Orange Cyberdefense veut initier les RSSI à WhatsApp ou plutôt à une communication sur mobile qui soit à la fois sécurisée et certifiée par l’ANSSI, mais aussi ultra-ergonomique afin de séduire des utilisateurs pas toujours coopératifs avec les outils de sécurité.
Orange Cyberdefense a mis à profit la première journée des Assises de la Sécurité afin de présenter en détail une nouvelle offre à son catalogue : M3S (pour Mobile Secure Solution Suite). Cette suite couvre tous les aspects de la sécurisation d’une flotte mobile, depuis la gestion des terminaux, des données et applications, le chiffrement des communications, jusqu’au volet gestion des incidents et remédiation en cas de compromission d’un appareil. « Quatre entreprises sur cinq n’ont pas mené de véritable réflexion quant à la protection de leurs mobiles, or le mobile est aujourd’hui devenu un vecteur d’attaque qui permet de récupérer des informations telles que les mots de passe, des informations internes » a ainsi expliqué Cyril Alcover, Security Product Manager chez Orange Cyberdefense aux RSSI présents. Le premier étage de l’offre vise à prévenir d’une attaque une flotte de mobiles. « A ce niveau, la bonne pratique consiste à mettre en œuvre un outil de gestion de flotte afin de réaliser un inventaire précis des terminaux et leur appliquer une politique de sécurité. »
Une offre complète co-construite par Orange Cyberdefense et OBS
Le premier étage de l’offre M3S consiste donc en un EMM (Enterprise Management System) lui-même composé du MDM pour la gestion des terminaux, le MCM pour la gestion des contenus mobiles et enfin du MAM pour la gestion des applications mobiles. La plateforme va donc détecter si l’utilisateur installe une application blacklistée sur son terminal et va placer celui-ci dans un container de sécurité, éventuellement brider ses accès au SI de l’entreprise. La plateforme rend possible le contrôler du code de verrouillage de chaque terminal, l’activation du Bluetooth ou encore le chiffrement de son contenu. « Nous avons un agent qui se déploie sur les terminaux mobiles sous la forme d’une application. Cette application de MTP (Mobile Threat Protection) se réveille lorsqu’une menace est détectée et propose alors une action de remédiation. »
Cette offre Orange Cyberdefense ne s’arrête pas là ; au niveau du terminal ; puisque les ingénieurs proposent une solution de communications chiffrées assez étonnante, Mobile Security Intense. Partant du principe que les dirigeants ou les salariés à qui l’on remet un terminal durci l’abandonnent rapidement pour continuer à utiliser leur iPhone ou terminal Android personnel, Orange a développé un « WhatsApp pro » qui permet de faire de la messagerie, des communications voix/vidéo et envoyer des fichiers de manière totalement sécurisée mais avec une interface suffisamment simple pour pouvoir être utilisée par tous sans aucune formation préalable. « On peut l’appeler un WhatsApp à la française ! Ce n’est qu’un raccourci mais c’est bien l’objectif : on peut avoir une ergonomie comme les applications populaires de type Signal, WhatsApp, Telegram qui sont des sociétés avec lesquelles on ne peut pas avoir de confiance au niveau des serveurs. » Avec Mobile Security Intense, Orange Cyberdefense propose une solution de chiffrement dont les serveurs sont hébergés par ses soins et dont la certification CSPN par l’ANSSI est imminente. Une version Mobile Security Premium certifiée « Diffusion Restreinte » par l’OTAN et l’UE a aussi été évoquée sur smartphones Samsung.
Ajoutons enfin que le CyberSOC et le CERT d’Orange Cyberdefense viennent compléter le dispositif pour chapeauter cette gestion de flotte. Le mobile, un terminal bientôt véritablement sécurisé ? C’est l’ambition de cette nouvelle offre.
Auteur : Alain Clapaud