Le fléau des cyberattaques se hisse en première ligne des risques à anticiper pour une entreprise, notamment dans le secteur du tourisme. Par ailleurs, l’utilisation des Smartphones personnels (BYOD Bring your Own Device) devient une habitude courante autant qu’appréciée des employés dans les entreprises. Cette pratique expose d’autant plus aux risques de piratages qu’elle met en œuvre des systèmes non testés, non garantis et parfois inconnus des responsables informatiques gérant la sécurité.
Les risques
Dans un livre Blanc intitulé « La cybersécurité et votre entreprise », le constructeur informatique HP précise qu’une application Android sur cinq contient une forme de programme malveillant invasif, susceptible d’être transmis aux fichiers et systèmes de l’entreprise. Le risque de voir une activité surveillée ou pire, des informations dérobées, n’est donc pas négligeable. Les chiffres de cette étude parlent d’eux-mêmes : 64,9 % des entreprises déclarent que le nombre de menaces visant leurs appareils mobiles a augmenté.En outre, un employé qui se fait dérober un téléphone peut involontairement ouvrir la porte aux pirates. L’appareil, le plus souvent revendu au marché noir, permet d’accéder au système d’information de l’entreprise et de retirer les informations sensibles voire de pénétrer dans les fichiers d’un plus gros client.
La réaction à tort
Étant donné l’importance cruciale de la sécurité, le réflexe défensif consiste souvent à restreindre le choix des périphériques proposés ou à limiter l’environnement offert au point de connexion. Mais fermer la porte aux périphériques grand public et au BYOD n’est pas si simple, surtout avec de jeunes générations d’utilisateurs habitués à un confort d’utilisation et à une ergonomie pas toujours disponibles dans les outils existants au sein d’une entité.La sécurité et la problématique
La cybercriminalité n’est pourtant pas une menace nouvelle, mais elle s’avère en augmentation permanente. De leur côté, les pirates deviennent de plus en plus experts et ils disposent de toujours plus de moyens pour pénétrer un réseau ou perpétrer leurs méfaits.Enfin, l’Internet des objets, qui multiplie de façon exponentielle le nombre de terminaux et par conséquent le nombre de points d’accès, augmente considérablement la taille des cibles et le périmètre informatique à surveiller.
Intégrer et former les utilisateurs
Le simple téléchargement accidentel d’une pièce jointe à un e-mail malveillant peut s’avérer catastrophique pour l’entreprise. La visite innocente d’un site web dangereux risque d’infecter le réseau de la société via un programme pirate. L’installation d’une mise à jour infectée ralentit parfois les ordinateurs tout en transmettant des informations sensibles à un cybercriminel. Selon le baromètre du CESIN, « l’enjeu sur l’avenir est prioritairement humain. Si les entreprises envisagent encore massivement d’investir dans l’acquisition de solutions techniques, près d’une sur deux prévoit d’augmenter les ressources humaines dédiées, souhaitant replacer la gouvernance de la cybersécurité au bon niveau et mieux former et sensibiliser les usagers pour mieux agir ».Informer
Les premiers risques proviennent souvent des utilisateurs mal sensibilisés et c’est naturellement la formation, l’éducation aux bonnes pratiques qui se révèlent les premiers leviers efficaces à actionner.D’où l’importance considérable de sensibiliser les collaborateurs en intégrant les règles de sécurité mobile dans la politique générale de sécurité de l’entreprise. « Incorporer l’employé dans un circuit de stratégie mobile et donc de de sécurité est fondamental » développe Charles Gresset, le directeur stratégie en transformation digitale chez Econocom.
Les différents usages
Les usages professionnels impliquant des périphériques mobiles en entreprise sont multiples et variés. Qu’il s’agisse d’applications métiers, partie intégrante du Système Informatique et accessibles depuis des terminaux fournis par l’entreprise (COPE – Corporate Owned Personaly Enabled), ou de données moins sensibles utilisées à partir de périphériques personnels (BYOD), les risques sont permanents, puisque liés au point d’accès.Ces nouvelles pratiques induisent pourtant des problématiques classiques comme la gestion des mots de passe ou des sauvegardes. « La clé est de trouver une solution qui n’est pas contraignante et facile à l’usage. Une solution souple adaptée au contexte de ce qu’il y a à sécuriser » déclare Olivier Morel, Directeur Avant-vente d’Ilex International.
L’humain au centre de la sécurité
Si la base de la cybersécurité repose sur une bonne politique concernant les mots de passe, il convient d’impliquer les utilisateurs tant dans le choix que dans le délai de renouvellement. Un mot de passe renouvelé tous les trois mois et qui comprend plus de 8 caractères avec au moins une majuscule, un chiffre et un symbole comme & ou @, reste difficile à trouver …. sauf s’il est noté sous le clavier …5 conseils élémentaires pour sécuriser son mobile :
- Installez un outil de détection des menaces afin de faciliter la détection des applications malveillantes et des codes suspects.
- Demandez aux employés d’activer l’effacement à distance (disponible gratuitement pour Android, iPhone et Windows Phone ; sur abonnement pour BlackBerry) afin que, en cas de perte, les données sensibles (professionnelles et personnelles) soient désactivées.
- Demandez aux employés d’activer le chiffrement sur leurs Smartphones afin de protéger les données (cette option est activée par défaut sur les nouveaux téléphones iOS et Android)
- Expliquez à votre personnel les meilleures pratiques concernant la cybersécurité et organisez régulièrement des formations pour qu’ils soient informés des dernières menaces.
- Préparez un protocole de sécurité adapté à votre entreprise et aux types de données qu’elle traite : Que faire en cas de problèmes ?