Sécurité des communications et agilité, comment ne pas faire de compromis ?


Dans la categorie - Sécurité

Votre smartphone est non seulement votre premier écran, mais c’est aussi celui qui vous connaît le mieux. Il détient toute votre vie numérique, de vos accès bancaires à vos emails professionnels, en passant par vos achats en ligne et les photos de votre famille. Sécuriser toutes ces données à titre personnel est loin d’être une mince affaire. Dans un environnement professionnel, c’est un défi encore plus complexe.

En effet, en matière de sécurisation des informations numériques, on oppose fréquemment deux écoles : d’un côté les DSI et RSSI qui sont les garants de la sécurité des réseaux et des terminaux, et de l’autre les utilisateurs qui n’aiment pas se voir imposer des contraintes trop strictes.

Lorsque tout va bien, le statu quo est acceptable. En revanche, dès la moindre tentative de piratage, la situation change. Pire : en cas de perte ou de vol d’un smartphone, ce sont des milliers d’informations confidentielles qui peuvent se retrouver dans les mains d’un parfait inconnu, d’un concurrent ou d’un service de renseignement étranger. La tentation de trouver « le bon compromis » entre agilité et sécurité se développe alors dans les esprits des DSI/RSSI et des directions métiers. Voyons pourquoi et comment éviter un tel compromis.

 

La recherche d’agilité et d’utilité : une exigence générationnelle

La génération Y est désormais présente à tous les échelons des entreprises et dans tous les secteurs d’activité. La suivante, baptisée génération Z, commence à arriver sur le marché du travail. Ces deux générations ont en commun d’avoir grandi avec Internet. Pour eux, les nouvelles technologies n’ont rien de nouveau. C’est un état de fait et il est normal d’utiliser son smartphone pour gérer sa vie personnelle et professionnelle. Tout doit être simple, accessible, immédiat, et l’agilité doit primer, quel que soit le contexte.

Une étude menée par TransUnion aux États-Unis, montre que près de la moitié des milléniaux se sentent très concernés par les risques et les menaces numériques. Pourtant, 84% d’entre eux vérifient leurs comptes bancaires connectés à des réseaux Wifi publics et 67% ne protègent pas leur téléphone avec un code. La sécurité, c’est important sur le papier, mais dans les faits, les comportements individuels ne sont pas à la hauteur.

Vu de l’utilisateur final, le smartphone n’a jamais été véritablement conçu pour répondre à des besoins de sécurité. Au contraire, il a été conçu pour offrir des services qui améliorent et simplifient le quotidien. Intégrer une dimension sécuritaire dans un smartphone, comme ajouter un mot de passe pour accéder à une application, apparaît donc souvent comme un frein à l’utilisation.

 

Agilité et sécurité : le casse-tête des DSI

L’agilité est la capacité d’une personne à agir vite, à prendre les bonnes décisions dans un laps de temps court, et à pouvoir travailler partout, avec tous ses fichiers à portée de main. C’est un état d’esprit qui est naturel pour certains et qui impose des efforts humains, technologiques et organisationnels pour d’autres. Comment accepter l’agilité, alors que cette dernière est à risque sans sécurité ?

Nous évoluons dans un monde hybride : les smartphones peuvent appartenir aux utilisateurs dans un cadre BYOD et/ou être fournis par l’entreprise. Les données et les serveurs peuvent être dans un Cloud public, un Cloud privé ou une installation on-premise. Parfois, les trois en même temps. En parallèle, les collaborateurs se déplacent de plus en plus, travaillent de la maison, font du co-working, et même en interne, peuvent occuper différents espaces de travail. Face à cette évolution des modes de travail, un constat s’impose : il n’existe aucune règle de sécurité unique qui fonctionnera si elle est imposée à tous. L’hybridation est donc partout : dans les modes de pensée, les lieux de travail, les comportements, les outils utilisés et aussi… dans la sécurité.

Face à cet engouement pour la mobilité, les DSI peuvent être frileuses pour mettre en place des outils de contrôle et de sécurité, alors que les utilisateurs ne veulent pas ralentir le rythme. Ce challenge concerne  également les personnalités politiques, d’Emmanuel Macron à Donald Trump.

 

Faire de la sécurité des données une valeur centrale de l’entreprise

La sécurité ne se décrète pas. Elle doit se vivre au quotidien. Protéger les données personnelles de ses salariés, clients ou fournisseurs est souvent une valeur forte pour une organisation, renforcée par le RGPD. Et il n’est jamais trop tard pour la développer.

Pour y parvenir, il est nécessaire d’instaurer une culture de la sécurité auprès de tous les salariés. Cela signifie des formations adaptées et régulières, des partages de bonnes pratiques, des exemples et des cas concrets, des stress-tests, etc. Nommer des ambassadeurs de la sécurité qui soient indépendants de la DSI permet aussi de favoriser le dialogue interne et de créer une dynamique vertueuse autour des bons usages.

C’est une première étape qui permet de recueillir le consentement global et qui facilitera l’implémentation d’une solution de sécurité mobile.

 

Et trouver la bonne solution de sécurisation

Une fois la graine sécuritaire plantée, il faut l’aider à se développer, sans remettre en question l’agilité quotidienne nécessaire à la croissance et au développement de l’entreprise, en trouvant la bonne solution de sécurisation. Celle qui protège les informations confidentielles, sans ralentir le smartphone, les usages et la productivité.

En clair : prévenir plutôt que guérir.

Pour y parvenir, voici quelques bonnes pratiques :

  • Cartographier votre flotte mobile : entre iOS et Android, est-elle homogène ou hétérogène ? Savez-vous quelles sont les versions des OS installés ? Avez-vous de la visibilité sur la gestion des téléphones via un MDM par exemple ?
  • Définir les politiques internes : que faire en cas de vol ou de perte ? Est-ce que vos processus et vos règles sont clairs, connus et partagés ?
  • Comprendre les usages : que font vos collaborateurs avec leur smartphone ? Quelles sont les applications installées ? Y a-t-il des restrictions déjà mises en place ?
  • Gérer les priorités : est-ce qu’un assistant commercial a les mêmes besoins de sécurité qu’un directeur financier par exemple ? Comment évaluez-vous les besoins de sécurité ?
  • Sécuriser les déplacements : quelles sont les personnes qui sont amenées à se déplacer le plus souvent ? En France ou à l’étranger ? Dans quel pays ? Considérez-vous que certains déplacements sont potentiellement à risque ? Pourquoi et dans quelle mesure ?

Une fois ce travail introspectif réalisé, il sera alors plus facile de trouver la solution réellement adaptée à vos besoins.

En tout état de cause, face à un développement exponentiel des menaces numériques mobiles, les priorités de sécurisation se décalent du desktop au smartphone. Le smartphone est devenu une porte d’entrée essentielle aux données de l’entreprise, qui se doit  d’être durablement sécurisé sans altérer l’expérience utilisateur. Un travail qui passe par la gestion à distance de la flotte mobile, la maîtrise des applications, et le chiffrement du terminal et des communications, sans impact sur les fonctionnalités et l’ergonomie du téléphone.

S'inscrire à la newsletter