Essentiellement dicté par un besoin grandissant de partage de l'information et d'accélération des échanges, d'augmentation de la productivité et de la flexibilité, la nécessaire ouverture du Système d'Information de l'entreprise est un défi permanent pour les DSI qui se retrouvent alors confrontées à devoir proposer des solutions d'accès distants répondant à la fois aux demandes métiers tout en assurant un niveau de
sécurité optimal en adéquation avec le paramètre criticité et les
exigences budgétaires.Exercice pas toujours évident surtout que le risque de transformer la problématique métier en débat d'expert, et d'occulter le principal enjeu qui est de clairement identifier les populations cibles, les situations et les usages associés, est grand.
Populations, situations et usages
Même si le cas des entités business (type point de vente ou filiale pour des besoins d'accès aux applications métiers, outils collaboratifs, plans opérationnels et tableaux de bords) et des partenaires externes (type sous-traitant ou fournisseur pour des besoins de maintenance, de demande de commande, de synchronisation de bases de données en batch ou sur trigger) sont récurrents, le scénario de l'utilisateur final en mobilité est devenu la mise en situation la plus fréquente. Population au combien disparate et complexe à contrôler lorsqu'elle doit accéder aux ressources IT de l'entreprise
Qu'il soit occasionnel ou intensif, l'utilisateur nomade présente un jeu de problématique bien spécifique :
- problématique de la multiplicité des équipements - il possède au minimum un laptop très généralement couplé à un smartphone évolué ; équipements qui devront se connecter au SI
- problématique de la connectivité - il est en situation d'hyperconnectivité (ou presque, aux problèmes d'asynchronisme près) au travers des canaux d'interco que sont entre autre Ethernet, WiFi, 3G, Bluetooth
- problématique du lieux de connexion - il se connecte régulièrement au SI depuis des lieux devant être considérés comme à risque, typiquement gare, aéroport, guest access chez un partenaire ou depuis son domicile
- problématique des équipements "trusted/untrusted" - il peut être amené à utiliser des équipements, lors de ses connections au SI, n'appartenant pas au périmètre entreprise, comme un PC de prêt au sein d'un cybercafé ou plus simplement, l'ordinateur familial
- problématique des droits d'accès et privilèges - il doit accéder à des informations/applications du SI à caractère plus ou moins sensible suivant son statut (cadre de direction, manager ou productif) au sein de l'entreprise, la granularité en terme applicatif de la politique de sécurité est donc essentielle
- problématique du type d'application - il interagit avec des applications hétérogènes, du portail Web en passant par le "shared folder/repository", le collaboratif, la messagerie, jusqu'à l'applicatif patrimoniale client-serveur
- problématique du bon usage - il ne maitrise pas ni les équipements, ni les logiciels qui lui sont fournis, à quelques exceptions près, et n'est généralement que très peu sensibilisé aux problématiques sécurité que le nomadisme fait peser sur le SI
Ces critères, loin d'être exhaustifs, sont certes à affiner et à pondérer suivant le projet de mobilité, mais ils doivent être soigneusement examinés lors de l'établissement du cahier des charges pour sécuriser les accès distants des utilisateurs finaux en situation de nomadisme.
Un point à ajouter :
Problématique de la perte ou du vol des équipements - il peut être amené à laisser hors de sa vue son poste de travail dans un bureau, une voiture, à l'aéroport, ...
@ Florent => merci pour ton commentaire.
Remarque pertinente d'autant que le vol/perte de laptop est un des principaux préjudices subis par les entreprises autour de la problématique du nomadisme. Rappelons que la perte du matériel en tant que tel ne pèse quasi-rien en terme financier, comparé à la valeur potentielle des informations stockées sur l'équipement.
La sécurité de la sphère utilisateur, particulièrement autour du nomadisme, peut être appréhendée selon 3 angles que sont : sécurité des informations, sécurité des équipements et sécurité des échanges.
Le point que tu précises a donc été volontairement écarté car en rapport direct avec la sécurité des informations, et moins pertinent dans le cas de la sécurité des échanges, qui est le sujet de cet article ;)
On peut dire que le sujet est d'actualité, je faisais justement une conf sur le sujet la semaine dernière ...
http://www.granit.org/fr/maj-e/c1a2i1874/forums-grafotech/forum-securite-et-management-de-l-information/granit-rennes-forum-securite.htm
Une autre problématique sur le sujet, la gestion du retour du poste nomade dans l'environnement de travail standard : quel confiance accorder au poste, quels contrôle effectuer avant d'autoriser la connexion au réseau d'entreprise, comment détecter cette état transitoire du poste nomade, ... ? Bref, pléthore de question pour lesquels j'ai rarement vu de réponse offerte par les solutions du marché.
Finalement, pour reprendre la série d'articles récents de Alexandre LAUGA sur la Patch Management, comment intégrer cette population souvent critique en termes de sécurité dans ce type de processus ... Bref, comment bien urbaniser une zone de mise en conformité et créer une politique de sécurité pertinente pour gérer la dualité du profil des utilisateurs nomades : utilisateurs de l'extérieur comme de l'intérieur.
@ Cédric => avec un peu de retard, désolé. Merci de ton commentaire.
Sujet au combien d'actualité en effet. D'autant que l'on vend désormais plus de laptops que de desktops, que la problématique de la sécurité de la sphère utilisateur représente, au sein des budgets sécurité d'une DSI, le principal poste de dépense et que l'artillerie lourde que l'on retrouve actuellement sur le marché est loin de tenir (toutes) ses promesses. Pas tant en terme de qualité technique (quoique ... à titre d'exemple : http://blogs.orange-business.com/securite/2008/06/de-la-reelle-necessite-des-antivirus-a-leur-totale-inutilite.html) mais surtout en terme de visibilité, de contrôle et d'efficience. Encore bcp de travail en perspective.
La problématique que tu mets en lumière est terriblement juste, si la notion de "retour du poste nomade dans l'environnement de travail standard" est synonyme de "retour dans son environnement LAN". Mais à mon sens, elle est plutôt relative à la Sécurité des Équipements (suite antiXware + HIPS + patch management OS/applicatifs + remediation/enforcement/quarantaine + ...), tout ceci finement accolé à une approche sans doute NAC. Et non couvert du coup par cet article qui se concentre sur la protection des communications ;)