Quand mobilité doit rimer avec sécurité sur le PDA

Avec les PDA et les smart phones, c'est souvent la connectivité que l'entreprise privilégie aux dépens de la sécurité. Pour autant, elle ne doit pas ignorer les enjeux sécuritaires, toutes les solutions n'étant pas totalement équivalentes. Exemple : face aux risques des virus mobiles, vaut-il mieux opter pour un PDA sous Symbian ou sous Windows Mobile ? Pour Eugenio Correnti, directeur technique de F-Secure, éditeur d'outils de protection, ' le système Symbian s'interface mieux avec les applications de sécurité. L'API de Windows Mobile est critiquable en termes de solidité et de performances. Nous devons nous appuyer sur notre propre API pour effectuer un scan anti-viral en temps réel, ce qui entraîne un léger ralentissement '. Et de noter : ' Symbian a clairement fait un effort à partir des versions 8, en séparant mieux les privilèges et les droits, et il n'existe aucun malware sous Symbian. Cela dit, il n'y a que trois virus susceptibles de toucher Windows Mobile sur les trois cents virus mobiles connus à ce jour. '

Améliorer la réactivité sans renier la sécurité

Bruno Leclerc, directeur technique de l'intégrateur Integralis, renchérit : ' Microsoft gagnera la bataille. Les processeurs des téléphones Symbian manquent de puissance. Or, il en faut un minimum si l'on veut utiliser des applications métiers protégées par un VPN-SSL, par exemple. ' Illustration chez Cadextan, où mobilité va de pair avec sécurité. Cette SSII de trois cent cinquante personnes, spécialisée dans le back-office des institutions financières, a déployé une solution de mobilité pour ses cadres et ses commerciaux il y a un an et demi. L'objectif était d'améliorer la réactivité par un accès rapide aux applications métiers face à leurs clients. La direction informatique souhaitait que les connexions distantes n'imposent pas de serveur dédié, qu'il n'y ait pas à programmer, et que la solution soit légère.' Le BlackBerry a été écarté, car il utilise un serveur relais ', explique Jean-Philippe Delmas, DSI de Cadextan. Le principe retenu est celui du rappel automatisé (callback). Le PDA établit un VPN de type SSL v.2 vers le service de Mobile Process, spécialiste de la communication mobile d'entreprise basé à Metz, qui délègue l'authentification auprès du contrôleur de domaine Windows de Cadextan. Puis un VPN sortant de l'entreprise est établi directement vers le mobile. Le pare-feu de Cadextan reste ainsi fermé en entrée, à l'exception du port TCP 25 (SMTP). Les terminaux sont des Qtek (dont des modèles HSDPA) sous Windows Mobile ou des PC portables munis de cartes 3G de SFR.

Pouvoir effacer les données sensibles en cas de vol du PDA

Comme il n'y a pas d'antivirus sur le mobile, le trafic est filtré par une passerelle eSafe, d'Aladdin, entre le pare-feu et le réseau. En cas de vol du PDA, il est possible d'effacer les données sensibles et d'inhiber la carte SIM à distance. Afin de renforcer encore la sécurité, une solution de chiffrement et d'authentification forte à deux facteurs est à l'étude. Idem pour l'adjonction d'un dispositif dans une carte SD liée à un transpondeur. Si le PDA est volé, un code d'effacement pourra être envoyé par la victime du délit.