Réconcilier mobilité. &sécurité

Transcription

1 Réconcilier mobilité &sécurité 1

2 L e monde ouvert d'aujourd'hui impose une mobilité croissante. Qu'ils soient commerciaux, ingénieurs d'affaires, diplomates, mais aussi dirigeants, financiers, chercheurs, les cadres et collaborateurs sont plus que jamais mobiles. Du fait de la mondialisation, de la nécessité d'être 24x7 au service des clients et du développement de l'entreprise étendue, chacun doit pouvoir travailler et accéder à ses données et à ses applications en tout lieu, à tout moment : au bureau, en clientèle, chez des partenaires, en déplacement ou à domicile. Aujourd hui, la plupart des cadres effectuent déjà plus de 10% de leur travail chez eux et 10% en déplacement, autrement dit plus de 20% de leur activité professionnelle se déroule en dehors des bureaux de leur entreprise. Pour certaines catégories de cadres (commerciaux, ingénieurs services ), c est même près de 80% du temps de travail qui s effectue à l extérieur. Cette tendance ne fait que croître et suscite une attention croissante des Directions des Systèmes d Information (DSI). Selon Gartner, la moitié des entreprises et administrations consacreront ainsi plus de 5% de leur budget informatique à la mobilité d ici à C est une opportunité. C est également un risque : face à la multiplication des outils de mobilité, comment garantir la cohérence des données? Et, alors que les menaces s accroissent chaque année, comment concilier mobilité et sécurité? 2

3 Sommaire Généralisation des médias mobiles : l anarchie 4 Des risques considérables pour les organisations 6 Le coût des failles de sécurité 7 Contraintes légales et normes internationales 7 Le défi : réconcilier mobilité et sécurité 8 Un véritable dilemme : privilégier productivité ou sécurité? 8 Deux générations de solutions pour la sécurité 8 Vers une approche de troisième génération? 9 La solution : globull 10 Un produit tout en un dans 122 g 10 Une combinaison d innovations 11 Bénéfices pour l utilisateur final 12 Bénéfices pour les responsables de la sécurité 13 De nouvelles perspectives 14 3

4 Généralisation des médias mobiles : l anarchie La mobilité est un formidable enjeu de productivité pour les entreprises et les organisations publiques. Elle implique également un changement de paradigme dans la gestion de l'information personnelle, conduisant à la multiplication des moyens et terminaux d'accès mobiles dans un marché en mutation rapide et anarchique. Hors de l entreprise, l utilisateur ne peut plus se contenter d utiliser son poste de travail classique. Il est souvent contraint d utiliser plusieurs types de terminaux selon le contexte du moment : PC portables : à la fois puissants et mobiles, leur succès est tel qu ils dépasseront bientôt en volume les ventes de PC fixes : 45% des PC vendus en 2007 sont des portables. Ils seront 55% en 2012 (source IDC). Du fait de leur poids, les utilisateurs sont néanmoins peu enclins à les transporter systématiquement, surtout lorsqu ils disposent déjà de postes de travail au bureau, sur leur lieu de déplacement, ou à leur domicile. PC tiers : en complément du PC de bureau ou du PC portable, de nombreux utilisateurs n'hésitent pas à utiliser divers PC : PC personnel au domicile, PC en libre service sur un site secondaire, chez un client, dans un hôtel ou dans un cybercafé. Pratiques, ces PC tiers posent néanmoins des problèmes de sécurité, puisque ils ne sont pas contrôlés par l entreprise. PDA communiquants et smartphones (blackberry, iphone...) : mobiles et légers, ils connaissent un engouement considérable. Néanmoins très limités en termes d'ergonomie, (en raison de la taille de l écran et de l absence de clavier), de puissance de traitement, de stockage de données et de sécurité, ils ne sont qu une solution d'appoint. Ultraportables : marché émergent, ils sont considérés par beaucoup comme l'avenir du terminal mobile. Leur mobilité impose un compromis entre leur dimension (petit écran) et leur puissance de traitement (version souvent bridée des systèmes d'exploitation). S'ils peuvent prétendre au statut de futur terminal mobile universel, ils sont néanmoins souvent complétés par des stations plus puissantes sur le lieu de travail et au domicile. Clés USB et disques durs externes : très utiles pour transporter des données ou transférer des informations d un PC à un autre, ils connaissent une croissance très rapide. 4

5 On assiste même à l émergence d une nouvelle classe de produits : les «portable personalities», permettant aux utilisateurs d emporter non seulement leurs données, mais aussi leurs applications, et de les charger à volonté sur tout type de PC. Faciles à égarer ou à voler, les clés USB sont néanmoins le cauchemar des responsables sécurité. Bureaux web (Web OS, bureau mobile, etc.) : solution d'avenir, ils commencent à se développer. Ils sont cependant encore peu matures et dépendent d'une capacité d'accès réseau permanente et à haut débit, rarement disponible en contexte de mobilité. En outre, ils restent dépendants d'un terminal d'accès (PC portable, PC tiers, ultraportable...) et de sa sécurité. Fondées sur des concepts et des approches différentes, toutes ces solutions ne répondent généralement que partiellement aux besoins des utilisateurs, et les conduisent donc à conjuguer plusieurs d'entres elles simultanément. On observe ainsi une révolution copernicienne où la gestion de l'information ne gravite désormais plus autour du PC mais de l'utilisateur luimême, ce dernier utilisant selon le contexte de multiples terminaux d'accès. Ainsi, en 2007, on aura vendu 268 millions de PC (dont 45% de portables) et 1,12 milliard de téléphones mobiles dans le monde, dont déjà 115 millions de smartphones (source IDATE). En 2011, on vendra plus de 400 millions de PC (dont 55% de portables) et plus de 1,5 milliard de téléphones mobiles, dont plus de 70% seront des smartphones en Europe (source Gartner). Toujours selon Gartner, cette évolution atteindra en 2012 un palier important puisque 50% des travailleurs nomades laisseront alors leur ordinateur portable chez eux au profit d autres types d'équipements. Une tendance accrue par le phénomène de «consumérisation» selon lequel, lorsque les salariés nomades ne trouvent pas de solution satisfaisante au sein de leur entreprise, ils ont tendance à utiliser leur propre PC ou ultraportable, leur iphone, leur «portable personality», etc. Voire même à se créer des «systèmes d information personnels» parallèles (Facebook, Netvibes, Google docs ). Les outils high-tech grand public font ainsi une intrusion sur le lieu de travail, entraînant une véritable anarchie des usages et échappant à tout contrôle de l'entreprise. 5

6 Des risques considérables pour les organisations Si ces évolutions, désormais irréversibles, sont essentielles en termes de productivité et d'efficacité, elles ne sont pas sans risque en matière de sécurité. En effet, hors de la sphère sécurisée de l'entreprise, les données et les applications ne sont plus contrôlées, pouvant créer des incidents majeurs tels que : Vol et perte d outils mobiles En outre, selon une étude du fabriquant de clés USB SanDisk, 77% des employés n hésitent pas à copier et à transporter des fichiers sensibles sur des clés USB, pourtant facile à égarer ou à voler. Ceci a des conséquences graves en termes de confidentialité des données : c est ainsi que des secrets de fabrication disparaissent, que des fichiers clients sont détournés, que des négociations confidentielles et des données personnelles sont livrées à tous. Ecoutes et détournements d'information. Même sans qu il y ait vol à proprement parler, l'espionnage de données confidentielles est fréquent en contexte de mobilité : scan des disques durs d'ingénieurs d'affaires en transit à la douane, écoute des échanges réseaux de diplomates ou de représentants commerciaux, mise en place de keyloggers, chevaux de Troie ou rootkits dans les portables de négociateurs, en leur absence, etc. sont une réalité de tous les jours. En France, le coût de l espionnage économique a été évalué par la DST à 1,5 milliards d euros par an. Divulgation des codes et modes d accès au SI de l entreprise. Outre les données, ce sont enfin les communications avec l'entreprise et les codes d'accès distant au système d information qui peuvent être récupérés par un utilisateur non habilité. Au-delà du piratage des informations que contient le portable, l entreprise est ainsi exposée à des risques bien plus stratégiques, tels que l accès à des serveurs sensibles, le piratage de transactions et le sabotage d'applications métiers, au sein même de ses systèmes d'information. s des s mobiles ts-unis u éclaré 6

7 Le coût des failles de sécurité Bien qu indispensable, la mobilité menace ainsi gravement la confidentialité, la disponibilité et l intégrité des données et des systèmes d'information. Ce risque affecte non seulement la productivité des utilisateurs, mais aussi la profitabilité des entreprises et peut même porter atteinte à leur image. On se souvient de l impact médiatique de la perte, par l armée britannique, des données concernant de ses recrues, suite au vol début 2008 du portable d un officier. De multiples scandales de pertes de données sensibles en contexte de mobilité, ayant défrayé la chronique ces dernières années, et ayant touché tour à tour des entreprises aussi diverses que AT&T, Deloitte, Expedia, HP, ING, Merrill Lynch et VeriSign, parmi bien d autres. On estime ainsi que la cybercriminalité, toutes attaques confondues, coûte globalement près de 200 milliards d'euros par an aux organisations. Contraintes légales et normes internationales Désormais pour les raisons de coûts et d image évoquées ci-dessus, l entreprise ne peut plus se permettre d ignorer les normes et réglementations en vigueur concernant la sécurité des systèmes d information. Sinon elle s expose à des sanctions pénales. La Commission nationale de l'informatique et des libertés (CNIL), commission créée par la loi Informatique et Liberté pour veiller à la protection des données, a précisé dans plusieurs délibérations l importance des mesures de sécurité qui devaient être prises préalablement à toute mise en œuvre d application informatique et notamment en ce qui concerne la sécurité des données et archives des entreprises. Christiane Féral-Schuhl, dans son ouvrage «Le droit à l épreuve de l Internet», souligne les responsabilités et sanctions applicables en cas de manquement à cette obligation de sécurité renforcée. Ainsi, au titre de l article 34 de la loi Informatique et Liberté, le responsable du traitement doit mettre en œuvre les mesures techniques et d organisation appropriées pour protéger les données contre la destruction accidentelle ou illicite, la perte accidentelle, l altération, la diffusion ou l accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Sur le terrain pénal, «le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l article 34» expose à des peines de cinq ans d emprisonnement et de euros d amende (Code pénal, art ). L amende peut être multipliée par cinq lorsqu une personne morale est reconnue coupable de l infraction. De même, la responsabilité civile du responsable du traitement peut être engagée sur le fond de l article 1382 du Code civil, dès lors qu un préjudice personnel et direct est occasionné à la personne victime de ces négligences. En effet, le défaut de mesures préventives (gestion des codes d accès ) ouvre la voie à des actions en responsabilité. Il en est de même pour les conséquences de la défaillance du système informatique. A ces réglementations s ajoutent les normes ISO 27000, publiées par l ISO (International Standard Organization) sur la sécurité de l information. L objectif de ces normes est d aider l entreprise à mettre en place un système de gestion efficace de l information fondé sur le principe de l amélioration continue; au moyen notamment d un code de bonnes pratiques pour la gestion de la sécurité de l information, d un guide d implémentation du système de gestion de la sécurité de l information, de la mesure de la gestion de la sécurité de l information et de la gestion du risque en sécurité de l information. 7

8 Le défi : réconcilier mobilité et sécurité Dans ce contexte de développement anarchique de la mobilité et de croissance des risques, il est impératif pour la Direction des Systèmes d Information (DSI) de reprendre le contrôle de la sécurité. Pour cela il leur faut réconcilier les technologies de sécurité et de mobilité, et récupérer la maîtrise des usages des utilisateurs mobiles. Un véritable dilemme : privilégier productivité ou sécurité? Compte tenu des contraintes liées aux technologies existantes, les entreprises étaient jusqu à présent confrontées au dilemme suivant : privilégier la mobilité, en laissant toute liberté à l'utilisateur pour optimiser sa productivité au moyen d ordinateurs portables, clés USB, smartphones, etc. au détriment de la sécurité ; ou privilégier la sécurité au risque de brider la productivité. C'est ce que font des centaines d organisations sensibles, qui mettent en oeuvre des politiques très strictes pour encadrer la mobilité : interdiction d'usage de portables et de clés USB, compartimentation stricte des postes de travail, etc. Deux générations de solutions pour la sécurité Jusqu'à présent, deux générations de solutions s étaient développées pour répondre à cette problématique : 1. Une sécurisation a minima de la mobilité, avec mise en place d'antivirus, firewalls personnels et solutions de contrôle d'accès réseau (NetWork Access Control : NAC) pour les ordinateurs portables. Cette sécurisation est néanmoins insuffisante. Rien n est plus facile en effet que de subtiliser les données d un PC volé ou piraté. Une propose ainsi très officiellement ses services pour casser tout code Windows en moins de quelques jours. 2. Une sécurisation forte des PC portables, avec authentification forte, chiffrement logiciel du disque dur, etc. Cette approche offre un niveau de sécurité plus élevé. Elle est néanmoins également cassable par tout professionnel averti, au moyen de techniques bien connues des spécialistes. En outre, cette approche ne répond pas aux besoins de mobilité de l'information entre divers terminaux, la sécurité étantlimitée à un PC spécifique. 8

9 Ces approches sont souvent complétées par des chartes et des guides de bonnes pratiques en matière de sécurité. Néanmoins, sans outil pour faciliter le respect des politiques de sécurité par les utilisateurs, et sans moyen pour la DSI de contrôler et de maîtriser les usages, comment garantir une véritable sécurité? Vers une approche de troisième génération? Ces éléments soulignent la nécessité de l émergence d une nouvelle génération de solutions, qui permette à la fois une mobilité et une sécurité optimales. Une nouvelle génération qui tienne compte du fait que l utilisateur se connectera inéluctablement depuis divers types de terminaux, qui prenne acte de l ouverture du monde et qui offre ainsi une sécurité intégrée pour chaque utilisateur. Selon Gartner, l'avenir de la mobilité repose entre autres sur deux types d approches, qui ne sont pas incompatibles, à savoir : les produits qui permettent de transporter avec soi et de recréer sa «personnalité portable» sur tout type de terminal, et les bureaux web. Mais, toujours selon Gartner, «La plupart des équipements mobiles n ont aujourd hui qu une approche rudimentaire de la sécurité, ce qui constituera une entrave majeure à leur développement», source de risques considérables pour les organisations, et véritable cauchemar pour les Directions des Systèmes d Information (DSI) et les Responsables de la Sécurité des Systèmes d Information (RSSI). Pour répondre aux besoins des entreprises en matière de protection des données sur des médias mobiles, Bull propose une solution innovante de 3 e génération : globull. 9

10 La solution : globull Avec globull, Bull, architecte d un monde ouvert, introduit une solution de mobilité sécurisée de nouvelle génération qui sécurise, libère et révolutionne la mobilité de l entreprise. Un produit tout en un dans 122 g globull révolutionne la mobilité de l entreprise en offrant une solution tout en un, combinant protection des données, sécurisation des applications et mobilité de l'environnement personnel. globull intègre aussi des technologies avancées, qui révolutionnent l organisation du travail des entreprises et des administrations, en offrant au monde civil un niveau de sécurité Défense. Dans un même boîtier de 122 grammes, doté d une capacité de stockage de 60 Go et d une connexion USB2, globull intègre ainsi l ensemble des éléments suivants : un système d exploitation embarqué, afin d installer la totalité du bureau (données, applications) de tout utilisateur dans son globull, combinant ainsi totale mobilité et parfaite sécurité ; un mécanisme d authentification forte par code hautement sécurisé (Crypto Ignition Key), à saisir sur le clavier intégré du globull ; ce mécanisme, qui permet une initialisation totalement autonome, met globull à l abri des failles de sécurité classique des portables sécurisés, en faisant ainsi la solution mobile la plus sûre au monde; un processeur cryptographique qui assure des performances de 100 Mb/s et supporte de multiples algorithmes de chiffrement, afin de chiffrer et de déchiffrer à la volée l ensemble des données hébergées par globull. En accueillant et en sécurisant l'environnement personnel de l'utilisateur dans un objet de la taille d'un PDA, connectable via le port USB de tout PC, portable, ultraportable, ou PDA, globull permet ainsi aux utilisateurs d'emporter partout avec eux leur environnement de travail, en toute sécurité. Coeur de leur système d'information personnel, globull protège leurs données et leurs applications des écoutes, des intrusions, des virus et des 'malware' d'où qu'ils se connectent. Dans l entreprise, globull peut être facilement déployé en volume, grâce à des stations d administration dédiées, assurant la personnalisation des codes d accès, des droits et des applications. 10

11 Une combinaison d innovations Bull est l un des pionniers dans le domaine de la sécurité informatique, de par sa participation historique à l'élaboration des standards (carte à puce, PKI, chiffrement, DCE/Kerberos, SET, OASIS, Liberty Alliance, sécurité Java et XML etc.) et à de grands programmes européens de sécurité. globull hérite ainsi de tout le savoir-faire de Bull en sécurité et apporte trois grandes innovations : Un environnement logiciel de virtualisation, en option, permettant l installation standardisée de tout système d exploitation Windows ou Linux sur globull. Ainsi, il est possible de protéger et d'emporter son système personnel sur globull et de le démarrer sur toute station de travail. globull est la première solution de type «portable personality» au monde à offrir pleinement cette fonctionnalité sur Windows. Un accès aux données protégé par une authentification forte sur écran tactile (code secret CIK Crypto Ignition Key), délivré par le RSSI (Responsable de la Sécurité des Systèmes d Information) à l utilisateur. L utilisateur bénéficie d une technologie, éprouvée, qui offre un niveau de protection issu de la défense. De plus, il met le système et les données à l'abri des intrus et de tout logiciel espion sur le terminal. Un espace de stockage sécurisé bâti autour d'un processeur cryptographique à 100 Mb/s qui supporte les algorithmes de chiffrement AES 256 bits et RSA Fondé sur une technologie 100% française, développée par Bull, le processeur de sécurité chiffre l'intégralité des données pour garantir leur totale confidentialité. Il permet en outre de sécuriser le terminal et ses applications, au moyen d un coprocesseur de sécurité dédié. 11

12 Bénéfices pour l utilisateur final Chaque utilisateur peut ainsi activer à tout moment tout ou partie des capacités fonctionnelles de son globull, que ce soit dans sa forme la plus basique comme simple média amovible sécurisé ou dans sa forme la plus avancée comme bureau personnel mobile et sécurisé : Média amovible sécurisé. globull permet à l'utilisateur de gérer, transporter et protéger toutes ses données et ses documents sensibles telles que : négociations commerciales, chiffres de ventes, données de R&D, projets marketings, dossiers juridiques, projets diplomatiques, etc., grâce à son processeur de chiffrement haute sécurité et à sa fonction de disque dur sécurisé. Il y accède et les gère via le port USB de son PC ou terminal. Même en cas de perte, leur confidentialité reste toujours assurée. globull permet également de transporter des applications autonomes qui s exécutent sur le média amovible. Solution de sécurisation du poste de travail et des applications. Grâce à l'intégration du processeur cryptographique de globull avec des applications tierces, globull facilite la sécurisation du terminal et des applications : authentification forte pour accès extranet, réseau privé virtuel, voix sur IP chiffrée, signature électronique et accès VPN sécurisés. globull offre ainsi un complément de sécurité parfait à tout PC, portable ou ultraportable. Bureau personnel mobile et sécurisé, via l hébergement des applications et du système d'exploitation - Windows ou Linux - dans une partition protégée du globull. globull offre alors l'outil de mobilité sécurisée par excellence, en permettant à l'utilisateur de toujours garder le coeur de son système d'information personnel avec lui, de le démarrer et de le charger à volonté. Ainsi, chaque utilisateur retrouve son propre environnement personnalisé sur toute station d'accueil : PC de bureau, portable, ultraportable, PC personnel, PC en libre service chez un partenaire, à l'hôtel, etc. Une fois son travail terminé, il ne laisse aucune trace. 12

13 Bénéfices pour les responsables de la sécurité Pour les Responsables de la Sécurité des Systèmes d'information (RSSI) globull permet au RSSI d automatiser les procédures de sécurité, de réduire le nombre de failles de sécurité, et de démocratiser le déploiement d un niveau de sécurité Défense globull est aussi facile à gérer, puisqu il est fourni avec un environnement complet d'administration, de personnalisation et de déploiement de masse, adapté aux plus hautes normes de sécurité. Pour les Directions des Systèmes d Information (DSI) Avec globull, les DSI ont enfin la liberté de développer la mobilité en toute confiance et de l industrialiser. En combinant globull et PC en libre service, ils peuvent même imaginer des approches innovantes de rationalisation de leur parc informatique, leur permettant de réduire les coûts d acquisition, d administration et de support de leurs stations de travail. globull contribue ainsi à l accroissement de la productivité. Pour le Directeur de la Sécurité Avec globull, l'entreprise peut enfin mieux maîtriser les risques, et mieux faire face à ses responsabilités réglementaires en termes de protection des informations (clients, fournisseurs, partenaires, organismes, personnel) en contexte de mobilité. L entreprise peut ainsi s ouvrir à la mobilité en toute confiance. Plus d informations : Vidéo, démonstration, brochures, séminaires, etc. 13

14 De nouvelles perspectives Avec globull, l'entreprise peut enfin assurer le succès de ses projets de mobilité, tout en protégeant son patrimoine d'information. Elle peut mieux se conformer aux réglementations sur la protection des données et se prémunir contre les conséquences financières résultant du piratage ou de la perte d informations. A la frontière de l informatique et des télécoms, la mobilité est l'enjeu majeur des années à venir. Une véritable révolution copernicienne s'esquisse, mettant l'utilisateur mobile au centre du système d'information. Avec la multiplication des terminaux d'accès, ultraportables et bureaux web, de nouvelles perspectives technologiques apparaissent. Avec globull, Bull innove et offre une solution de nouvelle génération pour répondre à cette révolution de la mobilité en toute sécurité. 14

15

16 Architect of an Open World W-globull_vf2 Bull SAS mai RCS Versailles B globull est une marque déposée de Bull SAS. Toutes les marques citées dans ce document sont la propriété de leurs titulaires respectifs. Bull se réserve le droit de modifier ce document à tout moment et sans préavis. Certaines offres ou composants d offres décrits dans ce document peuvent ne pas être disponibles localement. Veuillez prendre contact avec votre correspondant Bull local pour prendre connaissance des offres disponibles dans votre pays. Ce document ne saurait faire l objet d un engagement contractuel. Bull Rue Jean Jaurès Les Clayes sous Bois France