Gérer la sécurité informatique mobile est devenu indispensable et obligatoire pour toutes les entreprises. En effet, quand l’environnement est mobile, pour les collaborateurs mais aussi pour les dirigeants, les enjeux sont d’autant plus importants.
L’objectif va alors être de trouver un bon compromis entre les différentes contraintes et la réalité “du terrain”, telle qu’elle est vécue à l’échelle de l’entreprise, surtout dans les petites structures : pour être pertinentes, les solutions choisies doivent être simples à utiliser et proposées à des tarifs abordables.
Un arsenal réglementaire de plus en plus contraignant
Ces dernières semaines, tous les projecteurs ont été braqués, à juste titre, sur la transposition en France le 25 mai dernier d’une directive européenne : le RGPD (Règlement général sur la protection des données).
Cette nouvelle réglementation accentue considérablement les responsabilités des entreprises concernant :
- le recueil du consentement à la collecte et à la conservation des données
- la sécurisation du système d’information, ce qui implique notamment de mettre en place une forte authentification lorsque l’environnement est mobile.
Pour plus d’informations sur le RGPD, consultez notre article dédié à ce sujet.
Mais ce que les entreprises ignorent trop souvent, c’est que d’autres directives, adoptées en début d’année, vont également dans le sens d’une augmentation de leurs obligations.
La DSP2 (Directive européenne sur les services de paiement 2ème version), entrée en vigueur le 13 janvier 2018 pour une application en septembre 2019, va notamment imposer un renforcement de l’authentification des paiements supérieurs à 30 euros, les autorisations de prélèvement ou les virements permanents. (source)
La NIS (directive Network and Information Security), en vigueur depuis le 9 mai dernier, destinée entre autres à protéger les entreprises contre les attaques informatiques prévoit la mise en place d’un contrôle et d’un audit obligatoire concernant la sécurité des données gérées par les opérateurs de services essentiels (OSE). (source)
Au quotidien : intégrer les nouveaux usages
Au-delà des contraintes réglementaires, la question de la sécurité des données devient un enjeu de compétitivité.
Une entreprise performante est une entreprise qui a su évoluer avec son temps et s’adapter aux évolutions technologiques (cloud, objets connectés,… ) et comportementales (mobiles ou tablettes personnelles utilisées à des fins professionnelles et inversement, travail à distance, dossiers partagés avec des partenaires ou des prestataires…). Il faut assimiler ses changements à tous les niveaux. Concernant la sécurisation des données, il est capital de revoir l’authentification permettant d’accéder aux systèmes d’information de l’entreprise. Cela permet de limiter les risques de piratage, vol de données et tentatives d’escroqueries en tout genre.
Or la mobilité ne concerne plus uniquement quelques salariés ! Elle est présente chaque jour, de multiples manières, dans le quotidien du dirigeant, de ses collaborateurs et de ses partenaires. Et ce phénomène va aller en s’accentuant… Or les appareils mobiles sont beaucoup plus vulnérables.
Moins protégés que les postes de travail sur PC, cela fait d’eux la cible privilégiée des hackers : saviez-vous par exemple que l’on peut pirater votre smartphone pendant qu’il se recharge ? (source).
Les appareils mobiles sont aussi plus facilement volés ou perdus, et ils servent à télécharger des applications parfois peu fiables.
Le dirigeant doit donc mettre en place des solutions pour avoir une vison globale de son système informatique. Cela passe notamment par une authentification forte, le contrôle et la traçabilité des identités numériques des utilisateurs mais aussi de toutes les autorisations et délégations quelque soit le périphérique utilisé.
En parallèle, il faut pourtant que le travail puisse être effectué vite et bien. Les processus de sécurisation trop complexes ont en effet au moins 3 inconvénients majeurs, car ils :
- Font perdre du temps au quotidien et ont donc un impact sur la productivité des salariés
- Nécessitent une formation avant utilisation, un coût supplémentaire qui semble souvent trop élevé pour les petites structures.
- Rebutent les collaborateurs qui finissent par ne plus les utiliser (ou alors ils ne les utilisent pas correctement)
Quelques mesures à mettre en place pour la sécurité informatique mobile de votre entreprise
Il existe de nombreuses mesures permettant d’améliorer la sécurité informatique de votre entreprise dans un environnement mobile. Par ailleurs, toutes ne sont pas forcément judicieuses dans votre situation. Il faut en effet faire attention à ne pas mettre en place de mesures de sécurité trop lourdes, comme discuté précédemment.
Voici quelques préconisations de la CNIL sur le sujet (source) :
- Commencer par sensibiliser l’utilisateur, qui est toujours le maillon le plus faible de la sécurité informatique d’une entreprise.
- Synchroniser les données. Choisissez d’ailleurs sagement votre service cloud, notamment ces conditions d’utilisation, pour vous assurer de la confidentialité de vos données.
- Chiffrez vos données. Cela permet de s’assurer de leur confidentialité en cas de perte ou de vol. Pour vos smartphones, iOS et Android supportent tout les deux le chiffrement de vos données.
L’avis de Laurent Brault, dirigeant de MDK Solutions
Mettre en place une sécurité des données efficace suppose de trouver un subtil équilibre entre les contraintes, le coût et la facilité d’utilisation.
L’objectif des dirigeants doit être de bien cibler leurs investissements. Pour gérer les données à distance, il faut privilégier une authentification forte intégrant un élément physique – au minimum un code émis sur un numéro de téléphone mobile.
La solution la plus sûre et la plus pertinente va être de :
- disposer d’une capacité de stockage (exemple : clé USB),
- faire circuler les données via un réseau privé virtuel (VPN) lorsqu’il est nécessaire d’échanger avec l’extérieur,
- avoir une Intelligence localement, sans avoir besoin d’accéder à un serveur distant (portail web) ni d’installer un logiciel sur l’ordinateur.
Tous les outils développés par MDK Solutions remplissent ces exigences. Grâce à une clé USB innovante, qui s’intègre dans l’architecture, le niveau de sécurité est grandement augmenté, y compris dans les situations de nomadisme total.