L’utilisation du SIG mobile offre de la flexibilité et fournit des fonctionnalités utiles dans le cadre d’un SIG d’entreprise. La sécurité joue un rôle important dans la garantie de la confidentialité, de l’intégrité et de la disponibilité des données au sein d’un environnement mobile en constante évolution. Cette rubrique décrit certaines pratiques conseillées pour réduire les risques inhérents aux mobiles dans le cadre d’un SIG d’entreprise.
Vous trouverez ci-dessous une liste de recommandations et fonctionnalités utiles pour renforcer la posture sécuritaire d’un déploiement mobile. Pour la liste complète des risques mobiles et des solutions de réduction des risques, consultez le classement OWASP Mobile Top 10.
Une solution de gestion des périphériques mobiles (GPM) d’entreprise constitue un point de départ idéal pour sécuriser les appareils mobiles. La gestion des périphériques mobiles (GPM) est l’administration des appareils mobiles au sein d’une organisation. En général, elle est appliquée avec un logiciel qui permet de centraliser et d’optimiser les fonctionnalités et la gestion de la sécurité des appareils mobiles. Le logiciel inclut habituellement un composant serveur qui envoie des commandes de gestion aux appareils mobiles possédant un composant client pouvant recevoir et exécuter les commandes de gestion.
Une solution GPM présente généralement les fonctionnalités suivantes :
- Surveillance, redémarrage et chiffrement des appareils
- Application des stratégies de mot de passe, réinitialisation de mot de passe
- Paramètres Wi-FI/configurations de réseau privé virtuel prédéfinis
- Fonctionnalités de déverrouillage et de réinitialisation
- Application des paramètres de sauvegarde
- Détection des débridages
La gestion des applications mobiles offre un niveau de sécurité supplémentaire pour les appareils mobiles. Il s’agit de l’utilisation de logiciels et de services mettant à disposition des applications individuelles sur des appareils et contrôlant l’accès à ces applications. Ainsi, les administrateurs ont un contrôle plus granulaire au niveau des applications qui leur permet de mieux gérer et sécuriser les données d’application. Une solution logicielle GPM peut inclure des fonctionnalités de gestion des applications mobiles.
Esri a constaté que les solutions de gestion des applications mobiles axées sur la solution GPM qui requièrent la reconstruction des applications avec le kit de développement logiciel (SDK) de la solution GPM fonctionnent mal, en règle générale. Quelques clients d’Esri utilisent des offres de gestion des applications mobiles ne nécessitant pas l’intégration du kit de développement logiciel (SDK) de la solution GPM. Esri n’assure le support des versions de magasin publiées que si celles-ci sont incluses dans le support du cycle de vie des produits.
Pour des informations plus détaillées, l’équipe Esri en charge de la confidentialité et de la sécurité des logiciels a publié un article technique sur les modèles d’implémentation de sécurité mobile pour ArcGIS intitulé ArcGIS Secure Mobile Implementation Patterns pour aider les responsables informatiques et les administrateurs de SIG à déployer un SIG d’entreprise à l’aide d’un terminal mobile.
Authentification
L'authentification implique la vérification des informations d'identification lors d'une tentative de connexion afin de confirmer l'identité du client. Vérifiez que l’authentification est activée pour accéder aux services SIG. En particulier pour les mobiles, plusieurs options peuvent être proposées selon les fonctionnalités disponibles dans votre entreprise, par exemple selon qu’une passerelle de sécurité mobile est présente ou non, ou selon qu’un réseau privé virtuel existant peut être exploité ou non par les appareils mobiles. Voici quelques-unes des options disponibles :
- Authentification Windows intégrée : avec Kerberos (ou, s’il n’est pas disponible, NTLM), qui permet la connexion unique à un environnement de type Windows.
- Authentification à base de jetons : avec les jetons ArcGIS, qui assurent l’authentification dans tout ArcGIS.
- Authentification spécifique à l’organisation avec SAML 2.0 ou OpenID Connect : ArcGIS Online ou ArcGIS Enterprise permet aux clients d’utiliser SAML 2.0 ou OpenID Connect pour bénéficier de la connexion unique Web.
Autorisation
Le processus d'autorisation consiste à vérifier les autorisations client avant l'accès à une ressource ou l'accomplissement d'une fonction spécifique. Des privilèges basés sur le rôle et le principe de moindre privilège doivent être attribués aux utilisateurs. Pour les mobiles, les privilèges peuvent être attribués à différents niveaux :
- En gérant correctement l’autorisation au sein des rôles disponibles dans ArcGIS, tels qu’administrateur, éditeur et utilisateur
- Pour les solutions EMM, avec l’autorisation et la mise à disposition générales au niveau de l’application
Chiffrement
Le chiffrement consiste à transformer des données afin qu'elles deviennent illisibles à ceux qui n'ont pas accès à une clé de déchiffrement.
- Chiffrez les données en transit requérant le protocole HTTPS dans tout votre SIG d’entreprise.
- Chiffrez les données présentes sur l’appareil mobile. Techniquement, vous pouvez appliquer le chiffrement avec :
- Une solution GPM d’entreprise
- MS Exchange ActiveSync si vous utilisez Microsoft Exchange
Journalisation et audit
La journalisation consiste à enregistrer des événements présentant un intérêt au sein d’un système. L’audit consiste à inspecter ces journaux pour s’assurer que le système fonctionne correctement ou pour répondre à une question concernant une transaction spécifique qui a été effectuée. La journalisation et l'audit peuvent être facilités aux niveaux suivants pour les mobiles :
- Au niveau de l’appareil, par la solution de gestion de la mobilité d’entreprise (EMM)
- Au niveau de l'application, en journalisant des transactions utilisateur spécifiques
Ces résultats doivent être transmis à une solution SIEM (Security Information and Event Management, gestion des événements et des informations de sécurité) d'entreprise en vue de faciliter la corrélation automatique des données de journaux et de permettre la détection des activités malveillantes.
Sécurisation
La sécurisation consiste à configurer de manière sécurisée les systèmes afin de réduire autant que possible les risques de sécurité. La surface d’attaque peut être minimisée pour les déploiements mobiles en :
- Sécurisant les points de terminaison de serveur
- Utilisez une solution de gestion des applications mobiles pour limiter les applications.
- La sécurité côté serveur est identifiée comme constituant le premier risque pour les mobiles, d'après le classement OWASP Mobile Top 10.
- Suivez les recommandations de sécurisation standard du serveur qui respectent les pratiques conseillées du secteur d'activité.
Vous avez un commentaire à formuler concernant cette rubrique ?