Gérer les risques
Aujourd'hui et demain

Cybersécurité

Florian Bienvenu (Good Technology) : « Sécurité mobile : les 7 questions à se poser »

Interview du vice-président UK, Europe Centrale, Europe du Sud et Moyen Orient de Good Technology, un éditeur reconnu de solutions de sécurité mobile. Il nous livre la liste des ''sept péchés capitaux'' en matière de sécurité des applications mobiles ainsi que les conseils pour les éviter et transformer l'expérience utilisateur sans compromettre la sécurité.

1/ Faut-il s’appuyer uniquement sur un système de MDM (Mobile Device Management) pour la gestion des appareils mobiles ?
 
Non. N’y faites surtout pas aveuglément confiance. Si la sécurité des appareils est importante, celle des données qu’ils contiennent l’est encore plus. La gestion MDM ne convient pas à tous les scénarios. Et une approche de conteneurisation s’appuyant sur un chiffrement applicatif et indépendant du terminal se révélera plus efficace pour sécuriser les données d’entreprise. Celles-ci bénéficieront de la même protection avancée, quel que soit le modèle de propriété et de gestion des appareils. Pour résumer, la conteneurisation est la clé !
2/ Faut-il uniformiser la sécurité sur les différents systèmes d’exploitation ?
 
Le manque d’uniformité est l’une des principales causes contribuant aux maux de tête des responsables informatiques. A côté de cela, le parc d’appareils mobiles fait l’objet d’une diversification constante. Et l’absence d’un modèle de sécurité commun à toutes les plates-formes est une véritable épine dans le pied que les directions informatiques ne devraient pas avoir à supporter. Mettre en place une plate-forme de mobilité sécurisée et indépendante du type de terminal utilisé permet de résoudre ce casse-tête. En simplifiant la gestion quotidienne des appareils, les départements informatiques peuvent ainsi se concentrer sur la stratégie plutôt que sur la résolution de problèmes, sans oublier l’impact positif d’une telle approche sur les coûts. Au bout du compte, les employés peuvent continuer à utiliser une multitude de terminaux sans que cela affecte leur productivité.
3/ Que penser du mot de passe unique au niveau du terminal ?
Les mots de passe uniques au niveau des terminaux rendent les entreprises vulnérables au risque de fuites de données. Une solution simple est de mettre en place des mots de passe plus complexes. Mais cela nécessite de contrôler les appareils à l’aide d’une solution MDM. Ce qui affecte l’expérience utilisateur. Les applications et leurs données doivent être protégées à l’aide de mots de passe et d’une cryptographie indépendante du chiffrement du terminal. Les responsables informatiques et les employés peuvent ainsi garder l’esprit tranquille à la suite du piratage du mot de passe d’un appareil, car les données, quant à elles, resteront chiffrées.
4/ Faut-il restreindre les processus métiers ?
Il vaut mieux que les utilisateurs accèdent sans restriction aux processus métiers dont ils ont besoin. Si la solution de sécurisation des applications mobiles est efficace, les applications vont s’échanger des métadonnées, des documents et des services en toute sécurité dans le cadre de workflows rationalisés et productifs. Les utilisateurs vont ainsi effectuer une grande variété de tâches sans avoir à basculer manuellement entre plusieurs applications, et en tirant simplement parti d’une solution efficace.
En leur fournissant un lanceur qui leur donne accès à toutes leurs applications professionnelles, les entreprises permettent à leurs utilisateurs d’accéder en un simple clic à toutes les applications sur leur téléphone (emails, agenda, contacts, documents, etc.), et leur offrent également un accès direct à d’autres applications de productivité telles que Salesforce1, Box, Polaris, Docusign, etc.
5/ Comment garder le contrôle des données ?
Problématique majeure pour les entreprises, les fuites de données surviennent lorsque celles-ci sont placées hors du contrôle des départements informatiques au mépris des politiques approuvées par leurs soins. Une bonne solution de sécurité applicative doit permettre à l’entreprise de contrôler le flux de données entrant et sortant de son domaine. En les conteneurisant et en mettant en place des workflows partagés, on peut garder ces données à l’intérieur du périmètre de l’entreprise. Ainsi isolées, il devient également possible d’effacer n’importe quelles données professionnelles à distance lorsque la situation l’exige, comme dans le cas où un appareil serait perdu ou volé, ou encore suite au départ d’un employé.
6/ Comment éviter une mauvaise expérience utilisateur ?
Dans une tendance croissante à rendre mobile les contenus et les applications, et à l’heure où les terminaux mobiles deviennent notre principal support informatique avant même les ordinateurs portables ou fixes, l’expérience utilisateur prend sans cesse davantage d’importance. Pour qu’elle soit satisfaisante, les applications doivent être simples et agréables à utiliser. Or les contrôles de sécurité nuisent à cette expérience. En particulier sur un appareil personnel. Le risque, c’est alors de pousser les utilisateurs à chercher une solution alternative, souvent moins sécurisée. Ces comportements vont créer un phénomène accroissant les risques pour l’entreprise que l’on nomme le  »Shadow IT ».
Les risques se multiplient lorsque les données sont migrées vers le Cloud ou même juste en dehors de l’environnement fortement sécurisé de l’entreprise. C’est ici que le chiffrement des terminaux joue un rôle essentiel, et qu’il est nécessaire d’isoler les documents dans un conteneur afin de protéger les aussi bien les données personnelles que les données professionnelles.
7/ Que se passe-t-il si l’on n’a pas le soutien de l’entreprise étendue ?
 
Dans l’entreprise étendue, la simple gestion des appareils mobiles (MDM) n’est pas une solution viable pour assurer la sécurité des données professionnelles. En effet cette approche s’appuie uniquement sur l’appartenance d’un utilisateur à un groupe au sein de l’annuaire de l’entreprise afin d’automatiser le respect des stratégies et le contrôle des accès. Les départements informatiques sont généralement peu enclins à ajouter des individus ne faisant pas partie des employés (membres du conseil, indépendants ou autres) dans cet annuaire. La solution de sécurité des applications mobiles devra être suffisamment flexible pour permettre l’utilisation sécurisée et contrôlée d’informations professionnelles sensibles à tous les niveaux organisationnels, même à des personnes qui ne sont pas employés.
Il n’y a qu’une approche évidente pour éviter de commettre l’un de ces péchés « capitaux » : ne pas compromettre la convivialité au nom de la sécurité. Les entreprises cherchant à sécuriser leurs applications mobiles seront bien inspirées de suivre ces conseils afin de transformer l’expérience utilisateur proposée, tout en mettant en œuvre une stratégie de protection des données efficace.

Propos recueillis par Erick Haehnsen

Commentez

Participez à la discussion