Smartphone : quel danger pour votre entreprise ?

Bien que les politiques de type BYOD (Bring Your Own Device, permettant l’utilisation d’appareils personnels dans le cadre professionnel) ou BYOT (Bring Your Own Technology) présentent à la fois des avantages pour les entreprises et pour les employés, de nombreuses entreprises ont du mal à mettre en place des processus qui protègent efficacement leurs données sensibles.

Le problème ?

Un nombre important de données clients et sur les employés eux-mêmes sont stockées sur des appareils qui se trouve hors du périmètre de sécurité et des pare-feu de l'entreprise. D’une certaine manière à chaque fois qu’un employé stocke et transmet des informations à caractère professionnel sur un ordinateur portable, une tablette ou un smartphone personnel, cela correspond à une perte de contrôle pour l’entreprise.

Outre les risques de perte ou de vol de l'appareil personnel, les employés peuvent exposer à leur insu les données de l'entreprise à des malwares. Le jailbreak d’un appareil supprime par exemple les limitations imposées par le fabricant de l'appareil, éliminant souvent du même coup des restrictions visant à améliorer leur sécurité. Le donne aux propriétaires d'appareils des autorisations de niveau administrateur, leur permettant d'installer et d'exécuter des applications qui pourraient être de nature malveillante sans disposer de mesure de contrôle.

Les employés peuvent également exposer les données de leur entreprise en omettant d'appliquer les mises à jour de sécurité du système d’exploitation de leurs appareils ; ces vulnérabilités connues des cybercriminels pouvant servir d’accès au réseau de l'entreprise.

Vie privée : quels risques dans un contexte de BYOD ?

La mise en place d'une politique unique applicable à tout le monde définissant les interactions possibles entre  les données à caractère personnel et celles de l'entreprise ne serait pas réaliste, surtout que les exigences de confidentialité et les risques associés sont variés et gravitent autour des domaines suivants :

• La confidentialité et la protection des données
• Les communications électroniques
• Les questions de droit du travail
• La cybercriminalité
• Les assurances et taxes

Néanmoins, les implications juridiques complexes liées au BYOD doivent être soigneusement prises en considération. Afin de tirer les bonnes conclusions, trois éléments clés doivent être examinés :

• Le type d'information impliqué
Intéressons-nous à un procès récent : une entreprise avait supprimé à distance le contenu de l'iPhone d'un représentant des ventes quand il a donné sa démission, en supprimant à la fois ses fichiers personnels et ceux liés à son travail, puisque l’appareil appartenait à la société. L'employé a poursuivi en justice  l’entreprise, mais le tribunal a rejeté ses demandes, estimant que les informations contenues dans un téléphone cellulaire ne constituent pas un « stockage électronique » selon l’Electronic Communication Privacy Act (ECPA, la Loi sur la protection des communications électroniques).

• Le propriétaire de l'appareil
La désignation du propriétaire de l’appareil peut avoir des répercussions financières, juridiques et sur les politiques IT. Si les appareils appartiennent aux employés, mais sont utilisés dans le cadre d’une politique de BYOD définie par l'entreprise les termes de cette politique de BYOD s’appliquent aux données.

• La responsabilité de l'information
Si vous laissez aux employés l'accès aux ressources de l'entreprise via leurs propres appareils mobiles (ou si vous équipez vos employés avec des appareils de fonction/ de service, vous avez besoin de politiques qui régissent la façon dont ces appareils sont utilisés et gérés : les politiques de sécurité mobile de l'appareil, les mots de passe, le chiffrement, la classification des données, l’utilisation prévue, le logiciel antivirus utilisé, les accès sans fil, la réponse aux incidents, le travail à distance, la vie privée, etc..

Les politiques de la société devraient porter clairement sur la propriété, la responsabilité et les droits d'accès aux informations en question. La question de la responsabilité continuera de se poser si elles ne le font pas.

Dans le cas d’ appareil appartenant à la société, l'entreprise peut définir le type d’appareils autorisés ou non, avec des exigences et des configurations minimales du système. Elle peut installer des logiciels de sécurité, chiffrer les données de l'entreprise, appliquer des correctifs de sécurité et enfin surveiller l'utilisation de l'appareil pour détecter les abus, les piratages ou les malwares. Elle peut également définir la manière dont l'appareil se connecte au réseau de l'entreprise  pour accèder aux données de celle-ci.

Pour ce qui est des appareils personnels appartenant aux employés, les entreprises n’ont que partiellement (voire pas du tout) la capacité d'entreprendre ces actions et devront souvent compter sur leurs employés eux-même pour sécuriser les appareils.

Comment optimiser le contrôle de vos appareils ? 3 conseils

1) Mettre en place une politique de sécurité, mais avant tout, les employeurs doivent envisager de partitionner les appareils personnels contenant des données  professionnelles et personnelles. Les conteneurs, les technologies de  « dual persona » et les  « applications wrappers » fournissent une protection pour les groupes d’applications ou les applications individuellement.

2) Des évaluations régulières des cyber-risques sont également indispensables.

3) L’utilisation d’outils de gestion de flotte (Mobile Device Managment) permettent aux entreprises de contrôler une  flotte d'appareils. Ils permettent aux administrateurs IT de gérer, vérifier et dépanner à distance les appareils mobiles des employés.L'évaluation des vulnérabilités de sécurité à l'intérieur d'un réseau joue un rôle crucial dans votre sécurité informatique. Les scanners de vulnérabilités réseau peuvent analyser votre réseau et sites Web pour dévoiler les principaux  risques de sécurité en fournissant ainsiune liste de ceux que vous devriez patcher en priorité, en décrivant les failles et en proposant des mesures pour  corriger ces vulnérabilités. Certains peuvent même automatiser les processus d’application des correctifs.