L’utilisation d’appareils informatiques personnels en entreprise : un véritable casse-tête pour les professionnels de la sécurité informatique. Surtout si la DSI ne sous-estime les risques.
Une tribune d’Édouard de Fonclare, Directeur Général d’Avaya France
Comme si les virus, les spams, les attaques par déni de service ou la gestion des règles de sécurité ne suffisaient pas à les occuper, les professionnels de la sécurité informatique sont aujourd’hui confrontés à une forte augmentation du nombre de personnes qui travaillent à domicile ou en déplacement. Ces employés d’un genre particulier imposent des mesures de sécurité spécifiques — réseaux privés virtuels (VPN) ou règles de chiffrement —, qui peuvent perturber le bon déroulement des communications en temps réel.
Les terminaux s’incrustent dans le SI
Pour leur part, nombre d’utilisateurs mettent un point d’honneur à s’équiper de smartphones, tablettes graphiques et ordinateurs portables dernier cri pour leur usage personnel, et ne tardent généralement pas à s’en servir à des fins professionnelles.
Le cabinet d’études Forrester (Consumerization Drives Smartphone Proliferation, 2 décembre 2011) indique que 77 % des smartphones utilisés au bureau relèvent d’un choix purement privé, 48 % d’entre eux ayant été achetés sans consultation du support informatique.
Ce n’est pas une nouveauté, la plupart des utilisateurs entament leur journée de travail en migrant vers leur outil privilégié (courrier électronique, sessions de messagerie instantanée et appels sur Internet –VoIP- avec des collègues), avant d’accéder à leurs données professionnelles, de les utiliser et de les enregistrer.
Alors que les directeurs des systèmes informatiques se sont initialement montrés réticents vis-à-vis de cette “consumérisation de l’IT” et de l’utilisation de systèmes personnels dans un but professionnel (BYOD – “Bring Your Own Device”), nombre d’entre eux semblent désormais prêts à suivre la tendance pour des raisons de coûts et de productivité des employés. Ils parviennent même parfois à élargir les règles de sécurité en vigueur à cette nouvelle catégorie de périphériques.
Il est donc important d’assurer la sécurité des périphériques grand public utilisés en entreprise, notamment dans les secteurs de la santé, des services financiers et de la vente au détail par carte bancaire.
En effet, ces secteurs sont soumis à des réglementations officielles très strictes en matière de confidentialité et de sécurité. De plus, les entreprises doivent continuer à protéger les systèmes mobiles de leurs employés contre les fraudes téléphoniques, les attaques téléphoniques via Internet (VoIP), les applications mobiles malveillantes et autres spams téléphoniques (Spam over Internet Telephony — SPIT). Et ce, qu’il s’agisse d’appareils de fonction ou personnels.
Les cas d’attaque, de fraude ou d’insécurité se multiplient
Voici quelques cas survenus au cours des deux dernières années :
En 2010 un réseau de fraude en téléphonie sur Internet (VoIP) a été démantelé en Roumanie. Les escrocs ont eu le temps de provoquer des pertes de 13,5 millions de dollars en vol de services téléphoniques à des entreprises américaines, britanniques, roumaines et sud-africaines.*
En 2011, une grande banque américaine a adopté la technologie “SIP Trunking” qui utilise le protocole de téléphonie sur Internet SIP (Session Initiation Protocol) pour réduire le coût des appels destinés au service d’assistance technique. Moins d’une heure après l’entrée en service du système, la banque a fait l’objet d’une attaque par déni de service VoIP, provoquant l’interruption des communications avec la clientèle au milieu d’une journée chargée.
Plus récemment, des experts en sécurité indépendants ont signalé l’existence d’applications mobiles pour Android et IOS qui violent la confidentialité des utilisateurs et la sécurité des entreprises. En effet, elles enregistrent secrètement des informations de localisation, des données relatives aux utilisateurs et même des séries de caractères saisis au clavier, avant de les renvoyer à des développeurs d’applications pour des motifs encore inconnus.
Compte tenu de la variété et de l’ampleur des problèmes de sécurité et des attaques dont elles sont la cible, un nombre croissant d’entreprises se tourne vers des fabricants spécialisés dans la sécurité UC (Unified Communications – Communications Unifiées). Elles leur demandent de mettre en œuvre des stratégies et des systèmes capables de sécuriser la totalité des points d’accès mobiles. Cette approche permet d’utiliser des terminaux personnels sans remettre en cause le respect des règles de sécurité et de confidentialité.
Quelques bonnes pratiques incontournables
En s’appuyant sur ses propres études et l’expérience acquise auprès d’un grand nombre d’entreprises, Avaya a défini les bonnes pratiques suivantes :
– Sécuriser tous les points d’accès, notamment ceux qui sont utilisés le plus couramment pour les accès à distance (smartphones, tablettes graphiques et ordinateurs portables) ;
– Utiliser des périphériques de sécurité UC spéciaux capables de chiffrer en temps réel et à la volée les connexions aux ressources et de signalisation — sans faire appel aux fastidieux réseaux privés virtuels et tunnels — pour le courrier électronique, la messagerie instantanée (IM) la téléphonie sur Internet (VoIP) et les communications vidéo ;
– Déployer des lignes SIP pour sécuriser le réseau et les communications, les points de démarcation et les fonctions de contrôle ; et des contrôleurs de sessions en périphérie (SBC) pour la mise en œuvre des règles, le contrôle d’accès, le basculement automatique et l’inspection de paquets en profondeur (DPI).
S’agissant du troisième point, le déploiement conjugué de lignes SIP et de contrôleurs SBC d’entreprise peut assurer une sécurité UC complète. Tandis que les lignes SIP protègent les communications VoIP d’entreprise en appliquant un cryptage de type TLS (Transport Layer Security) ou SRTP (Secure Real-time Transport Protocol), les contrôleurs SBC apportent d’autres avantages et mesures de sécurité, parmi lesquels l’application de règles de sécurité spécifiques à l’entreprise. Et une couche assure l’indépendance vis-à-vis des fournisseurs d’accès, la possibilité d’utiliser les points d’accès de plusieurs fournisseurs d’accès SIP et la prise en charge de flux d’appels spécifiques non supportés par certains fournisseurs d’accès.
Fonctionnant en temps réel, les contrôleurs SBC peuvent sécuriser les applications VoIP et UC déployées sur tous types de réseau et connectées à tous types de périphérique. Le tout, sans baisse de performances et en respectant les règles de sécurité des entreprises et les règles de sécurité et de confidentialité officielles.
Transformer le risque en opportunité
Certaines entreprises font preuve de prudence face à l’utilisation croissante de terminaux personnels pour un usage professionnel (tendance BYOD). Par ailleurs, les responsables de la sécurité informatique les plus progressistes profitent de cette opportunité pour évaluer l’importance de la “consumérisation de l’informatique” dans certaines entreprises. Ils protègent de façon proactive ces appareils mobiles et adoptent des stratégies de sécurité et des architectures systèmes avancées qui sécurisent à la fois les smartphones, les tablettes graphiques et les ordinateurs portables, qu’ils soient fournis par l’employeur ou achetés à titre personnel par l’utilisateur.
