| Réf : H5380 v1

Gestion de la sphère privée et protection des données
Smartphones Androïd, iOS Apple - Risques en mobilité de l'entreprise

Auteur(s) : Michel CHOCHOIS

Date de publication : 10 oct. 2012

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

Les smartphones se sont rapidement imposés dans nos usages de la vie quotidienne, mais aussi comme outils primordiaux de nos applications professionnelles. Depuis l'apparition des iPhone et Androïd, les fonctionnalités ont été conjuguées à une « utilisabilité » adaptée aux demandes des utilisateurs assidus ou professionnels. Cet article introduit l'ensemble des risques technologiques, opérationnels et liés à la protection des données, ainsi que les risques légaux, de conformité aux réglementations. En se focalisant particulièrement sur Androïd et iOS, des fonctions de sécurité techniques et organisationnelles permettant de gérer ces risques sont proposées.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Smartphones quickly established themselves in our everyday lives, but also as essential tools of our professional applications. Since the emergence of iPhone and Android, the features have been combined with a "usability" tailored to the demands of frequent or professional users. This article introduces all the technological and operational risks relating to data protection as well as regulatory compliance and the legal risks involved. With a particular focus on Android and iOS, technical and organizational security functions intended to manage these risks are proposed.

Auteur(s)

  • Michel CHOCHOIS : Senior Manager Security and Privacy – Deloitte SA (Suisse)

INTRODUCTION

Les smartphones se sont rapidement imposés dans nos usages de la vie quotidienne, mais aussi comme outils primordiaux de nos communications professionnelles. Originellement, ces appareils péchaient par leur manque d'autonomie et leur complexité. Les aspects sécurité étaient relayés en arrière-plan. Depuis l'apparition des iPhone, Androïd et Symbian de dernière génération, les fonctionnalités furent conjuguées à une « utilisabilité » adaptée aux demandes des utilisateurs assidus ou professionnels.

Intrinsèquement, les smartphones ont progressé en autonomie grâce à une architecture de plus en plus intégrée. Ils se sont éloignés des modèles PC, utilisant des processeurs de faible consommation comme de forte intégration.

Le tournant technologique fut l'usage de processeur de type ARM, basé sur des architectures à jeux d'instruction réduit (RISC), réduisant le nombre de transistors, optimisant l'architecture et, ainsi, baissant la consommation en énergie. Leur architecture fait appel à une intégration plus poussée de composants, et à l'usage de contrôleurs dédiés à des fonctions directement gérées par les composants matériels en limitant l'interprétation logicielle.

Faisant appel aux processeurs de type ARM ou Qualcomm, le cœur d'un smartphone est constitué d'un SOC (System On Chip) qui repose sur un processeur, et de différents composants comme le DSP (Digital Signal Processor) pour le traitement des bandes de fréquences 3G ou également le traitement de signal et d'images. De plus, des composants graphiques, tels que l'accélérateur graphique permettent de décoder des formats de vidéos variés et d'invoquer le composant de géo localisation GPS.

Ces composants périphériques sont consommateurs d'énergie, notamment les flux de données en émission et réception via les réseaux de type 3G. Actuellement, les constructeurs implémentent des piles logicielles d'optimisation afin de rendre le smartphone plus autonome que les 2 ou 3 heures constatées.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

risk   |   computer security   |   security of informations systems   |   mobility   |   iOS   |   androïd   |   iPhone   |   smartphone

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5380


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais En anglais

5. Gestion de la sphère privée et protection des données

Étant donné que de nombreux utilisateurs disposent de leurs propres smartphones, il peut sembler intéressant pour l'entreprise de les utiliser comme terminal de base de connexion distante au système d'information de l'entreprise. C'est le concept BYOD pour « Bring Your Own Device ».

Selon une étude d'IDC auprès de 206 utilisateurs et 100 responsables informatiques d'entreprises françaises, 18 % des DSI sont favorables à l'adoption des terminaux personnels dans l'entreprise, mais 76 % avouent ne pas mesurer l'ampleur de cette nouvelle tendance.

Les risques technologiques associés à ce postulat de base sont nombreux :

  • l'utilisateur dispose d'un accès complet à son terminal ;

  • il est administrateur et peut modifier à tout moment sa configuration ;

  • changer la version d'operating system ;

  • télécharger et mettre à jour des applications non contrôlées, etc.

  • Ainsi le premier enjeu est de réussir à diagnostiquer et évaluer le niveau de sécurité, effectuer un contrôle sanitaire du terminal avant de lancer toute connexion ou application en lien avec le système d'information. Dans ce cas, il semble plus aisé de proposer l'intégration des BYOD dans des infrastructures d'accès distants, pour lesquels on bâtit un réseau privé virtuel de type VPN SSL impliquant un composant de vérification sanitaire du terminal. Les fournisseurs de passerelles VPN ont intégré ces fonctionnalités telles que Junos Pulse Mobile security, ou encore Cisco Any connect secure mobility client.

  • Le second enjeu est de réussir à donner accès au terminal à un sous-ensemble limité de services et d'applications. Le concept est alors identique à la gestion des accès distants via les traditionnels clients IPSEC ou VPN SSL [H 5 240] avec l'accès à des ressources limitées par filtrage Firewall, notamment.

    On évitera alors d'installer...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Gestion de la sphère privée et protection des données
Sommaire
Sommaire

    1 Sites Internet

    • Symantec finds big differences in iOS, Android security (John Cox, Network world Juin 2011) http://www.networkworld.com/news/2011/062811-symantec-mobile-report.html

    • Répartition des marchés d'OS mobiles (2011) http://www.viralblog.com/wp-content/uploads/2011/04/Mobile-OS-Market-Share-2.jpg

    •  Lookout lands for iOS, offers missing phone service, Wi-Fi security notifications News by Dan Seifert on Tuesday October 18, 2011 http://www.mobileburn.com/17108/news/lookout-security-for-ios-now-available

    • Android, iPhone security different but matched

    • Charlie Miller, iPhone security bug http://www.forbes.com/sites/andygreenberg/2011/11/07/iPhone-security-bug-lets-innocent-looking-apps-go-bad

    • Enquête CNIL sur les données stockées dans les smartphones https://www.cnil.fr/fr

    • Trevor Rechkart, Carrier IQ http://www.androidsecuritytest.com/features/logs-and-services/loggers/carrieriq

    • Genome des applications mobiles

    MyLookout : éditeur d'une suite logicielle de sécurisation des mobiles

    [LookoutFeb2011] MyLookout AppGenome Project February 2011 report https://www.mylookout.com/appgenome

    • Blackhat-USA-2010-Mahaffey-Hering-Lookout-App-Genome-slides Metasploit et android http://www.metasploit.com/modules/auxiliary/gather/android_htmlfileprovider...

    Cet article est réservé aux abonnés.
    Il vous reste 94% à découvrir.

    Pour explorer cet article
    Téléchargez l'extrait gratuit

    Vous êtes déjà abonné ?Connectez-vous !


    L'expertise technique et scientifique de référence

    La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
    + de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
    De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

    Cet article fait partie de l’offre

    Sécurité des systèmes d'information

    (76 articles en ce moment)

    Cette offre vous donne accès à :

    Une base complète d’articles

    Actualisée et enrichie d’articles validés par nos comités scientifiques

    Des services

    Un ensemble d'outils exclusifs en complément des ressources

    Un Parcours Pratique

    Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

    Doc & Quiz

    Des articles interactifs avec des quiz, pour une lecture constructive

    ABONNEZ-VOUS