Les appareils mobiles ont révolutionné le fonctionnement des entreprises. En apportant plus de flexibilité, la mobilité numérique permet aux employés de rester connectés, au bureau ou en déplacement. Si cette connectivité accrue profite à l’entreprise, elle accroît les risques en termes de sécurité, de confidentialité et de vulnérabilités en ouvrant l’accès des terminaux mobiles aux services sensibles. Comment les directions des systèmes d’information peuvent-elles distinguer les terminaux fiables des autres ?
Pour l’employeur, la gestion des services de confiance est théoriquement la même dans un environnement mobile que pour le parc informatique de l’entreprise. Les directions des systèmes d’information utilisent des outils professionnels pour centraliser la gestion de leurs logiciels et applications. Active Directory leur sert à configurer les paramètres et les règles des rôles utilisateurs.
La plupart des entreprises n’autorisent pas leurs employés à télécharger librement des logiciels ou des applications sur les ordinateurs mis à disposition par l’entreprise. Elles ne leur permettent pas non plus d’utiliser leurs portables personnels pour accéder aux réseaux et données de l’entreprise. Vous pourrez sans doute consulter vos e-mails chez vous depuis votre ordinateur, mais il y a peu de chances que vous puissiez accéder à l’ensemble des réseaux et données de l’entreprise.
Comme les utilisateurs d’un ordinateur, seuls les terminaux vérifiés et authentifiés devraient être autorisés à accéder aux réseaux et ressources de l’entreprise.
À quoi servent les certificats numériques mobiles ?
Sécuriser l’accès aux e-mails
Pour mettre vos comptes de messagerie à l’abri des intrus, authentifiez vos employés de manière sécurisée lorsqu’ils se connectent à leurs e-mails, et gagnez en productivité. Grâce à l’authentification par certificat numérique, seuls les terminaux et appareils autorisés peuvent accéder aux serveurs de messagerie de votre entreprise.
Chiffrer et authentifier les e-mails
L’utilisation de certificats numériques sur les terminaux mobiles permet aux employés de chiffrer et signer numériquement les e-mails qu’ils envoient à partir de leurs appareils mobiles. Ils protègent ainsi la confidentialité de leurs données sensibles, peuvent attester de l’origine de leur message et réduire ainsi les risques de hameçonnage.
Sécuriser le Wifi
Accepterions-nous que n’importe quel téléphone cellulaire puisse se connecter à notre réseau Wifi ? De la même manière que nous pouvons limiter les ordinateurs autorisés à se connecter au réseau Wifi de l’entreprise, il est possible de définir les terminaux mobiles autorisés à accéder à son Wifi ; il suffit d’installer des certificats numériques sur les mobiles.
Mettre en place un accès VPN
Pour les connexions VPN de l’entreprise, on peut remplacer les combinaisons «nom d’utilisateur + mot de passe» faibles et vulnérables par une authentification multi-facteurs. Seuls les appareils dotés de certificats correctement configurés pourront accéder au VPN de l’entreprise.
Comme chacun le sait, les certificats pour équipements mobiles sont multi-fonctionnels : il est donc possible d’utiliser le même certificat pour toutes sortes de dispositifs d’authentification et de chiffrement.
Pourquoi choisir des certificats numériques pour ses mobiles ?
Comme avec la plupart des solutions de sécurité, mieux vaut réfléchir avant de s’aventurer dans la mise en place de solutions complètes, intrusives et onéreuses. Les employés veulent pouvoir accéder à leurs données et e-mails d’entreprise en dehors du bureau. Or, si cela est trop compliqué, ils trouveront vite des solutions de contournement ou ne chercheront plus à être productifs en dehors du bureau.
Quel est l’intérêt d’une utilisation étendue des certificats numériques ?
1. Amélioration de l’expérience utilisateur
À quand remonte la dernière fois qu’un collaborateur d’une entreprise donnée a tapé un mot de passe complexe (plusieurs types de caractères, utilisés de manière unique pour renforcer la sécurité) sur son mobile ou sa tablette sans faire d’erreurs à la première saisie ?
Pas facile, quand la saisie prédictive s’en mêle ou que les doigts sont un peu trop gros. Toutes les conditions sont alors réunies pour faire des erreurs et s’énerver. Sans dire qu’il faut mémoriser de plus en plus de mots de passe complexes. Étant donné le nombre d’applications utilisées en moyenne par employé, le fait qu’un même mot de passe soit réutilisé plusieurs fois ou noté sur un bout de papier ou dans un fichier semble presque inévitable — même si cela est contraire aux bonnes pratiques de sécurité.
Contrairement à la majorité des nouvelles implémentations de sécurité, les employés préféreront l’authentification basée sur des certificats à celle basée sur des mots de passe. Elle leur permet en effet d’accéder le plus facilement du monde au courrier électronique et aux applications dans le cloud.
À la différence de la plupart des solutions d’authentification forte — clé USB cryptographique ou application à mot de passe unique, ou même la biométrie —, l’authentification basée sur les certificats n’impose aucune étape supplémentaire à l’utilisateur final. Une fois le certificat installé sur son appareil, l’utilisateur est prêt : pas besoin d’avoir de clé USB cryptographique, d’ouvrir une autre application ou de scanner son empreinte digitale.
2. Compatibilité avec le BYOD
Les certificats numériques fonctionnent à merveille en environnement BYOD, du côté de l’employé et de l’employeur. Outre une protection de la confidentialité des données utilisateurs, ils permettent de garder le contrôle sur les réseaux et données de l’entreprise. En cas de vol ou de perte de l’appareil sur lequel est installé un certificat, ou si l’employé quitte l’entreprise, il suffit à l’entreprise de révoquer le certificat.
3. Une technologie largement répandue
L’infrastructure PKI rassure les entreprises. Technologie connue et reconnue, elle est utilisée depuis des décennies pour authentifier les utilisateurs, les machines et les serveurs dans les entreprises.
4. Des infrastructures PKI déjà en place
La plupart des entreprises utilisent déjà les infrastructures PKI et les certificats numériques pour l’une ou l’autre des applications suivantes : authentification serveur, authentification des utilisateurs, signatures numériques ou chiffrement des e-mails. Partant de là, il est beaucoup plus facile d’étendre la PKI aux équipements mobiles que de passer du temps à intégrer de nouvelles technologies et de nouveaux services. La plupart des entreprises peuvent obtenir leurs certificats directement auprès de leur autorité de certification favorite. Un gain de temps précieux dans la mesure où l’on n’a pas à s’approprier un nouveau système ni à former les équipes ou configurer de nouvelles règles.
5. Renforcement de la sécurité
Les bases de données de mots de passe sont trop souvent la cible d’attaques et de vols, sans parler des utilisations abusives des mots de passe. Il est essentiel alors de renforcer la sécurité et de s’affranchir de l’authentification basée sur des mots de passe. Les certificats ne sont pas vulnérables aux attaques, et on ne demandera jamais à une personne de partager un certificat avec un collègue.
6. Prise en charge par la majorité des OS mobiles
Les certificats numériques fonctionnent nativement sur différentes plateformes, y compris sous Android, Windows, Blackberry et iOS.
7. Fini les solutions coûteuses et intrusives
Avec les certificats numériques, les entreprises n’ont plus à mettre en place de solutions complètes, coûteuses et intrusives. La configuration et l’installation de certificats numériques ne nécessitent aucune intervention lourde de la DSI. Simple pour l’utilisateur, l’opération n’exige parfois même aucune interaction de sa part. La procédure d’enregistrement est également très simple et ne dépend ni de la plate-forme ni du système d’exploitation.
Une fois les certificats configurés, leur gestion s’effectue aisément via une plate-forme de gestion PKI dans le Cloud — ce qui permet aux équipes informatiques d’émettre, de renouveler et de révoquer les certificats à partir d’un portail unique.
Puissance des plate-formes MDM et EMM
Les plate-formes de gestion de la mobilité (MDM, Mobile Device Management) et de gestion de la mobilité d’entreprise (EMM, Enterprise Mobility Management) sont complémentaires au déploiement de certificats numériques sur les équipements mobiles. Les synergies développées se traduisent, pour les entreprises, en fonctionnalités et atouts supplémentaires grâce à la cohérence de la politique de sécurité implémentée sur les divers équipements.
L’incorporation d’une plate-forme MDM ou EMM permet aux entreprises de rationaliser le déploiement de certificats numériques sur les équipements des utilisateurs finaux. Comment ? En automatisant l’assignement des identités numériques sur les équipements, sans interaction de la part de l’utilisateur final.
___________
Ronald De Temmermann est Directeur opérationnel EMEA de GlobalSign