A lire sur: http://www.distributique.com//actualites/lmi/lire-assises-de-la-securite-2012-les-editeurs-affutent-leurs-propositions-autour-du-byod-18996.html?utm_source=mail&utm_medium=email&utm_campaign=Newsletter
La mis en garde de Patrick Pailloux
Le phénomène de l'intégration des terminaux mobiles
personnels au sein de l'entreprise était au coeur des discussions des
Assises 2012. Si les RSSI freinent l'arrivée de cette tendance, les
éditeurs affûtent leurs propositions commerciales et anticipent les
prochaines étapes, notamment sur les usages.
La mis en garde de Patrick Pailloux
« Il est autorisé d'interdire » paraphrasait Patrick
Pailloux, directeur général de l'ANSSI (Agence nationale de la sécurité
des systèmes d'information) à propos du phénomène du BYOD, dans son
discours d'ouverture des Assises de la sécurité. Sauf que l'arrivée des
terminaux personnels dans l'entreprise est souvent quelque chose de
subit par les RSSI. « Comment dire non à un VIP de l'entreprise, quand
il vous demande d'avoir sa messagerie ou une application métier sur sa
tablette personnelle ? » avoue un responsable de la sécurité
informatique d'un groupe industriel lors d'un atelier.
La tâche est donc plus politique que technique. « Il y a un réel besoin de sensibilisation et d'éducation des cadres dirigeants sur les risques encourus. Un moyen peut être par exemple de lui faire un test de piratage de son terminal et d'enregistrer une de ses conversations », explique Frederic Zink, directeur marketing Sécurité de Telindus. Il précise que le BYOD peut s'inscrire dans un projet de mobilité de l'entreprise et que parallèlement il doit s'accompagner d'un projet de sécurité.
Les solutions techniques se multiplient
Avec plus d'un tiers des ateliers relatifs à la problématique de mobilité, les fournisseurs de solutions de sécurité savent que la tendance existe et que les responsables informatiques vont avoir besoin de réponses à leur besoin. Comme le rappelle Laurent Heslault, directeur des stratégies sécurité chez Symantec, « il n'existe pas de chief mobile officer dans les entreprises. Qui est-ce qui gère la mobilité dans l'entreprise : l'IT ou les divisions métiers ? ». La priorité des RSSI est d'abord d'avoir un état des lieux des terminaux personnels circulant dans l'entreprise et de gérer cette flotte. Il est nécessaire de renforcer l'authentification réseau et le MDM (Mobile Device Management).
Chaque acteur a sa stratégie en la matière. Cisco mise sur le réseau comme le rappelle Manish Gupta, son vice-président en charge des produits réseaux et de la sécurité des contenus, « le terminal doit être authentifié sur le réseau. Celui-ci doit comprendre des éléments contextuels, comme où, quand, comment, pour ensuite appliquer des politiques de sécurité ». La gestion de flotte vient en complément à travers des partenariats. D'autres acteurs comme Kaspersky travaillent sur leurs propres outils de MDM, qui devrait voir le jour au début 2012, pour proposer un point d'accès unique en plus de la sécurisation du terminal mobile.
Autres solutions demandées par certains responsables informatiques, le chiffrement des données et même de la voix. « Nous avons des personnes nomades qui échangent des données sensibles et qui peuvent être écoutées par certains Etats » nous confie un RSSI d'un groupe de la grande distribution qui recherche des solutions française. Les sociétés se tournent alors vers des offres fournies par Thales avec son smartphone Theoreme ou celui de Bull, le SPhone. Mais dans ce cas-là, on s'éloigne du BYOD pour retrouver une tendance sous-jacente aux Assises « la re-professionnalisation du terminal personnel ».
Une orientation service et une fédération d'identité
Si les solutions de MDM existent, le BYOD apporte une problématique applicative, le « MAM (Mobile Application Management). Pour ce faire, les éditeurs vont proposer d'encapsuler les applications en vérifiant le trafic entrant et sortant. L'objectif est de créer un app center d'entreprise complétement étanche par rapport à l'utilisation personnelle du terminal.
Mais qui dit sécurisation des applications, dit aussi gestion des identités. En effet, comme le rappelle Laurent Heslault, « un salarié peut utiliser jusqu'à une dizaine d'applications dans la journée. Il y a donc une multiplicité d'identification ». Une entreprise peut vouloir aussi gérer à travers les identités les applications autorisées par les collaborateurs. « La question de la granularité du contrôle va se poser très vite pour les responsables informatiques » affirme Vincent Leclerc, Responsable service IT Security consultants de Kaspersky. La réponse à cette problématique se nomme fédération d'identités pour unifier les contrôles d'accès. Il ne s'agit pas de quelque chose de récent, mais avec le développement des applications mobiles, des services cloud, les acteurs ou opérateurs s'intéressent à ce concept.
La tâche est donc plus politique que technique. « Il y a un réel besoin de sensibilisation et d'éducation des cadres dirigeants sur les risques encourus. Un moyen peut être par exemple de lui faire un test de piratage de son terminal et d'enregistrer une de ses conversations », explique Frederic Zink, directeur marketing Sécurité de Telindus. Il précise que le BYOD peut s'inscrire dans un projet de mobilité de l'entreprise et que parallèlement il doit s'accompagner d'un projet de sécurité.
Les solutions techniques se multiplient
Avec plus d'un tiers des ateliers relatifs à la problématique de mobilité, les fournisseurs de solutions de sécurité savent que la tendance existe et que les responsables informatiques vont avoir besoin de réponses à leur besoin. Comme le rappelle Laurent Heslault, directeur des stratégies sécurité chez Symantec, « il n'existe pas de chief mobile officer dans les entreprises. Qui est-ce qui gère la mobilité dans l'entreprise : l'IT ou les divisions métiers ? ». La priorité des RSSI est d'abord d'avoir un état des lieux des terminaux personnels circulant dans l'entreprise et de gérer cette flotte. Il est nécessaire de renforcer l'authentification réseau et le MDM (Mobile Device Management).
Chaque acteur a sa stratégie en la matière. Cisco mise sur le réseau comme le rappelle Manish Gupta, son vice-président en charge des produits réseaux et de la sécurité des contenus, « le terminal doit être authentifié sur le réseau. Celui-ci doit comprendre des éléments contextuels, comme où, quand, comment, pour ensuite appliquer des politiques de sécurité ». La gestion de flotte vient en complément à travers des partenariats. D'autres acteurs comme Kaspersky travaillent sur leurs propres outils de MDM, qui devrait voir le jour au début 2012, pour proposer un point d'accès unique en plus de la sécurisation du terminal mobile.
Autres solutions demandées par certains responsables informatiques, le chiffrement des données et même de la voix. « Nous avons des personnes nomades qui échangent des données sensibles et qui peuvent être écoutées par certains Etats » nous confie un RSSI d'un groupe de la grande distribution qui recherche des solutions française. Les sociétés se tournent alors vers des offres fournies par Thales avec son smartphone Theoreme ou celui de Bull, le SPhone. Mais dans ce cas-là, on s'éloigne du BYOD pour retrouver une tendance sous-jacente aux Assises « la re-professionnalisation du terminal personnel ».
Une orientation service et une fédération d'identité
Si les solutions de MDM existent, le BYOD apporte une problématique applicative, le « MAM (Mobile Application Management). Pour ce faire, les éditeurs vont proposer d'encapsuler les applications en vérifiant le trafic entrant et sortant. L'objectif est de créer un app center d'entreprise complétement étanche par rapport à l'utilisation personnelle du terminal.
Mais qui dit sécurisation des applications, dit aussi gestion des identités. En effet, comme le rappelle Laurent Heslault, « un salarié peut utiliser jusqu'à une dizaine d'applications dans la journée. Il y a donc une multiplicité d'identification ». Une entreprise peut vouloir aussi gérer à travers les identités les applications autorisées par les collaborateurs. « La question de la granularité du contrôle va se poser très vite pour les responsables informatiques » affirme Vincent Leclerc, Responsable service IT Security consultants de Kaspersky. La réponse à cette problématique se nomme fédération d'identités pour unifier les contrôles d'accès. Il ne s'agit pas de quelque chose de récent, mais avec le développement des applications mobiles, des services cloud, les acteurs ou opérateurs s'intéressent à ce concept.
Article de Jacques Cheminat
Aucun commentaire:
Enregistrer un commentaire