jeudi 19 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Daniel Jouan, RIM : « Le ministère de l’Économie, la Banque de France (...)

Daniel Jouan, RIM : « Le ministère de l’Économie, la Banque de France et GDF utilisent le Blackberry »

Christophe Guillemin, ZDNet.fr

mercredi 17 octobre 2007, sélectionné par Spyworld

logo

BlackBerry vient de décrocher un label de sécurité international. Pour son fabricant, cette certification devient un instrument pour faire taire les critiques sur le niveau de sécurité de sa solution. Explications avec Daniel Jouan, directeur grands comptes chez RIM France.

La sécurité de la plate-forme de messagerie mobile BlackBerry est très régulièrement mise en cause. En France, les terminaux de Research in Motion (RIM) seraient même interdits dans les services du Premier ministre et ceux de la présidence de la République.

Son fabricant a fait passer des tests à la solution, obtenant fin septembre la certification de sécurité internationale EAL 2+. Un excellent vecteur de communication qu’il compte bien utiliser pour faire taire les critiques.

Daniel Jouan, directeur grand compte et expert en sécurité chez RIM France, répond aux questions de ZDNet.fr,

ZDNet.fr : Vous avez décroché fin septembre la certification de sécurité internationale EAL 2+. Pourquoi avoir souhaité disposer de ce label ? Daniel Jouan - Il s’agit de démontrer, de manière indépendante, le haut niveau de sécurité de la solution BlackBerry. C’est avec ce type de label que l’on bâtit la confiance de certains utilisateurs. C’est la première solution mobile qui l’obtient, et nous croyons donc que cela aura un impact très positif sur l’image de notre plate-forme.

Nous avons mis près de 24 mois à l’obtenir, au terme d’une procédure drastique. Tous les tests ont été réalisés par une société tierce, et ont porté autant sur le côté serveur que sur le côté terminal dans sa version 4.1.

C’est pour nous l’occasion de rappeler que la sécurité est l’ADN de la solution BlackBerry. Sans cela, nous ne compterions pas 700 000 utilisateurs de nos terminaux dans des gouvernements, par exemple en Australie, au Royaume-Uni ou même à l’Otan.

En France, vous avez un certain déficit d’image, depuis les rumeurs d’interdiction de votre solution dans les services du Premier ministre et de la présidence de la République. La certification EAL 2+ arrive donc à point nommé pour redorer votre blason ? L’obtention de ce label n’est pas liée au cas français. Il s’agit d’un standard international ayant obtenu la norme ISO/CEI 15408 et reconnu dans 25 pays. Cette certification apporte une preuve supplémentaire du niveau de sécurité de la solution BlackBerry.

Je tiens à rappeler que le Minefi (ministère de l’Économie, des finances et de l’emploi, Ndlr) utilise la solution BlackBerry. Plusieurs centaines de terminaux leur ont été livrés, ainsi qu’un serveur hébergé en local par le ministère. La banque de France a également retenu notre solution, tout comme Gaz de France et plusieurs conseils généraux. Je ne crois pas qu’ils l’auraient fait sans de sérieuses garanties en matière de sécurité.

La critique revenant le plus souvent concerne les e-mails, qui passent par vos serveurs situés à l’étranger. Que répondez-vous à cela ?

Effectivement, les données passent nécessairement par nos serveurs. Cela est nécessaire, car notre solution fonctionne avec les réseaux mobiles des opérateurs proposant la solution BlackBerry. Nos infrastructures sont ainsi reliées aux réseaux de plus de 300 opérateurs dans le monde. Je ne vois pas en quoi cela peut poser problème. C’est même un gage de sécurité, car le terminal n’est ainsi jamais visible sur le réseau de l’entreprise et il n’y a aucune connexion directe.

La société se connecte au réseau de l’opérateur, lui-même connecté à notre infrastructure. Puis nous transférons les e-mails aux terminaux. À aucun moment le terminal se connecte au réseau de l’entreprise. Il ne fait que recevoir des données ; il n’en envoie pas. L’entreprise peut donc ouvrir son pare-feu au niveau des données sortantes et bloquer toutes les données entrantes.

Le risque d’utiliser un terminal BlackBerry pour s’infiltrer sur le réseau de l’entreprise, est donc très limité. Nous avons par exemple demandé au Fraunhofer Institute, en Allemagne, d’auditer régulièrement la sécurité de notre plate-forme. Depuis un an et demi, il réalise des tests d’intrusions et tente de casser nos protections, sans succès.

Qu’est-ce qui garantit que RIM n’accède pas au contenu des e-mails ?

Les informations sont chiffrées de bout en bout, via l’algorithme public AES (Advanced Encryption Standard) avec une clé de 256 bits. Chaque message est donc protégé de manière individuelle sur le principe clé publique / clé privée, des clés auxquelles nous n’avons bien entendu pas accès, puisqu’elles sont générées automatiquement par l’algorithme. Et cet algorithme n’a jamais été cassé. Les messages sont donc, pour l’instant, impossibles à déchiffrer, même pour nous.

Les entreprises peuvent-elles ajouter des options de sécurité à la solution BlackBerry ?

Non seulement c’est possible, mais certains clients le font déjà. Il faut cependant opter pour l’utilisation d’un serveur BlackBerry local, et non pour notre solution 100 % hébergée par nos soins à distance. L’entreprise peut alors par exemple y ajouter un chiffrement supplémentaire des données ou une solution de gestion d’identité, afin de réclamer un mot de passe et un identifiant aux utilisateurs.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :