Smartphones et sécurité en entreprise

Des questions de sécurité extrêmement sérieuses se posent : l’entreprise doit donc faire face à ce nouveau mode de fonctionnement.

Tout d’abord pourquoi cet article ? Il vient d’une profonde réflexion que j’ai depuis quelques mois : j’utilise au quotidien un iPhone 4S, pas tant parce que je suis un Taliban Apple, mais plus par facilité d’utilisation (à part cette batterie de malheur) et surtout car j’avais un 3GS avant, et que je ne voulais pas m’embêter à perdre toutes mes données, du fait qu’Apple utilise un logiciel propriétaire. Je suis faible !

Donc mon iPhone me permet tout un tas de choses. Si quelqu’un me le vol, il pourra accéder : à tous mes contacts (bon normal…) et l’ensemble de mes SMS depuis… 4 ans. Il pourra accéder à toutes mes boites mails, tant personnelles que professionnelles. Les ennuis commencent. Je ne serai pas ravi que mon voleur potentiel envoie un mail à mon patron par exemple ! Il pourra ensuite accéder, sans se soucier de mes mots de passe à tous mes réseaux sociaux via mes applications (Twitter, Facebook, réseaux professionnels, réseaux photos) et au back office de certains sites qui sont paramétrés sur mon téléphone. Les conséquences en terme de relations sociales, de e. réputation et donc sur ma vie professionnelle commencent à être importantes.

Plus grave encore, sans trop de difficultés, ce voleur pourra accéder… à toutes mes données bancaires, et sans que je vous explique trop comment, pourra en quelques instants, vider tous mes comptes.

Je n’ai pas besoin d’aller plus loin, je pense que vous avez compris ! Evidemment, j’ai mis en place tout un tas de « protections » pour éviter maintenant ce genre de problèmes : codes divers et variés, suppression des mots de passe disponible dans mes boîtes mails, Token pour accéder à mes comptes en banque, j’en passe et des meilleurs.

Du coup ma réflexion s’est orienté sur tous ces gens, qui utilisent leurs téléphone personnel au travail pour accéder à leur mail ou autre (et les clés USB, et les téléphones professionnels pas toujours bridés etc.)

Vous trouverez donc ci-après, un petit état des lieux de mes recherches.

Ces réflexions sont tellement d’actualité, les gens deviennent tellement accros à leurs Smartphones, qu’il existe aujourd’hui une maladie, la nomophobie qui concerne tous ces gens, dont je ferais presque parti, qui ne peuvent pas vivre loin d’une connexion internet, pour accéder aux réseaux sociaux notamment.

Pour faire dans le dramatique, et bien que la population de geeks ne soit pas concernée, voici quelques données ici d’un livre blanc sur une étude concernant les mobinautes américains début 2011  que je trouve très intéressante :

•   »89% des personnes interrogées ignoraient que les applications Smartphone sont susceptibles de transmettre des informations confidentielles de paiement tel que les détails des cartes de crédit, et ce à l’insu de l’utilisateur.
• 91% ignoraient totalement que les applications financières pour Smartphones peuvent être infectées par un malware conçu spécialement pour voler les numéros de carte de crédit et les identifiants de banque en ligne. Paradoxalement, près d’un tiers (29%) reconnaît archiver les informations des cartes de crédit et des comptes bancaires. Pire, 35% admet avoir aussi conservé des documents « confidentiels » provenant de leur travail.
• 56% des répondants ne savaient pas que ne pas se déconnecter correctement d’une application de réseaux sociaux peut permettre à un imposteur de se connecter à un compte Facebook ou autre, de poster des commentaires vicieux et même de changer les identifiants de connexion. Parmi ceux qui étaient au courant, 37% ne savaient pas si leur profil avait déjà été manipulé. »

Des acteurs du secteur tel que HTC ont fait de ce sujet de la sécurisation des données professionnels, un véritable axe de communication envers les pros : ils ont ainsi publié «Basic Principles for a Secure Mobile Computing Program»,  Il s’agit d’un livre blanc, destiné à aider les DSI et les services informatiques à maitriser les enjeux du  BYOD, ou « Bring your own Device », c’est-à-dire la propension grandissante des employés à utiliser leurs Smartphones personnels à des fins professionnelles. Le document établit les principes de base pour l’élaboration d’un programme visant à conjuguer sereinement la flexibilité des employés à la productivité des entreprises.

Le BYOD est un sujet récent en pleine expansion, comme le montre le « trend » des recherches de notre ami Google :

Pourquoi ce nouveau mouvement ?

Cela part d’un constat simple : nous sommes de plus en plus nombreux à utiliser des technologies avancées pour notre usage personnel (Tablettes, Smartphones) et voulons donc bénéficier de ces avancées au travail aussi. Qui n’a jamais été en réunion, et ayant besoin d’une information, recherchée celle-ci sur Internet à l’aide de son Smartphone personnel ? Ou encore qui ne s’est pas déjà retrouvé à regretter son iPad personnel (pour ceux qui en ont !) laissé à la maison alors qu’il aurait pu servir pour une présenter à son chef une nouvelle maquette pendant le déjeuner ? Ou encore organiser une rencontre avec un prestataire externe sur Doodle, afin d’éviter les coups de fils et les mails pour se mettre d’accord ?

Un Smartphone aujourd’hui c’est à la fois un assistant numérique personnel, un agenda, un calendrier, un navigateur web, une boîte de messagerie, de messagerie instantanée, un GPS, etc. des fonctionnalités utiles, voir nécessaires dans le monde professionnel.

Surtout, il devient difficile de ne pas accéder aux mêmes fonctionnalités, à la même qualité de services au travail qu’à la maison : il s’agit d’un vrai bouleversement. Les SI ne suivent plus évolutions de la sphère privée.

L’utilisateur met aujourd’hui tout autant ses données personnelles en danger que celles de la société : Mails, dossiers, informations clients, applications propres à l’entreprise, mot de passe, peuvent être facilement récupérés.

La diversité des systèmes rend la tâche d’autant plus complexe.  Apple, Androïde, BlackBerry, sont autant de systèmes différents plus ou moins mis à jour avec lesquels les services informatiques doivent jongler. Il est donc nécessaire pour les entreprises de prendre ces nouveaux modes de fonctionnement en compte et d’informer / former leurs équipes à ces nouveaux risques.

Se protéger

1/ L’approche restrictive, utilisée jusqu’à nos jours

• Filtrage Web
• Contrôle des accès des terminaux
• Authentification forte pour les accès distants
• Interdiction des équipements personnels

–> Cette approche ne peut plus être tenue aujourd’hui 

2/ L’approche BYOD, l’entreprise s’adapte, et protège les données elles-mêmes, cœur du problème

• La donnée est au centre de la problématique : c’est donc elle qui doit porter la protection
• Avec des droits gérés centralement
• La rendre ainsi accessible et donc utilisable  « partout »

–>  Le marché n’est pas encore prêt

Aujourd’hui, c’est l’innovation qui permet aux entreprises à la pointe de se protéger.

Innover

Les technologies évoluent. Hier, il était impensable d’enregistrer ses données dans un Cloud, ou encore de bénéficier d’un accès direct à l’Internet depuis son entreprise, de se connecter via un wifi interne à l’entreprise, ou même d’utiliser des Smartphones / tablettes dans le cadre professionnel.

Aujourd’hui, à l’aide principalement des Token, il est possible de se connecter depuis n’importe où à des applications professionnelles, à son webmail. Certaines entreprises favorisent même le Bring Your Own Device, contre compensation (parfois), qui reste une solution moins couteuse (et intéressante en termes de productivité) pour l’entreprise. C’est en effet l’employé qui prend tous les risques et les coûts liés à cette utilisation.

Mais ces nouvelles pratiques doivent être encadré, tant sur des aspects humains (gestion des hommes) que juridiques (gestion des données, du temps de travail etc.). Est-il nécessaire de bloquer l’accès aux réseaux sociaux ? Où se situe la frontière vie privée, vie publique ? Toutes ces questions doivent être encadrées.

La mise en place de ces nouvelles politiques et ces nouveaux services permettront de répondre tant aux besoins qu’aux envies des employés.

Des risques toujours présents

L’apparition de ces nouveaux modes d’organisation ne supprime pas les risques inhérents  à la technologie :

• La perte de données non intentionnelle (exemple :  perte de votre Smartphone (ou autre support), envoie d’un mail non intentionnel)
• Le vol de données, interne ou externe

Quelques solutions propre aux smartphones

• S’assurer du verrouillage automatique du terminal en cas de non utilisation
• S’assurer de la possibilité  d’effacement des données sur les terminaux mobiles en cas de perte ou de vol
• Utilisation de token
• Gestion des droits en fonction des applications
• Sensibilisation des utilisateurs
• Etc.

Toutes ces solutions vont encore réduire les frontières entre vie personnelle et vie professionnelle. Les entreprises vont devoir repenser leur sécurité, mais aussi leur organisation salariale : peut-être qu’avec le BYOD, les entreprises font un pas de plus vers le télétravail et un employé toujours en contact avec son entreprise.

Related post