Les téléphones évolués suscitent l’intérêt des entreprises. Les demandes d’accès aux systèmes organisationnels et la présence d’appareils personnels sont déjà une réalité. Fabricants, spécialistes et analystes fournissent des conseils pour établir une stratégie proactive ou réactive.
Les téléphones évolués suscitent un intérêt croissant. La popularité du Blackberry, à l’origine un assistant numérique personnel auquel on a intégré une fonction de téléphonie, et du iPhone d’Apple, qui sera initialement destiné aux particuliers, porte plusieurs organisations à évaluer la pertinence d’intégrer cet outil. À ce sujet, les conseils et les recommandations stratégiques sont nombreux, mais elles n’ont pas les mêmes visées.
Le fabricant d’appareils Palm, dans un document de promotion des téléphones évolués, suggère dix points à considérer lors de la sélection et du déploiement d’une solution d’accès sans fil, dont le premier est l’établissement d’une stratégie en matière de mobilité, avec des objectifs d’affaires précis et des buts réalistes.
La recherche de fournisseurs aptes à offrir les solutions appropriées et à résoudre les problèmes d’affaires est recommandée, tout comme l’identification d’appareils facilement adaptables à de multiples applications et l’assurance de leur compatibilité aux standards de communication et à l’infrastructure technologique de l’organisation. On suggère également la création d’un petit projet pilote pour l’essai en temps réel d’applications et d’appareils.
L’établissement d’un échéancier réaliste et la réalisation de mesures du retour sur investissement, tout comme la formation de l’équipe responsable du projet pilote et de ceux qui formeront les autres utilisateurs, font partie d’une démarche d’implantation. Enfin, on recommande la mise en place d’un cadre de travail sécuritaire, pour protéger les données de bout en bout, ainsi que l’établissement de méthodes claires de gestion des actifs mobiles et de tâches de gestion pour ces actifs, comme la mise à niveau des logiciels et la mise à jour des antivirus.
Stratégie d’accès sans fil à l’information
Un autre document, produit par Palm et Motorola, recommande aux organisations d’établir une stratégie d’accès sans fil à l’information, alors que les employés qui auront acquis des téléphones évolués multiplieront les requêtes d’accès aux services de messagerie, aux applications et aux données de l’organisation.
L’absence d’une telle stratégie pourrait se traduire par une explosion des coûts associés aux acquisitions de forfaits individuels, à la gestion et au soutien d’une flotte hétérogène d’appareils, de logiciels, d’applications et de fournisseurs d’accès. Les coûts associés à la gestion et à la sécurité pourraient augmenter, tout comme ceux qui seraient causés par l’implantation, l’intégration et le maintien d’applications sans fil. On met également en garde contre la présence d’appareils disparates qui pourraient ne pas répondre aux exigences de mémoire et de traitement des applications de l’organisation.
En conséquence, les producteurs du document formulent cinq exigences à l’égard de l’établissement d’une stratégie d’accès sans fil à l’information d’une organisation.
En tête de liste se trouve l’assurance d’un grand niveau de sécurité. L’effacement à distance du contenu des appareils en cas de vol ou de perte, le chiffrement des données stockées, le recours à des règles avancées en matière de mot de passe et l’établissement d’une liste restreinte d’applications acceptées font partie des pratiques à privilégier au niveau des appareils. Pour la transmission des données, on suggère le chiffrement ainsi que la confirmation de la livraison et de la réception des données. On précise que l’établissement d’un accès sans fil, qui ne doit pas créer de brèches dans les pare-feu, doit reposer sur l’utilisation de règles administratives qui sont fondées sur les fonctions de travail des utilisateurs.
Une stratégie d’accès sans fil à l’information devrait optimiser une application par la transmission directe et automatique des données à l’utilisateur (le modèle push). Elle devrait aussi recourir à des solutions sans fil qui peuvent soutenir un éventail d’appareils et de plates-formes, alors que les fournisseurs d’applications devront assurer la constance des fonctionnalités et des interfaces utilisateur sur divers appareils.
Les autres exigences suggérées ont trait à l’utilisation d’outils de gestion robustes pour la gestion d’une flotte d’appareils, avec une minimisation des manipulations physiques des appareils au profit d’une gestion « par la voie des airs », ainsi qu’au recours à des solutions sans fil dont les fournisseurs offrent divers services de soutien directs et indirects.
Enjeux de sécurité et de permission
Si les fabricants d’appareils sont enclins à décrire les conditions gagnantes d’un déploiement de téléphones évolués dans une organisation, d’autres observateurs soulignent les enjeux de sécurité qui sont liés à l’utilisation de tels appareils mobiles.
Dans un article paru en mars 2007 dans le magazine Computerworld, le consultant en sécurité Joe Espenschied donne plusieurs recommandations en réponse à dix affirmations couramment formulées à l’égard des téléphones évolués. Il affirme que « la versatilité est l’ennemi de la sécurité », et souligne la présence fréquente d’éléments de manutention de données et de services de communications inactifs dans le code de base des systèmes d’exploitation. Selon lui, il est préférable d’évaluer un appareil qui procure les caractéristiques désirées dans sa configuration de base, et d’accorder une priorité moindre aux capacités d’expansion et de mise à niveau.
En déclarant que les fournisseurs de plates-formes mobiles sont plus lents à produire des rustines pour les applications et les systèmes d’exploitation des appareils mobiles, le spécialiste conseille aux entreprises d’inculquer aux utilisateurs finaux une prudence envers les fichiers joints suspects et les confirmations de connexion ou de mises à jour inattendues. L’installation d’outils pour contrer les programmes malveillants fait également partie de ses recommandations.
En soulignant que le chiffrement des communications se limite souvent à celles qui se situent entre le téléphone évolué et les serveurs des fournisseurs d’accès, et que les algorithmes d’authentification des réseaux cellulaires peuvent être facilement déchiffrés, M. Espenschied suggère le recours à un réseau privé virtuel et au chiffrement au niveau des applications pour protéger les données stratégiques de l’entreprise. Pour contrer les fuites d’information, il conseille d’obtenir l’assurance, de la part d’un fournisseur, que les données de l’entreprise ne côtoient pas celles d’autres entreprises ou de compétiteurs sur les mêmes systèmes, et en cas de doute, d’exploiter à l’interne les systèmes nécessaires.
L’établissement d’un mot de passe au démarrage de l’appareil aidera à préserver l’intégrité des données, alors que la sensibilisation des utilisateurs à n’utiliser que les applications approuvées servira à préserver l’intégrité des applications. L’effacement des données d’un appareil mis hors circulation nécessite des outils plus spécialisés que la simple fonction « effacer », et la destruction d’un appareil défectueux à l’aide d’un marteau (!), après avoir retiré la pile, réduira les risques de récupération des données.
Enfin, le spécialiste en sécurité indique qu’une politique d’éducation des utilisateurs à propos de la sécurité physique des téléphones évolués, afin d’éviter leur manipulation par de tierces personnes qui pourraient avoir des idées malveillantes, ainsi que l’établissement d’une politique d’utilisation pour éviter la consommation abusive du temps d’antenne et de la bande passante contribueront à une utilisation optimale de ce moyen de communication.
Par ailleurs, M. Espenschied suggère la lecture du document 800-48 du National Institute of Standards and Technology qui, malgré sa relative vieillesse, traite adéquatement des enjeux liés à la sécurité des technologies sans fil d’accès à l’information.
Attention aux appareils personnels à vocation professionnelle!
Bon nombre d’entreprises sont confrontées à des requêtes d’accès sans fil à l’information et aux données de la part d’employés qui souhaitent utiliser leurs téléphones évolués personnels à des fins professionnelles.
Dans un article paru récemment dans le magazine Mobile Enterprise, la vice-présidente et directrice de la recherche de la firme JupiterResearch Julie Ask souligne que les « prosommateurs » utilisent fréquemment leurs téléphones évolués à des fins personnelles et professionnelles et sont davantage susceptibles de télécharger au travail des fichiers sur leurs appareils, ce qui crée des brèches dans la sécurité de l’entreprise.
Elle réfère à une enquête de JupiterResearch qui indique que la plupart des entreprises sondées permettaient l’utilisation d’appareils mobiles au travail, mais que peu d’entre elles les fournissaient et les géraient. Une faible proportion des entreprises sondées interdisaient explicitement l’utilisation des téléphones évolués, et un tiers des organisations sondées était indifférent à leur présence au travail…
Mme Ask formule des recommandations à l’intention des gestionnaires des TI pour prendre en main la situation et réduire les risques. On suggère la réalisation d’un sondage auprès des employés, pour faire l’inventaire des appareils utilisés et ensuite établir d’une politique permissive ou restrictive. On conseille aussi la sensibilisation des employés aux risques potentiels causés par les appareils portatifs et l’encouragement à utiliser des mots de passe. Enfin, on recommande aux gestionnaires une migration des pratiques vers une gestion ou un contrôle à distance des appareils au moyen d’outils hébergés sur des serveurs et de tâches qui sont réalisées « par la voie des airs. »