Soyez mobiles en toute sécurité

Les changements qui se produisent en matière de mobilité transforment la façon dont les chefs d’entreprise doivent envisager la sécurité. Bon nombre d’entreprises n’ont pas de politiques ni de plans pour régir l’utilisation des technologies mobiles dans le cadre de leurs activités; elles ont plutôt laissé les tendances en matière de technologies et les préférences des employés dicter leur orientation.

Face au potentiel des technologies mobiles, les entreprises ignorent souvent qu’elles ont besoin d’un plan de sécurité solide et complet pour leurs activités dans ce domaine.

Saisir l'occasion

Il est inutile de lutter contre les technologies mobiles. Les employés trouveront toujours des façons d’utiliser des outils mobiles pour s’acquitter de leurs tâches professionnelles. Ils accéderont à leurs courriels et aux réseaux de l’entreprise à partir de leur téléphone intelligent et d’ordinateurs publics. Ils se connecteront à des réseaux sans fil non sécurisés. Ils utiliseront des applications mobiles pour mieux gérer leur travail et les données qu’ils utilisent pour l’accomplir. D’après une étude sur la sécurité de Cisco/IDC Canada menée auprès d’entreprises canadiennes en août et en septembre 2014¹, près du quart des employés canadiens utilisent un appareil personnel pour faire leur travail même si leur employeur ne le permet pas. De plus, 11 % des Canadiens utilisent un appareil personnel pour faire leur travail sans savoir si leur employeur le permet.²

Les utilisateurs peuvent être très astucieux pour contourner les contrôles de l’entreprise, et toute fausse manoeuvre peut rendre leur appareil vulnérable aux abus. Votre information et vos systèmes deviennent alors eux aussi vulnérables. Le risque de perdre des données sensibles ou confidentielles ou de permettre à des personnes externes non autorisées d’accéder à votre information s’accroît à mesure que la présence mobile de votre entreprise augmente.

Les entreprises ne peuvent plus ignorer le problème de la sécurité mobile. Pour atteindre un niveau de sécurité adéquat à l’ère de la mobilité, elles doivent considérer la mobilité comme un catalyseur et gérer les risques qui y sont associés. Une approche proactive pour déterminer ce qui est permis et ce qui ne l’est pas aidera votre entreprise à façonner la manière dont vos employés utilisent les outils mobiles et à les orienter vers des pratiques plus sécuritaires, des appareils plus sûrs et des applications et outils plus sécurisés.

¹New Cisco Security Study Shows Canadian Businesses Not Prepared For Security Threats. Consulté le 16 mars 2015. http://newsroom.cisco.com/release/1559272/New-Cisco-Security-Study-Shows-Canadian-Businesses-Not-_2

²Ibid

Les entreprises qui veulent mettre de l’ordre dans les activités mobiles qui touchent directement leur exploitation doivent se poser des questions difficiles, mais néanmoins essentielles. L’analyse de ces questions et l’adoption de procédures et de technologies appropriées pour les résoudre peuvent aider ces entreprises à concevoir des plans afin de devenir plus sécurisées, plus vigilantes et plus résilientes face aux cybermenaces.

Familiarisez-vous avec les problèmes à résoudre. Les problèmes liés à la mobilité peuvent prendre de nombreuses formes. Par exemple, tentez-vous de rassurer vos employés à qui vous demandez d’utiliser des applications de l’entreprise sur des appareils autres que les téléphones que vous leur fournissez? Tentez-vous de comprendre les menaces qui guettent votre entreprise si elle adopte une approche « apportez votre propre appareil » permettant aux travailleurs de décider lequel de leurs appareils mobiles ils utiliseront pour faire leur travail? Le fait de connaître et de définir le problème vous donne un bon point de départ pour le résoudre.

Élaborez un plan pour le développement sécuritaire d’applications mobiles. La création d’applications d’entreprise qui aident les employés à faire leur travail est une démarche avisée, mais le processus de développement, d’essai et de déploiement de telles applications ne doit pas introduire de nouvelles vulnérabilités.

Déterminez quels appareils mobiles personnels les employés peuvent utiliser pour faire leur travail. Déterminez également quels appareils de l’entreprise ils peuvent utiliser pour accéder à des sources d’information spécifiques. Les appareils ne sont pas tous les mêmes. Certains appareils des employés ou de l’entreprise peuvent ne pas convenir pour certaines activités et doivent être exclus de votre plan de sécurité mobile.

Décidez quels types d’applications les employés peuvent utiliser. Le fait d’installer certains types d’applications sur certains types d’appareils peut représenter des risques d’atteinte à la vie privée ou de fuite de données. Certaines applications n’ont simplement pas leur place dans votre plan de sécurité mobile.

Soyez conscients des répercussions lorsqu’un « étranger » (que ce soit un voleur ou une connaissance d’un employé) prend, perd ou endommage un appareil mobile. Décidez ensuite comment vous réagirez. Dans certains cas, l’effacement à distance des données peut être une solution en cas de perte ou de vol d’un appareil. Cependant, iriez-vous jusqu’à effacer les données d’un appareil sur lequel votre employé a stocké ses photos personnelles? Vos employés sont-ils au courant que vous pouvez effacer ces données à distance? Le fait d’anticiper de telles questions aidera votre entreprise à agir avec prudence pour la sécurité et à mieux gérer les attentes des employés.

Déterminez les restrictions d’accès ou de téléchargement d’applications que vous imposerez dans votre plan de prévention contre les maliciels. L’accès mobile illimité à des applications et à des données de l’entreprise représente des risques évidents en matière de sécurité; votre entreprise doit donc avoir un plan clair qui indique ce qui est interdit et comment ces restrictions seront appliquées.

Déterminez les interactions mobiles que vous aurez avec vos sous-traitants, partenaires et amis. Les fournisseurs utilisent aussi des technologies mobiles lorsqu’ils transigent avec votre entreprise. Vous devez savoir comment ils accèdent à votre information et à vos systèmes. Pensez aussi aux personnes qui visitent vos bureaux et accèdent à vos systèmes. (Quels types d’appareils peuvent-elles apporter? À quelles ressources ont-elles accès?) Le fait de planifier en fonction de plusieurs scénarios impliquant des partenaires et des outils mobiles peut vous aider à prévenir les problèmes de sécurité mobile avant qu’ils ne surviennent.

Anticipez tous les problèmes de sécurité qui peuvent survenir si vous utilisez plus d’une plate-forme mobile pour vos employés. De nombreuses entreprises traitent les problèmes de sécurité liés aux systèmes d’exploitation iOS, Android et BlackBerry de façon ponctuelle à mesure que leurs employés acquièrent de nouveaux appareils. Une approche plus ciblée et approfondie en matière de sécurité peut les aider à résoudre d’avance les problèmes liés à chacune des plates-formes.

Pour assurer la sécurité de l’entreprise à l’ère de la mobilité, il ne suffit pas d’adopter des politiques. Des décisions techniques importantes doivent être prises pour améliorer la façon d’utiliser les outils mobiles. Voici quelques facteurs à considérer lorsque vous déterminerez votre approche en matière de sécurité mobile.

Envisagez le déploiement d’une solution centralisée de gestion des appareils mobiles. Diverses solutions centralisées de gestion des appareils mobiles sont offertes sur le marché pour combler les besoins des entreprises en matière de sécurité. Elles sont toutes différentes. Certaines servent principalement à la gestion des stocks. D’autres sont axées sur des fonctions telles que l’effacement à distance du contenu des appareils. Déterminez quels sont vos besoins et renseignez-vous sur les particularités de chaque solution.

Évitez les téléphones déverrouillés. Bien des personnes considèrent que les appareils déverrouillés sont plus souples et plus puissants, mais ces derniers peuvent exposer les utilisateurs et votre entreprise à de nouvelles menaces, par exemple à des applications malveillantes. Un produit déverrouillé ne vaut pas les inquiétudes ou les problèmes qu’il peut causer à votre entreprise.

Prenez conscience des problèmes que vous rencontrerez dans un environnement mobile hétérogène. Plus les types d’appareils et de plates-formes que vous permettez sont nombreux, plus vous vous exposez à des problèmes de sécurité. Dans un environnement hétérogène, vous ne pouvez pas toujours avoir des mesures de sécurité et des politiques uniformes.

La mobilité gagne rapidement du terrain dans les entreprises, et ces dernières doivent y réagir tout aussi rapidement, mais de façon réfléchie afin de gérer les problèmes de sécurité. Et même si des questions stratégiques et techniques importantes attendent les entreprises qui sont en quête de solutions, le fait d’y trouver des réponses leur assurera une bonne position pour les années à venir. Les entreprises veulent être plus rapides. La mobilité leur en donne la possibilité. Si vous tardez à prendre des mesures en matière de sécurité mobile, vous devrez vous rattraper plus tard.

En résumé, une entreprise doit adopter une politique cohérente et pragmatique en matière de gestion des appareils mobiles. La simplicité est souvent la meilleure approche. Or, la simplicité ne vient pas sans effort. Deloitte peut aider votre entreprise à devenir sécuritaire, vigilante et résiliente. Nous possédons une expérience solide et une approche prospective en matière de sécurité mobile, et nous pouvons vous aider à combler vos besoins organisationnels, de la conception de la stratégie et des politiques à la sélection et à la mise en œuvre de solutions.