Flux RSS
Smartphones en entreprise : quelques règles de sécurité à respecter
Les équipes Internet Security Systems (ISS) d'IBM éditent une liste de conseils sur l'utilisation des smartphones en entreprise.
De nos jours, les besoins en termes de connectivité en environnement professionnel sont constants. Les nouveaux smartphones professionnels tels que l'iPhone d'Apple ou encore le RIM de Blackberry offrent de puissantes fonctionnalités permettant aux professionnels nomades de rester connectés à leurs emails, calendriers, intranet et autres outils du quotidien. Toutefois, si ces terminaux ne sont pas déployés et gérés correctement, ils peuvent présenter des risques significatifs en matière de sécurité. Les Smartphones permettent d'accéder à une quantité phénoménale d'informations sensibles liées aux entreprises, telles que les contacts clients, les données financières, l'intranet et les réseaux. Si une de ces informations venait à tomber entre de mauvaises mains, que ce soit via un logiciel malveillant ou parce qu'un terminal est perdu ou volé, cela pourrait avoir un effet dévastateur sur l'entreprise.
Dans cette optique, ISS présente cinq conseils de sécurité que les administrateurs doivent garder à l'esprit lorsqu'ils introduisent ces technologies dans leur entreprise :
1. Mettre en place une politique de mots de passe renforcée
Si un smartphone est perdu ou volé, un mot de passe peut faire la différence entre la perte d'un appareil à 300 € et la perte d'informations sensibles dont la valeur est beaucoup plus élevée pour une entreprise. Les smartphones professionnels doivent être configurés de manière à ce que l'écran se verrouille après une courte période d'inactivité. Les mots de passe doivent être complexes et doivent être changés régulièrement.
2. Protéger l'accès VPN des smartphones
Les pirates peuvent exploiter les vulnérabilités des smartphones, les infecter à l'aide de logiciels malveillants, pour ensuite passer par les connections VPN et accéder aux ressources sensibles de l'intranet de la société. Les serveurs dédiés aux smartphones et les sorties VPN doivent être placés sur un réseau équipé d'un pare-feu et séparé du reste de l'intranet. Les connexions venant des téléphones doivent être régulées par des systèmes de prévention des intrusions. L'accès VPN des smartphones doit être restreint aux serveurs réellement nécessaires aux utilisateurs de portables.
3. Etablir des procédures à suivre en cas de perte ou de vol
En cas de perte ou de vol, les données sensibles dans les smartphones peuvent être partiellement nettoyées par le serveur de l'entreprise. Il est recommandé d'établir un point de contact pour les employés ayant perdu leur téléphone, de façon à ce que les données soient effacées au plus vite et qu'un téléphone de remplacement soit envoyé.
4. Contrôler l'installation des applications tierces
Les utilisateurs de smartphones peu méfiants peuvent se laisser distraire et télécharger sur leur smartphone un jeu vidéo ou une nouvelle application, qui s'avère ensuite porteur d'un logiciel malveillant. Les entreprises doivent penser à mettre en place des restrictions concernant l'installation d'applications tierces, en particulier si elles ne comportent pas de signature numérique.
5. Evaluer les solutions anti-virus pour smartphones
Heureusement, il y a peu de menaces de logiciels malveillants sur les smartphones aujourd'hui, bien qu'il existe déjà des solutions anti-virus dédiées. La popularité de ces téléphones grandissant, les logiciels malveillants les prendront de plus en plus pour cible. Il serait bon que les entreprises commencent dès maintenant à exercer un certain contrôle sur cette situation pour déterminer à quel moment les smartphones seront inclus dans le déploiement de leur logiciel de sécurité.
Les commentaires
Des conseils frappés au coin du bon sens... et pourtant si peu appliqués en entreprise. Et pour quelle(s) raison(s) ? Peut-on réellement "ennuyer" les utilisateurs avec un changement répété de mots de passe ou en les empêchant de télécharger les (très nombreux) utilitaires disponibles? Bon courage au DSI qui le tenterait !
Notre réponse chez HeLITIS est la suivante: c'est le serveur qui doit assurer la sécurité PAS le smartphone. Pour cela AUCUNE donnée ne doit y être stockée, ni les données clients ou de l'entreprise, ni les mots de passe. De même les envois de SMS, de Fax ou d'emails NE DOIVENT PAS être effectués par le terminal MAIS par le serveur. Comment? Voir sur http://www.helitis.com/Gestion-des-emails-fax-a-distance-en-mobilite/
Cordialement,
O. PAULHIAC, Directeur marketing
HeLITIS SAS
Par Olivier PAULHIAC le 23/07/2008 à 09:25
Les 10 derniers articles mis en ligne
- ePages 6, le e-commerce pour tous
- « L'informatique hospitalière, nouvel enjeu de santé publique »
- Conférence "Green Business 2008", organisée par IDC avec le soutien de La Tribune Green Business : contraintes, menaces et opportunités. Quelles stratégies ? Quels outils ? Quelles technologies?
- La citation du jour
- Cisco dévoile sa vision de la Next Generation Company
- Séminaire Smile l'open source et l'entreprise performante
- Forum Mondial du Netbook à Paris
- Le cachet de La Poste fait foi aussi pour les échanges électroniques
- Télécoms et Internet
Rapport de mission aux Etats-Unis de l’Arcep - Aujourd’hui l’ADSL, demain la fibre et les réseaux à très haut débit mobile…
le 09/10/2008 à 11:29