l'impact des téléphones intelligents sur la sécurité de l'information

L’impact des téléphones intelligents sur la sécurité de l’information en entreprise

Une recherche réalisée par : Pier-Yves Poulin

Présentée à :

Jean-Pierre Fortier

Remerciement à : Jean-Philippe Ferland

Sébastien Harbec David Lévesque-Lafleur

Dans le cadre du cours :

SIO-2102 – sécurité, contrôle et gestion du risque

Département systèmes d’information organisationnels Faculté des sciences de l’administration

Université Laval

2 | P a g e

TABLE DES MATIÈRES

INTRODUCTION ........................................................................................................................................ 4

L'UTILITÉ DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE ............................................... 6

UTILITÉ ....................................................................................................................................................... 6

PRODUCTIVITÉ ............................................................................................................................................ 6

ANALYSE DE RISQUES SUR L’UTILISATION DES TÉLÉPHONES INTELLIGENTS EN

ENTREPRISE .............................................................................................................................................. 8

LA CONFIDENTIALITÉ DE L’INFORMATION ................................................................................................... 8

LES FAIBLESSES DU SYSTÈME D’EXPLOITATION ET SES APPLICATIONS ........................................................ 9

LES ATTAQUES RÉSEAUX ............................................................................................................................10

LES ACCÈS NON AUTORISÉS ........................................................................................................................11

LA PERTE OU LE VOL ..................................................................................................................................12

L’ESPIONNAGE À DISTANCE ........................................................................................................................12

LES MESURES DE SÉCURITÉ TECHNIQUE ......................................................................................14

LA CONFIDENTIALITÉ DE L’INFORMATION ..................................................................................................14

L’ACCÈS COURRIELS ..................................................................................................................................15

LA GESTION DE L’INFORMATION ................................................................................................................15

LES FAIBLESSES DU SYSTÈME D’EXPLOITATION ET SES APPLICATIONS .......................................................15

LES ATTAQUES RÉSEAUX ............................................................................................................................16

LES ACCÈS NON AUTORISÉS ........................................................................................................................16

LA PERTE OU LE VOL ..................................................................................................................................17

L’ESPIONNAGE À DISTANCE ........................................................................................................................17

LE PARC HÉTÉROGÈNE ................................................................................................................................17

LES TÉLÉPHONES PIRATÉS ..........................................................................................................................18

MESURE DE SÉCURITÉ À METTRE EN PLACE SELON LA NORME ISO 27002 .......................19

ARTICLE 6 - ORGANISATION DE LA SÉCURITÉ DE L’INFORMATION .............................................................19

ARTICLE 7 - GESTION DES BIENS ................................................................................................................20

ARTICLE 8 - SÉCURITÉ LIÉE AUX RESSOURCES HUMAINES ..........................................................................20

ARTICLE 10 GESTION DE L’EXPLOITATION ET DES TÉLÉCOMMUNICATIONS................................................20

ARTICLE 11 - CONTRÔLE D’ACCÈS .............................................................................................................21

ARTICLE 12 - ACQUISITION, DÉVELOPPEMENT ET MAINTENANCE DES SYSTÈMES D’INFORMATION ............22

L’ASPECT HUMAIN SUR LA SÉCURITÉ D’UTILISATION DE TÉLÉPHONES

INTELLIGENTS EN ENTREPRISE ........................................................................................................23

RESPONSABILITÉ PARTAGÉE DE LA SÉCURITÉ D’INFORMATION DES TECHNOLOGIES MOBILES....................25

3 | P a g e

QUELLES PERSONNES DANS L’ORGANISATION DEVRAIENT ÊTRE AUTORISÉES À UTILISER DES TÉLÉPHONES

INTELLIGENTS CORPORATIFS? ....................................................................................................................26

1- SEGMENTATION DES EMPLOYÉS ........................................................................................................27

2- PROFILS UTILISATEURS .....................................................................................................................29

3- ARCHITECTURE ET APPAREILS ...........................................................................................................30

RISQUE RÉSIDUEL APRÈS L’APPLICATION DES MESURES DE SÉCURITÉ ...........................34

PERTE OU VOL DU TÉLÉPHONE MOBILE.......................................................................................................34

L’UTILISATEUR RESTE UN ÊTRE HUMAIN ....................................................................................................35

FAILLE DE SÉCURITÉ DU MATÉRIEL ............................................................................................................36

ÊTRE LA CIBLE D’UN PIRATE.......................................................................................................................37

CONCLUSION ............................................................................................................................................38

BIBLIOGRAPHIE ......................................................................................................................................40

INTRODUCTION

4 | P a g e

Introduction

Depuis quelques années, nous avons pu remarquer une évolution très rapide de

la technologie dans le domaine de la communication mobile. Parmi les multiples

générations qui ont inondé le marché, autrefois, les téléphones cellulaires servaient

principalement à recevoir et à envoyer des appels. Au fil des années, les téléphones

cellulaires ont rapidement évolué pour nous permettre aujourd’hui, une utilisation

beaucoup plus pratique et globale en matière de communication et de gestion de

l’information. Prenons par exemple, la caméra numérique, le transport de données de

masse et la gestion des courriels, ces nouvelles caractéristiques du téléphone intelligent,

nous permettent aujourd’hui d’être constamment en ligne, prêts à accomplir des tâches

impossibles à réaliser avec les téléphones cellulaires d’autrefois. Donc, à partir du

creux de notre main, n’importe où et n’importe quand, nous pouvons être opérationnels

en matière de gestion administrative. Même si les premières séries de téléphones

intelligents ont vu le jour sur le marché depuis quelques années, ce n’est que depuis

peu que nous assistons à une véritable explosion de la demande sur le marché des TI

mobiles.

Dans les entreprises modernes, l’utilisation des technologies de l’information est un

facteur très important lorsqu’il est question de favoriser le degré d’efficacité et de

performance. Considérant que les téléphones intelligents présentement sur le marché

sont d’un point de vue technologique, davantage comparables à des micro-ordinateurs

qu’à un simple téléphone cellulaire. Ces nouvelles possibilités sont pour plusieurs, une

possibilité incroyable d’optimiser la disponibilité de l’information essentielle à

l’accomplissement des multiples fonctions et des tâches à réaliser. De plus en plus

rapidement, la demande de ces appareils ne cesse de croître, ce qui renforce le besoin

pressant de s’ajuster d’un point de vue technique. Par contre, l’utilisation de ce matériel

peut soulever plusieurs questions en matière de sécurité de l’information, il faut donc

que son utilisation soit encadrée par des politiques de sécurité qui soit à la hauteur des

INTRODUCTION

5 | P a g e

risques encourus. Il est donc fondamental de bien saisir l’idée que si son utilisation

n’est pas supportée et sécurisée de manière adéquate, il devient très risqué de s’en

servir sans s’exposer aux conséquences majeures quelle peut apporter. En ce sens, il y a

par exemple le vol d’information partielle ou totale contenue sur l’appareil,

l’espionnage en temps réel et plein d’autres. Donc, si les mesures visant à renforcer la

sécurité ne sont pas adéquates, ces nouveaux téléphones mobiles peuvent représenter

une porte d’entrée qui, si piratée, peut avoir d’énormes répercussions négatives dans le

processus d’affaires des entreprises modernes.

Ne pouvant nier le fait que l’impact qu’ont les téléphones intelligents sur les normes et

les mesures de sécurité de l’information à prendre pour les utiliser de façon sécuritaire

est bien présent, nous allons dans un premier temps, définir l'utilité des téléphones

intelligents en entreprise, pour ensuite, analyser leur impact sur sa sécurité. Après, nous

traiterons des risques technologiques associés à l’utilisation de ces téléphones

intelligents, des mesures de sécurité à mettre en place selon la norme ISO 27002, des

politiques de sécurité sur l’utilisation des téléphones intelligents en entreprise, des

solutions technologiques à mettre en place selon les recommandations et ses risques

résiduels après l’application des mesures de sécurité.

L’UTILITÉ DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE

6 | P a g e

L'utilité des téléphones intelligents en entreprise

Avec l’arrivée des téléphones intelligents, les entreprises ne peuvent ignorer les

nombreuses possibilités qu’apportent ces téléphones dans l’accomplissement des

fonctions reliées à un poste. Permettant à l’organisation moderne d’être plus compétitive

par rapport aux autres, aujourd’hui il devient difficile de s’en passer, et cela, pour de

multiples raisons.

Utilité

Le travail à distance, le besoin d’avoir un accès constant à l’information actuelle, la

mondialisation, etc., tous ces facteurs viennent justifier le besoin grandissant des

téléphones intelligents. Une personne qui travaille régulièrement sur la route peut à

présent recevoir en tout temps, de l’information actuelle, nécessaire à l’accomplissement

des fonctions de l’employé. Cette technologie permet de maintenir un accès facile à des

données essentielles, par exemple les propositions de contrats, la bourse, les horaires de

la semaine, les contacts d’affaires, les nouvelles. De plus, ce type de téléphone mobile

permet, d’un seul contrôle de la main, de suivre les informations concernant le statut des

projets et des listes de tâches, par exemple. Et que dire de la possibilité de synchroniser

son téléphone intelligent avec son ordinateur du bureau? Cela veut dire qu’il est

maintenant possible d’entreposer, d’afficher et de travailler ses documents professionnels

directement reliés à votre ordinateur de poche. Pour rendre l’information disponible à

tout moment, la popularité des applications soutenues par les téléphones intelligents sont

des outils de taille pour la réalisation des tâches d’affaires.

Productivité

Avec l’arrivée des téléphones intelligents, les nouvelles possibilités en matière de gestion

sont augmentées. Cette technologie offre une possibilité de gestion telle que la capacité

de soutenir des collègues de travail ou des clients avec des programmes accessibles par

un simple navigateur. En plus des extensions telles que Word, Excel, PDF, le navigateur

L’UTILITÉ DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE

7 | P a g e

offre la possibilité de faire des recherches, peu importe où la personne se trouve. La

communication est pour l’entreprise moderne, sa principale fondation, et le téléphone

intelligent a pour première utilité, la communication. Donc, il est très intéressant d’avoir

en sa possession les meilleurs outils de communication disponibles sur le marché. Le fait

de pouvoir travailler et d’accomplir certaines des fonctions reliées à un poste de travail,

fait du téléphone intelligent, un outil précieux pour l’entreprise.

ANALYSE DE RISQUES SUR L’UTILISATION DES TÉLÉPHONES INTELLIGENTS EN ENTREPRISE

8 | P a g e

Analyse de risques sur l’utilisation des téléphones intelligents en entreprise

L’utilisation des téléphones intelligents en entreprise amène de nouveaux risques

associés à des technologies encore émergentes, parfois encore immatures ou mal adaptées

à l’entreprise. Ces téléphones sont cependant déjà très utilisés dans les entreprises, il est

donc essentiel de bien connaître les risques associés à ceux-ci afin de les comprendre, les

contrôler et avoir une vision claire des solutions et mesures de sécurité à mettre en place

afin d’en diminuer les risques d’utilisation pour l’entreprise lorsqu’il est possible de le

faire.

Pour bien comprendre et identifier les risques, il est intéressant de comparer le téléphone

intelligent à un ordinateur portable. Les deux appareils font face à des risques semblables

au niveau de la confidentialité de l’information, les faiblesses du système d’exploitation

et ses applications ainsi que les accès non autorisés. Cependant, l’appareil cellulaire serait

plus à risque au niveau des attaques réseau, de la perte ou le vol de l’appareil ainsi qu’à

l’espionnage à distance.

La confidentialité de l’information

Le niveau de sensibilité de l’information présente sur un téléphone intelligent est très

semblable à celle sur un ordinateur de travail portable. Une des principales

fonctionnalités du téléphone intelligent est la gestion des courriels. Dans la majorité des

cas, ces courriels se retrouvent directement, en totalité ou en partie, sur l’appareil. Il va

sans dire que l’information présente dans les courriels peut avoir un caractère hautement

confidentiel pour l’entreprise et ne doit pas tomber entre de mauvaises mains.

L’utilisateur du téléphone en question peut aussi stocker plusieurs gigaoctets

d’information sur ce téléphone où peuvent se côtoyer données personnelles et

professionnelles. Pour un espion averti, il est souvent chose facile d’obtenir l’ensemble

des données de l’appareil, si ce dernier a l’appareil entre les mains, en contournant les

quelques mesures de sécurité de base incluses avec l’appareil. Selon Jonathan Zdziarski,

c’est le cas, pour le iPhone 3Gs de dernière génération. Mr Zdziarski a démontré cette


9 | P a g e

faille de sécurité en juillet 2009. L’exploit a été rapporté par plusieurs quotidien

numérique, notamment Wired.com, dans l’article « Hacker Says iPhone 3GS Encryption

is ‘useless’ for businesses », publié le 23 juillet 2009, par Brian X. Chen.. Ceci représente

donc un risque et une menace considérable concernant l’utilisation du téléphone

intelligent en entreprise.

Les faiblesses du système d’exploitation et ses applications

Les téléphones intelligents ont tous leur système d’exploitation. Tout comme un

ordinateur, le système d’exploitation est le logiciel central gérant le téléphone, la

mémoire, le processeur et toutes les autres applications. Ce ne sont pas tous les systèmes

d’exploitation qui sont développés avec un souci de sécurité en tête. Dans le cas des

appareils cellulaires, ce sont souvent les fonctionnalités de l'entreprise ou même de

divertissements qui priment devant la sécurité de l’appareil. C’est pourquoi il y a un

risque relativement élevé de failles et d’exploits de sécurité sur ces systèmes

d’exploitation. Par exemple, ces systèmes sont vulnérables aux virus, aux vers, aux

logiciels espions, etc. Ce fut le cas pour le Black Berry en janvier 2009, la compagnie

Reseach In Motion, propriétaire de la marque Black Berry, a déclaré une faille

concernant l’utilisation des PDF1. Elle a cependant publié un rapide correctif, suivi d’une

mise à jour du système quelques jours après l’annonce. Aucun système d’exploitation

n’est à l’abri de ce genre de problème et les différents fournisseurs se démarquent entre

autre dans la rapidité à mettre à jour leur système devant ce genre de faille.

Si le système d’exploitation peut présenter certains risques de sécurité, il en est de même

pour les applications interagissant avec les données sur le téléphone et le système

d’exploitation. Même que dans certains cas, ils ne sont pas développés par le distributeur

officiel de l’appareil et ainsi, augmente le risque de présenter des faiblesses de

développement et facilite l’intégration volontaire de logiciels malicieux dans le

1 Auteur non spécifié. « RIM fixes serious BlackBerry PDF handling flaws ». Search Security

[En ligne].

http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1344774,00.html

(Page consulté le 3 avril 2010)


10 | P a g e

programme, distribué ensuite au grand public. C’est le cas pour le iPhone et le Apple

store, permettant à tous de développer et de vendre son propre programme à tous les

utilisateurs de téléphone. Une simple recherche dans Internet montre qu’il existe

d’ailleurs plusieurs livres afin d’aider les programmeurs à développer des applications sur

le IPhone. Si ceci semble vendeur du point de vue de l’utilisateur, ceci est certainement

un risque de plus d’un point de vue de sécurité.

Les attaques réseaux

Les téléphones intelligents présentent de plus en plus de connectivité avec de plus en plus

de réseaux. Il n’est pas rare de voir un appareil offrir la compatibilité avec les réseaux

wifi, le Bluetooth, et bien sûr, le réseau cellulaire et ses différents modes de transmission.

Ceci est un des points importants séparant les ordinateurs portables des téléphones

intelligents et augmentant le risque d’utilisation de ce dernier. Évidemment, d’un point de

vue de sécurité, plus il y a de types de connectivités avec différents réseaux, plus le risque

de vulnérabilités et d’attaques est grand. Chacune de ces technologies présente leurs

propres faiblesses de sécurité et fait de ces cellulaires des cibles de choix pour les

attaques via le réseau.

Le wifi ainsi que le Bluetooth sont des technologies développées avec la facilité

d’utilisation en tête plutôt que la sécurité. Pour s’en convaincre, il suffit de penser aux

premières versions de ces protocoles où le niveau de sécurité était très faible. Encore

aujourd’hui les protocoles utilisés présentent des faiblesses de conception utilisable par

de potentiels attaquants, surtout si ceux-ci sont dans l’environnement immédiat de

l’utilisateur de l’appareil. De plus, le réseau cellulaire possède lui aussi ses failles de

sécurité. Par exemple, il y a peu de temps, une vulnérabilité est apparue au sujet des

messages SMS. Un attaquant pouvait prendre le contrôle d’un téléphone à distance

simplement par la communication de message SMS2. Heureusement, des efforts de

2 Foresman, Chris. « iPhone/GSM phones vulnerable to SMS hacks, patch coming soon ». Ars

Technica,[En ligne]. http://arstechnica.com/apple/news/2009/07/iphonegsm-phones-

vulnerable-to-sms-hacks-patch-coming-soon.ars (Page consulté le 3 mars 2010).


11 | P a g e

sécurisations sont présentement en cours par différents fournisseurs tentant de moderniser

les infrastructures et d’améliorer cet aspect.

Cependant, l’utilisation d’un réseau wifi, d’un lien Bluetooth ou d’une connexion

cellulaire impliquant un transfert de données non chiffré pourrait être interceptée par une

personne malveillante. Cette personne pourrait, sans trop d’effort, obtenir des

informations confidentielles au sujet de l’entreprise ou encore, pour procéder à une

attaque de social engineering contre l’entreprise en but d’obtenir des informations

confidentielles.

De plus, les téléphones intelligents sont la nouvelle porte d’entrée sur le réseau de

l’organisation. Ceux-ci doivent souvent se connecter directement sur un serveur de

l’entreprise, entre autres, le serveur de courriels. Il est donc très possible qu’un éventuel

vers ou un virus soit transféré à partir d’un cellulaire infecté, pour ensuite, se déployer sur

le réseau en entier.

Les accès non autorisés

Les téléphones intelligents offrent, en majorité, certains contrôles d’accès afin de

prévenir les accès physiques non autorisés à l’appareil. Cependant, très peu sont efficaces

et ils sont souvent faciles à contourner. Les mots de passe ou passcode définis par

l’utilisateur sont rarement conformes avec les politiques de l’entreprise, et sont souvent

devinables après quelques essais3. Lorsque ce n’est pas le cas, il est souvent simple de

trouver un processus étape par étape ou un logiciel permettant de contourner cette

première couche de sécurité. Notamment sur le iPhone où ceci n’est qu’une simple

formalité, tel que démontré par Zdziarski. Parfois, c’est même la compagnie du cellulaire

qui a choisi elle-même de permettre le contournement de sécurité afin de pouvoir régler

3 Jansen, Wayne et Scarfone, Karent. « Guidelines on Cell Phone and PDA Security » NIST :

National Institue of Standards and Technology, U.S. Departement of Commerce, Special

Publication 800-124, Page 3-3, [PDF], http://csrc.nist.gov/publications/nistpubs/800-

124/SP800-124.pdf (document consulté le 26 février 2010).


12 | P a g e

certains problèmes à leur façon4. Une fois le mot de passe contourné ou retiré, même si

l’appareil est chiffré, l’accès est automatiquement autorisé, puisque l’accès à la clé de

déchiffrement à été confirmé par l’appareil. Évidemment, ceci est un risque important

puisqu’il indique que toute personne malveillante pourrait obtenir la totalité de

l’information d’un téléphone, malgré l’utilisation d’un mot de passe et même, du

chiffrement de l’appareil.

La perte ou le vol

Il a été prouvé statistiquement que la perte ou le vol d’un appareil cellulaire est chose très

fréquente. Le Gartner Group estime qu’en 2001, 250 000 téléphones ont été perdus ou

volés dans les aéroports et seulement 30 % ont été retrouvés par leur propriétaire4. Ces

chiffres sont beaucoup moins élevés pour ce qui en est des ordinateurs portables. Ceci

constitue donc un facteur de risque supplémentaire pour l’entreprise, considérant qu’une

personne mal intentionnée ayant l’appareil en mains peut, comme mentionné ci-haut,

facilement contourner les premières couches de sécurité pour ensuite, obtenir l’accès à

l’ensemble des données sur l’appareil. Dans certains cas, même si la mémoire du

téléphone a été effacée pour la revente, il est possible de retrouver les données originales

sur le téléphone avec certains logiciels spécialisés. Par exemple, ce genre d’outil est

aisément disponible sur Internet pour le populaire iPhone à partir d’une simple recherche

pour les mots « iPhone Data Recovery ».

L’espionnage à distance

Lorsqu’un espion a la possibilité d’obtenir un accès physique à un téléphone, il est

possible qu’il utilise la technique de clonage du cellulaire afin de simuler le téléphone à

espionner et y incorporer une pièce permettant l’écoute des conversations et suivre les

déplacements de l’utilisateur. Ceci pourrait être l’équivalent de l’utilisation d’un

4 Jansen, Wayne et Scarfone, Karent. « Guidelines on Cell Phone and PDA Security » NIST : National Institue of Standards and Technology, U.S. Departement of Commerce, Special Publication 800-124, Page 3-3, [PDF], http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf (document consulté le 26 février 2010).


13 | P a g e

enregistreur de frappe, du terme anglais keylogger, sur un ordinateur. Cependant, avec le

temps, ce genre de techniques s’est amélioré et permet à un espion, en installant un

logiciel à distance sur un appareil, d’avoir accès aux conversations en temps réel, en plus

des déplacements physiques de l’utilisateur. Ce genre de logiciels est très accessible sur

Internet et fonctionne avec plusieurs modèles de téléphones. Pour une entreprise, il n’est

sans doute pas acceptable qu’un espion puisse écouter les conversations à distances

autant pour la sécurité des données de l’entreprise que pour la sécurité de l’employé. Ceci

doit donc être considéré comme étant un risque très important au niveau de l’utilisation

d’un appareil cellulaire.

Comme indiqué dans cette analyse de risques entourant l’utilisation des téléphones

intelligents en entreprise, il existe plusieurs risques à utiliser ces appareils et l’entreprise

se doit de comprendre et gérer ces risques afin de veiller au bon fonctionnement de celle-

ci et éviter les fuites d’informations ou les intrusions non désirées de pirates, d’espions,

de virus ou de vers. L’entreprise se doit donc de mettre certaines mesures de sécurité en

place afin de contrôler et mitiger les risques énoncés ci-haut. Les mesures seront donc

considérées selon la norme ISO 27002. Après quoi, il sera question de la politique de

sécurité sur l’utilisation des téléphones intelligents en entreprise.

MESURES DE SÉCURITÉ

14 | P a g e

Les mesures de sécurité technique

Les entreprises utilisant les téléphones intelligents dans le cadre du travail se

doivent de penser à ces téléphones comme l’extension d’un système informatique

accessible à l’employé, tout comme l’ordinateur portable l’a été il y a quelques années.

Ce sont maintenant ces téléphones qui doivent être intégrés dans le parc informatique de

l’entreprise afin d’être comptabilisés et sécurisés en conséquence. Le cadre d’utilisation

et la considération de ces appareils se doivent donc de faire partie des politiques de

sécurité de l’entreprise et chaque employé et utilisateur se doit de la comprendre et de s’y

conformer.

Pour s’assurer d’un maximum de sécurité, il est fortement avantageux de prévoir le

déploiement d’une flotte de téléphone uniforme avant toute autre utilisation. Si les

téléphones sont déjà en place, il sera plus difficile de reprendre un certain contrôle sur

ceux-ci. L’uniformité a surtout l’avantage de ne pas multiplier les efforts de sécurité

inutilement, mais aussi de se concentrer sur un ou deux modèles de téléphones et de

cerner ces téléphones du point de vue de leurs risques pour ensuite appliquer les

correctifs nécessaires. De plus, dans plusieurs cas, il est possible de gérer et imposer

certains profils sur les téléphones. Ceux-ci seront très utiles lors de la mise en place des

mesures de sécurité.

La confidentialité de l’information

Idéalement, le modèle de téléphone choisi devra offrir la possibilité de chiffrer la

mémoire. Dans le meilleur des cas, choisir un chiffrement physique plutôt que logiciel,

puisque celui-ci offre un maximum de protection (stockage plus sécuritaire de la clé) et

d’efficacité (composant dédié). Ensuite, il est important d’avoir la flexibilité de

supprimer rapidement les données du téléphone à distance. En cas de perte ou de vol,

c’est l’une des meilleures protections afin de conserver la confidentialité de

l’information. Cependant, cette action doit être exécutée rapidement afin de ne pas laisser

le temps à une personne mal intentionnée de profiter de l’accès physique au téléphone.


15 | P a g e

Ceci jumelé au chiffrement de données, compliquera sérieusement toutes tentatives de

récupération d’information, à moins d’avoir la clé originale de chiffrement.

L’accès courriels

Ensuite, au niveau de l’accès courriel, il est fortement plus sécuritaire de ne pas

synchroniser ses courriels du serveur sur le téléphone et plutôt d’accéder au portail web

de courriels de l’entreprise, lorsque disponible. Cet accès ne laisse que peu de traces et

est normalement sécurisé sous HTTPS. Autrement, si les courriels doivent être

synchronisés sur l’appareil, choisir de télécharger seulement les entêtes, et le reste du

courriel seulement s’il est consulté par l’utilisateur, plutôt que de tout synchroniser le

contenu par défaut. Ainsi, en cas de perte ou de vol, l’information présente sur le

téléphone sera considérablement réduite.

La gestion de l’information

Il est possible, avec certains logiciels, d’empêcher les utilisateurs de téléphones de

brancher ceux-ci à l’ordinateur de bureau afin d’empêcher la synchronisation de données.

Ceci est une mesure de sécurité efficace, mais peu flexible. La classification de

l’information et la formation des utilisateurs sont de meilleures réponses à ce risque.

Ainsi, avec l’étiquetage du niveau de confidentialité et la compréhension, par la

formation, des meilleurs pratiques de sécurité, l’utilisateur du téléphone évitera d’y

déposer des informations confidentielles ou le fera en connaissance des conséquences et

devra prendre la responsabilité de son acte. L’amalgame de ces mesures aidera sans

aucun doute à mieux gérer le risque de possibles fuites d’information provenant des

téléphones.

Les faiblesses du système d’exploitation et ses applications

Lorsqu’il est possible de sélectionner les téléphones faisant partie du parc informatique

de l’entreprise, il est aussi possible d’en choisir le système d’exploitation. C’est dans ce

contexte que la gestion des profils et du déploiement de ceux-ci sur les appareils prend

tout son sens. Il est alors possible d’imposer les mises à jour de l’appareil et certaines


16 | P a g e

applications ou, à l’opposé, de prohiber l’installation de certaines applications. Ceci

permet plus de flexibilité afin de mieux gérer le parc de téléphone dans l’entreprise, mais

aussi d’imposer certaines mesures de sécurité sur ces appareils. Encore une fois, ceci

permet de s’assurer d’une certaine uniformité des appareils, ce qui en facilite grandement

la gestion et la sécurisation. Par exemple, un utilisateur demandant l’utilisation d’une

nouvelle application devra en faire la demande et cette application pourra être analysée

par l’équipe de sécurité avant de la mettre en place. Ainsi, il est possible de s’assurer

d’une certaine stabilité des systèmes d’exploitation et applications sur l’appareil.

Les attaques réseaux

Les multiples connectivités étant un risque important pour l’utilisation des téléphones

intelligents, il est possible, avec la gestion des profils, de permettre l’accès seulement sur

des réseaux connus et sécurisés. Par exemple, l’utilisation du wifi pourrait être possible

seulement avec le réseau de l’entreprise selon des paramètres de connexion choisis

(Ex :802.11g WPA2). La connexion Bluetooth aurait avantage à être simplement

désactivé, excepté pour la synchronisation de casques d’écoute à mains libres, pour la

sécurité au volant. Autrement, les autres fonctionnalités du Bluetooth amènent un bon lot

de risques et très peu d’avantages. En le désactivant, à l’exception d’une fonctionnalité, le

spectre de menaces s’en trouve davantage diminué.

Les accès non autorisés

Tout comme sur un ordinateur portable se connectant au réseau, il est essentiel que les

téléphones aient des mots de passe respectant la politique de mot de passe de l’entreprise.

La gestion des profils permet le renforcement de cette mesure afin de se protéger contre

l’attaque en force brute ou, tout simplement contre l’utilisation d'un mot de passe faible

par l’utilisateur. Ceci ne couvre pas tous les risques associés aux accès non autorisés,

mais permet sans doute d’en décourager certains. Ensuite, s’il est possible de choisir

l’appareil à utiliser pour la majorité des utilisateurs, il est alors possible de capitaliser sur

le modèle le moins sensible à ce genre d’attaques.


17 | P a g e

La perte ou le vol

Il est difficile de se prémunir de la perte ou du vol, puisque ce sont souvent des

événements hors du contrôle de l’utilisateur. Cependant, il n’y a aucun doute que de la

formation sur les meilleures pratiques de sécurité entourant l’utilisation d’un téléphone

intelligent pourrait renforcer l’attention de l’utilisateur afin d’éviter la perte, et même

parfois le vol. À titre d'exemple, éviter de déposer le téléphone sur la table et ne pas le

quitter du regard, même pour une minute. Ensuite, il est aussi possible d’utiliser des

services de géolocalisation afin de retrouver le téléphone. Cependant, il est plus efficace

si la mesure d’effacement rapide ainsi que de chiffrement de l’appareil sont en place.

Ainsi, le risque est diminué de beaucoup et la perte se chiffre aux alentours du coût de

l’acquisition d’un autre appareil.

L’espionnage à distance

Le fait d’avoir un bon contrôle sur son parc de téléphones cellulaires aide à se protéger

contre l’espionnage à distance. Il ne sera pas facile, voire impossible pour un pirate,

d’installer un logiciel à distance si un système d’autorisation par profil contrôle les

installations d’applications. Aussi, il faut s’assurer de maintenir le système d’exploitation

et d'application à jour afin que l’espion ne puisse utiliser une faille de sécurité reliée à

ceux-ci et tenter d’y installer un logiciel espion. Cependant, il est plus difficile pour

l’entreprise de se protéger contre le clonage d’appareil, lorsque l’espion à un accès

physique au téléphone. Dans le cas d’un clonage de mauvaise qualité ou quelque peu

apparent, il est possible que le subterfuge soit détecté par les responsables des téléphones

d’entreprises, ceux-ci ayant une certaine expertise sur le sujet, si une certaine uniformité

de la flotte est conservée.

Le parc hétérogène

Évidemment, tout ne peut être parfait en entreprise, et si le cas de démarrer avec de tout

nouveaux cellulaires est un cas idéal, alors, dans la réalité, il est souvent question d’un

parc plutôt hétérogène. Ainsi, il est fortement conseillé de faire l’inventaire du parc, afin

d’identifier les modèles les plus populaires. Ensuite, l’entreprise pourrait décider de


18 | P a g e

supporter seulement certains types de téléphones, plus sécuritaires que les autres, et d’y

gérer certains profils génériques. Éventuellement, il sera possible pour l’entreprise

d’exclure les modèles moins sécuritaires et d’en privilégier un ou deux, avec des profils

plus sécuritaires, flexibles ou restrictifs, au besoin.

Les téléphones piratés

Évidemment, les téléphones piratés, souvent appelés jailbreaké en anglais, ne devraient

pas avoir leur place sur le réseau de l’entreprise et jamais ceux-ci ne devraient avoir la

possibilité de se synchroniser avec les serveurs de l’entreprise. Ces derniers étant une

source potentielle de failles de sécurité extrêmement importante.


19 | P a g e

Mesure de sécurité à mettre en place selon la norme ISO 27002

Les articles de la norme ISO 27002 peuvent aussi s’appliquer et faire partie d’un

plan de sécurité de l’information pour l’utilisation de téléphones intelligents dans un

contexte d’affaires. Cette présente section du document proposera les mesures de sécurité

spécifiques aux téléphones mobiles et à son utilisation à appliquer afin de limiter au

maximum les risques au niveau de la sécurité dans un contexte d’affaires.

Article 6 - Organisation de la sécurité de l’information

Mesure 6.1.1 Engagement de la direction vis-à-vis de la sécurité de l’information

Mesure 6.1.3 Attribution des responsabilités en matière de sécurité de

l’information

Mesure 6.1.5 Engagements de confidentialité

Mesure 6.1.6 Relations avec les autorités

Mesure 6.1.7 Relations avec des groupes de spécialistes

Mesure 6.2.1 Identification des risques provenant des tiers

Mesure 6.2.3 La sécurité dans les accords conclus avec des tiers

Explication de l’impact de l’article:

Cet article fait office de pilier de la sécurité dans l’organisation. Ces mesures aident à

établir les bases de la gestion de la sécurité dans l’organisation. Ces mesures régissent

aussi les relations que doit avoir l’entreprise avec les entreprises tierces. Étant donné

l’échange massif d’information et de services avec plusieurs autres entreprises, il est

nécessaire d’établir des marches à suivre à ce niveau.


20 | P a g e

Article 7 - Gestion des biens

Mesure 7.1.2 Propriété des biens

Mesure 7.1.3 Utilisation correcte des biens

Mesure 7.2.2 Marquage et manipulation de l’information


Cet article régit la propriété des biens et établit certains standards quant à l’utilisation des

téléphones. Il est important de déterminer clairement les droits et les obligations de

chaque partie en lien avec les biens physique et intellectuels à sa disposition.

Article 8 - Sécurité liée aux ressources humaines

Mesure 8.1.1 Rôles et responsabilités

Mesure 8.2.1 Responsabilités de la direction

Mesure 8.2.2 Sensibilisation, qualification et formations en matière de sécurité de

l’information

Mesure 8.3.1 Responsabilités en fin de contrat

Mesure 8.3.2 Restitution des biens


Cet article se concentre sur les mesures à mettre en place vis-à-vis les ressources

humaines de l’entreprise. De leur embauche à leur départ de l’organisation, les employés

doivent avoir la documentation et la formation adéquates afin d'utiliser, conformément

aux politiques internes, leur téléphone mobile.

Article 10 Gestion de l’exploitation et des télécommunications

Mesure 10.1.1 Procédures d’exploitation documentées

Mesure 10.1.2 Gestion des modifications

Mesure 10.2.2 Surveillance et réexamen des services tiers

Mesure 10.4.1 Mesures contre les codes malveillants

Mesure 10.4.2 Mesures contre le code mobile

Mesure 10.5.1 Sauvegarde des informations


21 | P a g e

Mesure 10.6.2 Sécurité des services réseau

Mesure 10.7.1 Gestion des supports amovibles

Mesure 10.7.2 Mise au rebut des supports

Mesure 10.8.1 Politiques et procédures d’échange des informations

Mesure 10.8.3 Supports physiques en transit

Mesure 10.8.4 Messagerie électronique

Mesure 10.10.1 Rapport d’audit


L’article 10 de la norme 27002 propose des mesures sur les activités globales et les

équipements informatiques et électroniques de l’organisation. Ces mesures proposent des

pratiques à respecter pour diverses situations d’exploitation et en contexte d’échange

d’information.

Article 11 - Contrôle d’accès

Mesure 11.1.1 Politique de contrôle d’accès

Mesure 11.2.3 Gestion du mot de passe utilisateur

Mesure 11.3.1 Utilisation du mot de passe

Mesure 11.4.1 Politique relative à l’utilisation des services en réseau

Mesure 11.4.2 Authentification de l’utilisateur pour les connexions externes

Mesure 11.4.4 Protection des ports de diagnostic et de configuration à distance

Mesure 11.7.1 Informatique mobile et télécommunications

Mesure 11.7.2 Télétravail


Tout équipement doit avoir un maximum de barrière de sécurité afin de freiner quiconque

voudrait avoir accès à du contenu dont il n’aurait pas les droits d’accès. Par exemple, les

téléphones portables devraient toujours être verrouillés d’un code d’accès. Même chose

pour chaque plateforme réseau que l’entreprise offre.


22 | P a g e

Article 12 - Acquisition, développement et maintenance des systèmes d’information

Mesure 12.3.1 Politique d’utilisation des mesures cryptographiques

Mesure 12.3.2 Gestion des clés

Mesure 12.4.1 Mesure relative aux logiciels en exploitation

Mesure 12.5.1 Procédures de contrôle des modifications

Mesure 12.6.1 Mesure relative aux vulnérabilités techniques


Il est important d’entretenir ses équipements informatiques performants et propres.

Plusieurs mesures soutiennent l’importance d’avoir de l’équipement de qualité en tout

temps. L’équipement à la disposition des employés aura un fort impact sur la qualité

finale du travail. Il faut avoir les bons outils, et ceux-ci doivent être en parfait état de

fonctionnement.

L’ASPECT HUMAIN SUR LA SÉCURITÉ D’UTILISATION DE TÉLÉPHONES INTELLIGENTS EN ENTREPRISE

23 | P a g e

L’aspect humain sur la sécurité d’utilisation de téléphones intelligents en entreprise

La téléphonie sans fil est là pour rester. Conséquemment, les gestionnaires

d'organisations doivent reconnaître les défis concernant la sécurité et les vulnérabilités

liées à ces nouvelles technologies et aux comportements des utilisateurs en fonction de

ces dernières.

En effet, tout comme dans les autres domaines de la sécurité de l'information, le facteur

humain est le maillon faible de la sécurité des téléphones intelligents corporatifs. Il est

donc nécessaire de bien baliser l'utilisation de ces téléphones au niveau des ressources

humaines et d'appliquer une politique de sécurité spécifique à l'utilisation de ces outils

technologiques.

Tel que le démontre la figure 1, selon une étude de Quorica, le plus grand risque associé à

l'utilisation de téléphones intelligents en entreprise était que des mauvaises mains

s'approprient des données de l'organisation via le vol ou la perte de l'appareil de

télécommunications5.

Toutefois, il est clair que les organisations actuelles sont conscientes de l'importance

d'avoir une politique de sécurité liée à l'utilisation de ces technologies mobiles. Toujours

selon l'étude de Quorica, plus de 70% des répondants ont répondu qu'il était important,

voire vital, d'avoir une politique de sécurité couvrant l'utilisation des technologies sans

fil.

5 Quorica Insight Report, Mobile Security and Responsibility, janvier 2006. http://regmedia.co.uk/2006/01/31/security_responsibility_report.pdf, page 3 (page consultée le 24 mars 2010)


24 | P a g e

Voici, selon Gartner6, quelques mesures (reliées aux risques humains) essentielles à

mettre en place avant d'autoriser l'utilisation d'un téléphone intelligent en entreprise:

6 Gartner, Best Practices in Wireless and Mobile Security : Planning for 2009, 2 décembre 2008. Publication ID: G00163477. http://my.gartner.com/portal/server.pt?open=512&objID=260&mode=2&PageID=3460702&docCode=163477&ref=docDisplay [en ligne]. Page consultée le 30 mars 2010.


25 | P a g e

Responsabilité partagée de la sécurité d’information des technologies mobiles

Au niveau de l'imputabilité, la responsabilité est partagée entre l'utilisateur et

l'organisation7. L'organisation a la responsabilité d'équiper les employés avec de la

technologie mobile sécuritaire, ce qui peut inclure l'authentification sécuritaire, un outil

pour protéger des virus, une synchronisation et sauvegarde des données et plus encore.

L'organisation a également pour importante responsabilité d'informer les utilisateurs des

ressources à contacter en cas de problème lié à la sécurité de l'information sur leur

appareil mobile.

Le département des ressources humaines et les gestionnaires intermédiaires jouent

également un rôle important de sensibilisation et de suivi d'adoption d'une attitude

sécuritaire d'utilisation d'appareils de télécommunication. De plus, ces personnes agissent

à titre d'exemple pour les employés. Ils doivent donc faire un usage responsable et

sécuritaire de leurs appareils s'ils en ont un. En guise d'exemple, un employé sera peu

motivé à protéger son appareil par un NIP si son gestionnaire ou le responsable de la

sécurité des télécommunications n'en a pas lui-même.

Chaque employé doit reconnaître son rôle dans la sécurité de l'organisation, cela est

d'autant plus vrai pour les employés travaillant avec des téléphones intelligents, car ils

sont en constante possession d'actifs informationnels de l'organisation. Maintenant, avec

cette technologie, ils doivent constamment faire un usage sécuritaire de leur appareil de

télécommunications.

Selon Gartner, plusieurs organisations de renommée ont de solides politiques de sécurité

ainsi qu'une imputabilité claire de leurs actifs « câblés » (par inversion à sans-fils) et tout

le contraire pour leurs actifs sans fil comprenant notamment, les téléphones intelligents.

Gartner a donc identifié de meilleures pratiques soulignant bien l'importance qu'il y ait un

département dans l'organisation qui ait la responsabilité de la sécurité des

communications sans fil.

7 Quorica Insight Report, Mobile Security and Responsibility, janvier 2006. http://regmedia.co.uk/2006/01/31/security_responsibility_report.pdf [en ligne], page 5 (page consultée le 24 mars 2010)


26 | P a g e

« Security Best Practice: Coordination and cooperation are essential to

preventing weakness when ensuring that organizations are not inadvertently

undermining each other's security. A single IT department or other section should

be established as "owning" the responsibility for managing and securing all wired

mobile and wireless connectivity. The security organization should extend

existing information security policies to cover wireless technologies and should

ensure that security operations does as well. »8

Quelles personnes dans l’organisation devraient être autorisées à utiliser des

téléphones intelligents corporatifs?

Il est nécessaire de déterminer les personnes ayant droit à utiliser des téléphones

intelligents corporatifs. De plus, il sera primordial de déterminer les informations

auxquelles ces personnes auront accès à partir de leur outil technologique, par rapport à

leur rôle et fonction.

En un peu plus d’un an, au moins 500 clients de Gartner ont demandé de l’aide et du

support afin de déterminer qui, dans leur organisation, devrait avoir quoi au niveau du

client informatique (ordinateur) et/ou de la téléphonie mobile9. Jusqu’à récemment, la

plupart des organisations favorisaient une approche unique, soit de considérer qu’un

modèle de téléphone, avec un système d’exploitation particulier ainsi qu’un groupe

d’applications bien précis. Dans un désir de flexibilité et d’autonomisation des

utilisateurs, cette approche se veut plus restrictive. Toujours selon le même article de

Gartner, les organisations qui segmentent leurs utilisateurs (contrairement à celles qui

appliquent une approche unique) poursuivent quatre objectifs primaires lorsqu’elles

décident de déployer des appareils informatiques / mobiles pour leurs employés :

• S’assurer que les utilisateurs possèdent les capacités informatiques qu’ils ont

besoin;

8 Gartner, Wireless Security Trends: Planning Principles for a New Decade, 18 février 2010. http://my.gartner.com/resources/174400/174403/wireless_security_trends_pla_174403.pdf?h=32B33DA452BDD4F98A7DA57783A3F6E45D4E4712 [en ligne]. Page consultée le 30 mars 2010. 9 Gartner, Segmenting Users for Mobile and Client Computing, 16 septembre 2009. http://my.gartner.com/portal/server.pt?open=512&objID=260&mode=2&PageID=3460702&resId=1180721&ref=QuickSearch&sthkw=mobile+device+roles [en ligne]. Page consultée le 30 avril 2010.


27 | P a g e

• S’assurer que les capacités informatiques et les appareils s’adaptent de manière

adéquate avec les préférences et les attentes des utilisateurs;

• Optimiser le capital et les coûts opérationnels;

• Indépendance technologique.

1- Segmentation des employés

Gartner a utilisé quatre critères distincts pour segmenter les travailleurs de l’organisation

et ainsi leur offrir des outils technologiques adaptés. Il s’agit de l’autonomie, la mobilité,

les processus d’affaires et de la collaboration10.

Mobilité

Le critère de mobilité identifie les locations d’où le travail sera effectué et le degré de

mobilité nécessaire par l’utilisateur. Ceci détermine donc le périmètre physique où le

travailleur devra être en mesure de travailler.

10 Gartner, Segmenting Users for Mobile and Client Computing, 16 septembre 2009. http://my.gartner.com/portal/server.pt?open=512&objID=260&mode=2&PageID=3460702&resId=1180721&ref=QuickSearch&sthkw=mobile+device+roles [en ligne]. Page consultée le 30 avril 2010.


28 | P a g e

Autonomie

Ce critère définit le niveau d’indépendance que l’utilisateur sera permis d’avoir en ce qui

concerne les choix technologiques et la configuration. Ceci correspond donc à qui est

l’utilisateur et comment l’entreprise devrait l’approcher.

Processus d’affaires

Ce critère concerne ce que l’utilisateur doit être en mesure de réaliser (au niveau du

contenu et des données). Ceci correspond donc au comment est-ce que l’utilisateur

travaille.


29 | P a g e

Collaboration

La collaboration correspond au niveau d’interactions et à la nature de ces dernières entre

les participants dans un processus d’affaires donné. Ceci correspond donc au comment

est-ce que l’employé interagit et exécute son travail.

2- Profils utilisateurs

Après avoir segmenté les utilisateurs

selon les quatre critères précédents, il est

pertinent de créer des profils génériques

qui regrouperont l’ensemble des

utilisateurs. Il est recommandé d’avoir

entre trois et cinq profils d’utilisateurs

distincts. Un profil peut combler

plusieurs rôles.

Gartner propose le modèle ci-contre11

pour faciliter l’évaluation des rôles et

identifier des profils leur correspondant.

Il est important de bien évaluer chacun des rôles en fonction des critères, car la définition

11 Gartner, Segmenting Users for Mobile and Client Computing, 16 septembre 2009. http://my.gartner.com/portal/server.pt?open=512&objID=260&mode=2&PageID=3460702&resId=1180721&ref=QuickSearch&sthkw=mobile+device+roles [en ligne]. Page consultée le 30 avril 2010.


30 | P a g e

de la sécurité en dépend. En guise d’exemple, si un rôle n’a pas besoin de processus

d’affaires, on ne lui donnera accès qu’aux fonctions de base de son téléphone intelligent.

Il n’aura donc pas accès aux données et représentera un risque de moins pour

l’organisation.

3- Architecture et appareils

La dernière étape est de définir l’architecture et les appareils en lien avec chacun des

critères. En fonction des critères sélectionnés, chacune des technologies et l’architecture

de cette dernière devraient être soigneusement évaluées, car la sécurité en découlera. En

guise d’exemple, si un employé a une mobilité régulière et qu’il a besoin d’accès sans-fils

à la maison et au bureau, il faut définir des politiques d’utilisation et de sécurité liées à

chacune de ces technologies.

Qui devrait avoir un téléphone intelligent corporatif?

La réponse à cette question est un résumé des points suivants. Cela dépend donc des

critères de segmentation de l’organisation, des rôles qu’elles y associent et des

technologies liées à ces critères. Les employés occupant des rôles qui seront associés à

des segments ayant besoin de mobilité, de collaboration, de processus d’affaires et/ou

d’autonomie justifiant un téléphone intelligent devraient donc en avoir un.

Conditions d’utilisation des téléphones mobiles corporatifs

Les personnes utilisant des téléphones intelligents doivent être balisées dans leur

utilisation par des conditions d'utilisation. Ce sera de leur responsabilité de respecter ces

conditions et ce sera de la responsabilité de l'organisation de surveiller leur respect et

d'entreprendre des mesures préalablement déterminées dans le cas d'un enfreint à ces

conditions.

Les employés devraient être mis au courant des politiques d'utilisation des téléphones

intelligents à deux moments clés, soit lorsqu'ils débutent leur emploi et lorsqu'ils

reçoivent l'appareil en question.

Les conditions d’utilisation se résument donc à l’acceptation de la politique d’utilisation

et de possession d’un tel outil corporatif.


31 | P a g e

Sensibilisation, éducation et formation des utilisateurs

Les utilisateurs doivent être sensibilisés à la sécurité de l'information lors de l'utilisation

de ces téléphones. Ils doivent être éduqués à comprendre pourquoi la sécurité de

l'information est importante lors d'utilisation de technologies cellulaires dans un contexte

d'affaires. La formation leur montrera comment faire pour adopter des pratiques

d'utilisation sécuritaires.

Toutefois, la réalité organisationnelle est bien différente. En effet, selon une étude de la

Computer Technology Industry Association12, 68 % des entreprises sondées n’avaient pas

implanté de formation en sécurité sur les technologies mobiles pour les utilisateurs de ces

technologies. Seulement, 10 % des organisations avaient un plan de formation sur la

sécurité de l’information dans les technologies mobiles. Ce manque de sensibilisation,

formation et éducation a pour conséquence directe l’augmentation de la vulnérabilité de

l’organisation.

Selon Whitman et Mattord, le cadre de travail SETA en sécurité de l’information permet

de13 :

• Améliorer la sensibilisation au besoin de protéger les ressources du système;

• Développer des compétences et des connaissances visant à ce que les utilisateurs

performent leur travail de façon plus sécuritaire;

• Favoriser le développement de connaissances liées, si besoin il y a, au design,

implantation, formation et sensibilisation à l’intérieur de l’organisation.

12 WALSH, Lawrence. No Mobile Security Training at Most Businesses, 12 novembre 2007. http://www.baselinemag.com/c/a/Projects-Security/No-Mobile-Security-Training-at-Most-Businesses/ [en ligne]. Page consultée le 30 mars 2010. 13 WHITMAN, Michael et MATTORD, Hebert. Principles of Information Security, troisième edition, 2009, 598 pages. Page 207.


32 | P a g e

Plus particulièrement, voici en quoi se compose le cadre de travail comparatif du SETA :

Sensibilisation Formation Éducation

Attribut Quoi Comment Pourquoi

Niveau Information Connaissances Idée

Objectif Média Instructions

pratiques

Compréhension

Méthode Vidéos

Infolettres

Lecture

Études de cas

Posters

Séminaire de

discussion

Lecture d'arrière-

plan

Pratiques hands-on

Mesure de succès Vrai ou faux

Questions à choix

multiples

Résolution de

problèmes

Essai

Espace-temps Court terme Moyen terme Long terme

Selon le modèle SETA ci-haut, il est donc pertinent de croire que les organisations

devraient appliquer de la sensibilisation, de la formation et de l’éducation sur la sécurité

des technologies mobiles d’entreprise.

Sensibilisation

Il est important de conscientiser les gens à qu’est-ce que la sécurité de l’information au

niveau mobile. S’ils ne savent pas de quoi il est question, ils ne pourront jamais

l’appliquer. Il serait possible, par exemple, de publier une infolettre aux propriétaires de

téléphones intelligents afin de leur expliquer ce qu’est la sécurité de l’information au

niveau cellulaire et en quoi cela les concerne. Cette infolettre pourrait être suivie d’un

court questionnaire afin de valider qu’ils en aient compris le contenu.

Éducation

L’éducation va permettre aux employés de comprendre pourquoi la sécurité de

l’information au niveau mobile est importante. Il est donc possible de convier les


33 | P a g e

utilisateurs périodiquement par groupes pour leur expliquer les bases de l’importance de

la sécurité de l’information ainsi que les dernières nouvelles les concernant. Suite à ces

interventions, il sera, par exemple, possible de leur demander d’écrire en quoi cela les

concerne afin qu’ils interprètent les notions acquises.

Formation

Finalement, il faudra convier les utilisateurs à des formations pratiques afin qu’ils sachent

qu’elles sont les pratiques à adopter afin de faire une utilisation sécuritaire de ces

technologies.

RISQUE RÉSIDUEL APRÈS L’APPLICATION DES MESURES DE SÉCURITÉ

34 | P a g e

Risque résiduel après l’application des mesures de sécurité

Comme nous l’avons vu précédemment, l’usage de téléphone mobile dans un

contexte d’affaires engendre divers risques. Nous vous avons présenté plusieurs sources

de risques ainsi que plusieurs mesures afin de prévenir ou corriger de malheureuses

situations. Cependant, même avec l’application de toutes ces mesures, il existe des

risques résiduels majeurs. Cette section présentera quelques risques résiduels que doivent

accepter les entreprises modernes en utilisant des téléphones mobiles intelligents.

Perte ou vol du téléphone mobile

Les téléphones mobiles récents sont plus compacts que jamais. Cette course à la

miniaturisation amène indirectement certains problèmes. Le téléphone suit son utilisateur

à longueur de journée et dans de telles conditions, il est fort possible que l’utilisateur

perde son téléphone mobile. Que ce soit un oubli ou un individu malhonnête qui vol

intentionnellement le téléphone, le téléphone peut se retrouver entre de mauvaises mains.

Au niveau des précautions, il est difficile de contrer l’erreur humaine à ce niveau. Même

chose pour ce qui est du vol. Il faut donc sensibiliser les utilisateurs de cellulaires sur les

précautions à prendre avec leur cellulaire. Toujours le garder dans un endroit sécuritaire,

à l’abri des regards indiscrets, est une précaution simple et efficace dans la plupart des

situations. Chaque téléphone mobile a un numéro d’identification unique. Prendre en note

ce numéro est essentiel, car en cas de perte ou de vol, il est conseillé d’avertir notre

fournisseur de service mobile afin qu’il bloque le compte de téléphonie. Certains

fournisseurs peuvent même bloquer complètement le téléphone à distance. Pour connaître

le numéro d’identification unique d’un téléphone, il suffit de taper sur son clavier le

«*#06#».

De plus, afin de ne pas perdre les informations importantes présentes sur la mémoire

interne du téléphone, il serait judicieux de sauvegarder votre répertoire en synchronisant

votre téléphone avec votre ordinateur de travail.


35 | P a g e

Finalement, certaines entreprises, comme Mobile Manager en France par exemple,

proposent des services de sécurité avancés pour la gestion de téléphone. Par exemple, il

leur est possible de connaitre l’utilisation que l’employé fait du téléphone, de connaître le

lieu géographique où se trouve le téléphone en temps réel et de savoir si une

manipulation malhonnête a été tentée sur le téléphone, comme la modification de la puce

SIM par exemple.14 Tous ces services sont cependant dispendieux. Il faut donc privilégier

la sensibilisation des employés et mettre en œuvre le plus de mesures possibles. Pour ces

téléphones à très haute valeur pour une entreprise, ce type de service peut s’avérer très

utile, voire nécessaire.

L’utilisateur reste un être humain

Les connaissances et la débrouillardise de chacun avec ce type de produits électroniques

diffèrent beaucoup d’une personne à l’autre. Il est reconnu que les dernières générations

sont beaucoup plus à l’aise avec les technologies récentes tandis que certaines

générations d’employés plus âgées peuvent avoir plus de réticence face aux nouvelles

technologies. Par ailleurs, bien qu’il ait eu la formation adéquate, l’utilisateur du

téléphone peut dénigrer l’importance de la sécurité et ne pas tout mettre en pratique ce

qui lui a été enseigné.

D’autre part, il est connu que les individus utilisent souvent les fonctions secondaires des

téléphones intelligents modernes à des fins personnelles. L’usage du téléphone cellulaire

à des fins personnelles peut amener divers problèmes. Le téléchargement du contenu de

divertissement sur internet est la source numéro un des infections informatiques. Bien

souvent, les serveurs ne sont pas sécurisés ou le contenu qu’il fournit n’est pas vérifié. En

téléchargeant des applications supplémentaires, on augmente les risques de télécharger

des programmes malveillants.

La solution optimale serait d’empêcher l’utilisation des téléphones mobiles à des fins

personnelles. Cette mesure est souvent difficilement acceptée par les employés qui y

14 Site web de l’entreprise européenne Mobile Manger http://www.mobile-manager.fr/index.php?option=com_content&view=article&id=14&Itemid=12[en ligne]. Page consultée le 30 mars 2010.


36 | P a g e

voient une lacune de confiance à leur égard. De plus, un programme de sensibilisation

sérieux dans l’entreprise ne peut avoir qu’un impact positif sur l’opinion des employés

face aux problèmes de sécurité.

Faille de sécurité du matériel

Tous ces jouets électroniques sont la création de l’homme. Il est donc réaliste de croire

que ces bijoux de la technologie présentent des failles de sécurité. Suite à la sortie d’un

téléphone, de multiples experts analysent les produits et décèlent certaines failles. La

compagnie mère des produits crée et fournit ainsi des solutions. L’application de ces

correctifs de sécurité se fait par le biais de mises à jour logicielles ou au niveau du

«firmware» des produits.

Il arrive cependant que ceux qui décèlent les failles soient des pirates professionnels de

mauvaise foi. Il y aura donc des victimes avant que le fabricant soit au courant de la

situation et fournisse un correctif. Il est à noter que cette situation est valable pour tous

les téléphones du marché. Aucun n’est parfait et tous ont des failles. À ce niveau, la

meilleure précaution est de vérifier régulièrement si notre produit possède les derniers

correctifs disponibles.

Voici quelques exemples de failles de sécurité que divers téléphones mobiles présents sur

le marché comportent :

Vulnérabilité générale des téléphones mobiles par le service de gestion de la

messagerie texte: http://uimagicinc.com/blog/?p=191 [en ligne]. Page consultée le 30

mars 2010.

Failles des iPhone 3GS au niveau du cryptage des données :

http://www.wired.com/gadgetlab/2009/07/iphone-encryption/ [en ligne]. Page consultée

le 30 mars 2010.

Des failles de sécurité dans les téléphones mobiles Bluetooth Nokia et Sony Ericsson :

http://www.zdnet.fr/actualites/internet/0,39020774,39141148,00.htm [en ligne]. Page

consultée le 30 mars 2010.


37 | P a g e

Être la cible d’un pirate

Malgré l’application de toutes les mesures de sécurité, si un individu devient la cible d’un

expert en piratage informatique, il y a danger! Les experts en piratage sont extrêmement

dangereux. Ils possèdent souvent les connaissances, les aptitudes et les outils matériels et

logiciels pour faire ce qu’ils veulent. Les outils de dissimulation d'activités

(« Rootkit »)15 sont des outils qui, jumelés à un virus ou à un trojan, peut s’avérer être

une menace importante vis-à-vis l’information que le téléphone transmettra, et ce, par le

biais de tous les modules de communications possibles. Le Rootkit s’assurera de rester

invisible en opérant ses commandes presque invisiblement sous l’œil de la plupart des

utilisateurs moyens de téléphones mobiles. Avec les outils nécessaires, il est même

possible d’utiliser un téléphone mobile comme un micro afin de faire de l’espionnage, et

ce, même si ce dernier est éteint.16

Afin de freiner de telle manœuvre, beaucoup de mesures doivent être mises en place.

L’employé doit être sensibilisé et bien informé. Le téléphone mobile doit être configuré

de manière optimale et les derniers correctifs doivent être en place. Limiter l’usage du

téléphone à des fins personnelles et minimiser le téléchargement du contenu provenant de

source inconnue.

15Researchers: Rootkits Work Nicely On Smartphones, Thank You, Tim Wilson, févr. 23, 2010 http://www.darkreading.com/vulnerability_management/security/client/showArticle.jhtml?articleID=223100433 [en ligne]. Page consultée le 30 mars 2010. 16 Site web de la défense national canadienne http://www.army.dnd.ca/land-terre/ciedtf-focdec/story-reportage-fra.asp?id=3592 [en ligne]. Page consultée le 30 mars 2010.

CONCLUSION

38 | P a g e

Conclusion

En conclusion, il est possible de constater que la venue des téléphones intelligents dans le

milieu organisationnel émane de réels besoins. Toutefois, ces appareils emmènent de

nouveaux risques pour ces organisations. Celles-ci doivent donc utiliser des politiques et

des mesures appropriées afin que le risque ne soit pas une menace pour elles.

Il a été démontré que les organisations ont un besoin grandissant de telles devises,

notamment pour le travail à distance, l’accessibilité aux données, le gain de productivité

et les différents canaux de communication.

Au niveau des risques liés à l’utilisation de ces téléphones en entreprise, un parallèle a été

fait entre les risques associés aux ordinateurs portables et aux téléphones intelligents (tout

en considérant des aspects spécifiques à la dernière catégorie). Cette analyse a permis de

constater que le niveau de sensibilité de l’information sur un téléphone intelligent est

comparable à celle d’un ordinateur de travail. Des risques sont également associés au

système d’exploitation de ces téléphones et des applications. Les risques comprennent

également les attaques réseaux, les accès non autorisés, la perte ou le vol ainsi que

l’espionnage à distance.

La pertinence d’application de plusieurs articles et mesures de la norme ISO 27002 ont

été mis à l’évidence. La norme ISO 27002 fournit de solides bases pour une organisation

voulant sécuriser l’utilisation de tels outils.

Suite à ces risques et mesures, il a été démontré que le facteur humain n’est pas à

négliger. Le maillon faible de la sécurité de l’information reste dans ce cas-ci

l’utilisateur. Ceux-ci doivent donc être balisés dans une politique d’utilisation de

téléphones mobiles intelligents dans un contexte organisationnel. Toutefois, ce n’est pas

seulement à l’utilisateur qu’incombe la responsabilité de la sécurité liée à l’utilisation de

son appareil de téléphonie mobile. En effet, l’organisation a également sa part de

responsabilité de sorte qu’elle doit fournir des outils, une infrastructure et un

environnement de travail sécuritaire à l’utilisateur. L’organisation devrait également

segmenter ses employés afin de déterminer des rôles qui auront le droit à utiliser ce genre

CONCLUSION

39 | P a g e

d’appareils. Suite à la segmentation, il faudra définir quelles fonctionnalités sont

permises à chaque rôle. Il a également été démontré que la formation, l’éducation et la

sensibilisation des employés à un usage sécuritaire des téléphones intelligents corporatifs

sont primordiales.

Plusieurs points ont été mis de l’avant au niveau des mesures de sécurité technique et leur

pertinence a été démontrée. L’information devra pouvoir être chiffrée pour conserver sa

confidentialité, l’accès aux courriels devra être sécurisé, les informations devront être

classifiées afin d’appliquer des mesures de sécurité adaptées à chacune, il faudra gérer

efficacement le système d’exploitation et les applications du parc informatique de

l’organisation, les connectivités devront être restreintes afin de prévenir les attaques

réseaux et l’authentification devra être efficace afin d’éviter les accès non autorisés.

Outre ces mesures, il est clair que les risques résiduels existent toujours et sont à

considérer. Tel que mentionné précédemment, la perte ou le vol restent et resteront un

risque présent à l’utilisation de cette technologie. Les utilisateurs et l’utilisation qu’ils en

font constituent également un risque résiduel. Certains utilisateurs se servent des

fonctions secondaires à des fins personnelles ce qui engendre un risque au niveau de la

sécurité. Il y aura toujours de nouvelles failles de sécurité et ces dernières peuvent faire

l’objet d’attaques par des personnes malveillantes.

Finalement, il peut être intéressant de considérer une nouvelle méthode d’utilisation

organisationnelle répondant à des besoins d’affaires évolutifs pour les entreprises. En

effet, au lieu d’avoir un cadre très rigide d’utilisation de téléphone mobile corporatif,

plusieurs organisations permettent aux utilisateurs d’utiliser leur téléphone mobile

personnel à des fins professionnelles17. Cette utilisation reste balisée sous diverses

politiques et dans un contexte de sécurité. Il pourrait donc être intéressant d’analyser les

différences dans la gestion de la sécurité de l’information entre une organisation étant

propriétaire de ses téléphones contre celles où les employés sont propriétaires de leur

appareil personnel et en font un usage professionnel.

17 GRUMAN, Galen. Who should own your Smartphones?, 24 mars 2010. http://www.infoworld.com/print/117173 [en ligne]. Page consultée le 5 avril 2010.

BIBLIOGRAPHIE

40 | P a g e

Bibliographie

1. Auteur non spécifié. « RIM fixes serious BlackBerry PDF handling flaws ». Search Security

[En ligne].

http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1344774,00.html

(Page consulté le 3 avril 2010)

2. Foresman, Chris. « iPhone/GSM phones vulnerable to SMS hacks, patch coming soon ».

Ars Technica,[En ligne]. http://arstechnica.com/apple/news/2009/07/iphonegsm-

phones-vulnerable-to-sms-hacks-patch-coming-soon.ars (Page consulté le 3 mars 2010).

3. Jansen, Wayne et Scarfone, Karent. « Guidelines on Cell Phone and PDA Security » NIST :

National Institue of Standards and Technology, U.S. Departement of Commerce, Special

Publication 800-124, Page 3-3, [PDF], http://csrc.nist.gov/publications/nistpubs/800-

124/SP800-124.pdf (document consulté le 26 février 2010).

4. Jansen, Wayne et Scarfone, Karent. « Guidelines on Cell Phone and PDA Security » NIST : National Institue of Standards and Technology, U.S. Departement of Commerce, Special Publication 800-124, Page 3-3, [PDF], http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf (document consulté le 26 février 2010).

5. Quorica Insight Report, Mobile Security and Responsibility, janvier 2006. http://regmedia.co.uk/2006/01/31/security_responsibility_report.pdf, page 3 (page consultée le 24 mars 2010)

6. Gartner, Best Practices in Wireless and Mobile Security : Planning for 2009, 2 décembre 2008. Publication ID: G00163477. http://my.gartner.com/portal/server.pt?open=512&objID=260&mode=2&PageID=3460702&docCode=163477&ref=docDisplay [en ligne]. Page consultée le 30 mars 2010.

7. Quorica Insight Report, Mobile Security and Responsibility, janvier 2006. http://regmedia.co.uk/2006/01/31/security_responsibility_report.pdf [en ligne], page 5 (page consultée le 24 mars 2010)

8. Gartner, Wireless Security Trends: Planning Principles for a New Decade, 18 février 2010. http://my.gartner.com/resources/174400/174403/wireless_security_trends_pla_174403.pdf?h=32B33DA452BDD4F98A7DA57783A3F6E45D4E4712 [en ligne]. Page consultée le 30 mars 2010.

9. Gartner, Segmenting Users for Mobile and Client Computing, 16 septembre 2009. http://my.gartner.com/portal/server.pt?open=512&objID=260&mode=2&PageID=3460702&resId=1180721&ref=QuickSearch&sthkw=mobile+device+roles [en ligne]. Page consultée le 30 avril 2010.


BIBLIOGRAPHIE

41 | P a g e


12. WALSH, Lawrence. No Mobile Security Training at Most Businesses, 12 novembre 2007. http://www.baselinemag.com/c/a/Projects-Security/No-Mobile-Security-Training-at-Most-Businesses/ [en ligne]. Page consultée le 30 mars 2010.

13. WHITMAN, Michael et MATTORD, Hebert. Principles of Information Security, troisième edition, 2009, 598 pages. Page 207.

14. Site web de l’entreprise européenne Mobile Manger http://www.mobile-manager.fr/index.php?option=com_content&view=article&id=14&Itemid=12[en ligne]. Page consultée le 30 mars 2010.

15. Researchers: Rootkits Work Nicely On Smartphones, Thank You, Tim Wilson, févr. 23, 2010 http://www.darkreading.com/vulnerability_management/security/client/showArticle.jhtml?articleID=223100433 [en ligne]. Page consultée le 30 mars 2010.

16. Site web de la défense national canadienne http://www.army.dnd.ca/land-terre/ciedtf-focdec/story-reportage-fra.asp?id=3592 [en ligne]. Page consultée le 30 mars 2010.

17. GRUMAN, Galen. Who should own your Smartphones?, 24 mars 2010. http://www.infoworld.com/print/117173 [en ligne]. Page consultée le 5 avril 2010.

l'impact des téléphones intelligents sur la sécurité de l'information

Documents