Favoriser l’essor des usages innovants autour de la mobilité tout en assurant la protection des données critiques. Comment gérer et sécuriser une flotte de terminaux mobiles ? Pour réussir cette gageure, une entreprise doit miser sur la sensibilisation des collaborateurs, le déploiement d’outils d’administration et la définition d’une stratégie mobile.
Les impacts des nouvelles habitudes de travail sur le Système d’Information
Télétravail, coworking, freelancing…. Les nouvelles habitudes de travail ont des impacts sur l’organisation d’une entreprise mais aussi sur son système d’information (SI). Pour favoriser l’adoption d’usages innovants, le SI doit supporter des terminaux qui sortent de son périmètre traditionnel. Par définition mobiles, smartphones, tablettes et autres PC hybrides sont davantage sujets aux vulnérabilités que les postes de travail fixes, confinés dans les locaux mêmes de l’entreprise. D’autant qu’avec le phénomène du BYOD (Bring your own device), les employés utilisent leurs propres appareils pour travailler sur site ou à distance. Le SI s’ouvre aussi, ponctuellement ou régulièrement, à des terminaux appartenant à des partenaires ou à des sous-traitants.
Le DSI ou le chief digital officer (CDO), selon les organisations, doit pouvoir fournir à ces utilisateurs protéiformes l’accès aux applications, aux données et aux ressources de l’entreprise depuis n’importe où et n’importe quel périphérique tout en garantissant un haut niveau de sécurité. Ce devoir de protection prend un relief accru depuis la mise en œuvre, le 25 mai 2018, du nouveau règlement européen sur la protection des données personnelles.
En cas de fuite de données sensibles, ce RGPD prévoit des sanctions pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, l’autorité de contrôle – la Cnil pour la France – prenant en compte le montant le plus élevé des deux. Au-delà du risque financier, un vol d’informations rendu public peut durablement ternir la réputation d’une entreprise.
Pour prévenir ce type de menace, il convient de sensibiliser l’ensemble des collaborateurs aux enjeux de la sécurité en mettant l’accent sur les populations à risque que sont les commerciaux nomades, les techniciens sur site mais surtout les cadres dirigeants multipliant les voyages d’affaires à l’international. La plateforme cybermalveillance.gouv.fr propose une fiche pratique reprenant les règles de base en matière de sécurité des appareils mobiles. De son côté, l’Anssi (Agence nationale de la sécurité des systèmes d’information) a publié un « passeport de conseil aux voyageurs » qui distille des conseils pratiques, du chiffrement des données sensibles au filtre écran de protection.
Etes-vous MDM, MAM, MCM ou EMM ?
Il existe aussi des solutions pour gérer une flotte de terminaux mobiles sous iOS, Android, Windows, Windows Mobile ou Mac OS X. Un outil de MDM (Mobile device management) prend en charge la partie « hardware ». Il permet à un administrateur d’autoriser l’accès aux ressources de l’entreprise aux seuls appareils inventoriés. Le module de MDM fournit de certificats et des profils pour l’accès au wifi ou au réseau privé virtuel (VPN) de l’entreprise. Il s’assure ainsi que chaque terminal respecte les normes de sécurité édictées. En cas de vol ou de perte, il est bloqué à distance.
Une solution de MAM (Mobile application management) va, elle, gérer les applications mobiles. Un administrateur peut interdire l’installation ou l’accès aux applications non conformes à la politique de sécurité, contrôler la manière dont les données sont utilisées et partagées, restreindre certaines actions telles que copier, coller ou enregistrer. Le MAM permet aussi de suivre l’utilisation des applications mobiles ou de les mettre à jour à distance.
Dernier module, le MCM (Mobile content management), ou MIM pour Mobile Informations Management), permet de contrôler l’utilisation des données de l’entreprise. Les données peuvent être chiffrées, protégées à l’aide d’un mot de passe et effacées à distance en cas de vol ou de perte du terminal.
Pour résumer, le MDM s’occupe des « devices », le MAM des applications et le MCM des données. En restant dans les acronymes, une Enterprise mobility management (EMM) regroupe ces différentes briques pour proposer une approche globale de la sécurisation des terminaux mobiles.
Définir en amont une stratégie mobile
Le déploiement d’une solution EMM ne dispense pas l’entreprise de définir en amont une stratégie mobile. Il convient tout d’abord d’évaluer la population visée. Combien de collaborateurs sont concernés ? L’étape suivante consiste à les regrouper par profils utilisateurs – occasionnels, réguliers, permanents – par statut – opérationnel, manager, VIP – ou par service – marketing, commercial, RH… En fonction de sa famille de rattachement, un utilisateur aura un accès plus ou moins limité aux applications, aux données ou à certaines fonctions du terminal.
Dans le cas du BYOD ou si le salarié est autorisé à utiliser son appareil professionnel à des fins personnelles, il s’agira d’effectuer une séparation étanche entre les parties « pro » et privée. Cette « containérisation » peut s’effectuer via l’OS du terminal ou la solution d’EMM. Avant de choisir un EMM, l’entreprise devra s’assurer qu’il répond aux principales menaces identifiées – malware mobile, téléchargement d’applications non fiables, connexion à des réseaux wifi non sécurisés… – mais aussi aux différents OS mobiles du parc. Si ce n’est pas quel cas, quelles évolutions de l’existant prendre en compte ?
Une stratégie mobile consiste également à placer le curseur au bon endroit. A l’heure de la transformation numérique, elle doit protéger les actifs de l’entreprise mais sans brider la diffusion d’usages innovants. Les fonctions de reporting d’un EMM permettent de remonter l’utilisation réelle que font les collaborateurs de leur smartphone ou leur tablette. Cela permet de lutter contre le « shadow IT », à savoir les services installés par l’utilisateur sous le radar de la DSI.
Selon une étude réalisée par le Club des experts de la sécurité de l’information et du numérique (Cesin) en partenariat avec Symantec, les collaborateurs font ainsi une grand consommation des webmails de type Gmail ou Outlook.com et des applications de partage de fichiers comme Dropbox ou Google Drive. Des applications qui exposent l’entreprise à de potentielles fuites de données. Au DSI ou au CDO de reprendre la main en proposant des services équivalents dans le catalogue officiel des applications « corporate » ou d’opter pour les versions professionnelles et sécurisées de ces applications populaires. La promesse de la mobilité – travailler n’importe où, n’importe quand – est à ce prix.
