Tentative d’élaboration d’une politique de sécurité pour smartphones en entreprise

Android
chiffrement
orbot
root
silent circle
VPN

*Ce texte est au format Wiki*

Dans son guide des règles d’hygiène informatique pour les entreprises, l’ANSSI occulte en partie la question des smartphones, se contentant de parler de terminaux mobiles dans sa règle 18. S’il est un domaine dans lequel la politique de sécurité ne peut être la même que sur des machines, c’est bien celui des terminaux mobiles.  

En effet, il convient déjà de définir les terminaux mobiles : tablettes, smartphones mais pourquoi pas aussi baladeur numérique. Dans l’hypothèse qui va suivre, on va se concentrer sur les smartphones. L’établissement d’une politique de sécurité pour smartphones en entreprise est problématique à trois titres.

Le premier étant que le hardware et le software ne sont pas nécessairement harmonisé dans une entreprise, même lorsque c’est cette dernière qui a fourni le téléphone. Ainsi, certains salariés vont être amenés à utiliser des iPhones et d’autres des BlackBerry.

Par ailleurs, le degré de sensibilité des informations pouvant être contenues dans le smartphone varie non seulement en fonction des entreprises mais également en fonction des missions assignées aux salariés.

Enfin, le niveau de précaution concernant la sécurité sur smartphones est lacunaire par rapport à ce qui existe sur les machines et dépend non seulement du matériel mais également du niveau de maîtrise de l’utilisateur.

A partir de ces postulats, comment améliorer les choses ?

  1. Harmoniser le software et le hardware. Si l’entreprise fournit des téléphones intelligents à ses salariés, que tout le monde reçoive exactement le même. Par exemple, mettre tout le monde sur des HTC fonctionnant sous Android.
  2. Etablir une cartographie des appareils, des utilisateurs et des systèmes.
  3. Créer différents comptes utilisateurs sur le smartphones comme sur les machines. En l’espèce, une application Android permet de le faire. L’idée est que la DSI/RSI crée un compte root et un compte simple-user. Le compte root lui permettra de faire les mises à jour et/ou de télécharger les applications utiles. Le compte simple-user sera réservé au salarié pour son usage professionnel. 
  4. Restreindre logiquement les téléchargements d’application, notamment en créant différents comptes sur le smartphone. L’idée est d’éviter que des données sensibles ne soient dispersées à cause d’un malware.
  5. Installer un anti-virus.
  6. Définir et créer un VPN pour les mobiles, afin que les salariés, lorsqu’ils se connectent à un réseau WiFi, ne laissent pas s’envoler les informations.
  7. Installer OrBot en navigateur sur les smartphones.
  8. Lorsqu’il sera disponible, installer Silent Circle.
  9. Installer un logiciel permettant de géolocaliser le smartphone en cas de vol et le cas échéant de le wiper.
  10. Imposer dans la charte informatique certaines conditions d’utilisation des smartphones fournis par l’entreprise. Par exemple, la restriction de l’appareil à un usage professionnel, la restitution de l’appareil lors du départ du salarié de l’entreprise.
  11. Faire une déclaration CNIL concernant les smartphones.
  12. Surveiller les MAJ logicielles et y recourir dès que cela est nécessaire.
  13. Procéder ou faire procéder à des sauvegardes régulièrement.
  14. Que la DSI/RSI soit formée à la sécuité, en particulier à la sécuité mobile.

On ne pourra jamais totalement sécuriser un système mais plutôt que d'occulter la présence du dit système dans le monde professionnel, on peut essayer de trouver des débuts de solutions.

Encore une fois, ceci est une tentative de politique de sécurité pour smartphones en entreprise, qui non seulement est largement perfectible, tant sur le fond que sur la forme, mais qui reste cantonnée au monde de l’entreprise. N’hésitez pas à ajouter ou à supprimer des points qui vous semblent essentiels.

 

Commentaires

Mais en fait est-ce que tu as une vision réelle de l'entreprise ? Et d'un parc de 40 000 GSM ? Ou tu fais de la masturbation intellectuelle pour le coup ? :s

T'es charmant de bon matin. J'ai bien précisé que c'était une tentative et que si quelqu'un voyait des améliorations à apporter, il pouvait en faire part.

Ensuite, j'aimerai bien savoir où tu as déjà vu des parcs de 40 000 GSM. Je me plaçais plutôt du côté des petites et moyennes structures. Si tu as des idées pour améliorer ce texte, libre à toi.

Si je puis me permettre, utiliser Tor (OrBot) sur un telephone corporate est loin d'etre une idée judicieuse, et j'aurais même tendance à dire que cela augmenterait le risque de fuites de données (sniff sur les noeuds de sortie). Et coupler cela à un VPN serait tout autant inutile, les données seraient routées vers Tor via le VPN, et pourraient tout autant être sujettes à une interception. Selon moi le plus approprié d'utiliser uniquement un VPN (celui de l'entreprise, tant qu'à faire).
Sinon, il existe aussi des solutions de MDM (Mobile Device Management), certaines fournisssant des fonctions de DLP (Data Loss Protection), tout à fait appropriées à la gestion de parcs GSM en entreprise (c'est d'ailleurs fait pour).

Permets-toi, permets-toi :)

Noté pour Orbot, du coup, je vais le flagguer.

Tu as des solutions de MDM à suggérer ? :)

Alors je n'ai pas vraiment exploré le domaine en détails, j'avais repéré MobileIron qui n'avait pas l'air mal. Sinon, Gartner a publié un "magic quadrant" sur le MDM où sont comparées plusieurs solutions.

Ok, je note et je cherche, merci :)

Le problème c'est pas forcement d'avoir un bon MDM (plusieurs solutions existent plus ou moins efficace) mais le fait que 90% des smartphones et tablettes en entreprise ne sont pas corporates mais du BYOD. Et là pour l'instant, y'a pas vraiment de solution.

Ce qui est aussi un problème. J'étais partie du principe que tu entrais dans une société et qu'on te collait un smartphone dans les mains, en surplus de ton téléphone personnel. Peut-être qu'aller vers plus de corporate dans les entreprises d'une certaine taille résoudrait le problème. Par ailleurs, demander à un salarié d'utiliser son matériel personnel à des fins professionnelles, lorsque cela n'est pas explicitement mentionné dans le contrat de travail, peut être illicite :)

En fait, c'est pas demandé donc pas illicite mais lorsque le salarié a du matos perso qu'il trouve cool, il va généralement l'utiliser aussi pour le pro.

Dans les petites structures, tu n'auras par ailleurs jamais de gestion de flotte d'entreprise.

Bonjour,

L'article présenté est intéressant. La problématique concerne aussi bien les TPE, les PME que les grandes entreprises et les administrations.

Le sujet majeur sur les smartphones est que les OS sont très verrouillés et opaques y compris Android.

Ce qui veut dire que même en disposant d'un compte root sur Android et en verrouillant une session "privée" Google aura toujours accès s'il le souhaite aux informations stockées.

Les problématiques sont de deux ordres :
1. Exfiltration de données confidentielles vers le smartphone qui une fois vérolé pourra sortir ces données, les solutions existent sur le marché et globalement sont des solutions de chiffrement / conteneurisation. Le niveau de sécurité dépendra bien souvent du coût des surcouches logicielles posées.
2. Vérolage du terminal et infection du SI interne, la c'est clairement plus chaud aujourd'hui.
Les smartphones sont de plus en plus liés aux fonctions internes du SI : messagerie, agenda, applications métiers, etc.
La plupart des attaques en entreprise viennent actuellement des postes de travail (failles adobe, java, navigateur, os,...) les rapport annuels des éditeurs AV montrent tous une augmentation des attaques sur OS mobiles (en particulier sur Android, dans une moindre mesure sur IOS et Blackberry).
La on n'a pas le choix, il faut assurer le maintien en condition de sécu du terminal avec des solutions de MDM et que les MAJ soient effectuées.

Regardez votre parc et les versions d'OS appliquées, vous comprendrez ou se situe le malaise.

Maintenant mes 2 cents sur les 14 reco proposées :
1: ça va etre compliqué si on autorise le BYOD;
2,3,4,5,6 absolument
8: CHIFFRER LES DONNEES après faut voir les solutions...
9: Wipe du Smartphone, peu importe la géoloc je dirais.
10 : fondamental si on souhaite wiper les données personnelles en cas de vol ;-), mais je pense pas qu'un salarié rale si on wipe ses données qui sont volées....
11: inutile, pas de "traitement" de données perso, c'est google, apple et microsoft qui doivent déclarer

12 oui, c'est la ou le bat blesse actuellement

13, 14 oui.

Mais je rejoins franchement Majinboo, c'est bien de sécuriser les smartphones corporate, mais si n'importe qui peut connecter son terminal au si de l'entreprise on est coincé.

Donc rajouter la règle : verrouiller les ports USB des PC (genre ton IPOD non tu ne le chargeras pas sur ton PC du boulot) et ne connecter que des terminaux pro... mais la c'est le meilleur moyen de se faire pendre, si c'est les utilisateurs ça peut s'envoyer bouler, mais le DG je ne suis pas sur qu'il sera heureux de ne pas pouvoir connecter son superbe IPAD perso ;-)

Cette fameuse 10e proposition me fait sourire...

Je travaille dans la réparation et le déblocage des téléphones mobiles mais aussi du matériel informatique.
Dans ce cadre, j'ai eu à récupérer pour les reconditionner des flottes de téléphones et de pc, parfois dans les poubelles d'une entreprise, parfois vendues aux employés, ou à des "spécialistes" de la récupération en lot...

Et bien certains d'entre vous seraient étonnés du nombre de données récupérables. Les disques durs des pcs sont rarement retirés, et très rarement vidés, comme si le mot de passe de l'os ou du bios pouvaient empêcher quelque-chose :)
Quand c'est vidé, c'est à peine mieux que quand c'est mis à la corbeille.
Et plus lot est important, moins le travail de "vidage" est bien fait.

Sur les gsm, même chose. Pour cela je doit reconnaitre que les Blackberry me semblent les plus efficaces pour sécuriser les données. N'utilisez jamais de portable sous Android, je vous garantis que dans 90% des cas je pourrais récupérer tous vos secrets.

Le plus marrant c'est qu'on pourrait se dire que cela vient d'entreprise non sensibles, sans grands enjeux pour l'économie française, mais c'est loin d'être le cas.

Je n'ai jamais exploité ces données, ça ne m'intéresse pas pour des raisons morales, mais pour être honnête j'ai déjà parcouru de nombreux dossiers dans certaines machines, et voir ainsi ces mails, projets, factures, contrats, compte rendus de réunions et autres documents plus ou moins "monnayables", et bien ça me fait peur.
Je me dis que mes propres données personnelles stockées dans certaines administrations ou entreprises pourraient ainsi se retrouver aussi connement dans la nature !

Bref, au delà de cela, et comme pour tout ce qui concerne la sécurité en entreprise (le parent pauvre des budgets dans tous les domaines) le plus important et le moins cher c'est responsabiliser et éduquer l'utilisateur.

J'entends par là le fait de mettre en place des règles simples comme vues au dessus :
1/ le mot de passe : obligatoire (riez pas, j'en ai eu sans, venant d'entreprises à bénéfice qui dépasse les dix millions d'euros)
2/ Désactiver BT et WIFI quand non utilisé, éviter sauf cas urgent de se connecter à des spots non sécurisés, non connus...
3/ A défaut de bloquer la possibilité, inciter fortement à limiter le téléchargement d'applications non nécessaires.
4/ Quand le matériel quitte définitivement l'entreprise, faire la purge des données de façon systématique et consciencieuse!

Je ne parle pas de technique de sécurisation, je ne m'y connait pas assez. Je constate juste qu'avec mes modestes outils et connaissances je pourrais embêter beaucoup de monde. En matière de téléphonie, à ce jour presque tout est crackable, c'est une question de prix du matériel pour le faire.

Ajouter un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.