Le smartphone était il y a de cela quelques années l’équipement de communication réservé aux cadres dirigeants des entreprises pour l’intérêt qu’il représentait dans la gestion de ses tâches quotidiennes et, d’une manière plus générale, de son agenda. Bien entendu, la gestion des emails était aussi de la partie mais l’utilisation générale qui en était faite était plutôt du mode « déconnecté », l’utilisateur provoquant ainsi manuellement la synchronisation afin d’obtenir par exemple les derniers éléments de sa boite mail.

Les terminaux derniers cris, et notamment le fameux IPhone, ont été les éléments moteurs au développement d’offres commerciales opérateurs basées sur cet aspect communicant du terminal, en proposant des accès à Internet « illimités » pour l’utilisateur et la synchronisation en mode push-mail de la boite électronique de l’utilisateur (dont le célèbre constructeur canadien RIM est l’instigateur). Le terme « illimité » est à nuancer, dans la mesure où il ne possède pas de définition universelle chez chacun des opérateurs, et peut parfois être sujet à des conditions de débit total téléchargé mensuellement comme c’est souvent le cas. Aujourd’hui, les forfaits bloqués et forfaits basiques n’incluant que des heures de communication ont donc laissé la place à ces offres, accessibles au grand public moyennant en générale une cinquantaine d’euros par mois.

En outre, les mobiles ont évolué et sont maintenant pour la plupart tous compatibles avec les solutions de messagerie d’entreprise propriétaires ou s’appuyant sur des protocoles standards (Organisation Exchange, protocoles SMTP, IMAP …), et la diversité des systèmes d’exploitation embarqués ne cesse de s’accroître (IPhone OS, Windows Mobile, Google Android, Blackberry OS, Nokia Symbian …) ralliant ou non les utilisateurs à un système bien défini. Ces différents éléments ont donc conduit bon nombre d’utilisateurs à configurer leurs terminaux personnels pour accéder au système d’information de l’entreprise, sans réellement mesurer l’impact que cela peut avoir sur ce dernier.

On a certainement trop tendance à l’oublier, mais le terminal mobile, de part son coût relativement non négligeable, son gabarit et son caractère nomade par excellence reste un élément fragile et sujet à de très nombreux vols. De ce fait, le stockage d’informations d’entreprise sur le terminal au même titre que sur un ordinateur portable reste sensible, car ces données peuvent donc être potentiellement accédées par un tiers malveillant (base de contacts, mots de passes, accès à la messagerie du collaborateur …). Ce premier point implique donc que le chiffrement des données présentes sur un terminal est impératif pour éviter toute copie brute de celles-ci en cas d’accès physique au terminal.

Ensuite, il n’est pas rare de voir des études visant à démonter les faiblesses et qualité en matière de failles découvertes sur les différents systèmes d’exploitation mobiles. Ces études permettent en effet de connaître les terminaux les plus sujets à des vulnérabilités (en retiendra en général que la popularité du terminal et sa large diffusion est souvent plus propice à la découverte de failles) ce qui n’implique pas nécessairement que le terminal est moins sécurisé qu’un autre. Il y a, à mon sens, deux raisons à cela :

• Un nombre de failles important découvertes induit le développement de patchs associés visant à accroître la sécurité du terminal (en laissant toutefois une certaine vulnérabilité accessible parfois aux plus petits scripts kiddies)
• La sécurisation du terminal passe impérativement par la maitrise de l’environnement de celui-ci et le contrôle de l’accès à l’information depuis le terminal

Ce deuxième est point est relativement intéressant car il regroupe deux notions cruciales. La sécurisation de l’accès au système d’information repose sur le contrôle des accès mobiles. Les technologies actuelles permettant d’identifier avec précision les types de terminaux se connectant à un système de messagerie et n’autoriser par ce biais que les terminaux professionnels préparés au préalable pour cette connexion. De plus, la maitrise de l’environnement mobile est nettement plus efficace que le choix d’un terminal considéré comme sécurité de par le nombre de failles recensées ou d’exploits disponibles sur Internet. Cette maitrise passe par différents éléments, à savoir le chiffrement évoqué précédemment , la gestion des patchs et des trains de version sur le système mobile, et la gestion des applications installées et installables.

Cette combinaison de critères doit donc être à mon sens la base de toute réflexion visant à déployer une flotte de terminaux mobiles au sein d’une entreprise. Au delà de la compatibilité du terminal avec l’infrastructure technique existante du système d’informations, cette dimension « sécurité » ne doit en rien être outrepassée, car l’avénement de la mobilité et le fait que de plus en plus d’applications métiers soient portées sur ces terminaux ne peut être qu’une source de multiplication des fuites d’informations de l’entreprise. Il ne faut donc pas négliger le fait qu’un terminal mobile ayant accès aux ressources de l’entreprise peut rapidement devenir une porte d’entrée sur le réseau d’entreprise, comme cela peut être le cas lorsqu’un utilisateur positionne un point d’accès Wifi ouvert sur le réseau d’entreprise.