Les smartphones utilisés par les salariés dans le cadre de leur activité professionnelle posent des problèmes spécifiques. Contrairement aux ordinateurs, aux imprimantes multifonctions ou aux serveurs, qui formaient jusqu’alors la colonne vertébrale du système d’information d’une entreprise, les appareils mobiles ne sont pas physiquement reliés au reste de l’infrastructure et sont donc plus difficiles à contrôler. Placés à la convergence de la vie personnelle et professionnelle, ces outils ne sont pas forcément perçus comme des périphériques informatiques. Ils donnent pourtant accès aux bases de données de l’entreprise et au CRM (Customer Relationship Management) via des connexions sans fil, ce qui oblige à les intégrer dans la politique globale de conformité avec le RGPD (Règlement Général sur la Protection des Données) qui entrera en vigueur le 25 mai.
RGPD : Un chantier panoramique
Le RGPD renforce les droits des citoyens européens et leur contrôle sur leurs données personnelles. Au-delà du principe du consentement à la collecte et à la conservation des données, la nouvelle réglementation étend les responsabilités des entreprises et leurs obligations d’assurer la sécurité des informations de leurs clients. À compter du mois de mai, le moindre incident compromettant les données relatives aux clients devra être déclaré aux autorités dans un délai de 72 heures maximum. Une déclaration accompagnée de la liste des mesures concrètes mises en œuvre pour combler la faille. Une amende pouvant atteindre 20 millions d’euros, ou d’un montant représentant 4 % du chiffre d’affaires mondial de l’entreprise, est prévue en cas d’infraction aux règles applicables au consentement ou encore en cas d’infraction aux transferts de données personnelles hors de l’Union européenne. Dans ce contexte, il s’agit pour les DSI et les directions juridiques de tout mettre en œuvre pour sécuriser efficacement le système d’information, à commencer par la flotte mobile qui représente une menace réelle. Il existe toutefois des solutions techniques adaptées.
Du système d’information au smartphone… une barrière vite franchie
Toute la difficulté avec les smartphones réside dans la confusion entre le domaine personnel et la sphère professionnelle. Les mobiles accompagnent en effet les salariés 24h/24, qu’ils soient chez eux, au bureau ou sur le terrain, ce qui complique la tâche des DSI et accroît les risques d’attaques et d’intrusion dans les données de l’entreprise. Avec l’essor du BYOD (Bring Your Own Device) et du CYOD (Choose Your Own Device), il est encore plus complexe d’imposer des règles strictes aux usagers.
>>> Découvrez notre nouvelle rubrique dédiée à la sécurité mobile sur 01net.com
En complément des mesures visant à verrouiller du mieux possible les terminaux mobiles de l’entreprise, il faut également prévoir des dispositions afin de réagir dans les délais les plus brefs dès que l’intégrité des données vient à être menacée à la suite de la perte ou du vol d’un mobile.
Des mécaniques nouvelles à mettre en place
Pour se mettre au niveau de sécurité exigé par le RGPD, il est essentiel de garder les terminaux à jour en leur distribuant automatiquement les correctifs publiés régulièrement par Android et les applications. Il suffit d’un seul smartphone infecté se connectant au réseau WiFi de l’entreprise pour compromettre la sécurité de tout le système d’information. En utilisant un MDM (Mobile Device Management), le gestionnaire de flotte peut non seulement gérer à distance l’installation des mises à jour, mais aussi les programmer à l’heure de son choix de manière à en minorer l’impact sur la bande passante du réseau de l’entreprise (si tous les smartphones de l’entreprise téléchargent simultanément la mise à jour du système à 9h30 le lundi matin, le risque de saturation du réseau est réel).
Un MDM permet par ailleurs de définir des stratégies pour prévenir les pratiques hasardeuses des collaborateurs : interdiction d’installer des applications non essentielles ou qui n’ont pas été validées par l’entreprise, verrouillage à distance du terminal en cas de comportement inapproprié, de perte ou de vol, etc. Les DSI peuvent aussi adopter des solutions de conteneurisation pour créer deux environnements étanches sur le mobile : le premier réservé aux usages professionnels, sur lequel le gestionnaire de flotte peut agir à distance à sa guise ; le second dévolu aux usages personnels, sans contraintes pour l’utilisateur et sans risque de compromettre les données de l’entreprise… ni de provoquer l’activation des mécanismes du RGPD !
>>> Découvrez notre nouvelle rubrique dédiée à la sécurité mobile sur 01net.com
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
