Sécurité en entreprise : quels enjeux pour les terminaux mobiles?

L’édition 2012 du Mobile World Congress (MWC) vient de s’achever. Côté sécurité, devant l’utilisation de plus en plus fréquente des smartphones en entreprise, nombreuses sont les solutions logicielles qui visent à renforcer leur sécurité.
L’édition 2012 du Mobile World Congress (MWC) vient de s’achever, avec son lot de nouveautés et de tendances. Côté sécurité, aucune annonce n’est vraiment sortie du lot, mais une tendance claire se détache : devant l’utilisation de plus en plus fréquente des smartphones en entreprise, nombreuses sont les solutions logicielles qui visent à renforcer leur sécurité.

La tendance au Bring Your Own Device (BYOD), qui consiste à accueillir les smartphones détenus par les employés à titre privé au sein du système d’information de l’entreprise et à leur donner accès aux ressources telles que l’e-mail professionnel, n’est pas dénuée de risques. En effet, comment faire confiance à un téléphone sur lequel l’utilisateur peut installer des applications de provenance douteuse qui pourraient cacher des malwares ? Les solutions de type antivirus sont à la fois lourdes et insuffisantes, et de nouvelles techniques apparaissent.
En première approche, on peut se contenter de chiffrer l’ensemble des données professionnelles stockées sur le terminal, en ne les déchiffrant que temporairement, lorsqu’elles sont accédées. Différentes solutions de chiffrement existent, les plus avancées utilisant des moyens matériels pour protéger les clés ainsi rendues inaccessibles à un logiciel malicieux. Le terminal doit alors disposer de capacités matérielles suffisantes pour rendre transparents les traitements cryptographiques.
Sécuriser les smartphones en isolant l'espace professionnel de l'espace personnel
Pour aller plus loin, certaines solutions pour téléphones Android s’inspirent des techniques de virtualisation. Il s’agit par exemple de partager le même noyau Linux pour fournir deux espaces utilisateurs disjoints, l’un étant l’Android personnel, ouvert et réputé à risque, tandis que l’autre est un espace professionnel, dans lequel par exemple l’installation d’applications par l’utilisateur n’est pas autorisée.
Un pas plus avant dans la sécurité, on trouve de véritables solutions de virtualisation : ici, l’isolation entre l’espace personnel et l’espace professionnel ne repose plus sur la gestion des comptes d’utilisateurs Linux, mais sur une couche logicielle (hyperviseur) qui garantit une isolation forte entre les deux mondes. Les solutions de virtualisation sont de deux types : soit la couche d’isolation se trouve au-dessus du noyau Linux, soit elle se trouve juste au-dessus du processeur et alterne l’exécution de deux systèmes d’exploitation entièrement isolés.
Dans tous les cas, une solution de virtualisation ne peut arriver comme un simple add-on installable sur tout appareil existant, et doit être pensée lors de la conception de l’appareil et de ses composants – tels les processeurs Intel ou à architecture ARM comme le Cortex A15, qui proposent des extensions matérielles simplifiant l’implémentation de la virtualisation. Des fabricants commencent ainsi à proposer de tels appareils pour tester le potentiel du marché.
Que nous réserve le futur ?
Les techniques dépeintes ont un impact système d’autant plus élevé qu’elles sont sûres. Elles ont aussi l’inconvénient d’être peu génériques : il ne sera pas simple de remplacer le système d’exploitation d’origine tournant du côté professionnel par un environnement choisi par l’entreprise.
Avec l’avènement, démontré au MWC, de la technologie LTE, permettant une connexion permanente à très haut débit, on peut concevoir, dans un monde toujours connecté, que le système d’exploitation professionnel soit exécuté à distance sur les serveurs de l’entreprise. La couche de virtualisation servirait alors à isoler le système d’exploitation personnel (Android, iOS) d’un client léger de type Citrix ou d’un OS réduit à un navigateur, potentiellement augmenté de logiciels de base exécutés localement pour pouvoir accéder à ses mails hors connexion. Le processeur d’un appareil adapté devra supporter à la fois des connexions à haut débit et faible latence, un chiffrement matériel rapide pour le stockage et l’accès au réseau, et des extensions matérielles de virtualisation.
Du pain sur la planche en perspective pour les vendeurs de silicium !
Votre opinion