Vérifier l'identité de l'utilisateur et chiffrer les données

Une bonne sécurisation des postes mobiles doit couvrir l'accès au système d'information et la protection du contenu. Le contrôle d'accès au réseau et le chiffrement s'imposent alors.

La sécurité des PC mobiles relève d'une seule problématique ancienne, à savoir la connexion au système d'information de l'entreprise. Le poste nomade est ainsi perçu comme un périphérique volage, susceptible de rapporter au sein de l'entreprise un tas de ' saletés '. ' Aujourd'hui, le poste nomade est amené à se connecter à différents environnements - réseaux de partenaires, hotspots Wi-Fi dans les gares et les hôtels. Or, comme on ne maîtrise pas ces réseaux, son intégrité doit être contrôlée ', rappelle Riad Nassou, consultant sécurité chez Telindus. Ce dernier prône d'ailleurs une gestion du contrôle d'accès et une prévention des menaces, associée ou non à une politique de connectivité au système d'information.

L'indispensable authentification forte

Le Network Access Control (NAC) répond à ce besoin. Il vérifie l'intégrité du poste nomade avant de l'autoriser à accéder au réseau de l'entreprise. Technologie à la mode, cette brique nécessaire est proposée par des fournisseurs très divers : les acteurs réseaux avec Cisco et Juniper, les spécialistes du firewall, tel Check Point Software Technologie, les experts de la sécurité du poste, et autres éditeurs d'antivirus, comme Symantec, Trend Micro ou McAfee.Plus en détail, dans le domaine du sans-fil, c'est 802.1x qui a le vent en poupe. Ce protocole intervient au niveau 2 du modèle OSI, entre les périphériques d'authentification - commutateurs - et le poste client. Celui-ci abrite alors un ' supplicant ', agent communiquant avec un serveur d'authentification Radius (Remote Authentication Dial in User Service). Si cette architecture exige un réseau supportant le 802.1x, elle empêche toute propagation de vers, en contrôlant le poste avant même que lui soit affectée une adresse IP. Toutefois, pour définir des restrictions d'accès aux services sur la base du niveau d'intégrité du poste et/ou du type de connexion utilisée (VPN, LAN, Wi-Fi, etc.), mieux vaut choisir une approche de niveau 3. Celle-ci met en ?"uvre un agent de contrôle de sécurité sur le poste, qui le scanne en fonction de la politique de sécurité. Cet agent prend ses ordres d'un serveur de règles d'accès au sein de l'entreprise. Lequel peut déployer des règles au sein des pare-feu pour indiquer les restrictions des postes entrants. La combinaison de ces contrôles d'accès de niveaux 2 et 3 constitue le nec plus ultra en matière de sécurisation des postes mobiles.Il ne faut pas oublier cependant que ces postes mobiles ont une vie propre en dehors de l'entreprise. ' La sécurisation du contenu par un antivirus et un anti-spyware correspond au degré zéro. Elle protège contre les risques malicieux externes, mais pas contre ceux liés à l'utilisateur ', prévient Alain Takahashi, gérant de l'intégrateur d'outils de sécurité Hermitage Solutions. L'ordinateur portable est une extension du système d'information de l'entreprise, et contient donc des données potentiellement confidentielles à protéger contre le vol. ' Authentification et chiffrement sont indissociables : une authentification forte - à base de tokens (jetons), par exemple - est nécessaire pour contrôler qui accède au poste. Le second empêche la lecture des données en cas de vol ', assure Riad Nassou. Toujours en vue de protéger l'information contenue dans le poste, la mise en place de solutions de sauvegarde à distance des postes mobiles est primordiale. Elle s'inscrit dans le cadre d'une administration globale de la sécurité des postes distants et mobiles. Yves Clisson, PDG de la société Telelogos, spécialiste du secteur, dresse la liste des fonctions essentielles : ' Il faut pouvoir inventorier, télédistribuer, surveiller, réagir en cas d'incidents, et prendre la main à distance. '