Impact du RGPD sur la sécurisation des terminaux mobiles
Pour un collaborateur, l’accès aux données de l’entreprise depuis des applications mobiles métiers, client de messagerie, ou même ERP est un réel facteur clé deproductivité. Pour l’entreprise, cela représente un enjeu stratégique majeur non seulement en termes de croissance mais surtout de sécurité. Corolaire, cela modifie profondément son organisation : quelles informations rendre accessibles, à quel profil, la gestion de la compatibilité avec les OS, le BYOD, la sécurité des terminaux mobiles, etc. Et les risques de faille de sécurité qui accompagnent cette transformation ne cessent de s’intensifier.
De plus, avec la mise en place du nouveau Règlement Général sur la Protection des Données (RGPD), la sécurisation de l’ensemble des éléments pouvant composer le système d’information de l’entreprise devient une obligation légale; et les terminaux mobiles ayant accès au SI en font désormais partis ! La gestion des mobiles devient un véritable enjeu, tant pour superviser le parc d’équipement que pour appliquer les règles de sécurité adéquates et gérer les risques de menaces informatiques.
Sécurité des mobiles : état des lieux
Les collaborateurs accèdent désormais au système d’information de l’entreprise depuis leurs terminaux mobiles (smartphones, tablettes et autres ordinateurs portables), qu’ils soient fournis par l’entreprise ou dans le cadre du BYOD (Bring Your Own Device), dont la tendance est en constante progression. Ces appareils utilisés par les salariés dans le cadre de leur activité professionnelle apportent une nouvelle complexité, puisque contrairement aux ordinateurs ou aux serveurs, qui formaient jusqu’alors la colonne vertébrale du système d’information de l’entreprise, les terminaux mobiles ne sont pas physiquement reliés au reste de l’infrastructure et sont donc plus difficiles à contrôler.
Les collaborateurs accèdent aux applications métiers de l’entreprise, et donc aux données les plus stratégiques. Ainsi, à travers ces terminaux, plusieurs sortes de données personnelles peuvent être collectées et traitées : celles des clients de l’entreprise ainsi que celles des salariés. Les mobiles représentent des points stratégiques d’entrée et de sortie de données personnelles et les risques de manquement au RGPD sont importants sur les mobiles de l’entreprise : il convient donc d’apporter des réponses techniques et organisationnelles appropriées.
Les mobiles, nouvelles cibles des cybercriminels
Une des complexités majeures réside dans la porosité des usages entre le domaine personnel et la sphère professionnelle. Les mobiles accompagnent en effet les collaborateurs en permanence, 24 heures sur 24, qu’ils soient au bureau, en déplacement ou chez eux, ce qui accroît les risques d’attaques et d’intrusion dans les données de l’entreprise. C’est pourquoi les terminaux mobiles sont devenus des cibles de choix pour les cybercriminels.
Les attaques sont en constante augmentation et plus d’un tiers ciblent les mobiles. Les vecteurs d’attaques sont multiples et en perpétuelle évolution : les menaces touchent aussi bien les applications, les contenus (phishing, sites malveillants), les réseaux (redirection de type Man-In-the-Middle, fausses bornes wifi ou 4G, attaques via Bluetooth,…), que les appareils eux même : vol, lecture via les périphériques, malwares, vulnérabilités des OS. Sans compter les problèmes liés aux vulnérabilités logicielles, aux comportements ou encore aux configurations. Il suffit d’un seul smartphone infecté se connectant au réseau WiFi de l’entreprise pour compromettre la sécurité de tout le système d’information.
Téléphonie et mobilité
Faciliter vos échanges, partout, tout le temps Découvrez la téléphonie fixe sur mobileComment protéger les terminaux mobiles ?
Une solution d’EMM (Enterprise Mobility Management) désigne une approche globale pour sécuriser et permettre l'utilisation par les employés d'une entreprise de smartphones et de tablettes. Elle permettra non seulement de gérer la sécurité des terminaux comme celles des PC et serveurs de l’entreprise, mais également de s’assurer que les terminaux personnels (BYOD) accèdent aux données sensibles avec le même niveau de sécurité. Grâce à ces solutions, il sera possible de définir des stratégies afin de prévenir les pratiques parfois risquées des collaborateurs : interdiction d’installer des applications non essentielles ou qui n’ont pas été validées par l’entreprise, verrouillage à distance du terminal en cas de comportement inapproprié, …
L’administrateur pourra définir et gérer par type de profil des règles de sécurité applicables aux appareils, à l’OS, aux applications ainsi qu’aux données. L’accès au réseau d’entreprise pourra également être limité aux seuls appareils autorisés et respectant les règles de conformité préalablement définies. L’utilisation des wifi, du Bluetooth, NFC, … peut ainsi être contrôlée, jusqu’à la limitation ou l’interdiction de certaines actions, comme la copie, l’impression de documents ou le transfert de mails.
De plus, en cas violation de données, l’administrateur pourra par exemple auditer les smartphones et les transferts de données et mettre en évidence les actions qui ont conduit à une telle situation. Un autre aspect important du RGPD est la DLP (Data Loss Prevention), qui pourra être couverte : En cas de jailbreak/root ou de perte ou vol, l’appareil peut être localisé et, le cas échéant, les données effacées à distance par l’administrateur. Enfin, des solutions de conteneurisation permettant de créer deux environnements étanches sur le mobile : le premier réservé aux usages professionnels, sur lequel l’administrateur peut agir, laissant ainsi la main sur le second au collaborateur sans risque de compromettre les données de l’entreprise…
La mise en place d’une solution d’EMM permettra à l’administrateur de garder le contrôle à distance total de la sécurité de son parc mobile, et ainsi garantir la sécurité de toutes les données qui transitent par ces équipements, renforçant donc la conformité aux principes d’intégrité, de confidentialité et de responsabilité obligatoires dans le cadre du RGPD.