Vérifier l'identité de l'utilisateur et chiffrer les données

30/03/2007 à 00h00

Une bonne sécurisation des postes mobiles doit couvrir l'accès au système d'information et la protection du contenu. Le contrôle d'accès au réseau et le chiffrement s'imposent alors.

Une révision complète s'impose
L'utilisateur, très sensible mais trop souvent négligé
C'est à l'entreprise de verrouiller le poste de travail
Ne pas se soumettre à une administration trop complexe
Vérifier l'identité de l'utilisateur et chiffrer les données
Certains promettent d'alléger au maximum le poste client

La sécurité des PC mobiles relève d'une seule problématique ancienne, à savoir la connexion au système d'information de l'entreprise. Le poste nomade est ainsi perçu comme un périphérique volage, susceptible de rapporter au sein de l'entreprise un tas de ' saletés '. ' Aujourd'hui, le poste nomade est amené à se connecter à différents environnements - réseaux de partenaires, hotspots Wi-Fi dans les gares et les hôtels. Or, comme on ne maîtrise pas ces réseaux, son intégrité doit être contrôlée ', rappelle Riad Nassou, consultant sécurité chez Telindus. Ce dernier prône d'ailleurs une gestion du contrôle d'accès et une prévention des menaces, associée ou non à une politique de connectivité au système d'information.

L'indispensable authentification forte

Le Network Access Control (NAC) répond à ce besoin. Il vérifie l'intégrité du poste nomade avant de l'autoriser à accéder au réseau de l'entreprise. Technologie à la mode, cette brique nécessaire est proposée par des fournisseurs très divers : les acteurs réseaux avec Cisco et Juniper, les spécialistes du firewall, tel Check Point Software Technologie, les experts de la sécurité du poste, et autres éditeurs d'antivirus, comme Symantec, Trend Micro ou McAfee.Plus en détail, dans le domaine du sans-fil, c'est 802.1x qui a le vent en poupe. Ce protocole intervient au niveau 2 du modèle OSI, entre les périphériques d'authentification - commutateurs - et le poste client. Celui-ci abrite alors un ' supplicant ', agent communiquant avec un serveur d'authentification Radius (Remote Authentication Dial in User Service). Si cette architecture exige un réseau supportant le 802.1x, elle empêche toute propagation de vers, en contrôlant le poste avant même que lui soit affectée une adresse IP. Toutefois, pour définir des restrictions d'accès aux services sur la base du niveau d'intégrité du poste et/ou du type de connexion utilisée (VPN, LAN, Wi-Fi, etc.), mieux vaut choisir une approche de niveau 3. Celle-ci met en ?"uvre un agent de contrôle de sécurité sur le poste, qui le scanne en fonction de la politique de sécurité. Cet agent prend ses ordres d'un serveur de règles d'accès au sein de l'entreprise. Lequel peut déployer des règles au sein des pare-feu pour indiquer les restrictions des postes entrants. La combinaison de ces contrôles d'accès de niveaux 2 et 3 constitue le nec plus ultra en matière de sécurisation des postes mobiles.Il ne faut pas oublier cependant que ces postes mobiles ont une vie propre en dehors de l'entreprise. ' La sécurisation du contenu par un antivirus et un anti-spyware correspond au degré zéro. Elle protège contre les risques malicieux externes, mais pas contre ceux liés à l'utilisateur ', prévient Alain Takahashi, gérant de l'intégrateur d'outils de sécurité Hermitage Solutions. L'ordinateur portable est une extension du système d'information de l'entreprise, et contient donc des données potentiellement confidentielles à protéger contre le vol. ' Authentification et chiffrement sont indissociables : une authentification forte - à base de tokens (jetons), par exemple - est nécessaire pour contrôler qui accède au poste. Le second empêche la lecture des données en cas de vol ', assure Riad Nassou. Toujours en vue de protéger l'information contenue dans le poste, la mise en place de solutions de sauvegarde à distance des postes mobiles est primordiale. Elle s'inscrit dans le cadre d'une administration globale de la sécurité des postes distants et mobiles. Yves Clisson, PDG de la société Telelogos, spécialiste du secteur, dresse la liste des fonctions essentielles : ' Il faut pouvoir inventorier, télédistribuer, surveiller, réagir en cas d'incidents, et prendre la main à distance. '

2 questions à... : Riad Nassou, consultant sécurité chez Telindus

Faut-il préférer un chiffrement logiciel ou matériel des postes nomades ?
' Le problème du chiffrement matériel au niveau des disques durs réside dans leur manque d'administration centralisée. Si l'utilisateur perd sa clé d'authentification, il n'accède plus aux données de son ordinateur. Le chiffrement logiciel génère facilement une nouvelle clé. De plus, les solutions sont robustes, et rendent difficile le percement de l'algorithme de chiffrement. On peut même ajouter une séquence d'authentification préboot (avant l'initialisation de l'ordinateur - NDLR). '

Quelle politique adopter en matière de périphériques amovibles ?
' Il est difficile d'interdire aux populations nomades d'utiliser des ports USB. Mais divers outils autorisent une gestion de ces ports en définissant des plages horaires d'utilisation, en automatisant le chiffrement de toutes les données transmises sur une clé USB, ou encore en rendant impossible l'utilisation d'une clé USB non définie au préalable par lentreprise. Il faut pouvoir contrôler toutes les entrées/sorties du poste. Le contenu des PDA et smartphones doit, lui aussi, être chiffré. '

Christophe Dupont Elise, Kareen Frascaria et Jérome Saiz

Votre opinion