La multiplication des tablettes tactiles ouvre de nouvelles brèches de sécurité. Les utilisateurs peuvent accéder aux applications et données sensibles via des réseaux et des terminaux qui échappent au contrôle traditionnel de l’entreprise. Voici 9 solutions pour sécuriser ces environnements.
Sécuriser un système d’information connecté de toute part à des tablettes tactiles relève du défi. Alors que les nouveaux usages mobiles sont déjà bien ancrés, sécuriser l’usage des nouveaux terminaux nomades ne sera pas qu’un problème technique et passera par un important travail de communication en interne.
Une phase de sensibilisation des employés sera effectivement inévitable pour mettre en avant à la fois les risques associés à l’utilisation des tablettes dans un environnement professionnel mais également faire accepter et appliquer les mesures de sécurité qui en découlent comme l’interdiction de certaines applications ou la mise en place de procédures d’authentification.
Et aucune dérogation n’est recevable si les collaborateurs doivent ou souhaitent accéder à une application de l’entreprise, à des documents professionnels ou même à leur messagerie. Car même un mail anodin peut renfermer des informations critiques pour l’activité de la société. Plusieurs spécifications ou recommandations doivent donc s’imposer aux porteurs de tablettes.
Les essentiels de la sécurité sur tablette
1 – Mot de passe
À la mise en route ou à la sortie de veille de l’appareil, un mot de passe doit obligatoirement être réclamé. Le processus est très simple à mettre en place sur les tablettes. Un dispositif biométrique comme un lecteur d’empreinte peut également faire office de mot de passe, voire une combinaison des deux.
2 – Veille
Le terminal doit se mettre en veille automatiquement après une très courte période d’inactivité. La saisie du mot de passe est obligatoire pour utiliser à nouveau l’appareil.
3 – Géolocalisation
Un logiciel installé sur la tablette doit permettre à l’utilisateur et au responsable informatique de localiser l’appareil en cas de perte ou de vol.
4 – Accès distant
L’organisation doit être en mesure de visualiser à distance les données de l’entreprise stockées sur la tablette. La plupart des logiciels de gestion de la mobilité offrent cette possibilité. En cas de problème, les appareils peuvent être désactivés à distance, aussi longtemps que nécessaire.
5 – Effacement
L’utilisateur ou le responsable informatique doivent être en mesure d’effacer à distance les données de l’entreprise stockées sur la tablette. Les solutions MDM permettent de distinguer aisément données personnelles et professionnelles.
6 – Chiffrement
La tablette doit supporter des mécanismes éprouvés de chiffrement des données, comme les infrastructures à clés publiques (ou PKI, Public Key Infrastructure). Elle doit aussi supporter le chiffrement SSL (Secure Sockets Layer) pour sa communication avec le serveur, ainsi que l’authentification basée sur certificat (auto-signé, PKI ou tiers de confiance). On trouve la plupart de ces possibilités sur de nombreux programmes comme Exchange ActiveSync de Microsoft.
Pour aller plus loin dans la sécurité
7 – Authentification via un dispositif matériel intégré
Clés privées, mot de passe unique (ou OTP, One-time password) ou certificats PKI peuvent être intégrés directement au terminal. Les dispositifs externes ne sont alors plus indispensables. La présence de ces systèmes d’identification au sein même de la plateforme permet de garantir que l’appareil qui accède au VPN est bien celui qui a été fourni au salarié.
8 – Contrôle des couches basses
Les rootkits, malwares et autres types d’attaques peuvent atteindre et endommager l’hyperviseur, le BIOS ou d’autres firmwares. L’architecture de la tablette doit lui permettre de résister à ces attaques. Les processeurs Intel vPro par exemple, comparent le code exécuté au démarrage de l’appareil avec une configuration prédéfinie. Ils bloquent ainsi tout lancement de code qui ne correspond pas à cette configuration.
9 – Protection contre la capture de données affichées à l’écran
La tablette doit pouvoir identifier la présence physique de l’utilisateur et demander la saisie d’un code PIN avant l’affichage d’informations personnelles ou sensibles. Ce afin d’éradiquer le risque de « screen-scraping ».