Partout dans le monde, le nombre de travailleurs mobiles augmente rapidement, tout comme la menace qu’ils représentent pour leur entreprise et les départements IT. Or, cette menace naît principalement d’un manque de connaissances et de sensibilisation aux questions de sécurité. Il est en effet bien plus facile de déployer des appareils mobiles que de les gérer et de les contrôler. Tout contrôle s’apparente en quelque sorte à tenter d’atteindre une cible mouvante… Les attentes des utilisateurs sont elles aussi exponentielles et les entreprises intègrent désormais des technologies sans fil et mobiles dans la fourniture d’infrastructures IT.
Cette mobilité comporte néanmoins des risques considérables tels que le vol d’informations sensibles, la multiplication des infractions relatives aux règles de bonne conduite et aux réglementations concernant le respect de la vie privée, le risque de faire exploser les coûts d’utilisation, l’usurpation d’identité et divers autres dangers pour la sécurité.
Les entreprises qui autorisent leurs travailleurs mobiles à accéder à distance aux données et systèmes ne leur proposent pas toujours une formation en sécurité adéquate. Par où faudrait-il donc commencer pour sécuriser l’utilisation des appareils mobiles ?
La solution la plus efficace pour protéger les données de l’entreprise consiste à ne pas les sauvegarder sur les équipements du client. Si les données se trouvent sur des serveurs et dans le centre de traitement des données et si l’accès peut exclusivement se faire via le réseau, il n’existe aucune copie locale susceptible d’être perdue en cas de vol d’un portable ou d’un PDA.
Une protection par mot de passe constitue déjà une première étape essentielle. S’il s’agit de données particulièrement sensibles, vous pouvez envisager une autre forme d’autorisation comme un lecteur de carte à puce ou d’empreintes digitales, ou encore un système challenge/response : un éventuel voleur sera bredouille puisqu’un simple mot de passe ne permet pas d’accéder à l’appareil. Ces mesures ne permettent toutefois pas de protéger les données sauvegardées localement. Si un voleur de données enlève le disque dur d’un portable, il lui sera aisé de lire les données à partir d’un autre ordinateur. Le cryptage des données du disque dur protège en revanche les données sauvegardées localement et s’avère donc utile en cas de vol ou de perte.
Il est par conséquent crucial de mettre en œuvre une politique rigoureuse concernant l’utilisation des technologies et appareils mobiles. Une politique de qualité devrait décrire le comportement à adopter et préciser ce qui peut ou non être fait. Cette politique devrait en outre inclure des directives concernant l’utilisation en fonction des besoins , les coûts et les remboursements, ainsi que les aspects liés aux ressources humaines (départ de travailleurs par exemple).
La plupart des entreprises ont mis en place des réseaux sans fil sécurisés dans lesquels il est difficile de pénétrer. En revanche, les appareils mobiles comportent de plus en plus de systèmes d’exploitation PC et sont donc plus exposés aux menaces de piratage et aux virus. Par conséquent, des mesures de protection pour PC doivent aussi s’appliquer aux appareils mobiles.
Les règles de gouvernance en matière de protection des informations doivent être respectées pour gérer les risques IT associés aux déploiements mobiles. L’engagement de la direction est également indispensable pour garantir leur mise en œuvre réussie. Enfin, les divers intéressés doivent impérativement assumer leurs responsabilités.
Identikit
Georges Ataya est professeur et directeur académique en IT Management Education à la Solvay Brussels School of Economics and Management. Il est également administrateur délégué d’ICT Control NV-SA, une société de conseil en gestion basée à Bruxelles.
Les commentaires favoris