Mobilité : la sécurité nécessite une approche unifiée
Les lacunes en matière de sécurité de la mobilité d’entreprise peuvent être nombreuses et variées. Mais elles doivent être comblées. L’administration unifiée des terminaux offre là de nouvelles perspectives.
Cocher la case. C’est une approche malheureuse, mais courante, de la sécurité au sein des entreprises, y compris pour ce qui touche à la mobilité. Il en va ainsi depuis des décennies avec les réseaux et les systèmes d’information traditionnels, ainsi qu'avec les applications et les bases de données. Cet état d'esprit s'étend également au cloud. Mais avec la mobilité, c’est particulièrement évident – et préoccupant. Les inconnues, les oublis et les trous béants constituent une grande partie de tout environnement informatique d'entreprise. Pourtant, le temps continue de passer et, finalement, quelque chose va mal tourner.
Où se trouvent les lacunes
Les facteurs induisant des manques dans la sécurisation de la mobilité sont nombreux. Il peut ainsi s'agir d'un manque de visibilité et de contrôle d'accès. Mais également d'applications dangereuses utilisées à des fins métiers qui exposent les informations de l'entreprise. Ou encore d'omissions en termes de normes de sécurité des terminaux et de durcissement de leur système d’exploitation. Quoi qu'il en soit, si l’on ne dispose pas d'une solide stratégie de gestion de la sécurité mobile et, ce qui est tout aussi important, si l’on n'utilise pas les bons outils pour faire respecter ses politiques, alors tout ce qui est fait n’est qu’affichage. Inévitablement, un incident ou une brèche surviendra.
Comment alors s’assurer d’une surveillance adéquate, de la conformité, malgré une myriade de défis, et tout en minimisant les complexités liées à la mobilité et en offrant aux utilisateurs la meilleure expérience possible ?
La gestion de la mobilité d'entreprise (EMM) et l’administration unifiée des terminaux (UEM) qui lui succède répondent à ces défis dans les environnements informatiques mobiles modernes. Ils vont bien au-delà des contrôles offerts par les systèmes de gestion des appareils mobiles (MDM). Et, bien sûr, ils sont à des années-lumière de la passivité absolue – une approche encore bien trop courante.
Ces nouvelles technologies d’administration de la sécurité mobile mettent l'accent sur le contrôle et la supervision des applications mobiles. Par le passé, l'approche typique était de laisser les utilisateurs non seulement apporter leur propre appareil, mais aussi de les laisser choisir les applications mobiles qu’ils souhaitaient utiliser pour accomplir leur travail. Mais cela n’allait pas sans présenter des risques. EMM et UEM peuvent offrir un contrôle beaucoup plus granulaire. En guidant les choix applicatifs des utilisateurs, le service informatique peut contrôler le contenu métier auquel ces applications peuvent accéder, et même effectuer une analyse des menaces et une supervision sur les applications. De quoi élever le niveau de sécurité.
Une telle approche de la gestion des applications et du contenu résout les récents défis auxquels le BYOD peut confronter les organisations, à commencer par les négligences des utilisateurs à l’égard des usages acceptables définis dans les politiques de sécurité.
L'approche « autruche » ?
Il est naturel de vouloir se mettre la tête dans le sable et d'espérer que tout ira bien. Mais sans les contrôles offerts par l’EMM, l’UEM ou même le MDM, il faut considérer ce qui suit – et cela peut même valoir lorsque ces contrôles sont en place :
- Êtes-vous vraiment conscient des risques liés à votre mobilité ? Selon qui ? Un expert externe a-t-il été consulté ? Dirigeants, service juridique ou métiers ont-ils participé à la prise de décisions sur ce qui est important et ce qui est risqué ?
- Compte tenu de ce que vous savez sur la base de votre évaluation des risques – c'est la seule façon de savoir où en sont les choses – pensez-vous que votre entreprise traite de manière adéquate les problèmes de sécurité mobile et de gestion des terminaux ? Qu'en est-il des applications et des données métiers ? Sont-ils complètement verrouillés ? Quelle est leur exposition résiduelle ?
- Comment vos efforts en matière de sécurité mobile aident-ils ou entravent-ils les autres initiatives de votre entreprise en IT et en sécurité ?
- Comment les objets connectés affecteront-ils la surveillance mobile ? Êtes-vous prêt à prendre en charge un tout nouvel ensemble de systèmes convergents qui créent des risques tangibles au-delà des ordinateurs portables, des smartphones et des tablettes ?
- Avez-vous réfléchi à la manière dont l'analyse Big Data et les renseignements sur les menaces qui peuvent en ressortir – dont certains sont peut-être déjà utilisés dans d'autres domaines de la sécurité – peuvent affecter la mobilité dans l’entreprise ?
Il est facile de ne pas savoir ce que l’on ne connaît pas. Il suffit de demander à n'importe quelle grande entreprise ayant subi d’importantes pertes parce qu'elle avait négligé ce que l'on pourrait considérer comme des faiblesses et des défaillances assez fondamentales de la sécurité opérationnelle.
Rien n’est jamais « assez bon »
Las, il est aussi facile d’aboutir à un faux sentiment de sécurité. Les produits « assez bons » le sont rarement. Dans toutes les configurations d'entreprise, sauf les plus élémentaires, les problèmes de sécurité mobile ne peuvent tout simplement pas être gérés efficacement sans les contrôles apportés par l’EMM et l’UEM.
Le sujet peut être initialement abordé au travers de la question de la gestion des accès et des identités – un défi courant de la mobilité. Ensuite, il est possible d’étendre l’approche en verrouillant les applications et les terminaux. L'intégration avec les contrôles de sécurité réseau existants peut être exactement ce qui est nécessaire pour boucler la boucle et disposer d’un environnement de sécurité plus global, qui fonctionne réellement pour l’entreprise.
Surtout, il faut accepter les complexités et les risques, et faire quelque chose pour y remédier. Pour les déploiements mobiles existants, et quelle que soit l’étape suivante, la seule façon d'y parvenir est de disposer d'une vue d'ensemble. Cela implique de prendre du recul, de saisir le sujet à bras le corps dans sa globalité, pour prendre ensuite les décisions qui permettront d'assurer la réussite de l’approche à long terme.
Pour paraphraser Jim Rohn, conférencier motivateur américain, le vrai problème, c’est le manque de direction, et pas celui de temps (ni d'argent d'ailleurs).