Risques et opportunités de la Consumérisation de l'IT - partie 2 - flotte mobile d’entreprise versus smartphone personnel
Ceci est le second billet d'une série consacrée aux risques et opportunités de la consumérisation de l'IT
L'introduction sur la consumérisation est visible à l'adresse suivante :
https://blogs.technet.com/b/stanislas/archive/2011/09/07/risques-et-opportunit-233-s-de-la-consum-233-risation-de-l-it-partie-1-c-est-quoi-la-consum-233-risation.aspx
Dans cet article, je vais développer le cas des flottes de téléphones mobiles versus les smartphones personnels.
Situation actuelle
De plus en plus d'employés disposant de GSM ou smartphone d'entreprise n'utilisent pas le téléphone fourni et mettent la carte SIM d'entreprise dans un smartphone personnel.
En 2010, le cabinet Forrester a publié une étude dans laquelle 23% des professionnels interrogés (sur un panel de 503 personnes vivant aux US ou au Royaume Uni) ont indiqué utiliser un smartphone non officiellement approuvé ou supporté par leur entreprise
Les raisons à ce changement de matériel par l'utilisateur sont multiples :
- Le téléphone portable fourni par l'entreprise est jugé trop basique (c'est un téléphone GSM et pas un Smartphone)
- L'équipement fourni par l'entreprise est jugé obsolète
- L'équipement fourni par l'entreprise ne convient pas à l'employé qui veut pouvoir utiliser certaines applications ou services
- Le renouvellement régulier des smartphones dans le cadre des abonnements mobiles personnels fait que l'utilisateur dispose en quelques années d'un "stock" de smartphones dans ses tiroirs
- ...
J'avoue avoir fait partie de cette population d'employés pendant plus de 6 ans pour au moins trois des raisons citées précédemment (mon retour au smartphone officiel fourni par mon entreprise date d'un an et demi. merci Windows Phone 7!
). J'ai pu également constaté cette approche de consumérisation auprès de nombreux collègues, amis ou clients.
Cette tendance s’est fortement accrue les trois dernières années avec l’arrivée de l’iPhone.
Risques associés
Beaucoup (la majorité?) de smartphones ne chiffrent pas par défaut leurs espaces de stockage (interne et amovible) rendant ainsi accessibles les informations stockées. Si le smartphone est connecté à la message de l'entreprise et que les messages contiennent de l'information sensible, cela peut devenir problématique en cas de vol ou de perte.
La multiplication des applications disponibles sur les différentes plateformes de smartphone engendre également un accroissement des codes malveillants potentiels pouvant porter atteinte à l'intégrité des équipements (ex : envois automatique de SMS surtaxés) et à la confidentialité des données stockées (mot de passe de messagerie d'entreprise, contenu des boites aux lettres d'entreprise...) voire des conversations.
Capture d’écran d’installation d’une application sur Android et demande de permissions sur le système par l’application
La mise à jour peu fréquente (parfois inexistante) des navigateurs mobiles entraine la possibilité facile d'exploits utilisant les failles connues et non patchées. Par simple navigation sur le Web, l'utilisateur du smartphone peut infecter son équipement et propager l'infection à d'autres parties du Système d'Information.
La connexion de ces smarphones sur les postes de l'entreprise est également un vecteur potentiel d'infection (virus, botnet...). Le botnet Mariposa "fourni" avec les HTC Magic distribués par Vodafone en est une belle illustration.
Plus généralement, certains OS mobile permettent de faire reconnaitre le smartphone comme une unité de stockage amovible (en gros le smartphone de vient une bonne clé USB). Le smartphone peut alors devenir un vecteur d'infection des postes de travail (virus du type Conficker, StuxNet... véhiculé du PC personnel vers le(s) PC d'entreprise).
Informations complémentaires :
- Vodafone distributes Mariposa botnet
https://research.pandasecurity.com/vodafone-distributes-mariposa/ - Android : A Trojan spying on your conversations
https://totaldefense.com/securityblog/2011/08/26/A-Trojan-spying-on-your-conversations.aspx - Premier SMS-Trojan détecté sur les smartphones Android
https://www.kaspersky.com/fr/news?id=207217242 - Update: Security Alert: DroidDreamLight, New Malware from the Developers of DroidDream
https://blog.mylookout.com/2011/05/security-alert-droiddreamlight-new-malware-from-the-developers-of-droiddream/ - Malwares : Android et iOS particulièrement visés en 2011
https://www.generation-nt.com/malwares-ios-android-cisco-rapport-securite-actualite-1147381.html - Trojan : Zeus s’en prend aux Blackberry / Symbian / Windows Mobile
https://www.undernews.fr/telephonie-phreaking-voip/trojan-zeus-sen-prend-aux-blackberry.html - Vidéo de la session de Nicolas Ruff des Techdays 2011 : Les systèmes d'exploitation mobiles sont-ils plus sûrs ?(SEC2212)
https://www.microsoft.com/france/mstechdays/showcase/player.aspx?uuid=aa5ed9be-c706-4891-84d9-546a327121e6&parcours=TD11_ENJEUX_SECURITE
Réponses techniques
Auditer les accès mobiles à vos services externes (par exemple pour savoir quels périphériques sont utilisés pour accéder aux services ActiveSync d'Exchange).
Limiter l'accès à vos services Web (OWA, Exchange ActiveSync...) aux systèmes mobiles que vous fournissez.
Avec Exchange ActiveSync(via Exchange ou SCCM2012), il est possible d'imposer des stratégies de sécurité pour :
- Demander un code PIN d'une certaine longueur
- Chiffrer les supports de stockage
- Désactiver certains équipement ou applications
- …
Le protocole EAS (Exchange ActiveSync) permettant l’application de ces stratégies est désormais présent nativement sur la majorité des OS mobiles :
- Windows Mobile & Windows Phone 7
- Apple iOS
- Android (natif depuis la version 2.1; pour les versions antérieures d'Androïd, certains constructeurs comme HTC ont inclus ce support dans des modèles tels que le HTC Hero)
- Nokia Symbian
- Bada (sur certains smartphones Samsung)
En cas de perte de l'équipement, si l'utilisateur prévient son IT, il peut être possible d'effacer à distance le contenu (RemoteWipe).
Informations complémentaires
- Understanding Exchange ActiveSync (partie : Device Security Features in Exchange ActiveSync)
https://technet.microsoft.com/en-us/library/aa998357.aspx - System Center : Gestion de périphériques mobiles (Symbian, Android, iOS, Windows Mobile, Windows Phone7..)
https://technet.microsoft.com/fr-fr/magazine/hh316170.aspx - System Center Configuration Manager 2012 Beta 2
https://www.microsoft.com/download/en/details.aspx?id=20961 - Protocole EAS : spécifications techniques
https://msdn.microsoft.com/en-us/library/dd299443.aspx
Réponses sociales
Quand la technique atteint ses limites, il reste l'humain
Actions possibles auprès des employés :
- Sensibiliser les utilisateurs sur les risques potentiels et rappeler la responsabilité de chacun en cas de problème causé par ces équipements personnels
- Faire une enquête interne pour évaluer des désidératas des employés en terme de GSM / Smartphones
- Proposer plusieurs modèles couvrant au mieux les désirs et compatibles avec les budgets accordés
- Evaluer l'option de laisser les employés choisir leur abonnement et équipement et proposer un remboursement forfaitaire mensuel
- Ajouter un clause dans le contrat de travail imposant l’usage des équipements fournis
Opportunités
Plus de précautions prises par rapport au smartphone et risques réduits en terme de perte / vol car le smartphone appartient à l'utilisateur
Moins de pression quand au renouvellement du parc mobile (sous réserve qu'un bon pourcentage des utilisateurs utilise leur smartphone).
Avoir une grande diversité de terminaux au sein des employés peut permettre de mieux tester vos applications mobiles à peu de frais ;-)
Prochain billet de la série : Périphériques amovibles et données d'entreprise
- Stanislas Quastana – aussi sur Facebook (consumérisation oblige 
)