Les deux industriels, qui équipent de plus en plus leurs salariés en outils mobiles, doivent les sensibiliser à la sécurisation de leurs données.
Près de 7 000 iPhone et 300 iPad. C'est le nombre de smartphones et tablettes que Total déploie auprès de ses 96 000 employés, répartis dans 130 pays. Et c'est très logiquement que ce groupe met progressivement en place une politique de protection de ces objets connectés en permanence. Le laboratoire pharmaceutique Sanofi, qui se trouve confronté aux mêmes enjeux, peaufine lui aussi son plan d'action cette année. Les éditeurs de logiciels de sécurité ne manquent d'ailleurs pas de leur rappeller les risques. Pour autant, ces deux grands groupes industriels prennent les devants sans paniquer. Une sensibilisation des employés et quelques mesures de bon sens, dans la continuité de celles prises pour les PC portables, suffisent.
1. Protéger les données plus que les matériels
Pour Total et Sanofi, la perte ou le vol des équipements mobiles n'est pas la préoccupation majeure. En revanche, la protection et la récupération des données de l'entreprise, contenues dans ces objets ou accessibles à travers eux, constituent une priorité pour ces industriels. Ainsi, Total installe des certificats sur ses mobiles pour les identifier. Quand un employé déclare la perte ou le vol d'un smartphone ou d'une tablette, les données présentes dans ces appareils sont tout simplement effacées à distance.
Comme pour ses PC portables, le groupe pétrolier impose également à ses employés de passer par un tunnel virtuel chiffré pour se connecter à l'entreprise en mobilité. Total a aussi décidé de crypter la voix sur les portables de certains de ses managers, qui voyagent dans de nombreux pays et sont suceptibles d'avoir des échanges à caractère confidentiel.
Rien de tel pour l'instant chez Sanofi, qui n'a mis en place qu'un mot de passe de huit caractères, hérité du principe de base instauré avec les BlackBerry de RIM et du chiffrement des informations. Aujourd'hui, le géant pharmaceutique dispose d'un parc plus hétérogène, comprenant aussi des iPhone et des smartphones sous Android sur lesquels il a augmenté la taille du mot de passe.
Pour centraliser ces actions, il existe des outils d'inventaire ainsi que de MDM (Mobile device management) répondent à toutes ces problématiques. "On en trouve chez Symantec, mais aussi chez de nouveaux venus comme Mobile Iron, Good Technology ou Airwatch", signale Arnaud Cassagne, le directeur technique de la société Nomios, spécialisée en sécurité.
2. Pas de Cloud... Pour l'instant
"Toute l'innovation Apple est tournée vers le grand public", note Patrick Hereng, le directeur des systèmes d'information de Total. Pour preuve, l'iCloud, le nuage du californien qui aspire automatiquement l'ensemble des données de l'utilisateur d'iPhone ou d'iPad, pour qu'il puisse les retrouver à tout moment. Une méthode radicale que les entreprises ne peuvent se permettre d'adopter. Total et Sanofi empêchent donc l'accès au système iCloud en attendant qu'Apple propose des accès paramétrables pour l'usage professionnel.
Le magasin d'applications d'Apple, de même que ceux de Google, RIM ou Microsoft, sont une autre source de risques. "Une étude récente montre, par exemple, qu'une app bancaire sur dix est une contrefaçon, et potentiellement malveillante", souligne Arnaud Cassagne. Il est néanmoins possible de vérifier qui est l'éditeur de l'app sur le magasin d'origine afin d'éviter un téléchargement. Sanofi mettra pourtant en place des mesures plus globales dès mi-2012. Une des solutions envisagées serait de créer son propre magasin.
3. Sensibiliser les employés aux risques
Du côté des virus, "les attaques contre les smartphones sont encore trop peu nombreuses. Et il n'existe quasiment aucun antivirus ou outil de protection pour ces équipements aujourd'hui. Il sera toujours temps d'installer des antivirus le moment venu", estime Patrick Hereng. En attendant, mieux vaut demander aux employés de prendre des précautions, comme ne pas rappeler le numéro d'un émetteur inconnu qui n'aurait pas laissé de message vocal ou ne pas cliquer sur un lien dans un texto anonyme.
Plus globalement, la sensibilisation aux risques est préférable à de multiples interdictions. C'est en substance la conclusion que tirent Total et Sanofi de leurs expériences respectives. Les deux groupes ont entrepris des campagnes de communication. Sanofi a démarré en juin 2011 une démarche d'information sur la sécurité en général, dans laquelle il a inclus la mobilité. Kakémonos, autocollants, messages dans l'intranet et même serious games : tous les moyens sont bons.
Parmi les conseils distillés, Sanofi propose de ne pas laisser son smartphone à la vue de tous, de ne pas parler trop fort dans les lieux publics ou de s'assurer que son écran n'est pas visible de tous. Autre précaution : ne pas activer par défaut le Wi-Fi gratuit dans les hôtels ou les restaurants où certains pirates créent de faux hotspots. Total, lui, prodigue des conseils à ses employés lorsqu'il leur livre leur smartphone et réalise ensuite des piqûres de rappel régulières. L'industriel demande ainsi de verrouiller de façon systématique les smartphones par un mot de passe.
Les industriels n'imaginent cependant pas interdire l'accès aux magasins d'applications ou à internet. Comme le rappelle Patrick Hereng, "c'est une question d'équilibre entre la capacité de jouir de tous les services proposés par ces équipements et le niveau de sécurité que l'on veut. Sinon, le meilleur moyen de sécuriser les tablettes serait de ne pas en fournir !"
