Le travail nomade est plus que jamais d’actualité et protéger l’accès aux données en situation de mobilité est une priorité des directeurs informatiques. La multiplication des terminaux mobiles, qu’il s’agisse d’ordinateurs portables, de tablettes ou de smartphones, permet aux employés de travailler en-dehors de l’entreprise. En situation de mobilité, tout collaborateur doit être en mesure de créer, modifier et partager des documents de travail en temps réel, quels que soient leurs formats. Se pose alors la question de la sécurité des données ainsi produites et partagées. Même situées sur un appareil mobile hors de l’entreprise, elles doivent pouvoir rester confidentielles et leur accès strictement contrôlé.
A lire aussi dans notre dossier “Sécurité des données” :
La révolution du BYOD
Auparavant, il était relativement simple de contrôler la sécurité des données et des appareils les hébergeant. L’entreprise fournissait l’intégralité du matériel professionnel permettant à un employé de travailler. Tous les ordinateurs étaient clonés à partir d’un même modèle sécurisé et le travail était plutôt sédentaire.
Le phénomène du BYOD (« Bring Your Own Device », « Apportez votre propre équipement personnel de Communication » en français) a complètement changé la donne.
On ne compte désormais plus le nombre de salariés qui utilisent leur matériel personnel à titre professionnel.
Hors, l’entreprise n’a aucun contrôle sur ces appareils. Ils ne sont pas toujours sécurisés, sont équipés de versions logicielles différentes, et forment au final un parc matériel particulièrement hétérogène.
Pourtant, si des données confidentielles appartenant à l’entreprise doivent transiter ou être utilisées sur un appareil mobile ne faisant pas partie de la flotte officielle de l’entreprise, il est impératif qu’elles soient sécurisées comme nous l’indiquons dans notre guide sur la sécurité.
Gérer la sécurité des données sur les outils mobiles
Il est de la responsabilité de l’employeur d’assurer la sécurité des données de l’entreprise, même si elles sont stockées sur du matériel sur lequel il n’a aucun contrôle. Les autorisations d’accès aux données professionnelles à partir d’un appareil extérieur doivent être parfaitement contrôlées.
Il est également indispensable de se prémunir contre un certain nombre de risques comme les tentatives d’intrusion, les virus et autres chevaux de Troie qui pourraient mettre en péril la disponibilité, l’intégrité et la confidentialité des données de l’entreprise, la mettant ainsi potentiellement en danger.
Comment protéger l’accès aux données de l’entreprise depuis l’extérieur ?
Protéger l’accès aux données : les solutions
Afin de protéger les données, il est important dans un premier temps d’identifier les risques potentiels. Leur importance et leur gravité dépendent du contexte dans lequel évolue l’entreprise. Les équipements, les données et les applications pouvant présenter des risques doivent être répertoriées. Les procédures à mettre en œuvre doivent être formalisées dans une véritable politique de sécurité.
L’accès autorisé depuis du matériel personnel doit être cloisonné, et un système d’authentification forte doit être mis en place. Idéalement, les données stockées sur les appareils doivent être chiffrées, tout comme celles qui transiteront sur les différents réseaux mobiles ou Wifi. L’utilisation systématique du protocole HTTPS et de VPN permettra à défaut d’empêcher l’interception des données, d’en empêcher l’exploitation.
Il est aussi possible d’utiliser des logiciels DLP (« Data Loss Prevention »). Ces logiciels permettent, entre autres, d’éviter la copie et le piratages de données internes à l’entreprise depuis un de ses Endpoints (Serveur, PC, portable, tablette, smartphone).
De même, une procédure doit être mise en place en cas de défaillance, de perte ou de vol du matériel personnel afin qu’il puisse être bloqué et que les données soient inexploitables.
Mais toutes les mesures de sécurité ne valent rien sans une formation des utilisateurs. Ils doivent être sensibilisés à la sécurité informatique et conscients de leurs responsabilités. Les équipements personnels doivent être soumis à autorisation avant de pouvoir être utilisés dans le cadre professionnel. L’entreprise, si elle ne peut contrôler l’intégralité de la flotte informatique, doit au moins contrôler les accès autorisés aux données et s’assurer qu’elles soient chiffrées.
