La mobilité est une dimension qui ne peut plus être ignorée lors de mise en place de nouveaux projets de messagerie, mais aussi lors de l’évolution des systèmes de communication existants au sein des entreprises.
Cette prise en charge de la communication mobile ne doit pas se faire au détriment de la sécurité, ni au détriment des fonctionnalités disponibles.
Du point de vue de l’administrateur, ActiveSync apporte de nombreuses fonctions qui sont fortement appréciées en entreprise pour permettre la gestion efficace d’une flotte de mobiles d’entreprise et pour garantir une sécurité maximale de la communication avec ces périphériques qui peuvent être la source de nombreux risques en termes de sécurité. ActiveSync apporte de nombreuses fonctionnalités telles que l’activation ou la désactivation de la fonction d’accès aux données d’un utilisateur Exchange depuis un mobile (pour chacun des utilisateurs si nécessaire), la définition des stratégies de sécurité telles que la longueur de mot de passe minimale, le chiffrement des données au sein du mobile, l’autorisation ou l’interdiction d’installer et d’exécuter certaines applications sur le mobile, le verrouillage de périphériques, le nombre maximal de tentatives d’entrée de mot de passe infructueuses, la commande d’effacement à distance pour supprimer toutes les données d’un périphérique perdu ou volé… et bien d’autres encore. Cette gestion peut s’effectuer de manière minimale avec des terminaux mobiles qui fonctionnent sous différents systèmes, mais la meilleure intégration et l’ensemble des fonctionnalités sont disponibles avec les différentes versions de Windows Mobile. Et comme souvent en informatique, plus la version est récente, plus le niveau fonctionnel est élevé.
Pour limiter les risques en termes de sécurité et disposer d’une capacité de gestion des équipements mobiles, il est possible d’interdire ou d’autoriser des téléphone mobiles à se connecter à l’organisation en se basant sur leur type en mettant en place une politique d’accès (Device Access Rule). Cela évite la connexion de téléphones mobiles personnels qui ne disposent généralement pas des fonctions de gestion avancée. Ce type de restriction est de plus en plus souvent mis en place car l’intégration d’un terminal mobile au système de messagerie Exchange se déroule de manière très simple. Il suffit en effet sur son terminal qui dispose d’une connectivité ‘Data’ et Internet de paramétrer ActiveSync avec le nom du chemin d’accès (URL) du serveur Exchange publié sur Internet et de saisir son nom d’utilisateur et son mot de passe. Il est donc de la responsabilité des administrateurs de définir les utilisateurs qui peuvent utiliser ce service et donc le désactiver pour les autres.
Un moyen complémentaire utilisé par certains administrateurs consiste à utiliser un certificat d’entreprise en lieu et place d’un certificat public. Cela nécessite de disposer du certificat de l’autorité de certification et de l’installer sur le terminal mobile. Plusieurs autorités de certification publiques, telles que Verisign, Cybertrust, etc, sont présentes par défaut. La gestion des certificats avec les périphériques de type téléphones portables est un point souvent abordé lors du déploiement des mobiles en entreprise. Il faut savoir que les connexions ActiveSync passent par un canal HTTPS (donc sécurisé), ce qui impose l’usage d’un certificat. Le processus ActiveSync étant automatisé, le certificat doit être impérativement valide et doit correspondre au nom du serveur publié sur Internet. En d’autres termes, aucune erreur ni message d’alerte ne doit apparaître lors de la connexion HTTPS. De plus, le nombre des autorités de certification reconnues par les téléphones est restreint (mais c’est de moins en moins souvent le cas). Il faut donc aussi s’assurer que l’autorité qui a émis le certificat est reconnue par le périphérique mobile ou qu’il est possible d’ajouter cette autorité de certification dans le magasin de certificat du mobile. La bonne gestion des certificats par les mobiles est un gage de sécurité et de confidentialité des données, ce qui impose une gestion stricte de ces éléments. Attention à certains mobiles qui peuvent accepter trop facilement les certificats, même s’ils ne sont pas validés correctement au niveau des autorités de certification.
Cela signifie que la révocation des certificats du serveur n’est pas prise en compte. La mise en place d’une politique d’accès est donc fortement conseillée pour éviter ce type de désagrément. Windows Mobile se base sur la gestion des certificats au sein de magasins tout comme les versions actuelles de Windows.
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
