Les préoccupations de sécurité constituent les plus
importantes barrières excuses au déploiement
de solutions mobiles en entreprise.
Changeons la donne.
Dans un monde idéal, personne n’aurait à se préoccuper de la sécurité. Malheureusement, il semble y avoir chaque jour des atteintes à la vie privée, des fuites de données et des vulnérabilités. Personne ne peut se permettre d’ignorer la sécurité. De plus, la sécurité mobile ajoute d’autres préoccupations au tableau : les appareils mobiles à l’extérieur du réseau de l’entreprise et de ses mesures de sécurité. Ce n’est pas étonnant de voir que la sécurité soit le plus grand défi à relever pour les organisations qui souhaitent se doter de solutions mobiles1, défi qui devient une raison de remettre à plus tard l’innovation.
Toutefois, les choses pourraient être différentes. Vous devez vous préparer à défendre la sécurité de vos données. C’est une préoccupation qui peut être gérée, avec les bons mécanismes en place. Jetons un coup d’œil à certaines des principales préoccupations actuelles en lien avec la sécurité mobile, ainsi qu’aux étapes à suivre pour les aborder.
Le niveau de sécurité mobile le plus fondamental se trouve dans les mesures de sécurité physique de l’appareil. Les appareils mobiles sont plus faciles à égarer, à oublier et à voler que les appareils stationnaires. C’est très rare pour un voyageur professionnel de constater qu’il a oublié son ordinateur de bureau sur la banquette d’un taxi, mais c’est un problème quotidien pour les tablettes, les ordinateurs portables et les téléphones intelligents.
Les verrous de sécurité peuvent décourager le vol et, si vous avez l’intention de déployer des appareils mobiles dans un environnement où il est possible de les apporter à l’extérieur, comme dans un hôpital ou un magasin de vente au détail, c’est certainement important d’insister pour utiliser des appareils de grade professionnel, puisque la plupart des tablettes et téléphones grand public ne sont pas dotés de la fente de sécurité nécessaire pour ce genre de dispositif.
Évidemment, les verrous sont totalement inutiles pour empêcher un employé distrait d’oublier son appareil à l’arrière d’un taxi, dans un aéroport ou n’importe quel endroit de ce genre. C’est pour cette raison qu’il est d’une importance critique de se doter d’un système de gestion des appareils mobiles robuste. Ce système permet au service des TI de retrouver les appareils perdus à distance, d’effacer leurs données ou même de le rendre inopérable. Des systèmes plus avancés peuvent rendre divers appareils inopérables quand ils sont éteints, en plus d’être munis d’interfaces mobiles qui permettent aux administrateurs de prendre les mesures nécessaires, en tout temps, du bureau, de la maison ou même durant une partie de sport.
La capacité d’agir rapidement et de rendre des appareils perdus ou volés inopérables peut faire toute la différence entre un appareil simplement perdu et une faille de sécurité. Et qu’arrive-t-il quand un employé ne peut pas ou signaler un appareil perdu ou omet de le faire, ou encore quand un appareil est autrement menacé?
C’est à ce moment que les mesures de sécurité des données entrent en jeu.
La sécurité des données consiste à protéger les données dans l’appareil et les données auxquelles l’appareil accède. Ces mesures de sécurité peuvent prendre plusieurs formes pour prévenir les accès non autorisés et pour défendre les données contre les cyberattaques. Du côté logiciel, la sécurité peut comprendre les mesures d’authentification de connexion au niveau du système d’exploitation, l’utilisation de réseaux VPN pour les communications sécurisées sur les réseaux publics, ainsi que les mesures de sécurité intégrées aux différentes applications. Afin de renforcer la sécurité des appareils contre les attaques qui exposent les données et compromettent la sécurité interne, de nombreux appareils sont dotés de fonctions de sécurité matérielle, comme le protocole Trusted Platform Modules (TPM), la technologie Intel® vPro™ 2 et la protection par autorétablissement du BIOS HP SureStart. En arrière-plan, les systèmes de gestion des appareils mobiles qui servent à effacer les données des appareils perdus, comme HP Touchpoint Manager3, peuvent également servir à effacer les données des appareils compromis.
Évidemment, les mesures de sécurité des données sont efficaces uniquement si elles servent vraiment, ce qui n’est malheureusement pas toujours le cas. Par exemple, une étude récente du Ponemon Institute révèle que si 88 % des organismes de soins de santé stockent des données de santé personnelles sur des appareils mobiles, près de 40 % de ces organismes ne mettent aucune mesure de sécurité en place pour protéger ces appareils4. Oui, sérieusement.
Ce qui convient à votre organisation dépend de plusieurs variables, comme les préoccupations en lien à la conformité aux règlements, la sensibilité des données ou l’accès des employés aux données. Mais peu importe les exigences de votre organisation, il faut mettre des mesures de sécurité en place. Ces mesures pourraient sauver vos données… et votre personne.
Après la sécurité des données, il y a la sécurité de l’identité. Les authentifiants et les codes d’accès doivent être protégés. Après tout, même le meilleur verrou du monde ne peut pas arrêter ceux qui ont la clé. Le meilleur moyen de protéger les identités est de loin l’utilisation de processus d’authentification multifactorielle. Reprenons l’exemple du verrou. Il est possible qu’une personne ait mis la main sur la clé, mais quelle est la probabilité que cette même personne ait la clé, connaisse le code du système d’alarme et soit amie avec le chien de garde? Voilà à quoi servent les processus d’authentification multifactorielle. La nature des facteurs d’authentification peut varier. Ces facteurs peuvent être un mot de passe et un numéro d’identification personnel, un mot de passe et un facteur biométrique comme une empreinte digitale, ou encore un lecteur de carte Smart Card. Mais par-dessus tout, le simple fait d’ajouter un deuxième facteur d’authentification à l’équation peut rendre extrêmement difficile toute tentative de cyberattaque et toute utilisation d’authentifiants volés pour accéder aux systèmes.
Du point de vue du service des TI, les mesures de sécurité de l’identité et les processus d’authentification multifactorielle présentent un autre avantage. Les utilisateurs ne peuvent pas éviter ces mesures. Elles sont nécessaires pour utiliser un appareil ou accéder aux données. Autrement dit, ces mesures permettent de renforcer le maillon le plus faible dans la sécurité mobile, c’est-à-dire l’humain, la personne qui utilise l’appareil.
Évidemment, nous venons à peine d’effleurer la surface de la sécurité mobile. Revenez dans les prochains mois pour une exploration plus approfondie de la mobilité en entreprise et de la sécurité mobile. Continuez d’explorer nos Mobility Insights pour en savoir plus sur les solutions mobiles et pour trouver des sources d’inspiration pour vous aider à assurer la croissance de votre entreprise.
1 Lisa Ellis, Greg Gilbert, « The mobile disruption: The next enterprise IT shake-up », McKinsey & Company, www.mckinsey.com/insights, juin 2012
2 Intel® et vPro™ sont des marques déposées d’Intel Corporation.
3 Le logiciel HP Touchpoint Manager prend en charge les systèmes d’exploitation Android™, iOS et Windows, de même que les PC, bloc-notes, tablettes et téléphones intelligents de divers fabricants. HP Touchpoint Manager n’est pas offert dans tous les pays. Consultez le site http://www.hp.com/touchpoint pour connaître tous les détails relatifs à la disponibilité du produit. HP Touchpoint Manager nécessite l’achat d’un abonnement. Les fonctions d’effacement, de verrouillage et de déverrouillage hors bande, ainsi que la fonction d’affichage de codes d’erreur de BIOS devraient être offertes sur certains modèles HP EliteBook et nécessitent une connexion Internet et la technologie Intel® vPro™. Ces fonctions sont accessibles en mode S3 (veille), S4 (hibernation) et S5 (Soft Off). Les disques SATA sont effacés. Les clés de chiffrement pour les disques à autochiffrement sont supprimées, rendant ainsi les données inaccessibles.
4 « Fourth Annual Benchmark Study on Patient Privacy & Data Security », Ponemon Institute, ID Experts, mars 2014