La mobilité en entreprise : une chance, des risques, des solutions

Parallèle entre les nouveaux usages de la mobilité en entreprise et les parades sécuritaires à mettre en place établi par Patrick Chambet, le responsable de la sécurité des systèmes d’information et responsable du centre de sécurité de C2S (Groupe Bouygues).

C’est un signe : les sacs à main dont la taille ne permet pas de contenir une tablette ne se vendent plus ! De même, il est désormais inimaginable, pour les salariés, de ne pas pouvoir consulter leur agenda professionnel sur le smartphone qu’ils se sont offert à Noël. Tant pis s’ils doivent se livrer à une connexion sauvage de leur périphérique au système d’information (SI), avec toutes les conséquences que cela implique. Que faire pour accompagner ces nouveaux usages ? Voici quelques réflexions et pistes de solutions à l’usage d’un DSI découragé ou d’un responsable de la sécurité des SI stressé (et vice versa).

Cerner le contexte pour évaluer les risques

Première question à se poser : quelle valeur représente, pour l’entreprise, un périphérique mobile ? Plus que le coût du matériel, ce sont les informations qui y sont stockées qu’on doit évaluer. Il faut aussi considérer le mobile comme une porte ouverte sur le SI de l’entreprise. L’agence Enisa (European Network and Information Security Agency) ne s’y est pas trompée : c’est le risque qu’elle classe en numéro un dans son top 10 des dangers liés à la mobilité. Ainsi donc, si une tablette contenant des offres commerciales confidentielles est volée dans un aéroport, quelle est la perte potentielle ? L’oubli dans un taxi d’un PDA synchronisé avec la messagerie et l’agenda du PDG constitue-t-il un incident anodin ? Si une tablette, connectable au SI de l’entreprise sans mot de passe (parce qu’il est « caché » par le client VPN), est égarée par un technicien, celui-ci pensera-t-il à changer ses mots de passe ?

Il faut ensuite identifier le contexte de son entreprise. La flotte de périphériques mobiles connectés au SI appartient-elle à la société (des tablettes fournies aux commerciaux, par exemple) ou aux collaborateurs (les périphériques personnels ou mixtes « pro-perso ») ? Sans oublier le cas du BYOD (Bring Your Own Device). La flotte est-elle homogène ou constituée de systèmes d’exploitation (OS) variés (iOS, Android, Blackberry, Windows Mobile) ? A quoi les salariés accèdent-ils depuis leur mobile : uniquement à la messagerie, à certaines applications sensibles ou à tout le réseau interne ? Ces éléments vont conduire à des réponses différentes, aussi bien aux niveaux juridique et ressources humaines que technique.

Une fois le cadre cerné, l’étape suivante consiste à évaluer les risques qui en découlent. Il n’est pas impératif de dérouler l’intégralité d’une méthode d’analyse de risques « officielle ». Il vaut mieux identifier les principaux périls auxquels l’entreprise s’expose et, bien entendu, évaluer leur criticité.

Le résultat de cette évaluation permettra de définir les exigences de sécurité à appliquer aux périphériques mobiles. Ces contraintes vont elles-mêmes mener à la mise en place de mesures de sécurité, organisationnelles et techniques.

Sensibiliser les collaborateurs

Voici quelques règles à appliquer et à faire respecter. Activer le verrouillage automatique de l’appareil après une courte période d’inactivité. Chiffrer les données qu’il contient et les sauvegarder régulièrement. Les effacer à distance en cas de perte, vol ou tentatives d’accès répétées. Mettre en place des échanges chiffrés entre le périphérique et le SI. Vérifier la provenance et les permissions que requièrent les applications avant de les installer. Effectuer les mises à jour de sécurité de l’OS. Effacer les contenus du mobile avant de le transmettre à un autre utilisateur ou de le revendre. Se méfier des spams (e-mails et SMS), ne pas cliquer sur les liens qu’ils contiennent. Installer un antimalware. Interdire aux utilisateurs de « jailbreaker » ou « rooter » leurs machines. Enfin, surveiller les factures téléphoniques, afin de détecter les consommations non justifiées.

Pour appliquer automatiquement ces mesures de sécurité à l’ensemble d’une flotte hétérogène, une solution de MDM (Mobile Device Management)peut être utile. Dans tous les cas, le succès d’un projet de sécurisation des périphériques mobiles tient à la mise en place d’une vraie conduite du changement et à la sensibilisation des collaborateurs, afin qu’ils s’approprient les risques qu’ils peuvent faire courir à leur entreprise. L’espoir est toujours permis…

Les Assises de la sécurité et des systèmes d’information se tiendront du 3 au 6 octobre prochain, à Monaco
(www.lesassisesdelasecurite.com).