Actualités

Les indispensables de la sécurité applicative

Découvrez les indispensables de la sécurité applicative

27/10/2017
Les cyberattaques au niveau de la couche applicative sont parmi les principales menaces pesant sur la sécurité des appareils mobiles. Comment gérer l’

Près de 40 % des grandes entreprises, certaines faisant partie des Fortune 500, ne prennent pas les précautions nécessaires pour sécuriser les applications mobiles qu'elles conçoivent pour leurs clients. Pourtant, comme l’hardware et l’OS (insérer lien vers l’article “sécuriser son mobile en 4 étapes”), les applications sont une source de failles dans la sécurité des appareils mobiles... tout particulièrement quand ils ne sont pas réservés à un usage professionnel (insérer lien vers l’article “A-t-on vraiment besoin de sécuriser les appareils mobiles en entreprise ?”). Conteneurisation, création d’un VPN, système SmartCard et authentification unique font partie des solutions de sécurisation de la couche applicative de la flotte mobile.

Séparer les usages pro et perso

En France, 37 % des employés utilisent leurs mobiles professionnels pour un usage privé – un chiffre qui monte à 46 % chez les CSP+. On parle de BYOD (Bring Your Own Device) lorsque les collaborateurs utilisent leur propre appareil dans le cadre du travail ou de COPE (Corporate Owned, Personally Enabled) lorsque le mobile appartient à l’entreprise mais peut être utilisé pour des usages personnels. Ces nouveaux moyens d’accéder aux applications et données de la société sont à l’origine de nombreuses vulnérabilités dans la sécurité du système d’information.
La conteneurisation est la principale méthode de séparation des données en cas de double usage d’un smartphone ou d’une tablette. Elle implique la création de deux environnements indépendants afin de distinguer, sur un même appareil mobile, les données et applications professionnelles des contenus personnels. Un téléchargement effectué dans le cadre privé ne peut par exemple pas communiquer avec l’espace professionnel : celui-ci bénéficie donc d’une protection supplémentaire contre les attaques potentielles.
Les données professionnelles sont chiffrées et un processus d’authentification obligatoire permet de contrôler l’accès à l’espace de travail. Ces deux mécanismes nécessitent de détenir la clé de déchiffrement pour accéder aux données, limitant davantage les risques. La conteneurisation protège par ailleurs la vie privée des utilisateurs : lorsqu’elle est mise en place, l’entreprise a seulement accès à l’environnement de travail des collaborateurs. Un bon argument pour les convaincre de franchir le cap de la sécurité

Chiffrer les connexions et l’échange de données


Procéder à une conteneurisation ne permet néanmoins pas d’assurer une protection complète de la couche applicative. Les appareils mobiles étant connectés via internet et intranet aux ressources de l’entreprise et réciproquement, c’est donc au niveau du réseau que les failles sont les plus nombreuses. Pour limiter au maximum les risques, il est recommandé de créer un VPN (Virtual Private Network ou « réseau privé virtuel »). Cette technologie permet de relier les terminaux et l’entreprise par un tunnel privé sécurisé au sein du réseau public.

Le VPN peut changer l'adresse IP source des connexions afin de rendre plus difficile pour un pirate l'identification et la localisation des émetteurs. Il crypte également la transmission et les données échangées entre les appareils connectés et leurs applications. Certaines solutions permettent même d’imposer le VPN uniquement pour le conteneur professionnel, ou encore de sélectionner les applications pour lesquelles le VPN sera utilisé automatiquement. Ces solutions, plus précises qu’un VPN étendu sans distinction à tout l’appareil, évitent de contrôler les applications personnelles dans le cas d’un double usage.

Le VPN peut donc être étendu à différents niveaux : celui de l’appareil mobile, du conteneur professionnel, ou des applications. Avec cette dernière solution, jusqu’à 5 applications ou groupes d’applications peuvent disposer de leur propre connexion VPN dédiée.

Chiffrer les documents

La sécurisation de la flotte mobile peut être poussée encore plus loin grâce à un système utilisant des SmartCards, également appelées « cartes d’accès commun » (CAC). Sur ces cartes à puce sont stockés des certificats délivrés par une infrastructure à clé publique (PKI) et permettant de signer, chiffrer et déchiffrer numériquement des documents via une application mobile.
Les entreprises ayant besoin d’un niveau élevé de sécurité et de protection de leurs informations ont tout intérêt à utiliser ce type d’outils. Attention cependant : les environnements logiciels ne sont pas tous compatibles avec les SmartCards. Avant de vous lancer, vérifiez bien que les mobiles de l’entreprise peuvent les utiliser – une plateforme comme Samsung Knox peut par exemple les prendre en charge.

Sécuriser et simplifier l’accès au conteneur professionnel

Avec une solution SSO (Single Sign-On ou « authentification unique »), les utilisateurs n’ont besoin de s’identifier qu’une seule fois pour accéder aux différentes applications professionnelles.
Après avoir rentré un unique mot de passe au démarrage de son appareil, l’utilisateur peut ainsi accéder au conteneur de l’environnement de travail et aux applications qui demandent une authentification : en plus de simplifier la vie des collaborateurs qui n’ont plus à se souvenir de plusieurs identifiants et mots de passe, cette stratégie permet de réduire le nombre d’appels au support pour des problèmes d’authentification.

Ces différents outils ne doivent pas faire oublier que le premier maillon de sécurité à maîtriser reste bel et bien l’utilisateur. D’autant que les règles de sécurité peuvent facilement être perçues comme des contraintes à contourner et non comme un élément nécessaire au bon fonctionnement de l’entreprise. La sensibilisation des collaborateurs est donc une étape primordiale dans la transition vers une flotte sécurisée.