Data, Laisserez-vous vos données s’envoler à votre insu ?

Qu’il s’agisse d’utiliser des terminaux personnels (smartphones, tablettes, ordinateurs portables, etc.) ou l’équipement mobile fourni par l’entreprise, elles se sont démocratisées au sein de l’environnement de travail voire sont devenues incontournables, menaçant davantage la sécurité des données.

Selon une étude Accenture1, quatre entreprises sur dix considèrent la mobilité comme un élément clé de leur stratégie de développement. Si les pratiques favorisant l’équipement en terminaux mobiles au sein de l’environnement de travail présentent des avantages indéniables, en termes de gains de productivité et potentiellement d’économies financières, elles s’accompagnent aussi de risques pour la sécurité des entreprises.

Car les possesseurs de ces terminaux y chargent des applications pratiques ou encore des jeux, qui peuvent même servir à occuper les enfants au restaurant. Compliquant la gestion des environnements IT distribués et donc la sécurisation des données de l’entreprise, la pratique du BYOD se voit complétement refusée dans 41 % des entreprises européennes selon une étude IDC. Ainsi, les dirigeants adhèrent davantage à l’approche CYOD ou COPE, consistant respectivement à donner le choix aux collaborateurs d’acheter un terminal approuvé par l’entreprise ou à fournir aux salariés un équipement mobile et utilisable à des fins personnelles. D’après IDC, 37 % des entreprises européennes envisagent d’intégrer le CYOD dans leur stratégie d’ici 20152 et 22 % l’ont déjà fait.

Le BYOD, le CYOD et le COPE améliorent la satisfaction et la productivité des employés, mais cette coexistence d’applications professionnelles et personnelles expose les entreprises à des vulnérabilités, que les cybercriminels n’hésiteront pas à exploiter pour se procurer des informations confidentielles en installant à l’insu des utilisateurs des programmes malveillants qui se propageront aux systèmes du réseau interne.

Car si la pratique du CYOD et du COPE facilite la gestion des parcs informatiques, elle ne règle pas tous les problèmes liés à la sécurité des données qui peut être remise en cause par l’usage professionnel et personnel sur un même terminal.

Selon une étude publiée sur le site Our Mobile Planet de Google, un utilisateur de smartphone télécharge en moyenne 25 applications sur son appareil, chacune avec ses propres autorisations et conditions d’accès. Les entreprises ont tenté différentes approches pour sécuriser le BYOD/CYOD/COPE, sans succès véritablement probant.

Parmi celles-ci : le chiffrement systématique, la vérification d’intégrité et l’audit des terminaux mobiles. Mais, au final, ces règles sont peu suivies : une étude de Gartner auprès de professionnels qui utilisent régulièrement leurs terminaux personnels pour travailler révèle que 59 % des sondés n’ont même jamais signé de règlement interne d’encadrement des pratiques BYOD.

Certaines entreprises pratiquent également le blacklisting de certaines apps personnelles. Un système détecte les apps interdites et demande à l’utilisateur de les désinstaller avant de l’autoriser à accéder au réseau interne. Mais les utilisateurs trouvent souvent la parade pour conserver leurs apps favorites.

Autre facteur qui a son importance : le décalage entre les préoccupations des utilisateurs et celles des administrateurs IT en matière de sécurité des appareils mobiles. Alors que les BYOD/CYOD/COPE sont de plus en plus déployés dans les entreprises, la sécurité reste secondaire aux yeux des utilisateurs, qui se montrent réticents à l’idée d’installer des agents de gestion de terminaux mobiles (MDM) ou des contrôles de sécurité sur leurs terminaux, quand bien même l’intention est de protéger leurs apps et leurs données personnelles.

Les applications grand public, comme Google Maps, Foursquare ou encore Blablacar, recueillent quantité d’informations personnelles sur leurs utilisateurs, de localisation notamment, et pourtant plus d’un tiers des entreprises n’ont pas mis en place de mesure de contrôle des risques.

Selon une étude effectuée en 2013 par la Cnil, 99 % des applications mobiles collectent les informations personnelles de leurs utilisateurs.

La menace de la perte de données et de l’introduction de programmes malveillants sur le réseau, potentiellement plus dévastateurs encore pour les données, place la sécurité en tête de liste des préoccupations exprimées par les professionnels IT vis-à-vis du BYOD, du CYOD et du COPE. Car une violation de données, d’informations financières ou de données de clients, peut coûter très cher, en frais de justice et en pénalités pour non-conformité. Les services IT devraient saisir l’occasion pour repenser leur stratégie de gestion des accès mobiles. Jusqu’ici, pour contrôler les accès des terminaux mobiles aux données et ressources professionnelles, tout en respectant la confidentialité des données personnelles, il fallait combiner des applications mobiles propriétaires, des applications développées en interne et des solutions ponctuelles de différents fournisseurs.

Désormais, de nouvelles solutions de sécurité des accès mobiles permettent aux administrateurs IT de restreindre l’accès VPN aux seules applications mobiles de confiance. Au lieu de blacklister certaines applications personnelles, ce contrôle de l’accès VPN par app permet aux administrateurs de désigner les apps qui sont autorisées à accéder au réseau VPN de l’entreprise et aux ressources autorisées. Ils peuvent appliquer des règles propres à chaque utilisateur et à chaque terminal, tout en bloquant la communication de données stratégiques aux apps personnelles. Les utilisateurs ne peuvent donc accéder qu’aux données et ressources autorisées.
Mieux vaut opter pour des technologies de contrôle de l’accès VPN par app qui supportent tous types d’apps mobiles, de conteneurs sécurisés et de solutions d’administration de terminaux mobiles (MDM) sans exiger de modification, d’encapsulation d’applications ou de développement de logiciels, ce qui ralentirait leur déploiement et augmenterait les coûts, au détriment de la productivité des salariés mobiles.

Voici quelques précautions à prendre pour faire le bon choix :

• Assurez-vous que la technologie de contrôle de l’accès VPN par app supporte tous types d’apps mobiles sans exiger d’efforts de développement ou de personnalisation.

• Identifiez les ressources réseau auxquelles vos utilisateurs pourront accéder (apps en ligne, apps client/serveur, partages de fichiers ou encore desktops virtuels) et vérifiez que la technologie peut contrôler l’accès à toutes ces charges de travail.

• Les apps mobiles sont un excellent vecteur d’attaque pour les cybercriminels, aussi, contrôlez que les apps auxquelles vous comptez accorder un accès au réseau ne sont pas compromises ou infectées.

Le contrôle de l’accès VPN par app permet aux salariés mobiles d’accéder aux données et ressources de l’entreprise tout en protégeant le réseau contre les cybermenaces.

En offrant aux administrateurs IT la possibilité de restreindre l’accès VPN aux seules applications mobiles de confiance, ces solutions conjuguent l’administration et la sécurité d’accès aux applications et données métier et la coexistence avec les applications personnelles, tout en préservant la confidentialité des données des utilisateurs.

Les DSI ne peuvent plus faire l’impasse sur la sécurité du BYOD, mais également du CYOD et du COPE, et espérer que les problèmes se résolvent d’eux-mêmes. Heureusement, ils vont pouvoir adopter la technologie de contrôle de l’accès VPN par app doublée de règles de sécurité strictes pour protéger les ressources de leur entreprise.