Pages PDF
Pages PDF
Pages PDF
POUR
LES NULS
MD
LES NULS
Par Georgina Gilmore et Peter Beardmore
MD
Scurit mobile & BYOD Pour les NulsMD Publi par John Wiley & Sons, Ltd The Atrium Southern Gate Chichester West Sussex PO19 8SQ Angleterre Afin d obtenir des informations sur la cration dun livre personnalis Pour les Nuls destin votre entreprise ou votre organisation, veuillez contacter Corporate Development@wiley.com. Pour obtenir des informations sur la licence de produits ou services de marque Pour les Nuls, veuillez contacter BrandedRights&Licenses@ Wiley.com. Notre page daccueil ladresse www.customdummies.com Copyright 2013 de John Wiley & Sons Ltd, Chichester, West Sussex, Angleterre Tous droits rservs. Il est interdit de reproduire, de stocker dans un systme dinterrogation ou de transmettre sous une forme ou par tout moyen quelconque, lectronique, mcanique, de photocopie, denregistrement, de scannage ou autre, tout ou partie de la prsente publication, sauf au titre des dispositions de la loi Copyright, Designs and Patents Act 1988 [Loi britannique de 1988 sur le droit d auteur, les dessins et modles et les brevets] ou dune licence mise par la Copyright Licensing Agency Ltd, 90 Tottenham Court Road, Londres, W1T 4LP, R.-U., sans lautorisation crite de l diteur. Les demandes dautorisation auprs de lditeur doivent tre adresses Permissions Department, John Wiley & Sons, Ltd, The Atrium, Southern Gate, Chichester, West Sussex, PO19 8SQ, Angleterre, ou par e-mail permreq@wiley.com, ou par tlcopie au (44) 1243 770620. Marques : Wiley, le logo de Wiley, Pour les Nuls, For Dummies, le logo du personnage Dummies Man, A Reference for the Rest of Us!, The Dummies Way, Dummies Daily, The Fun and Easy Way, Dummies.com, ainsi que la prsentation associe des produits sont des marques ou des marques dposes de John Wiley & Sons, Inc. et/ou de ses socits affilies aux tats-Unis et dans dautres pays, et ne doivent pas tre utiliss sans autorisation crite. Toutes les autres marques sont la proprit de leurs dtenteurs respectifs. John Wiley & Sons, Inc., nest pas associe aux produits ou aux fournisseurs mentionns dans le prsent livre.
LIMITE DE RESPONSABILIT/EXONRATION DE GARANTIE: LDITEUR, LAUTEUR ET TOUTE AUTRE PERSONNE IMPLIQUE DANS LA PRPARATION DU PRSENT LIVRE NE FAIT AUCUNE DCLARATION NI NACCORDE AUCUNE GARANTIE QUANT LEXACTITUDE OU LEXHAUSTIVIT DU CONTENU DU PRSENT LIVRE ; EN PARTICULIER, IL REJETTE SPCIFIQUEMENT TOUTES LES GARANTIES, Y COMPRIS SANS AUCUNE LIMITE, LES GARANTIES DADQUATION UN USAGE PARTICULIER. AUCUNE GARANTIE NE PEUT TRE CRE OU PROROGE PAR DES DOCUMENTS DE VENTE OU DE PROMOTION. LES CONSEILS ET STRATGIES CONTENUS DANS LE PRSENT LIVRE PEUVENT NE PAS CONVENIR TOUTES LES SITUATIONS. LE PRSENT LIVRE EST VENDU, TANT ENTENDU QUE L DITEUR NOFFRE PAS DE SERVICES JURIDIQUES, COMPTABLES OU AUTRES SERVICES PROFESSIONNELS. LES LECTEURS QUI VEULENT OBTENIR UNE ASSISTANCE PROFESSIONNELLE DOIVENT SADRESSER UN PROFESSIONNEL COMPTENT. NI LDITEUR, NI LAUTEUR NE SERA TENU RESPONSABLE DES DOMMAGES DCOULANT DU CONTENU DU PRSENT LIVRE. LA MENTION DUNE ORGANISATION OU DUN SITE INTERNET DANS LE PRSENT LIVRE, EN CITATION ET/OU COMME SOURCE POTENTIELLE DE RENSEIGNEMENTS SUPPLMENTAIRES, NE SIGNIFIE PAS QUE LAUTEUR OU LDITEUR ENTRINE LES RENSEIGNEMENTS OU LES RECOMMANDATIONS QUE PEUT FOURNIR LORGANISATION OU LE SITE INTERNET. EN OUTRE, LES LECTEURS DOIVENT SAVOIR QUE LES SITES INTERNET MENTIONNS DANS LE PRSENT LIVRE PEUVENT AVOIR CHANG OU DISPARU DEPUIS LA CRATION DU LIVRE.
Wiley publie galement ses livres sous divers formats lectroniques. Certains contenus publis peuvent ne pas tre disponibles au format lectronique. ISBN: 978-1-118-66247-2 (papier); ISBN: 978-1-118-66246-5 (e-book) Imprim et reli en Grande-Bretagne par Page Bros, Norwich
Introduction
ous vous souhaitons une agrable lecture de Scurit mobile & BYOD pour les Nuls, un livre qui vous aidera comprendre quelques points essentiels prendre en compte pour donner accs vos systmes dentreprise des appareils mobiles ou pour tendre votre politique mobile existante. Grce aux astuces et conseils contenus dans ce livre, nous vous viterons de compromettre votre scurit et den supporter les consquences au niveau rglementaire ou lgal. Comme dans tout changement de procdure en entreprise, il convient de ne pas prendre en compte uniquement les avantages. Des dfis potentiels peuvent apparaitre quand des appareils mobiles sont utiliss pour accder aux donnes et aux systmes de lentreprise. Par ailleurs, si vous dcidez de suivre le chemin du BYOD (Apportez votre propre appareil), vous profiterez de nouveaux avantages mais vous serez galement confront des problmes supplmentaires. En consquence, il vaut mieux tre bien prpar . . . et cest pourquoi nous avons rdig ce livre.
propos de ce livre
Ce livre est peut-tre petit, mais il contient toutes les informations sur les avantages et les dfis que les accs mobiles et le BYOD impliquent. Concernant les accs mobiles, il nexiste aucune approche universelle. Ce livre apporte des astuces
2
et des conseils utiles pour permettre aux entreprises dvaluer leurs propres exigences, avant de formuler leur stratgie personnelle. Le livre Scurit mobile et BYOD pour les Nuls peut vous aider prendre en compte: Les avantages et inconvnients gnriques. Les considrations lgales et les obligations potentielles. Les implications pour les RH: contrats, politiques et formation. Les dfis pour la scurit et les services informatiques et les solutions
Hypothses
Afin que vous obteniez des informations pertinentes, nous avons pos quelques hypothses: Lentreprise que vous grez ou que vous possdez ou pour laquelle vous travaillez cherche fournir ou tendre laccs ses systmes et donnes internes par le biais dappareils mobiles. Vous recherchez des astuces pour une stratgie mobile ou BYOD. Vous avez besoin de quelques conseils concernant des problmes lgaux et comment les viter. Vous souhaitez vous assurer que la confidentialit des donnes sera prserve. Vous recherchez des informations sur des technologies qui peuvent vous aider viter que laccs mobile ne se transforme en une source dattaques pour les systmes de votre entreprise.
Structure du livre
Scurit mobile & BYOD pour les Nuls est divis en six chapitres concis qui regorgent dinformations: Chapitre 1: Pourquoi la mobilit et le BYOD? Nous expliquons les avantages et les dfis auxquels vous tes confront. Chapitre 2: Exploration dun monde inquitant: logiciels malveillants, pertes de donnes et autres risques. Ce chapitre vous informe sur les principaux risques de scurit, actuels et futurs. Chapitre 3: Connaitre la loi. Restez dans la lgalit grce aux informations de ce chapitre. Chapitre 4: Affiner la stratgie, la politique et les principes du BYOD. Dcidez des personnes impliquer et comment dployer votre initiative mobile. Chapitre 5: Choisir un logiciel de scurit: les fonctions indispensables. Vous saurez tout sur les technologies qui vous aident protger vos systmes et vos donnes. Chapitre 6: Dix questions pour vous aider affiner votre stratgie. Utilisez ces questions comme une checklist.
Icones utilises
Pour faciliter la recherche des informations ncessaires, ces icones soulignent le texte cl: La cible attire votre attention sur les meilleurs conseils.
4
Licone du pense-bte souligne les points importants retenir. vitez ces piges potentiels.
tape suivante Vous pouvez piocher des informations si vous le dsirez, ou lire le livre du dbut la fin. Il est facile et rapide lire! Quelle que soit la mthode choisie, nous sommes convaincus que vous trouverez de nombreux conseils utiles pour assurer le succs de votre projet daccs mobile ou BYOD.
Chapitre 1
ans ce chapitre, nous allons vous prsenter certains des avantages et analyser les dfis auxquels les entreprises sont confrontes quand elles envisagent dintroduire laccs leurs systmes et donnes via des appareils mobiles. Nous prenons galement en compte les implications des initiatives BYOD (Apportez votre propre appareil).
Dans le contexte conomique actuel , les entreprises qui mettent disposition de leurs employs un accs rapide et pratique leurs donnes et systmes, voire davantage (par le biais des appareils mobiles), peuvent profiter dun avantage majeur sur la concurrence.
6
Accorder aux travailleurs distance ou nomades un accs aux donnes les plus rcentes et permettre aux employs de tlcharger des informations sur les systmes de lentreprise peuvent galement renforcer lefficacit et lagilit de lentreprise. Toutefois, mme si les avantages ventuels sont nombreux, quelques problmes doivent tre rgls; il convient notamment de sassurer que votre projet daccs mobile ne va pas affecter la scurit de vos donnes et de vos systmes, ni entrainer une violation de la lgislation et des obligations de conformit. Aucune entreprise ne souhaite que ses clients et ses partenaires commerciaux la poursuivent en justice ou que le PDG soit tenu personnellement responsable de sanctions lgales . . . en particulier si vous tes le PDG! Pour commencer, voici quelques dfis que les entreprises doivent relever lorsquelles envisagent dautoriser des appareils mobiles accder leur systme dinformation : Quelles sont les implications dun accs aux systmes dentreprise partir de lextrieur? Des donnes dentreprise devraient-elles tre stockes sur les appareils mobiles? Existe-t-il un risque que lentreprise puisse perdre le contrle sur lemplacement exact de ses donnes? Existe-t-il des sanctions lgales potentielles pour lentreprise et ses administrateurs? Que pouvez-vous faire pour viter que des logiciels malveillants et des cybercriminels aient accs vos systmes dentreprise?
7
Comment motiver vos employs pour quils prennent les prcautions dusage et vitent les problmes lgaux et scuritaires? Pouvez-vous assurer la scurit continue des donnes dentreprise en cas de perte ou de vol dun appareil? Existe-t-il des problmes de conformit en rapport avec laccs dappareils mobiles vos systmes et donnes dentreprise?
Au vu de lintrt rcent et grandissant pour les initiatives BYOD (grce auxquelles les employs sont autoriss utiliser leurs propres appareils pour communiquer des fins professionnelles), tous les regards sont tourns vers les avantages supplmentaires que le BYOD peut offrir tant aux employeurs quaux employs. Sil existe des avantages potentiels, nous devons les observer de plus prs.
Pour les employeurs, le BYOD offre des avantages potentiels: Rduction des couts: lentreprise na pas besoin dacheter ni de mettre jour des appareils mobiles. Le cycle de mise jour pour les appareils mobiles peut tre trs court, en particulier si certains de vos employs doivent simplement possder lappareil dernier cri ds quil sortira
8
sur le march. Le BYOD peut parvenir prserver lentreprise de ce mange couteux. Productivit amliore: tant donn que de nombreux utilisateurs prouvent de manire inquitante pour leurs appareils mobiles quelque chose qui sapparente une relation personnelle, il nest pas surprenant que les employs prfrent avoir la possibilit de choisir leur propre marque et modle. Si lemploy connait dj un appareil particulier, ceci peut amliorer son efficacit quand il lutilise pour des tches de nature professionnelle. Pour les employs, le BYOD offre galement des avantages: Meilleure protection: avec des employeurs responsables qui prennent des mesures afin de prserver leurs systmes et donnes, les employs peuvent profiter dun logiciel de scurit pour appareil mobile qui leur permet de protger leurs donnes personnelles, les frais tant couverts par leur employeur. Facilit dutilisation: les employs peuvent choisir lappareil qui leur convient le mieux, ce qui, en retour, peut amliorer davantage la productivit pour lemployeur! Quand un nouvel employ entre dans lentreprise, il a beaucoup apprendre. Sil est en mesure dutiliser son propre appareil pour excuter ses fonctions, au lieu davoir apprendre comment utiliser un appareil mobile inconnu, il peut tre oprationnel immdiatement.
Avant de se laisser un peu trop emporter par les avantages potentiels et de considrer le BYOD comme une pratique normale, prenons le temps de rflchir. Oui, les avantages sont vidents. Il est vrai galement que, au fil du dplacement des salaris dune entreprise lautre, lhabitude BYOD devrait se rpandre. Alors, ce poids lourd quest le BYOD semble gagner de lampleur et les entreprises se sentent de plus en plus forces de dployer leur propre programme BYOD. Toutefois, cela nimplique pas systmatiquement que le BYOD convient votre entreprise. Il le pourrait, si vous conceviez une stratgie qui vous permettrait de capitaliser sur les avantages potentiels, sans tomber dans les piges ventuels. Par contre, pour certaines entreprises, il vaut mieux viter le BYOD, cause par exemple du secteur industriel au sein duquel elles oprent, du type de donnes quelles manipulent, des codes rglementaires qui les concernent . . . ou de tous ces facteurs runis. Le BYOD implique les enjeux suivants: Lentreprise a peu ou pas de contrle sur lventail des types dappareils et de systmes dexploitation utiliss; ainsi, le travail de gestion de tous ces appareils diffrents pourrait augmenter les frais de gestion. Sur lappareil, la scurit est davantage remise en question ( cause des donnes infectes, des pices jointes ou des applications), ce qui peut entrainer des infections ou des attaques sur le reste du rseau dentreprise.
10
Si lentreprise doit supporter lutilisation de tous les appareils mobiles que lutilisateur choisit, cela risque de ncessiter une importante quantit de ressources. Par rapport une politique dappareils appartenant lentreprise, conformment laquelle une petite slection dappareils et de systmes dexploitation sont valus et dploys, le BYOD engendre lapparition dune plthore dappareils et de systmes dexploitation qui doivent tous tre activs et scuriss. Certaines technologies intelligentes peuvent vous aider rgler ce problme, mais vous devez savoir o vous mettez les pieds. Le BYOD peut imposer lentreprise de supporter lutilisation de iOS, Android, BlackBerry, Symbian, Windows Mobile et Windows Phone, y compris diffrentes versions de chacun de ces systmes dexploitation. De plus, dautres systmes dexploitation pourraient apparaitre lavenir et ils devront tous galement tre supports.
Le BYOD a jet un pav dans la mare dune faon totalement nouvelle sur le plan technologique. Quand une entreprise met jour sa flotte dordinateurs de bureau, dordinateurs portables ou de serveurs, le service informatique joue videmment un rle majeur dans le projet, notamment en slectionnant des fournisseurs potentiels, en valuant la performance des technologies concurrentes, en crant des contrats de support et de maintenance, et en grant le dploiement. Mme si ladoption dune nouvelle stratgie daccs
11
mobile implique de nombreuses exigences en matire de technique, de support et de scurit, llan initial sous-jacent lintroduction des nouvelles technologies mobiles a souvent eu un caractre bien moins formel. Envisagez une situation o le PDG obtient lappareil dernier cri. Cet appareil est tellement gnial quil est cryognique! Maintenant, ce serait vraiment gnial dutiliser cet appareil pour accder aux systmes de lentreprise. Cela pourrait rvolutionner la faon dont nous travaillons, dclare-il et, en un rien de temps, le projet de laccs des appareils mobiles est sur les rails.
Maintenant, existe-t-il quelquun (et par l nous entendons toute personne qui accorde de limportance sa carrire) qui peut dire: Absolument pas, Jos? Mme sil se trouve que votre PDG sappelle Jos, votre carrire pourrait en souffrir (et si son nom est Frank, il pourrait bien se demander si vous navez pas travaill un peu trop). Mme un simple H . . . attendez, il y a beaucoup de choses prendre en compte dans cette affaire pourrait savrer bnfique. Mais qui oserait dire non aux souhaits du PDG? Aprs tout, son point de vue se dfend: cet appareil pourrait grandement participer rvolutionner les principales procdures de lentreprise et stimuler lefficacit. Retrouver le bon chemin Alors, dans notre scnario, lentreprise et lquipe informatique doivent trouver un moyen de concrtiser ce souhait. Mais, lquipe informatique et le responsable de la scurit pourraient tre obligs de passer leur temps combler les retards. La boite de Pandore a t ouverte; maintenant, nous devons en assumer les
12
consquences. Le chapitre suivant vous permet dvaluer les risques . . . et vous explique comment retrouver le bon chemin.
Chapitre 2
Exploration dun monde inquitant: logiciels malveillants, pertes de donnes et autres risques
Dans ce chapitre
Dcouvrir lampleur des risques de scurit Comprendre la nature des diffrentes menaces Rester labri malgr les connexions Wifi Se tourner vers lavenir
ares sont les entreprises qui pourraient envisager une infrastructure informatique sans mettre en place des technologies de scurit adquates. Toutefois, en rgle gnrale, les entreprises et leurs employs sont beaucoup moins conscients des risques scuritaires et des problmes associs lutilisation professionnelle des appareils mobiles. Aprs tout, cest jute un tlphone ou une tablette, et nous en avons tous perdu un ou deux par le pass nest-ce pas?
14
Cest sans doute vrai, mais les tlphones intelligents et les appareils daujourdhui sont des annes lumires des anciennes coques ou briques quil fallait porter deux. En 2003, si quelquun oubliait son tlphone dans un taxi, il perdait un paquet de coordonnes, ce qui reprsentait un dsagrment . . . mais cest tout. La scurit de leur entreprise ntait en aucun cas compromise! Mais aujourdhui, la situation est trs diffrente.
Votre appareil mobile est vraiment un ordinateur puissant qui est capable de stocker une quantit extraordinaire de donnes. Lors dune utilisation professionnelle, certaines donnes de votre tlphone ou de votre tablette pourraient gravement compromettre la scurit de votre entreprise si elles venaient tomber entre de mauvaises mains. Tous vos mots de passe tant stocks sur votre appareil, les criminels pourraient profiter dun accs direct vos informations personnelles et aux systmes professionnels de votre entreprise. Les principaux risques pour la scurit regroupent: La perte de donnes: dcoulant de la perte ou du vol dun appareil. Le vol didentifiant: si un criminel vole votre appareil et se connecte vos comptes en ligne. Le logiciel malveillant qui vole des informations. La fuite dinformations, par le biais de fausses connections Wifi.
Rcemment, lutilisation croissante des tlphones intelligents a engendr une progression correspondante des activits des criminels qui rdent lafft de pauvres victimes arnaquer. tant donn que nous utilisons tous nos tlphones pour excuter toujours plus de tches, comme le shopping, les services bancaires ou encore les tches professionnelles, les cybercriminels ciblent maintenant les tlphones intelligents.
16
Les cybercriminels! Leur nom peut ressembler ces tres passionnants sortis des films de science-fiction. En ralit, il sagit dquipes professionnelles bien finances qui dveloppent constamment des mthodes de plus en plus sophistiques pour voler votre argent et votre identit . . . et lancer des attaques cibles contre les entreprises.
Mme si le premier logiciel malveillant mobile a t dcouvert en 2004, la progression des attaques malveillantes a volu assez lentement jusquen 2010. Mais ensuite . . . BOUM! En 2011, le volume de nouveaux logiciels malveillants qui ciblait les appareils mobiles a dpass le volume total des six annes prcdentes et, en 2012, le nombre de logiciels malveillants mobiles a encore t multipli par six. Aujourdhui, il est clair que les appareils mobiles sont devenus la cible principale des criminels et des logiciels malveillants.
Pourquoi cette progression rapide du logiciel malveillant mobile? En partie cause de la monte du nombre de tlphones intelligents actuellement utiliss, en partie cause des tches pour lesquelles nous utilisons nos tlphones intelligents et en partie cause du fait que certains dentre nous sont un peu responsables davoir baiss leur garde. Cest sur ce dernier point que nous pouvons vous aider. Les appareils utiliss pour les services bancaires, le shopping en ligne et laccs aux systmes des employeurs attirent invitablement lattention des criminels. Et ces risques ne cessent de crotre. Toutefois, la plupart des entreprises qui nauraient pas pris en compte les risques scuritaires au sein de leur rseau
17
informatique laissent rgulirement ces petits tlphones innocents avoir accs leurs prcieuses donnes . . . sans rflchir suffisamment ce qui pourrait advenir des informations auxquelles ils ont accs et aux mots de passe quils utilisent.
Les criminels ciblent actuellement certaines plateformes mobiles plus que dautres. Bien quil existe sans doute des risques qui affectent les appareils Apple et BlackBerry, la plus forte progression rcente concerne les attaques qui ciblent les appareils Android. Les utilisateurs dappareils Apple et BlackBerry ont-ils donc du souci se faire? Pour dire les choses simplement, oui! Pensez au monde des ordinateurs portables et de bureau. De nombreuses personnes et entreprises se sentent plus en scurit quand elles utilisent des ordinateurs Mac plutt que des PC. Toutefois, cette confiance excessive en la probabilit moindre des attaques contre les Mac sest avre tre une grave erreur. De nombreux cas dattaques malveillantes ciblant spcifiquement des Mac ont t bien documents, et le nombre de ces attaques augmente. De mme, compter sur une seule plateforme particulire, juge plus sure quune autre, pour les appareils mobiles, tout en maintenant cette politique sans se proccuper de la scurit peut constituer une grave erreur. Ds que les cybercriminels dtectent une opportunit et comprennent que la garde a t baisse sur une plateforme spcifique en raison dun sentiment dplac de scurit, ils sont susceptibles de choisir cette nouvelle cible.
18
Cela sest dj produit par le pass. Avant la monte rcente des menaces contre le systme Android, les attaques portaient principalement sur la version mobile de Java. Avant cela, les attaques ciblaient les appareils reposant sur Symbian et Windows CE. Comme vous pouvez le constater, la situation volue rapidement, et les entreprises doivent tenter de garder une longueur davance sur ces criminels. Par ailleurs, noubliez pas que le risque ne concerne pas uniquement les logiciels malveillants. Les donnes prsentes sur un appareil vol ou perdu sont vulnrables si lappareil nest pas scuris. Un criminel peut aussi voler des donnes sur un appareil si un utilisateur se connecte un rseau Wifi non scuris. Quand un utilisateur dbloque ou revient la racine de son appareil mobile, afin de lutiliser par exemple sur le rseau dun autre oprateur ou pour annuler les restrictions relatives lventail des applications quil peut utiliser, cest quivalent retirer la porte dentre de sa maison. Le dblocage ou laccs racine dun appareil limine la scurit. ce stade, il importe peu de savoir quel systme dexploitation lappareil utilise. Le risque est bien rel. Voulez-vous que des appareils dbloqus accdent au rseau de votre entreprise?
19
Les chevaux de Troie Les logiciels de publicit Les botnets et autres menaces des hackers
En dpit de leur nom, ces types de logiciel malveillant nont rien de classique ou de mythologique. Leur faon de voler de largent la personne ou lentreprise qui paye la facture de tlphone est particulirement sournoise. Aprs linfection dun appareil par un cheval de Troie SMS, le criminel gnre des revenus en utilisant lappareil pour envoyer automatiquement, et silencieusement, de multiples messages textes des numros de tlphone surtaxs. Daccord, mais a ne va pas casser votre tirelire ou compromettre vos affaires si cest lentreprise qui paie la facture? Cependant, il est toujours utile de protger vos appareils contre ce type dattaques, en particulier si lon tient compte du fait quelles peuvent potentiellement ternir la rputation de lentreprise.
Les deux autres types communs de chevaux de Troie sont les accs drobs et les programmes espions, qui sont tous deux conus pour siphonner les donnes prsentes sur les appareils mobiles. Les accs drobs permettent lattaquant dobtenir un contrle distance de lappareil et de faire pratiquement tout ce quil veut. Les programmes espions provoquent des fuites de donnes du tlphone vers lattaquant, notamment les messages personnels ou le numro de srie de lappareil.
20
Les logiciels de publicit semblent sans danger, mais le problme, cest quils ne se contentent pas dafficher des publicits . . . ils comprennent galement dautres fonctions non autorises. Par exemple, ils peuvent changer la page de dmarrage du navigateur de lutilisateur sans lautorisation de ce dernier.
Botnets
Nous avons gard le pire pour la fin. Ce groupe de menaces largit le concept de laccs drob pour permettre un contrle distance sur une quantit extraordinaire dappareils mobiles, allant jusqu plusieurs dizaines de milliers la fois. Les botnets sont des rseaux dappareils compromis sur le plan scuritaire, qui sont exploits par des hackers dans le cadre dun rseau qui rpand des logiciels malveillants et des attaques. Il sagit dun rseau auquel vous ne souhaitez pas que vos appareils se connectent. Parfois, les menaces mobiles sont des attaques hybrides qui associent la fonctionnalit dun accs drob, un cheval de Troie SMS et un bot. tant donn que les attaques cibles contre les entreprises commencent souvent par une collecte de renseignements qui peuvent aider les criminels personnaliser et tablir leur assaut contre une entreprise spcifique, les attaques des hackers et par botnet constituent une grave source dinquitude. Il existe de nombreux cas bien documents de ces types
21
dattaques lances par le biais dordinateurs de bureau et de serveurs. tant donn que de nombreuses entreprises ne parviennent pas assurer correctement la scurit des appareils mobiles de leurs employs, les criminels considrent les appareils mobiles comme un moyen facile et de plus en plus productif de collecter des informations et davoir accs au rseau des entreprises.
Quand les employs ont accs aux rseaux Wifi publics, dans les aroports et les htels par exemple, il est possible que les donnes et les mots de passe puissent tre flairs (cest--dire, capts illgalement par les criminels qui sont connects au mme rseau Wifi). Lutilisateur peut tre seulement connect Twitter ou Facebook, mais si son mot de passe est capt, le criminel peut potentiellement profiter dun grand volume dinformations. Les gangs de criminels sont de plus en plus nombreux jouer sur le long terme et exploiter avec prcaution les informations personnelles quils ont captes. Souvent, la capture des donnes personnelles reprsente juste un moyen pour atteindre une fin. Avec ces informations, le criminel peut prendre lidentit numrique de lemploy, puis communiquer avec les collgues de lemploy qui ne se doutent de rien. Quand ces collgues reoivent des communications qui semblent provenir de la victime, quelles sont les chances quils restent sur leurs gardes et quils ne rvlent pas des mots de passe ou autres informations importantes de lentreprise? Ces attaques de hameonnage hautement cibles sont connues sous le nom de hameonnage cibl.
22
Les attaques de hameonnage cibl peuvent tre trs sophistiques. Les gens sont prts publier une grande quantit dinformations sur les rseaux sociaux, y compris les dtails sur leurs voyages daffaires, leurs vacances et leur famille. Ainsi, lattaquant peut obtenir un grand nombre de renseignements personnels en communiquant avec les collgues de la victime. Un message qui commence par demander au contact comment sest droul son voyage daffaires Vienne, puis lui demande de cliquer sur un lien et dentrer lidentifiant de connexion du rseau de lentreprise, peut savrer trs convaincant. En ralit, toute cette procdure a dcoul du fait quun employ a eu accs un hotspot Wifi public et lgitime (et donc non scuris). Et les criminels ne flairent pas simplement les informations envoyes laide dun rseau Wifi lgitime. Ils crent galement de faux hotspots Wifi. Ces derniers peuvent tre installs pratiquement partout. Les criminels vont mme se garer sur la zone de stationnement dune entreprise cible o ils vont crer un hotspot (bien labri dans leur voiture), puis vont flairer les mots de passe de tout employ peu mfiant qui utilise le faux hotspot. Il est possible de surfer sur le Web laide dune connexion Wifi, mais il vaut mieux viter de sinscrire des services spcifiques qui vous demandent dentrer des mots de passe confidentiels ou des donnes sensibles.
23
De nombreuses personnes utilisent le mme mot de passe pour des comptes multiples. Si un criminel parvient flairer le mot de passe quun utilisateur utilise pour un rseau social, cette donne pourrait tre tout fait suffisante pour avoir accs au rseau de lentreprise (et tout autre compte en ligne appartenant la victime). Bingo . . . le criminel na mme pas besoin dutiliser une attaque par hameonnage cibl.
Dangers drive-by
Pour les ordinateurs portables et de bureau, nous avons assist une progression marque du nombre dattaques exploitant les vulnrabilits non corriges qui sont prsentes au sein des applications les plus
24
couramment utilises. Elles prennent souvent la forme dattaques drive-by. Dans ce type dattaque, lutilisateur consulte sans le savoir une page Internet qui vient juste dtre compromise et qui contient un script malicieux. Quand lutilisateur affiche la page Web, le script sexcute automatiquement et exploite une vulnrabilit non corrige au sein dune application installe sur lordinateur de lutilisateur afin de sinstaller sur ce dernier. Ces attaques sont courantes sur les ordinateurs de bureau et les portables. Jusquici, aucune de ces attaques drive-by reposant sur un navigateur na t lance contre des appareils mobiles, mais ce nest sans doute quune question de temps.
Octobre rouge
Lopration Octobre Rouge a reprsent lune des premires attaques cibles, qui a non seulement collect des informations provenant de systmes informatiques, mais a galement rcolt des donnes provenant spcifiquement dappareils mobiles. Les appareils mobiles vont apparaitre dans des attaques plus cibles qui ne chercheront pas uniquement avoir accs au rseau dune entreprise. Les attaquants prendront galement des mesures pour multiplier leurs droits, avoir accs des documents confidentiels et sinsinuer dans les bases de donnes et les informations de contact. Il est probable que les appareils mobiles feront partie des attaques de cyber-espionnage couramment lances contre les entreprises.
Chapitre 3
Connaitre la loi
Dans ce chapitre
Comprendre vos obligations en matire de scurit Comprendre ce qui est raisonnable aux yeux
de la loi mobile
Dfinir les principaux lments dune stratgie Rflchir aux problmes de licence
eu importe sa taille, chaque entreprise stocke des donnes quelle ne peut se permettre de voir tomber entre de mauvaises mains. Certaines entreprises font lerreur de penser que, tant donn quelles ne vendent aucun produit aux consommateurs, elles nont pas respecter une rglementation sur la scurit des informations caractre personnel. Cest rarement le cas. Toutes les entreprises sont susceptibles de dtenir des donnes personnelles sur leurs employs. Si la scurit de ces donnes est compromise, des poursuites onreuses peuvent sensuivre. Posez-vous la questionde savoir si votre entreprise stocke lune des informations suivantes:
26
Des listes de clients et de coordonnes? Des donnes sur les ventes et le marketing? Des donnes sur la proprit intellectuelle, sur un savoir-faire, des schmas et modles? Des informations sur des comptes bancaires professionnels? Des donnes caractre personnel sur les employs? Si deux entreprises travaillent sur un projet commun, il est probable que chaque partie prenante dtiendra des informations confidentielles qui appartiennent lautre partie. Quelles seraient les rpercussions du vol ou de la perte de lune quelconque de ces donnes en raison dune ngligence? Au mieux, cela mettrait fin une belle relation de travail. Au pire, cela pourrait entrainer des poursuites couteuses, la fin dun beau partenariat et une rputation ternie auprs de toute lindustrie!
Personne napprcie denvisager cette question (hormis quelques jeunes avocats ambitieux), mais il est sage de rflchir aux risques lgaux et aux enjeux. Si votre stratgie concernant les appareils mobiles tourne vraiment mal, il est possible que les entits suivantes fassent lobjet dune action en justice:
27
Lentreprise elle-mme. Les administrateurs et directeurs. Toute personne ou entit qui subit des dommages suite une ngligence entrainant une perte ou une fuite de donnes aurait la possibilit dintenter une action en justice. Cela pourrait inclure des clients, des employs ou dautres entreprises qui ont conclu un partenariat avec vous pour des projets spcifiques. Tout actionnaire ou investisseur peut lancer des poursuites (contre lentreprise ou ses administrateurs) en cas datteinte la scurit. Le cout total de laction en justice peut aller bien plus loin que le paiement des dommages, des amendes et des frais de justice. Une mauvaise publicit peut gravement ternir la rputation des activits dune entreprise.
Rglementation et conformit
Outre le risque de poursuites civiles, toute une srie de rglementations et de lois peuvent sappliquer votre entreprise. videmment, la nature et la porte des rglementations varient dun territoire lautre, et en fonction du type dactivits que vous exercez. Toutefois, elles peuvent comprendre tout le moins un ensemble de rgles gnrales sur la protection des donnes. De plus, des exigences spcifiques et des problmes de conformit particuliers sappliqueront si vous oprez au sein dune industrie soumise une rglementation trs stricte, comme les services financiers ou les soins de sant.
28
Si votre entreprise est implante dans plusieurs pays, il est judicieux de consulter des conseillers juridiques concernant les exigences lgales applicables dans chaque pays. Dans certaines juridictions, des rgles spcifiques sappliquent quant la possibilit de transfrer des donnes entre les frontires. Vrifiez si un employ install dans un pays a le droit davoir accs aux donnes que lentreprise stocke sur des systmes prsents dans un autre pays. Dans certaines affaires lgales, la responsabilit personnelle des dirigeants de lentreprise peut tre engage, les sanctions allant damendes des peines demprisonnement.
Normalement, quand les entreprises tentent dexaminer les exigences juridiques associes lintroduction de technologies nouvelles dans leur environnement professionnel, elles trouvent utile de se rfrer des lois et lissue de certaines affaires spcifiques pour interprter lesdites lois. Ces affaires peuvent constituer une source inestimable pour dfinir ce qui est acceptable. Malheureusement, quand il sagit de laccs aux donnes de lentreprise partir dappareils mobiles, ou de la mise en oeuvre du BYOD, il nexiste aucune loi spcifique et pratiquement aucune affaire pertinente auxquelles se reporter. Si le pire scnario se droule et que votre entreprise se retrouve dans la fcheuse posture dtre poursuivie en justice au civil ou au pnal, quelle sera votre ligne de dfense? En labsence de lois spcifiques, il est
29
recommand davoir la capacit de prouver que lentreprise a pris des mesures raisonnables pour viter une perte ou une fuite de donnes.
Alors, quelle est la dfinition exacte du terme juridique raisonnable? Cest une question pineuse et la rponse varie en fonction de:
Le niveau dinvestissement requis pour mettre en uvre des mesures prventives. Les actions mises en uvre en gnral par les autres entreprises dans la mme situation. Si votre entreprise dtient un grand volume dinformations prcieuses ou sensibles, qui pourraient ventuellement savrer dommageables pour les autres parties en cas de failles de scurit, ce fait aura un impact majeur sur le point de vue du tribunal. Dans ce cas, la plupart des juges auront du mal dire que lentreprise a agi de manire raisonnable si elle a refus dinvestir quelques milliers deuros dans les programmes de scurit qui sont en gnral utiliss dans son secteur industriel spcifique. De mme, si cette entreprise a peu ou pas investi dans la formation de son personnel sur des questions scuritaires spcifiques, le tribunal se fera une pitre opinion de son approche.
30
Posez-vous la question: tant donn le type et la valeur des donnes que votre entreprise dtient, et le cout des mesures prventives pertinentes, votre entreprise a-t-elle agi de manire raisonnable afin de: Protger ses employs? Protger ses clients? Protger ses partenaires commerciaux? Respecter les rglements gnriques et spcifiques? Un appel la prudence: le BYOD est un phnomne relativement nouveau, ce qui signifie que: Il existe peu ou pas de consensus sur les meilleures pratiques au sein dun secteur industriel. Ne soyez donc pas surpris si les tribunaux font preuve dexigences envers ce quils considrent comme les pratiques de scurit normales de votre industrie. Les pratiques en matire de scurit et les attentes normales concernant les prcautions de scurit raisonnables voluent rapidement. La notion de raisonnable est une cible mouvante: assurez-vous donc que votre entreprise garde dans sa ligne de mire la nature changeante de ce concept.
Nous analyserons par la suite des informations dtailles sur une stratgie sur les accs via des appareils mobiles et le BYOD (Vous pouvez galement
31
consulter ds maintenant le chapitre 4). Pour linstant, certaines mesures stratgiques de base peuvent vous permettre de garder une longueur davance sur la loi, et nous les prsentons dans les prochaines sections.
Pour commencer
En premier lieu, vous avez besoin dune politique de scurit. Si vous tes lune de ces entreprises diligentes qui a dj cr une politique de scurit crite et dtaille, qui a t communique tous les employs, il vous reste deux choses faire: Vous pouvez tre fier de vous car la plupart des entreprises, de toutes formes et de toutes tailles, nont pas encore excut ce travail. Consacrez un peu de temps rflchir ladaptation ncessaire de votre politique de scurit afin quelle couvre les accs des appareils mobiles et le BYOD. Si votre entreprise na pas encore dfini une politique de scurit dtaille, cest le moment idal pour commencer.
La conception et llaboration appropries de votre politique de scurit paiera long terme. Mme si lon peut se demander sil sera un jour possible de concevoir la politique parfaite, donnez le meilleur de vous-mme et ne prenez pas cet argument comme une excuse. Labsence dune politique parfaite nimplique pas ncessairement que toutes les politiques sont mauvaises.
32
Certaines entreprises travaillent dur cet gard, conoivent une politique de scurit dtaille, puis la rdigent dans une langue quun avocat de Harvard aurait du mal dchiffrer. Si un manuel pour lemploy reprsente un texte dense et impntrable de 1000 pages, rempli de jargon, mais que les spcificits de la politique de scurit du BYOD sont dissimules de la page 836 849, nous pouvons tous deviner ce que le tribunal pensera du caractre raisonnable des mesures prises par lentreprise. Tentez donc de rdiger votre politique dans des termes que chaque employ pourra comprendre facilement. Ensuite, communiquez clairement cette politique de manire ce que chaque employ en prenne parfaitement conscience. La scurit, cest comme les travaux mnagers: ce nest utile que si vous le faites intervalles rguliers. Vous devez mettre jour votre politique de scurit pour reflter les changements de vos mthodes de travail ou tout changement de la nature du risque pour votre entreprise.
La valeur de la formation ne doit jamais tre sousestime. Les entreprises qui reculent devant lide de dpenser de largent dans une formation devraient prendre le temps de rflchir aux couts potentiels que pourrait engendrer une dfaillance assurer une formation adquate. Vus ainsi, ces frais de formation ne semblent plus si levs que cela, nest-ce pas?! nouveau, connaitre le niveau de formation qui vous est ncessaire dpend en partie de la valeur et de la
33
nature des donnes qui sont en jeu; vous devez donc assurer un niveau de formation qui russit le test juridique du raisonnable, en fonction de la nature des donnes et du secteur industriel dans lequel votre entreprise opre. Il est peu probable que la simple laboration dune politique de scurit, non suivie par des efforts suffisants pour la communiquer aux employs en leur faisant prendre conscience des problmes, passe pour un test raisonnable. La formation na pas besoin dtre excessivement couteuse. Dans certains cas, il convient dorganiser des cours de formation formels et de tester galement les connaissances des employs la fin du cours. Toutefois, pour dautres entreprises, le simple fait de fournir un accs un petit webinaire peut savrer suffisant. Quelle que soit la mthode de formation utilise, rflchissez aux sessions de rappel de cette politique auprs des employs. Un simple e-mail envoy une fois par mois ou par trimestre pourrait reprsenter le moyen idal de renforcer quelques points prcis. Et un e-mail accrocheur, humoristique ou inoubliable facilitera dautant plus limplantation du message dans lesprit des employs.
Rencontrer lexcuteur
Rflchissez la faon dont vous allez excuter votre politique de scurit. Cette expression a peut-tre des relents dictatoriaux, mais ce nest quune question dapproche. Personne ne dfend lide des svices lencontre des employs en cas de dfaillances de leur part, aussi tentant que cela puisse parfois paraitre
34
quand ils nont pas atteint leurs objectifs de vente ou quils ont du retard dans la livraison de ce rapport mensuel! Cependant vous ne voulez pas dcourager le partage des informations dtailles sur des erreurs innocentes quils ont pu commettre ou des problmes de scurit quils ont rencontrs. Laspect le plus important de cette application consiste prendre les mesures ncessaires pour sassurer quaucune infraction la scurit ne surviendra (ce qui revient sassurer que la politique de scurit est suffisamment concise et facile comprendre, et que, par ailleurs, tous les employs profitent dune formation approprie). Ainsi, comme pour presque tout dans la vie, quand il sagit dappliquer des politiques de scurit, mieux vaut prvenir que gurir.
La bonne nouvelle, cest que dans la plupart des cas, quand un employ enfreint une partie de votre politique de scurit, il est probable quil sagisse uniquement dignorance, et non de mchancet. Attendez une minute! Cela implique que le pouvoir de prvenir linfraction dpend en fait de lentreprise? Entendons-nous crier: la formation tait-elle approprie et la politique clairement rdige? Des circonstances extrmes peuvent survenir. Ainsi, llment final dune procdure dapplication voit lentreprise dfinir les sanctions applicables quand un employ enfreint dlibrment ou de manire rpte la politique de scurit. Faut-il intgrer des niveaux pyramidaux de mise en garde pour chaque transgression, qui pourrait culminer dans le retrait de laccs mobile ou BYOD? Si laccs doit tre retir, lemploy sera-t-il
35
toujours en mesure dexcuter ses fonctions? Dans le cas contraire, la procdure de lentreprise prcise-t-elle ce qui surviendra ensuite? Toutes ces considrations doivent tre clairement stipules et communiques; dans le cas contraire, il est peu probable quelles soient valides sur le plan lgal.
36
Chapitre 4
et le CYOD
Impliquer les intervenants appropris Grer les attentes des employs Assurer un service de conseil continu aux
utilisateurs
u chapitre 3, nous avons analys certains des principaux lments dune stratgie daccs des appareils mobiles et leurs relations avec le cadre juridique. Dans ce chapitre, nous allons plus en profondeur. Mais tout dabord, faisons une pause . . . Mme si lintrt pour le BYOD semble largement rpandu, chaque entreprise doit vraiment se demander si le BYOD lui convient en sappuyant sur les circonstances qui lui sont propres.
38
Le dploiement prcipit dune nouvelle technologie peut parfois avoir des consquences fcheuses. Mme si vous dcidez que le BYOD convient parfaitement votre entreprise, il est sage davancer pas mesurs. Alors que les premiers adeptes ont dploy le BYOD dans toute lentreprise par le biais dun projet de type big bang, dautres entreprises tirent dj des enseignements de ces erreurs. Les programmes pilotes contrls deviennent la rgle car ils permettent lentreprise daplanir les problmes tant que le groupe dutilisateurs dappareils personnels est encore relativement rduit. Si vous choisissez de lancer un programme pilote ou dessai, vous devez vous assurer de le maintenir pendant une priode suffisamment longue. Prenez ensuite le temps de dfinir les nouvelles mises jour de votre politique de scurit et de vos mesures de protection une fois le programme pilote termin et avant de lancer un dploiement grande chelle.
Certaines entreprises reculent un peu face au BYOD et envisagent la place le CYOD (Choisissez votre propre appareil). Dans le cadre dun programme CYOD, lemploy nest pas totalement libre de choisir lappareil quil utilise. En lieu et place, lentreprise publie une
39
liste dappareils approuvs et si lemploy dsire avoir accs aux systmes et aux donnes de lentreprise, il doit utiliser lun des appareils figurant sur la liste. La plupart des avantages du BYOD ne sappliquent simplement pas au CYOD. Si une entreprise applique le CYOD, il est probable quune grande partie de ses employs choisiront dutiliser un appareil diffrent pour leur usage personnel, et que cet appareil personnel puisse tre amen dans lenvironnement professionnel, quil puisse poser des risques pour la scurit, mme si aucun accs aux donnes de lentreprise nest octroy. Seule votre entreprise peut dcider si le CYOD est une solution viable et en accord avec vos objectifs. Pour les entreprises qui exploitent une initiative CYOD, il est toujours indispensable que des politiques et vrifications soient en place pour grer la prsence des appareils personnels au sein de lenvironnement de travail. videmment, il est facile dempcher les employs dutiliser leurs appareils personnels pour accder au rseau de lentreprise, mais il reste toujours des problmes couvrir. Par exemple, les employs auront-ils le droit davoir accs au Wifi de lentreprise laide de leurs appareils mobiles personnels? Si laccs Wifi est autoris, lentreprise doit-elle mettre en uvre des contrles automatiques pour viter que les rseaux sociaux ne soient consults pendant les heures ouvrables?
40
Pour rester bref, tout le monde. Enfin, peut-tre pas tout le monde, mais au moins un reprsentant de chaque groupe dintervenants important de lentreprise. Il est tentant de laisser le service juridique soccuper des aspects lgaux et rdiger les politiques, puis de demander simplement au service informatique dentriner le projet qui a t dcid. Grosse erreur! Chaque groupe dintervenants a tendance regarder les problmes sous un angle diffrent. Cest une bonne chose. En combinant les conclusions de toutes ces perspectives, vous obtiendrez probablement une stratgie plus concrte qui se fonde sur une vision tridimensionnelle de lensemble des problmes. Les directeurs des ventes, du marketing et du service client peuvent tous jouer un rle notable, en dfinissant les applications et les donnes de lentreprise auxquelles leurs utilisateurs nomades doivent avoir accs quand ils sont sur le terrain. Lquipe juridique apportera son expertise pour vous aider viter tous les problmes juridiques et de conformit. Lquipe des Ressources Humaines (RH) peut apporter son aide concernant tous les aspects des relations avec les employs, du dveloppement des nouvelles politiques la formation en passant par la modification des contrats des employs. (Consultez la section suivante pour obtenir des
41
informations supplmentaires sur le rle de lquipe RH dans le dploiement.) Lquipe informatique fournira des conseils sur les technologies, notamment la scurit. Les connaissances et les comptences de ces experts seront essentielles pendant le dploiement. Ils reprsenteront lquipe qui devra traiter tous les problmes relatifs la technologie ou la scurit des donnes, qui dcoulent du large ventail de catgories dappareils mobiles que les employs pourront utiliser pour accder aux systmes de lentreprise.
Lquipe RH est probablement trs bien place pour jouer le rle de leader en aidant affiner les principaux lments de votre stratgie de gestion de flotte mobile mobile et BYOD. Aprs tout, elle dispose dune exprience considrable dans les domaines du dveloppement des politiques, la documentation de celles-ci de manire conviviale pour les employs, la conception des cours de formation et la motivation des employs respecter les meilleures pratiques. Lquipe RH a galement lattitude la plus claire concernant la dfinition des objectifs qui sous-tendent les politiques et les directives dont vous avez besoin, ainsi que les objectifs associs la formation ncessaire. Elle peut soccuper des exigences concernant la modification des contrats dembauche, et concevoir des rgles disciplinaires par rapport aux infractions la scurit. cet gard, cette quipe ne sattachera pas seulement sanctionner les transgressions. Votre
42
personnel RH comprend que lobjectif est de donner aux employs tous les outils et informations dont ils ont besoin pour sassurer quaucun problme ne survient, diminuant ainsi la ncessit dappliquer des sanctions. Toutefois, rien nest pas parfait. Vous aurez donc besoin de son aide pour dterminer comment traiter les transgressions. nouveau, lquipe RH devrait tre la mieux place pour rdiger des procdures disciplinaires justes et quitables. Il importe de signaler que toute infraction peut reprsenter une excellente opportunit de rvaluer les politiques de lentreprise. Ce ntait peut-tre pas la faute de lemploy, peut-tre que la politique est inapproprie ou quelle doit tre ajuste? Comme mentionn au chapitre 3, la formation, et ventuellement les cours de remise niveau et les rappels, reprsentent un lment primordial pour sassurer que votre initiative BYOD sera performante et scurise et quelle risquera moins dengendrer des difficults dordre lgal pour lentreprise. Quand il sagit de concevoir et de grer des programmes de formation, qui est mieux qualifi que votre quipe RH?
Ds quune entreprise dploie une nouvelle mthode de travail, elle doit sassurer que tous les changements apports aux processus de travail ne peuvent pas tre interprts comme une modification fondamentale des conditions dembauche. videmment, lquipe RH est votre source interne dexpertise pour viter de tels
43
problmes et sassurer que lintroduction des nouvelles technologies nest pas synonyme de cration de droits. Le programme BYOD doit tre considr comme quelque chose que lentreprise peut offrir des postes spcifiques, mais quelle na aucune obligation de proposer toutes les personnes qui occupent ces postes. De mme, lentreprise doit exprimer les rgles dans des termes qui expliquent clairement que le privilge que constitue le programme BYOD peut tre retir, et que la participation linitiative BYOD napporte absolument aucun changement fondamental la relation dembauche.
Aprs avoir pris en compte tous les intervenants consulter pendant les phases initiales de conception des politiques et de la stratgie, puis avoir dploy votre programme daccs des appareils mobiles ou BYOD, rflchissons un instant aux employs dsorients qui ont des questions lgitimes, mme aprs avoir suivi lensemble de la formation ncessaire. Il est bon dassurer un point de contact unique qui permet de proposer des conseils clairs. Ce quil faut rellement viter, cest lemploy qui pose une question au service de marketing et obtient une rponse . . . avant dobtenir une rponse lgrement diffrente la mme question quand il la pose au service informatique . . . et encore une autre lorsquil sadresse lquipe RH. Votre point de contact unique peut comprendre des reprsentants des diffrents groupes dintervenants, afin que chacun puisse se concentrer sur les questions qui entrent dans le cadre de ses comptences
44
particulires. Toutefois, en fournissant une adresse de messagerie unique pour les questions, et en sassurant que vos employs en sont informs, vous assurez un seul canal pour toutes les questions. Les politiques, les directives et les contrats qui sont mal compris, ou font lobjet de conseils contradictoires de la part des diffrents experts de lentreprise, peuvent savrer inoprants en cas de problmes lgaux.
Chapitre 5
(MDM) vols
Protger les donnes sur les appareils perdus ou Faciliter la gestion de la scurit, au niveau de tous
n matire de scurit, donner accs des appareils mobiles impose de changer de mentalit. Par le pass, il tait plus facile de faire confiance un appareil qui tait dans le rseau de lentreprise. Aujourdhui, tant donn que les appareils mobiles et le BYOD sont soumis des risques de scurit et des attaques provenant du monde extrieur, comment pouvonsnous nous fier au comportement de ces appareils quand ils sont utiliss sur le rseau de lentreprise?
46
Alors que, par le pass, il suffisait de protger votre primtre laide dun bon pare-feu, puis de vous assurer davoir en place des dispositifs de scurit adapts chaque point dextrmit lintrieur de ce primtre, aujourdhui, la scurit nest plus aussi simple. Laccs des appareils mobiles a considrablement chang les rgles du jeu, et peut crer quelques carences sur le plan de la scurit. En ralit, une partie de votre primtre de scurit est toujours autour de lentreprise, mais une autre partie se situe autour de chaque utilisateur. Il existe une frontire invisible autour de chacun de vos utilisateurs mobiles et celle-ci doit tre scurise.
Et voici la cavalerie
Lajout dun nouveau type de point dextrmit au rseau de lentreprise peut potentiellement alourdir la charge du service informatique, en particulier en matire de scurit. La technologie mobile saccompagne de son lot de dfis. Au chapitre 2, nous avons analys les diffrentes menaces; et les risques de scurit, tout comme les menaces, sont nombreux pour les imprudents. Associez ces menaces la nature disperse du primtre de scurit de lentreprise, et la situation devient plus inquitante encore. Enfin disons plutt quelle deviendrait inquitante si nous ne pouvions pas contrecarrer ces risques et dfendre ces primtres. Heureusement, les gentils ( savoir les concepteurs de logiciels de scurit) ont plus dun tour dans leurs sacs pour vous aider dfendre votre appareil, vos donnes et vos systmes dentreprise.
47
Il existe des technologies vraiment gniales qui permettent de protger les donnes de votre entreprise et dempcher les logiciels malveillants de pntrer sur votre rseau. Alors que certains lments de la scurit des flottes mobiles sont prsents depuis quelques temps, des technologies nouvelles ont t dvoiles rcemment. Voici donc une brve prsentation des fonctions et capacits que vous pourriez aimer intgrer dans la solution de scurit mobile que vous choisirez pour votre entreprise.
Anti-malwares
La progression rapide des logiciels malveillants et autres menaces qui ciblent les appareils mobiles implique que les entreprises doivent installer un logiciel antimalwares, capable de protger les appareils mobiles contre les derniers virus, logiciels espions, chevaux de Trois, vers, bots et autres codes malveillants. Les solutions qui utilisent simplement des technologies antivirus traditionnelles reposant sur des signatures ne sont plus suffisamment performantes pour garantir une protection approprie. Il convient donc dadopter une solution de scurit qui intgre une analyse heuristique, ainsi quune protection sappuyant sur des signatures, afin quelle puisse vous dfendre contre les logiciels malveillants existant, ainsi que les nouvelles menaces pour lesquelles une signature nexiste pas encore. Les solutions antimalwares rigoureuses comprennent galement des technologies anti-spam afin de filtrer tous les appels et messages textes indsirables qui tentent datteindre lappareil mobile. Ainsi, vos employs seront moins distraits.
Les fonctions anti-hameonnage sont galement essentielles pour viter des visites accidentelles sur des sites Web frauduleux ou faux qui tentent de voler des informations. Voici quelques points supplmentaires garder lesprit lorsque vous choisissez votre solution antimalware: quelle frquence les bases de donnes de logiciels malveillants sont-elles actualises? Avec des mises jour frquentes, vous tes sr dtre protg contre les menaces rcentes sans pour autant surcharger inutilement vos systmes. Cette solution vous permet-elle de lancer des vrifications programmes et la demande?
49
50
Mise en conteneur
Aujourdhui, cette mthode trs intelligente permet de rsoudre les problmes qui peuvent survenir quand des donnes personnelles et professionnelles sont stockes sur un appareil mobile BYOD. Certaines solutions de scurit permettent lentreprise de crer des conteneurs spciaux sur chaque appareil, toutes les donnes professionnelles tant stockes dans ce conteneur. Ladministrateur peut ensuite dfinir des politiques spcifiques pour les donnes stockes dans le conteneur professionnel du tlphone. Par exemple, toutes les donnes prsentes dans ce conteneur peuvent tre automatiquement cryptes. Quand un employ quitte lentreprise, ou en cas de perte ou de vol dun appareil, ces conteneurs permettent de rgler un problme important. Si les donnes de lentreprise ont t stockes dans un conteneur sur lappareil mobile, afin quelles soient totalement spares des donnes personnelles de lutilisateur, ladministrateur peut facilement retirer (effacer de manire slective) les donnes de lentreprise sans affecter les informations personnelles de lutilisateur.
Chiffrement
Le chiffrement des donnes sensibles est une mthode efficace pour sassurer que toute information stocke sur un appareil mobile soit virtuellement inutilisable pour un voleur. La plupart des appareils mobiles intgrent des technologies de chiffrement des donnes; il suffit donc de choisir la solution de scurit mobile proposant des fonctions MDM qui facilitent la gestion
51
par vos administrateurs de ces fonctions de chiffrement intgres. tant donn que le dblocage dun tlphone peut gravement compromettre la protection, certaines solutions de scurit de flotte mobile recherchent activement les appareils dbloqus que les employs sont susceptibles dutiliser. Le logiciel de scurit empche ensuite le tlphone dbloqu davoir accs aux systmes et aux applications de lentreprise. Vous pouvez galement trouver une fonction qui vous permet de supprimer toutes les donnes de lentreprise prsentes sur lappareil dbloqu.
Les fonctions de contrle des applications reprsentent un mcanisme puissant de contrle du lancement des applications. Vos administrateurs peuvent dfinir une liste noire dapplications et sassurer quaucune de ces applications nest autorise fonctionner sur lappareil mobile de lutilisateur, mais que toutes les autres applications peuvent tre lances. En utilisant le contrle des applications pour dfinir une politique dautorisation par dfaut, toutes les applications peuvent tre utilises sur lappareil de lutilisateur sauf celles qui sont sur la liste noire. En dfinissant une politique de blocage par dfaut, il est interdit toutes les applications de fonctionner sauf celles qui sont sur la liste blanche.
52
Contrle dInternet
Le contrle dInternet permet lentreprise de surveiller et de filtrer les activits de lutilisateur dans son navigateur; souvent, ce contrle peut tre slectionn en fonction de la catgorie, du contenu ou du type de donnes. Les administrateurs peuvent autoriser, interdire, limiter ou vrifier les activits des utilisateurs sur des sites ou des catgories de sites Web spcifis.
Nous connaissons tous ce sentiment, cette boule au creux de lestomac, quand nous avons perdu quelque chose de prcieux. Imaginez maintenant quels sentiments vous prouveriez si vous perdiez votre appareil mobile ou quon vous le volait, et quil regorgeait dinformations professionnelles confidentielles. Comment votre patron le prendrait-il? Nayez pas peur. Si lentreprise a eu la clairvoyance dinvestir dans une solution de scurit qui comprend des fonctions antivol, de nombreuses solutions peuvent tre mises en uvre pour remdier cette situation et viter que les donnes et les systmes de lentreprise ne soient consults illgalement.
53
aux donnes ou aux applications prsentes sur lappareil mobile. Certaines solutions de scurit vous permettent mme dafficher un message spcial sur lcran de votre tlphone. Ainsi, vous pouvez demander ce que votre tlphone vous soit rendu. Si vous tes convaincu que, cette fois, votre tlphone na pas simplement gliss entre les coussins du canap, certaines solutions de scurit vous permettent, par le biais dun accs distance, deffacer totalement de votre tlphone des jeux de donnes slectionns, ou de supprimer toutes les donnes et de rinitialiser le tlphone en revenant aux paramtres usine. Ainsi, vous avez perdu lappareil, mais vous avez pu empcher des criminels dexploiter les donnes prsentes sur votre tlphone.
Et si vous tentiez de localiser votre tlphone? Il existe mme des solutions qui vous donnent des informations sur lemplacement approximatif de votre appareil, laide de connexions Wifi ou GPS, afin de connaitre les dplacements du tlphone. videmment, le voleur peut trs bien ne pas perdre de temps et changer la carte SIM de votre appareil. nouveau, des solutions existent: certains produits de scurit vous envoient un message contenant le nouveau numro de tlphone de lappareil. Ainsi, vous pouvez toujours profiter dun accs distance pour bloquer, localiser lappareil et effacer les donnes.
Assembler le puzzle
Un logiciel de scurit est une composante essentielle qui permet de prserver et de protger les
54
informations de lentreprise. Cependant, la scurit informatique, aussi vitale quelle puisse tre, ne fait pas vraiment partie des activits de base de la plupart des entreprises. Ainsi, moins votre quipe informatique passera de temps configurer, dployer et grer la scurit de la flotte mobile, mieux votre entreprise sen portera. Tentez de trouver une solution de scurit qui propose: Toutes les fonctions de scurit dont vous avez besoin; ainsi, vous naurez pas intgrer ou grer diffrents produits provenant de diffrents fournisseurs. Une scurit et une gestion de la flotte mobile totalement intgres qui simplifient les tches de gestion: vous pourrez alors consacrer vos ressources aux activits cur de mtier de votre entreprise. Un haut niveau dintgration et dinteroprabilit sur le plan scuritaire pour tous les points dextrmit . . . et pas seulement les appareils mobiles. La capacit dtablir des politiques universelles sur tous les points dextrmit au lieu davoir tablir des politiques individuelles pour chaque point dextrmit individuel. Une console dadministration unique et unifie pour toutes les technologies de protection.
55
Quelle que soit la solution de scurit informatique, la facilit dutilisation est primordiale. Si votre solution de scurit de flotte mobile est chronophage, sera-t-elle pleinement mise profit? Tout logiciel qui ajoute une couche de complexit a la possibilit daffaiblir votre scurit et dy introduire des carences.
56
Chapitre 6
oici dix questions qui peuvent vous permettre daffiner votre stratgie pour les flottes mobiles et le BYOD: Avez-vous vraiment besoin dun accs des appareils mobiles? Quels sont les avantages potentiels dun accs des appareils mobiles pour votre entreprise? Amlioration des procdures de lentreprise? Gains de productivit?
Quelles catgories demploys ont besoin dun accs via leur appareil mobile et quels systmes ou donnes doivent-ils avoir accs?
58
Quelles sont les sensibilits concernant ces systmes et donnes? Le BYOD pourrait-il offrir des avantages supplmentaires votre organisation? Devez-vous fournir certaines catgories demploys des appareils appartenant lentreprise et autoriser le BYOD pour le reste du personnel (en fonction des types de donnes / systmes consults)? Avez-vous ralis une valuation complte des risques, notamment des problmes lgaux, et rdig une politique de scurit? Qui sont les diffrents intervenants et comment sont-ils affects? Quel niveau de consultation est ncessaire pour chaque groupe dintervenants? Lentreprise aura-t-elle besoin dtablir de nouvelles politiques RH? De nouveaux contrats pour les nouveaux employs? Des annexes aux contrats existants des employs existants? Des programmes de formation et de sensibilisation? Des procdures relatives la ngligence concernant la scurit des donnes?
59
tant donn ce qui est en jeu si des donnes sensibles de lentreprise tombent entre de mauvaises mains, ou si des cybercriminels ont accs vos systmes professionnels, assurez-vous que votre stratgie concernant la flotte mobile passe par la slection dune solution de scurit rigoureuse. Tournez la page pour de plus amples informations. . . .
Kaspersky Security for Mobile est compris dans les solutions de scurit suivantes:
KASPERSKY TOTAL SECURITY FOR BUSINESS KASPERSKY ENDPOINT SECURITY FOR BUSINESS ADVANCED KASPERSKY ENDPOINT SECURITY FOR BUSINESS SELECT
Pour en savoir plus sur la faon dont Kaspersky peut vous aider protger chaque point daccs votre rseau dentreprise, consultez : www.kaspersky.com/business-security.