Si le système d'information restait cloisonné à l'enceinte de l'entreprise, tout irait pour le mieux. La politique de sécurité, assujettie à l'utilisation faite de l'outil informatique, serait définie dans un cadre connu et maîtrisé. Mais, malheureusement, le système d'information est ouvert. Pire il l'est chaque année un peu plus. Le recours à des périphériques mobiles pour se connecter hors de l'entreprise à son système d'information est un facteur aggravant de cette tendance. Ces périphériques ­ ordinateurs portables, assistants numériques de poche, téléphones intelligents ­ ouvrent l'entreprise à tous les vents. Et la situation ne s'améliore pas. Le Gartner prévoit que le nombre de périphériques mobiles ­ téléphones portables exclus ­ équipés de fonctionnalités sans fil, dépassera 1,5 milliard dès 2005. Pour cette année, les ventes de périphériques mobiles devraient atteindre 52 milliards de dollars selon Dataquest.

Ce recours croissant à la pratique du nomadisme ne peut pas être freiné par la DSI (direction des systèmes d'information) sous couvert de sécurité. Dirigeants, cadres supérieurs, équipes de commerciaux, ingénieurs en mission, sont au nombre de ces itinérants qui dépendent d'un accès au système d'information. L'état de l'art de la sécurisation de ces accès se résume encore trop au couple authentification forte et réseau privé virtuel. Ainsi la DSI se réconforte sur deux points : je me porte garant de l'identité de la personne qui se connecte à mon système d'information, et je m'assure que la transmission des données entre son poste et l'entreprise ne peut être interceptée. Quid du préjudice du vol d'un ordinateur portable d'un dirigeant en déplacement ?

Authentification et chiffrement des communications sont nécessaires, mais recouvrent la seule problématique d'accès. « Or il est tout aussi crucial pour les entreprises de se préoccuper de la teneur des informations que traitent les nomades » rappelle Denis Confuron, directeur des opérations d'Ipelium, prestataire spécialisé dans la mobilité sécurisée. « Avant d'envisager l'utilisation de l'appareil pour accéder au système d'information, il faut le sécuriser par un chiffrement de surface », insiste-t-il. Ainsi, prendre soin de protéger l'ouverture du terminal par un mot de passe, dès le Bios, et chiffrer les répertoires de données sensibles sont des précautions basiques incontournables. L'enjeu : faire que « le prix d'une machine volée ne représente que le prix du matériel et pas les données qui, elles, sont valorisables », argumente Denis Confuron. La mobilité est également l'illustration de la cohabitation d'outils d'entreprise avec des outils domestiques. Le cadre supérieur s'approprie facilement le portable qu'il utilise de son domicile ou de sa chambre d'hôtel. L'installation d'applications non validées par la DSI doit être néanmoins proscrite, chacune d'entre elles pouvant violer la politique de sécurité de l'entreprise.

« L'utilisation d'internet pour se connecter à l'entreprise est le risque maximal que représente un périphérique mobile, prévient Laurent Levy, responsable de l'activité sécurité chez Transiciel, le poste relié via un tunnel VPN est aussi sur internet. » Protéger ces postes par un système de détection d'intrusion et un pare-feu personnel, sans omettre l'antivirus, s'avère plus que jamais vital.

Ce n'est qu'une fois le périphérique sécurisé intrinsèquement, que l'entreprise peut envisager de lui ouvrir son système d'information. Une sécurité optimale passe par une gestion à minima des informations échangées. Les limites des équipements et réseaux sont à ce titre riches d'enseignements. Le recours à un client léger ­ de rigueur sur un assistant numérique connecté en GPRS ­ peut être étendu à un ordinateur portable. Car diverses utilisations nomades peuvent se contenter d'une simple visualisation de données sur le terminal. Avantage : l'itinérant ne récupère ni ne conserve de données sensibles sur son disque dur. Son poste ne peut être utilisé pour corrompre le système d'information de l'entreprise. Empêcher l'alimentation des bases de données en temps réel, c'est le résultat du déploiement d'un serveur de contenu en zone démilitarisée (DMZ). Lié au serveur de client léger, il autorise la mise à jour dans les deux sens, vers le terminal et vers la base de données. De plus, la synchronisation des données permet une définition précise de ce qui est autorisé : plages horaires, serveurs et bases de données, protocoles.

Il est possible d'opter pour un mode de synchronisation de données asynchrone : cela consiste à pousser des données pour garder le contrôle du type d'informations mis à disposition sur le terminal. N'est poussée que la donnée, mise à jour ponctuellement, nécessaire à l'itinérant. En outre, cette méthode permet le contrôle sur les terminaux des outils installés. Un client de synchronisation s'assure auprès d'un serveur de l'état du terminal distant et supprime le cas échéant les programmes non autorisés par la politique de gestion de la sécurité. Une solution telle que ZENworks for Handhelds, de Novell, s'est spécialisée dans cette distribution de contenu par « push » et dans l'inventaire logiciel pour les assistants numériques. Le fondement d'une telle solution est résumé par Denis Confuron : « Moins il y a de manipulation sur le poste, plus la sécurité est assurée » .