Selon l'étude du Forrester "Apple's iPhone And iPad: Secure Enough for Business ?" publiée début aout, la réponse est "oui" mais sous condition.
L'une des fonctions fondamentales requise dans un contexte entreprise est de disposer d'un système permettant une gestion centralisée de la configuration des équipement : Avec un tel système il est possible de définir en central la politique de sécurité, de la diffuser vers les périphériques et d'assurer que celle-ci y reste active sans pouvoir être modifiée.
7 mesures essentielles
Dans son étude, le Forrester liste 7 mesures de sécurité que les entreprises doivent mettre en œuvre pour proposer des iPhone et iPad à leurs employés. L'objectif de ces contrôles étant de sécuriser les informations et mails stockés. Ces mesures de sécurité étant bien évidemment gérées en central et diffusée via le système de gestion central évoqué ci-dessus.
Mesure #1 : Chiffrement des sessions de messagerie électronique
L'ensemble
des communications basées sur les mails doivent être chiffrées, que ce
soit lors d'une synchronisation via Microsoft ActiveSync ou les via
l'activation de SSL/TLS pour les flux SMTP et IMAP.
Mesure #2 : Effacement du périphérique suite à perte ou vol
Dans
le cas ou un périphérique serait perdu ou vol, il doit être possible
d'en effacer le contenu à distance et de façon simple. Cette fonction
est connue sous le terme de "crypto-shredding" (principe basé sur la
destruction à distance de la clef utilisée pour chiffrer les données de
l'équipement)
Mesure #3 : Protection via code de déverrouillage
L'accès
aux périphériques doivent être sécurisés via la fourniture d'un code de
déverrouillage. La recommandation étant d'utiliser des codes PIN d'une
taille de 5 caractères au minimum. Les codes PIN simples comme "11111"
ou "12345" devant être interdits.
Mesure #4 : Verrouillage automatique sur période d'inactivité
Les
périphérique doivent être configurés de façon à ce qu'ils se
verrouillent automatiquement suite à une période d'inactivité. La durée
de délai étant à fixer entre 15 et 30 minutes.
Mesure #5 : Effacement du périphérique suite tentatives de déverrouillage infructueuses répétées
Les
équipements doivent s'effacer d'eux-même suite à de multiples
tentatives de déverrouillage infructueuses. Le nombre autorisé de
tentatives avant effacement doit être défini en fonction de la
complexité du code de déverrouillage. Plus un code complexe, plus le
nombre autorisé de tentatives doit être important.
Mesure #6 : Protection des paramètres de configuration
Les
paramètres de configuration de l'équipement, dont ceux relatifs à la
sécurité, doivent être protégés contre les modifications ou tentatives
de désactivation de la part d'un employé ou d'une attaquant ayant accès
au périphérique.
Mesure #7 : Mise à jour continue des paramètres de configuration
Les
paramètres de configuration de l'équipement, et donc ceux relatifs à la
sécurité, doivent être mis à jour de façon automatique et continue.
L'utilisation du système ActiveSync de Microsoft étant préconisée par le
Forrester car celui-ci permet de mettre à jour automatiquement la
configuration du périphérique lors de toute connexion au serveur de
messagerie Exchange.
Mesures organisationnelles complémentaires
A
ces mesures de base, viennent s'ajouter des mesures organisationnelles
visant à s'assurer que l'utilisateur final soit en phase avec les
conséquences des mesures mises en place, notamment l'effacement des
données du périphérique suite à perte, vol ou départ de la société dans
le cas ou il conserverai celui-ci.
Non-exclusion des périphériques personnels
Il
est d'ailleurs intéressant de noter que le Forrester n'exclue pas qu'un
périphérique appartenant à un employé puisse être utilisé dans un
contexte entreprise. Dans ce cas, celui-ci doit être géré selon les
règles et principes présentés.
Périphériques de dernières générations nécessaire
Ne sont concernés par ce "oui" les iPhone 4 et 3GS et les iPad, les
propriétaires d'iPhone 3G et antérieurs devront rester à l'accueil. En
outre, il est nécessaire d'utiliser au moins la version 3.1 du système
d'exploitation. Avec les rappels automatiques d'iTunes, cela devrait
être le cas.
Dans le "Jailbreak", point de salut
Autre point important, les équipements bidouillés
(ou "jailbreakés") sont recalés. La raison est simple : Ce genre
de manipulation désactivant la vérification de la signature numérique
des programmes, il est possible qu'un périphérique puisse être infecté
ou compromis par un programme malveillant. Cela fait du sens.
Par ailleurs, le processus mis en place par Apple pour la publication d'application dans le iTunes Store est aussi "à priori" un frein intéressant à la diffusion de codes malicieux.
Mesures complémentaires
Aux 7 mesures de base, le Forrester en propose pour les entreprises ayant le besoin d'aller au delà.
Celles-ci portent sur des codes de déverrouillage plus complexes ;
l'utilisation de fonctions de chiffrement implémentées au niveau
matériel ; l'authentification via des certificats numériques pour les
accès
au système d'information (mail, VPNs, Wifi) et enfin l'utilisation de
fonction
de chiffrement par des applications et plus seulement au niveau du
système d'exploitation.
Même avec ces mesures étendues, le
Forrester indique clairement que le niveau de sécurité de l'iPhone et
l'iPad restent encore en deçà du concurrent de la
société Research In Motion, le BlackBerry. A chaque entreprise de faire son choix.