in

Façonner la sécurité mobile: Thierry Karsenti, Directeur Technique Europe Check Point, montre comment une nouvelle approche de la sécurité mobile peut aider les entreprises à atteindre un juste équilibre entre protection, mobilité et productivité

Beaucoup connaissent le modèle de la gestion de projet en « triangle », qui met en évidence les contraintes d’un projet. Les trois sommets du triangle sont rapide, bon et pas cher. Ils démontrent que, dans un projet donné, les trois attributs ne peuvent être optimisés : l’un est inévitablement compromis pour optimiser les deux autres. Vous pouvez obtenir de bons résultats rapidement, mais pas à bon marché, et ainsi de suite.

Il en va traditionnellement de même pour la sécurité informatique, en particulier en ce qui concerne la mobilité. Dans ce cas, les trois angles du triangle représentent la sécurité, la mobilité et la productivité. Les entreprises ont habituellement pris l’une des deux approches suivantes : soit la mobilité a permis de stimuler la productivité, mais la sécurité a inévitablement été compromise, soit elles ont essayé de fournir une sécurité plus efficace pour les flottes mobiles, au détriment de la productivité.

De récentes recherches montrent que la majorité des entreprises a privilégié la première approche, en plaçant la mobilité devant la sécurité. Nous avons interrogé plus de 700 professionnels du secteur informatique dans le monde entier à propos de la mobilité et de l’utilisation des appareils mobiles dans leur entreprise. 72% d’entre eux ont déclaré que le nombre d’appareils mobiles personnels connectés au réseau de leur entreprise avait plus que doublé au cours des deux dernières années. 82% s’attendent à ce que le nombre d’incidents de sécurité mobile augmente au cours des 12 prochains mois, avec une hausse du coût des mesures correctives.

Tandis que 56% des sondés tentent de gérer les données professionnelles telles que le courrier électronique, les contacts, les calendriers et les données clients sur les appareils appartenant aux employés, 44% n’essaient même pas de gérer les données professionnelles sur les appareils personnels.

Un problème qui dégénère

C’est ce dernier point qui est important. Près de la moitié des entreprises ne gèrent pas ou ne protègent pas les appareils personnels des employés. Il n’est donc pas étonnant que l’approche de la sécurité mobile de la plupart des entreprises soit totalement distordue.
Pourquoi les stratégies de sécurité protégeant les données et les actifs sur les appareils appartenant aux employés ont-elles pris du retard ? Ce retard s’explique en partie par le fait que les équipes informatiques n’ont pas assez de temps et de ressources pour s’investir dans la sécurisation de la mobilité. Elles doivent établir des priorités, et l’afflux des appareils appartenant aux employés dépasse malheureusement les ressources disponibles pour les gérer.

Ces entreprises doivent compter sur les employés pour protéger les données d’entreprise sur leurs appareils personnels, ce que de nombreux employés font. Mais les employés cherchent généralement à travailler plus efficacement pour s’acquitter de leurs tâches, et se soucient moins des actions qui pourraient entraîner des risques pour la sécurité. La plupart du temps, rien ne se produit malgré le risque. Mais des pertes accidentelles vont se produire par inadvertance. Dans notre enquête, 87% des professionnels de l’informatique estiment que les employés négligents posent un plus grand risque pour la sécurité de leur entreprise que les cybercriminels.

Plusieurs appareils, plusieurs problèmes

Comment les entreprises devraient-elles alors aborder la protection de leurs données confidentielles contre les risques de perte ou de vol sur les appareils mobiles personnels et professionnels des employés ? L’un des points clés est que la sécurité mobile n’est pas un seul problème, mais un ensemble de défis, allant de la sécurisation des accès à distance et des données sur les appareils, jusqu’à la protection des documents qui doivent être partagés. Une difficulté supplémentaire consiste à mettre les utilisateurs au courant des politiques de sécurité des données d’entreprise et des conséquences possibles des pertes de données, par des méthodes pédagogiques.

Différentes solutions hétéroclites tentent de résoudre les problématiques de la mobilité et de la sécurité, mais aucune ne fournit une solution complète. Les produits d’EMM (gestion de la mobilité en entreprise) gèrent les configurations des appareils, mais ne protègent ni les données ni les documents professionnels dans des environnements non contrôlés. De même, les produits dédiés à des sous-segments spécifiques de la sécurité ne s’intègrent pas avec la politique ou l’infrastructure de sécurité de l’entreprise. Aucun produit n’offre une approche simple et intégrée capable de protéger les appareils mobiles contre les menaces, et protéger les données et les documents sur les appareils conformément aux politiques d’entreprise, pour faciliter l’application de la sécurité, tout en fournissant aux employés une mobilité simple et sécurisée.

Les trois pierres angulaires de la sécurité, la mobilité et la productivité

Une approche intégrée qui aborde les trois principales problématiques de la mobilité est nécessaire. Ces problématiques sont :

  • L’extension de la protection à tous les appareils, en tout lieu
  • La possibilité d’implémenter un espace de travail sécurisé sur tout appareil pour protéger les données professionnelles
  • La protection des documents professionnels aussi bien à l’intérieur qu’à l’extérieur de l’entreprise, sur tout appareil

La première problématique apparaît quand un appareil est infecté par des logiciels malveillants lorsqu’il est utilisé en dehors du périmètre de l’entreprise. Cela rend les données stockées sur l’appareil vulnérables, et lorsque l’appareil infecté est à nouveau utilisé, la menace peut se propager sur le réseau de l’entreprise. Une solution efficace consiste à fournir la protection des appareils sous forme de service via le Cloud, en utilisant un tunnel VPN chiffré. Elle bloque les téléchargements de fichiers suspects et les sites web malveillants, et stoppe les bots avant qu’ils ne puissent causer des dommages. Les utilisateurs, les réseaux et les données de l’entreprise sont protégés contre les menaces, à l’intérieur et à l’extérieur du réseau de l’entreprise. Elle permet également l’extension des politiques de sécurité de l’entreprise à tous les appareils pour faciliter leur administration.

La deuxième problématique est de permettre une utilisation sécurisée des appareils personnels, tout en protégeant et en gérant des données professionnelles stockées sur ces appareils. La solution consiste ici à créer un environnement sécurisé sur l’appareil, qui sépare les applications et les données personnelles et professionnelles, tout en protégeant le tout. Elle permet aux utilisateurs d’accéder à la messagerie, aux documents et aux actifs professionnels depuis un environnement applicatif sécurisé et chiffré, séparé du contexte personnel.

La troisième problématique de sécurité mobile est la protection des documents professionnels en tout lieu, tant à l’intérieur qu’à l’extérieur du réseau. Ici, la solution idéale consiste à protéger les documents eux-mêmes, afin que seuls les utilisateurs autorisés puissent ouvrir et lire les types de documents fréquemment utilisés, tels que Word, Excel, PowerPoint et Acrobat. La protection doit être activée lors de la création des documents, et doit les suivre, de sorte que les directives de sécurité de l’entreprise soient toujours appliquées, avec une journalisation des accès aux documents.

Adopter une approche agnostique du dispositif de sécurité, et se concentrer davantage sur la gestion et la protection de l’utilisation des données professionnelles, simplifie grandement les défis posés par la mobilité. Une protection trop contraignante sur les appareils peut interférer avec les activités des employés et leur vie privée, et les conduire à essayer de contourner les politiques de sécurité de l’entreprise. De plus, le type d’appareil utilisé pour accéder aux données et les traiter n’a pas d’importance tant que les données et la session sont protégées, et que la personne qui utilise les données dispose des droits nécessaires.

Avec cette approche, les entreprises peuvent parfaitement équilibrer leur triangle : elles peuvent faciliter la mobilité et la productivité en tout lieu, sans compromettre la sécurité.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.