Gérer les risques
Aujourd'hui et demain

Cybersécurité

Gerôme Billois : « Le smartphone personnel : un risque pour le système d'information de l'entreprise »

Les salariés sont de plus en plus nombreux à accéder au système d'information de leur entreprise via un smartphone. Or l'utilisation d'un terminal mobile pour consulter ou saisir des données dans une application métier n'est pas sans danger pour le patrimoine informationnel de l'entreprise. Comme le rappelle Gerôme Billois, responsable sécurité et gestion des risques chez Solucom, un cabinet conseil en management.

Quels sont les principaux risques encourus par les utilisateurs de smartphone ?

Nous sommes aujourd’hui face à trois grands types d’attaque. Celles à caractère diffus comme les virus ou le phishing ne visent personne en particulier. Contrairement aux attaques opportunistes lancées par des cybercriminels qui piratent les systèmes les moins sécurisés afin de voler les données les plus facilement accessibles. Plus dangereuses encore, les attaques ciblées. Elles sont le fait de cyberpirates qui visent particulièrement une entreprise et ses employés. L’enjeu étant de dérober des données, les détruire ou les modifier.

Comment l’entreprise peut-elle déjouer ces attaques en particulier sur l’angle des smartphones ?

 

La stratégie diffère selon le type d’usage des smartphones sachant qu’il existe trois grands cas de figure. Dans le premier cas, il s’agit d’appareils achetés et configurés par l’entreprise pour un usage strictement professionnel. Pour les sécuriser davantage, les entreprises peuvent y installer des outils de sécurité qui, en cas de vol, vont verrouiller l’appareil et effacer les données à distance. Dans le second cas appelé Corporate Owned-Personaly Enabled (Cope), l’entreprise est propriétaire du terminal mais elle autorise ses collaborateurs à en avoir un usage personnel. C’est la situation la plus répandue. L’entreprise prend un certain risque, car elle ne peut pas tout verrouiller, mais celui-ci reste maîtrisé. Pour se protéger contre les risques de piratage, l’entreprise a intérêt à mettre en place un système de gestion de flotte afin d’avoir un minimum de configurations de sécurité à paramétrer. Cela nécessite en outre d’instaurer des codes d’accès, des outils de chiffrement et d’effacement des données à distance.

Et qu’en est il du  »Bring Your Own Device » plus connu sous l’acronyme BYOD ? 

 

Dans ce troisième cas de figure, l’entreprise autorise les employés à se connecter au système d’information avec leur propre terminal. Pour limiter les risques, l’entreprise a intérêt à réfléchir à des solutions que les utilisateurs devront télécharger sur leur smartphone de manière à bien séparer les données professionnelles de celles qui sont à caractère privé. Autre avantage de ce type d’outils, il permet de crypter les données et préserver ainsi la confidentialité des informations professionnelles. En revanche la mise en silo de ces données ne protège pas de tous les risques. Le BYOD ne doit donc pas être être autorisé à tous les salariés de l’entreprise ni sur tous les périmètres d’application. En outre, lorsqu’une telle pratique est autorisée, il est recommandé d’instaurer une charte signée par les salariés concernés et qui décrit ce que l’entreprise peut faire en cas de vol ou de perte du mobile.

Quelle approche choisir ?

Mon premier conseil est de commencer par analyser ses risques en se posant en particulier les questions suivantes : quelle est l’activité de mon entreprise ? Sur quels secteurs est-elle positionnée ? Qui est susceptible de me voler des secrets ?… Ensuite, il faut regarder quelles sont les données manipulées par les différentes populations de salariés. Selon le profil de risques (élevé, moyen ou minime), on accordera aux salariés le droit ou non d’utiliser leur terminal personnel.

Propos recueillis par Eliane Kan

Commentez

Participez à la discussion