les iPhone et iPad sont-ils assez sécurisés pour l'entreprise ?

Selon l'étude du Forrester "Apple's iPhone And iPad: Secure Enough for Business ?" publiée début aout, la réponse est "oui" mais sous condition.

L'une des fonctions fondamentales requise dans un contexte entreprise est de disposer d'un système permettant une gestion centralisée de la configuration des équipement : Avec un tel système il est possible de définir en central la politique de sécurité, de la diffuser vers les périphériques et d'assurer que celle-ci y reste active sans pouvoir être modifiée.

7 mesures essentielles

Dans son étude, le Forrester liste 7 mesures de sécurité que les entreprises doivent mettre en œuvre pour proposer des iPhone et iPad à leurs employés. L'objectif de ces contrôles étant de sécuriser les informations et mails stockés. Ces mesures de sécurité étant bien évidemment gérées en central et diffusée via le système de gestion central évoqué ci-dessus.

Mesure #1 : Chiffrement des sessions de messagerie électronique
L'ensemble des communications basées sur les mails doivent être chiffrées, que ce soit lors d'une synchronisation via Microsoft ActiveSync ou les via l'activation de SSL/TLS pour les flux SMTP et IMAP.

Mesure #2 : Effacement du périphérique suite à perte ou vol
Dans le cas ou un périphérique serait perdu ou vol, il doit être possible d'en effacer le contenu à distance et de façon simple. Cette fonction est connue sous le terme de "crypto-shredding" (principe basé sur la destruction à distance de la clef utilisée pour chiffrer les données de l'équipement)

Mesure #3 : Protection via code de déverrouillage
L'accès aux périphériques doivent être sécurisés via la fourniture d'un code de déverrouillage. La recommandation étant d'utiliser des codes PIN d'une taille de 5 caractères au minimum. Les codes PIN simples comme "11111" ou "12345" devant être interdits.

Mesure #4 : Verrouillage automatique sur période d'inactivité
Les périphérique doivent être configurés de façon à ce qu'ils se verrouillent automatiquement suite à une période d'inactivité. La durée de délai étant à fixer entre 15 et 30 minutes.

Mesure #5 : Effacement du périphérique suite tentatives de déverrouillage infructueuses répétées
Les équipements doivent s'effacer d'eux-même suite à de multiples tentatives de déverrouillage infructueuses. Le nombre autorisé de tentatives avant effacement doit être défini en fonction de la complexité du code de déverrouillage. Plus un code complexe, plus le nombre autorisé de tentatives doit être important.

Mesure #6 : Protection des paramètres de configuration
Les paramètres de configuration de l'équipement, dont ceux relatifs à la sécurité, doivent être protégés contre les modifications ou tentatives de désactivation de la part d'un employé ou d'une attaquant ayant accès au périphérique.

Mesure #7 : Mise à jour continue des paramètres de configuration
Les paramètres de configuration de l'équipement, et donc ceux relatifs à la sécurité, doivent  être mis à jour de façon automatique et continue. L'utilisation du système ActiveSync de Microsoft étant préconisée par le Forrester car celui-ci permet de mettre à jour automatiquement la configuration du périphérique lors de toute connexion au serveur de messagerie Exchange.

mesures organisationnelles complémentaires

A ces mesures de base, viennent s'ajouter des mesures organisationnelles visant à s'assurer que l'utilisateur final soit en phase avec les conséquences des mesures mises en place, notamment l'effacement des données du périphérique suite à perte, vol ou départ de la société dans le cas ou il conserverai celui-ci.

non-exclusion des périphériques personnels

Il est d'ailleurs intéressant de noter que le Forrester n'exclue pas qu'un périphérique appartenant à un employé puisse être utilisé dans un contexte entreprise. Dans ce cas, celui-ci doit être géré selon les règles et principes présentés.

périphériques de dernières générations nécessaire

Ne sont concernés par ce "oui" les iPhone 4 et 3GS et les iPad, les propriétaires d'iPhone 3G et antérieurs devront rester à l'accueil. En outre, il est nécessaire d'utiliser au moins la version 3.1 du système d'exploitation. Avec les rappels automatiques d'iTunes, cela devrait être le cas.

dans le "Jailbreak", point de salut

Autre point important, les équipements bidouillés (ou "jailbreakés") sont recalés. La raison est simple : Ce genre de manipulation désactivant la vérification de la signature numérique des programmes, il est possible qu'un périphérique puisse être infecté ou compromis par un programme malveillant. Cela fait du sens.
Par ailleurs, le processus mis en place par Apple pour la publication d'application dans le iTunes Store est aussi "à priori" un frein intéressant à la diffusion de codes malicieux.

mesures complémentaires

Aux 7 mesures de base, le Forrester en propose pour les entreprises ayant le besoin d'aller au delà. Celles-ci portent sur des codes de déverrouillage plus complexes ; l'utilisation de fonctions de chiffrement implémentées au niveau matériel ; l'authentification via des certificats numériques pour les accès au système d'information (mail, VPNs, Wifi) et enfin l'utilisation de fonction de chiffrement par des applications et plus seulement au niveau du système d'exploitation.

Même avec ces mesures étendues, le Forrester indique clairement que le niveau de sécurité de l'iPhone et l'iPad restent encore en deçà du concurrent de la société Research In Motion, le BlackBerry. A chaque entreprise de faire son choix.
 

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens