aidera sans aucun doute à mieux gérer le risque de possibles fuites d information provenant des téléphones. Les faiblesses du système d exploitation et ses applications Lorsqu il est possible de sélectionner les téléphones faisant partie du parc informatique de l entreprise, il est aussi possible d en choisir le système d exploitation. C est dans ce contexte que la gestion des profils et du déploiement de ceux-ci sur les appareils prend tout son sens. Il est alors possible d imposer les mises à jour de l appareil et certaines 15 P a g e

16 MESURES DE SÉCURITÉ applications ou, à l opposé, de prohiber l installation de certaines applications. Ceci permet plus de flexibilité afin de mieux gérer le parc de téléphone dans l entreprise, mais aussi d imposer certaines mesures de sécurité sur ces appareils. Encore une fois, ceci permet de s assurer d une certaine uniformité des appareils, ce qui en facilite grandement la gestion et la sécurisation. Par exemple, un utilisateur demandant l utilisation d une nouvelle application devra en faire la demande et cette application pourra être analysée par l équipe de sécurité avant de la mettre en place. Ainsi, il est possible de s assurer d une certaine stabilité des systèmes d exploitation et applications sur l appareil. Les attaques réseaux Les multiples connectivités étant un risque important pour l utilisation des téléphones intelligents, il est possible, avec la gestion des profils, de permettre l accès seulement sur des réseaux connus et sécurisés. Par exemple, l utilisation du wifi pourrait être possible seulement avec le réseau de l entreprise selon des paramètres de connexion choisis (Ex :802.11g WPA2). La connexion Bluetooth aurait avantage à être simplement désactivé, excepté pour la synchronisation de casques d écoute à mains libres, pour la sécurité au volant. Autrement, les autres fonctionnalités du Bluetooth amènent un bon lot de risques et très peu d avantages. En le désactivant, à l exception d une fonctionnalité, le spectre de menaces s en trouve davantage diminué. Les accès non autorisés Tout comme sur un ordinateur portable se connectant au réseau, il est essentiel que les téléphones aient des mots de passe respectant la politique de mot de passe de l entreprise. La gestion des profils permet le renforcement de cette mesure afin de se protéger contre l attaque en force brute ou, tout simplement contre l utilisation d'un mot de passe faible par l utilisateur. Ceci ne couvre pas tous les risques associés aux accès non autorisés, mais permet sans doute d en décourager certains. Ensuite, s il est possible de choisir l appareil à utiliser pour la majorité des utilisateurs, il est alors possible de capitaliser sur le modèle le moins sensible à ce genre d attaques. 16 P a g e

17 MESURES DE SÉCURITÉ La perte ou le vol Il est difficile de se prémunir de la perte ou du vol, puisque ce sont souvent des événements hors du contrôle de l utilisateur. Cependant, il n y a aucun doute que de la formation sur les meilleures pratiques de sécurité entourant l utilisation d un téléphone intelligent pourrait renforcer l attention de l utilisateur afin d éviter la perte, et même parfois le vol. À titre d'exemple, éviter de déposer le téléphone sur la table et ne pas le quitter du regard, même pour une minute. Ensuite, il est aussi possible d utiliser des services de géolocalisation afin de retrouver le téléphone. Cependant, il est plus efficace si la mesure d effacement rapide ainsi que de chiffrement de l appareil sont en place. Ainsi, le risque est diminué de beaucoup et la perte se chiffre aux alentours du coût de l acquisition d un autre appareil. L espionnage à distance Le fait d avoir un bon contrôle sur son parc de téléphones cellulaires aide à se protéger contre l espionnage à distance. Il ne sera pas facile, voire impossible pour un pirate, d installer un logiciel à distance si un système d autorisation par profil contrôle les installations d applications. Aussi, il faut s assurer de maintenir le système d exploitation et d'application à jour afin que l espion ne puisse utiliser une faille de sécurité reliée à ceux-ci et tenter d y installer un logiciel espion. Cependant, il est plus difficile pour l entreprise de se protéger contre le clonage d appareil, lorsque l espion à un accès physique au téléphone. Dans le cas d un clonage de mauvaise qualité ou quelque peu apparent, il est possible que le subterfuge soit détecté par les responsables des téléphones d entreprises, ceux-ci ayant une certaine expertise sur le sujet, si une certaine uniformité de la flotte est conservée. Le parc hétérogène Évidemment, tout ne peut être parfait en entreprise, et si le cas de démarrer avec de tout nouveaux cellulaires est un cas idéal, alors, dans la réalité, il est souvent question d un parc plutôt hétérogène. Ainsi, il est fortement conseillé de faire l inventaire du parc, afin d identifier les modèles les plus populaires. Ensuite, l entreprise pourrait décider de 17 P a g e

18 MESURES DE SÉCURITÉ supporter seulement certains types de téléphones, plus sécuritaires que les autres, et d y gérer certains profils génériques. Éventuellement, il sera possible pour l entreprise d exclure les modèles moins sécuritaires et d en privilégier un ou deux, avec des profils plus sécuritaires, flexibles ou restrictifs, au besoin. Les téléphones piratés Évidemment, les téléphones piratés, souvent appelés jailbreaké en anglais, ne devraient pas avoir leur place sur le réseau de l entreprise et jamais ceux-ci ne devraient avoir la possibilité de se synchroniser avec les serveurs de l entreprise. Ces derniers étant une source potentielle de failles de sécurité extrêmement importante. 18 P a g e

19 MESURES DE SÉCURITÉ Mesure de sécurité à mettre en place selon la norme ISO Les articles de la norme ISO peuvent aussi s appliquer et faire partie d un plan de sécurité de l information pour l utilisation de téléphones intelligents dans un contexte d affaires. Cette présente section du document proposera les mesures de sécurité spécifiques aux téléphones mobiles et à son utilisation à appliquer afin de limiter au maximum les risques au niveau de la sécurité dans un contexte d affaires. Article 6 - Organisation de la sécurité de l information Mesure Engagement de la direction vis-à-vis de la sécurité de l information Mesure Attribution des responsabilités en matière de sécurité de l information Mesure Engagements de confidentialité Mesure Relations avec les autorités Mesure Relations avec des groupes de spécialistes Mesure Identification des risques provenant des tiers Mesure La sécurité dans les accords conclus avec des tiers Explication de l impact de l article: Cet article fait office de pilier de la sécurité dans l organisation. Ces mesures aident à établir les bases de la gestion de la sécurité dans l organisation. Ces mesures régissent aussi les relations que doit avoir l entreprise avec les entreprises tierces. Étant donné l échange massif d information et de services avec plusieurs autres entreprises, il est nécessaire d établir des marches à suivre à ce niveau. 19 P a g e

20 MESURES DE SÉCURITÉ Article 7 - Gestion des biens Mesure Propriété des biens Mesure Utilisation correcte des biens Mesure Marquage et manipulation de l information Explication de l impact de l article: Cet article régit la propriété des biens et établit certains standards quant à l utilisation des téléphones. Il est important de déterminer clairement les droits et les obligations de chaque partie en lien avec les biens physique et intellectuels à sa disposition. Article 8 - Sécurité liée aux ressources humaines Mesure Rôles et responsabilités Mesure Responsabilités de la direction Mesure Sensibilisation, qualification et formations en matière de sécurité de l information Mesure Responsabilités en fin de contrat Mesure Restitution des biens Explication de l impact de l article: Cet article se concentre sur les mesures à mettre en place vis-à-vis les ressources humaines de l entreprise. De leur embauche à leur départ de l organisation, les employés doivent avoir la documentation et la formation adéquates afin d'utiliser, conformément aux politiques internes, leur téléphone mobile. Article 10 Gestion de l exploitation et des télécommunications Mesure Procédures d exploitation documentées Mesure Gestion des modifications Mesure Surveillance et réexamen des services tiers Mesure Mesures contre les codes malveillants Mesure Mesures contre le code mobile Mesure Sauvegarde des informations 20 P a g e