Charles d'Aumale, Ercom: «Prism a servi de grosse caisse de résonance»
Société spécialisée dans la sécurité des communications mobiles, Ercom a récemment obtenu l'agrément « Diffusion restreinte » de l'ANSSI. Un agrément qui ouvre les portes des services de l'Etat à sa solution Cryptosmart, qui permet de sécuriser les smartphones et les communications qui y sont passées. Le point sur l'offre avec Charles d'Aumale, responsable ligne produits sécurité chez Ercom.
Créée en 1986, Ercom a longtemps été une entreprise de brevets télécoms avant de basculer dans l'offre produits en 2007. Depuis, la société évolue autour de deux piliers : les testeurs et simulateurs de cours de réseaux mobiles (aujourd'hui la 4G) pour aider les équipementiers à finaliser leur réseaux d'accès (eNode B ou antenne) d'une part ; et la sécurité des communications d'autre part. Un domaine dans lequel évolue Ercom depuis 10 ans (avec des PDA sous Windows Mobile à l'époque). Ercom a récemment obtenu l'agrément « Diffusion restreinte » de la part de l'Anssi (Agence nationale de la sécurité des systèmes d'information), certifiant le haut niveau de protection de la solution Cryptosmart qui équipe d'ailleurs le smartphone Hoox de Bull. L'occasion pour nous de faire le point sur l'offre d'Ercom avec Charles d'Aumale, responsable ligne produits Sécurité.
Silicon.fr - Détaillez-nous les caractéristiques de votre offre de sécurité Cryptosmart ?
Charles d'Aumale : Nous répondons principalement à trois grands types de menace : l'accès frauduleux au contenu du terminal en cas de perte ou de vol, les risques d'espionnage des communications et les risques d'attaques. Sur l'accès non autorisé, le terminal est protégé par un mot de passe stocké dans la carte à puce certifiée EAL4+, qui héberge également les certificats de chiffrement. Même si l'on retire cette dernière, l'accès aux données reste impossible car nous adaptons le kernel de l'OS afin de stocker le verrouillage de l'écran dans la carte à puce et non pas sur le terminal. De plus, toutes les données du système de fichiers sont cryptées interdisant leur accès via USB. Nous proposons également les services d'effacement à distance.
Les écoutes malveillantes, qui peuvent avoir lieu depuis le Wifi, sur la partie radio ou les gateway à l'international, sont bloquées car tous les accès data passent par la gateway du SI de l'entreprise. Les gateway sont chez les clients et les clés de chiffrement et la PKI (infrastructure à clés publiques, NDLR) sont ceux du client qui reste donc autonome en termes de cryptographie et de passerelle. L'administrateur peut ainsi filtrer les accès Internet, voire les interdire totalement. Cette autonomie nous distingue notamment de la solution de Blackberry qui centralise les communications sur ses serveurs (et dont, au passage, nous commençons à récupérer des clients qui étaient partis sur l'iPhone notamment). La partie voix et SMS peut être authentifiée et chiffrée de bout en bout entre deux téléphones ou bien « chiffré-clair » pour sécuriser la communication entre le terminal et la passerelle connectée à l'IPBX de l'entreprise.
Enfin, la protection contre les attaques passe par l'ajout d'un firewall sur le terminal pour gérer les autorisations à distance avec des fonctions antirooting et éviter l'installation de backdoor selon des niveaux de sécurité que choisit l'administrateur : aucune installation autorisée, 10 applications, ou encore toutes les applications possibles. La gestion des applications peut s'effectuer avec une solution de MAM complémentaire. Aujourd'hui, nous travaillons notamment avec Pradeo et MobileIron. Nous réfléchissons à développer notre propre solution.
Côté entreprise, l'accès au système est sécurisé avec nos propres appliances.
Installer les certificats de chiffrement sur une carte microSD limite le marché des modèles de smartphones compatibles avec Cryptosmart.
Nous sommes en fait compatibles avec la gamme Galaxy S de Samsung uniquement. Ce qui ne pose pas tant de problèmes commerciaux qu'on pourrait le supposer. Les gens comprennent qu'en matière de sécurité, il peut y avoir une certaine contrainte. Et les Galaxy S rivalisent largement avec les offres concurrentes. Chez Apple, au-delà de l'absence de slot microSD, il est assez difficile d'y adjoindre des solutions tierces de sécurité tant l'OS est fermé en comparaison de ce que l'on a pu connaître avec Windows Mobile. Pour Windows Phone, la décision n'est pas encore prise d'y aller mais nous allons devoir nous décider vite car Microsoft est très implanté dans les entreprises, et son rapprochement avec Nokia et sa puissance de feu marketing fait que Windows Phone monte doucement, mais sûrement sur le marché.
En visant la compatibilité avec les Galaxy S, Cryptosmart s'inscrit donc dans la stratégie Knox de Samsung??
Cryptosmart peut être complémentaire de Knox qui s'en tient à gérer deux environnements, personnel et professionnel, au sein du même terminal. Nous ajoutons à Knox de la sécurité forte avec la carte à puce microSD pour bien sécuriser les attributs de cryptographie et d'authentification forte au SI. Par ailleurs, nous pouvons apporter la voix et les SMS chiffrés, ce que ne fait pas Knox.
Qui sont vos clients Cryptosmart et sur quels marchés évoluez vous??
Nos clients sont principalement des administrations, notamment militaires, de gros industriels dans le domaine de la Défense et de l'Energie avec beaucoup d'activités à l'export mais aussi des PME qui évoluent dans les domaines sensibles et qui peuvent alors s'appuyer sur des partenaires en mode hébergé pour gérer l'infrastructure.
Notre marché de prédilection est la France mais nous adressons aussi l'Afrique, le Moyen-Orient, l'Europe centrale et commençons à aborder les Amériques et l'Asie. Le fait de commencer à être reconnus nous aide, via des distributeurs locaux ou français qui ont des projets sur place. Nous vendons en indirect.
Nos tarifs sur la protection des données tournent autour d'un TCO à 10 euros/mois/utilisateur. Et beaucoup plus pour la voix avec 1500 à 2500 euros sur 3 ans. Ce qui correspond à la fourchette de prix en Europe.
Cryptosmart a récemment obtenu la certification « Diffusion restreinte » de l'Anssi. En quoi consiste-t-elle et que va-t-elle vous apporter??
Obtenir une certification EAL4+ nécessite 1 an et demi d'allers-retours avec un laboratoire indépendant qui éprouve la fiabilité de notre solution à travers toute une batterie de tests. C'est fait dans les règles de l'art de manière particulièrement professionnelle. Cela nous a permis d'estampiller l'applet de notre carte à puce d'un véritable certificat de sécurité l'an dernier. Cette première étape a été suivie d'une seconde, l'obtention de l'agrément « Diffusion restreinte », afin que les services de l'Etat puissent utiliser notre solution. Tous les logiciels autour ont ainsi été vérifiés pour garantir que, du mobile à la gateway, toute la chaine est sécurisée. Avec cet agrément, plus nombreux sont les services de l'Etat à nous solliciter aujourd'hui.
La directive du Premier ministre parue l'été dernier et demandant aux ministres de ne plus utiliser leurs smartphones et tablettes personnels pour leurs communications sécurisées est-elle appliquée ?
Les services de l'Etat sont en cours de mise à jour et la directive est en cours de résolution, ce qui prend du temps. Mais si l'on en croit certaines photos (de ministres utilisant un iPhone notamment, NDLR), il est clair qu'elle n'est pas appliquée par tous. La sécurité est intrinsèque, mais elle ne répond pas forcément aux besoins d'intégrité.
L'affaire Prism vous est-elle bénéfique ?
Les professionnels de la sécurité savaient à peu près ce qui se passait. Le fait que les plus grands média aient relayé les informations d'Edward Snowden a fait prendre conscience aux décideurs du monde entier des vrais enjeux de sécurité sur les réseaux de communication. Cette conscience a fait accélérer les projets. Au-delà du phénomène médiatique, il y a toujours un arbitrage à faire sur le niveau de sécurité recherché, mais il y a une réelle prise de conscience dans le monde entier. Prism a servi de grosse caisse de résonance, même si ce n'est pas la première affaire du genre.
Lire également :
- Sécurité : neuf applications mobiles sur dix sont vulnérables
Sur le même thème
Voir tous les articles Business