L’adoption des équipements mobiles au sein des environnements professionnels a décollé au cours des dernières années. Les entreprises ont compris tous les bénéfices qu’elles pouvaient retirer de la flexibilité offerte par ces outils dans le cadre du travail. Cependant, si le fait de pouvoir accéder à tout moment aux applications et données de l‘entreprise permet d’améliorer la productivité des équipes, il engendre aussi de nouveaux risques. Les entreprises ont donc adopté un modèle de sécurité basé sur les dispositifs de confiance afin de se protéger au moment d’offrir un accès distant aux informations de l’entreprise. Mais au fur et à mesure que la flexibilité se développe en entreprise, ce modèle ne peut plus être considéré comme sûr et fiable.
Qu’est-ce qu’un appareil dit « de confiance »?
Un périphérique de confiance désigne un équipement connu des services de l’entreprise sur lequel elle a un pouvoir de contrôle et peut garantir un certain niveau de sécurité. En règle générale, ces périphériques intègrent un agent qui dirige le trafic vers le réseau de l’entreprise, ce qui permet de réaliser des contrôles de sécurité de base, comme un code d’accès et la mise à jour du système d’exploitation (OS). Une fois ces vérifications terminées, le périphérique de confiance dispose alors généralement d’un accès réseau illimité pour que l’utilisateur puisse récupérer toutes les informations dont il a besoin pour travailler à distance. Typiquement, cela signifie l’ouverture d’un tunnel VPN vers le réseau d’entreprise qui ouvre un accès illimité à des services que l’utilisateur n’utilisera peut-être même pas – par exemple un répertoire actif – mais qui augmente les risques encourus.
L’essor d’iOS comme plate-forme “sécurisée” de choix
Historiquement, les entreprises choisissaient des ordinateurs équipés de Windows. Mais les mobiles ont fini par s’imposer, et les appareils sous iOS d’Apple sont devenus une référence. Selon la deuxième édition de l’étude Mobile Security and Risk Review, ces derniers représentent plus de 80 % des appareils mobiles utilisés au sein des entreprises au niveau mondial (vs 18 % pour Android). Et cette préférence pour les appareils sous iOS n’est pas nécessairement motivée par les employés. L’OS de la marque à la pomme est souvent considéré comme une option plus sécurisée pour l’entreprise, en partie en raison de son système d’exploitation fermé et de l’attention portée à sa sécurité.
De façon implicite, la confiance dans les plates-formes Apple n’a cessé de grandir chez les responsables informatiques, qui mesurent le potentiel lié à la mobilité des employés, mais qui sont également parfaitement conscientes des menaces associées à leurs activités. L’approche d’Apple, basée sur un environnement fermé au niveau matériel, logiciel et services, a jusqu’ici représenté un avantage de sécurité distinct par rapport aux autres plates-formes. 90 % des professionnels interrogés dans une étude récente de Jamfa estiment qu’il est plus facile de sécuriser les appareils Apple que les appareils mobiles basés sur d’autres systèmes d’exploitation.
Un faux sentiment de sécurité ?
Bien que la majorité des plates-formes mobiles actuellement disponibles soient bien plus sécurisées que les plates-formes existantes, elles restent néanmoins toutes vulnérables à la perte et au vol de données, ainsi qu’aux cyber-attaques qui ciblent les données disponibles sur l’appareil plutôt que sur l’équipement lui-même.
Or, les employés disposant d’appareils de confiance ont souvent accès à certaines des données les plus sécurisées de l’entreprise. De nombreuses agences gouvernementales et certaines des plus grandes banques mondiales utilisent aujourd’hui ce modèle de sécurité pour permettre à leurs employés d’accéder à des informations sensibles. C’est pourquoi elles devraient se préoccuper davantage du partage excessif des données, des identifiants volés voire de garantir le contrôle des données hébergées dans le Cloud, que d’accorder autant d’attention à la sécurité des appareils.
Pour reprendre le contrôle, certaines entreprises se sont tournées vers des solutions de gestion des appareils mobiles (MDM) et de gestion des applications mobiles (MAM). Ces solutions installent des agents sur les terminaux afin qu’ils puissent être gérés de manière centralisée par le service informatique. Des fonctions telles que la protection par mot de passe, l’effacement des données à distance et les restrictions concernant les transmissions sur des réseaux non sécurisés sont toutes gérées via une plate-forme centralisée.
L’installation et la gestion d’une solution de MDM peuvent créer des problèmes logistiques importants. En effet, les équipes informatiques doivent gérer l’installation de logiciels sur des milliers d’appareils et veiller à ce que ces agents soient régulièrement mis à jour et maintenus. Il existe également d’importants enjeux de confidentialité lorsqu’une entreprise souhaite contrôler l’appareil personnel d’un employé, une situation relativement courante dans un environnement BYOD.
Or, les solutions MDM requièrent que soit placé un bout de code – un ‘agent’ – sur chaque équipement personnel d’un collaborateur et de l’employer pour contraindre les activités à utiliser le réseau de l’entreprise. Si cela permet au département informatique de garder un œil sur les données de l’organisation, cela signifie également que les données personnelles de l’utilisateur – banque, réseaux sociaux, ainsi que bien d’autres informations non pertinentes – transitent via le réseau de l’entreprise.
Non seulement cela entrave la vitesse et les fonctionnalités de certaines applications, mais la plupart des employés déplorent que leurs données privées soient vues par les services informatiques de l’entreprise. Une récente étude montrait ainsi que seulement 44 % des employés accepteraient la mise en place de MDM ou MAM sur leur téléphone personnel. Une grande partie rejette complètement ces solutions – préférant contourner les directives du département informatique – au risque de mettre en péril les données de l’entreprise. En fin de compte, en utilisant une approche MDM pour rendre un appareil « fiable », de nombreuses entreprises perdent la confiance de leurs employés.
Privilégier la sécurisation des données à celle de l’appareil
Dans cette même étude, plus des deux tiers (67 %) des employés ont déclaré qu’ils seraient prêts à participer aux programmes BYOD si leur employeur avait la capacité de protéger les données de l’entreprise sans être en mesure de voir, modifier ou supprimer leurs données personnelles.
C’est pourquoi, au lieu de contrôler l’ensemble des activités, les directions informatiques ne devraient suivre que les données d’entreprise. Plutôt que de contrôler tous les aspects d’un téléphone mobile, elles devraient limiter l’accès à partir de certains périphériques, ainsi que limiter les destinations à risque. Cela permettrait de préserver l’expérience utilisateur sans aucun impact sur la sécurité des données sensibles d’une entreprise.
Afin de répondre à ces besoins spécifiques, les entreprises doivent se tourner vers des solutions BYOD «s ans agent ». Contrairement au MDM, elles n’installent pas d’agents logiciels sur les périphériques des employés et ne surveillent donc que les données d’entreprise. Cette approche relativement nouvelle sur le plan de la sécurité mobile met l’accent sur l’idée que ce n’est plus le « périphérique » qui doit être vérifié et protégé, mais les données qui sont présentes sur cet équipement.
Vérifier la réalité de la sécurité
Le concept d’appareils de confiance est sur-utilisé et mal compris, car les appareils de confiance sont, par définition, des appareils qu’une entreprise a jugé « sécurisés ». Pourtant, aucun périphérique n’est complètement sécurisé contre les fuites de données. En fin de compte, la plupart des entreprises se sont trompées en croyant que ces terminaux approuvés, qu’ils soient des équipements personnels BYOD ou des périphériques d’entreprise gérés, sont sécurisés.
Les services informatiques peuvent continuer de différencier un périphérique “fiable” d’un autre “non approuvé”. Mais elles doivent surtout comprendre que ce ne sont pas les périphériques qu’elles doivent protéger – mais bien leurs données les plus sensibles.
