En mobilité aussi, les plans de sécurité passent par une analyse de risque
Comment gérer la sécurité de la mobilité dans son entreprise ? En prenant exemple sur le grand psychologue Abraham Maslow, estime Niel Nickolaisen, directeur technique d’O.C. Tanner.
La hiérarchie des besoins de Maslow commence par les exigences de base (besoins « physiologiques » et « sécurité ») et s'étend jusqu'aux aspirations humaines les plus élevées, à savoir la réalisation de soi. En cours de route, elle passe par l'appartenance, l'amour et l'estime. L'appartenance, l'amour et l'estime sont des schémas bidirectionnels – nous voulons avoir des relations et aimer les autres êtres humains, et nous souhaitons que les autres nous apprécient. Nous voulons avoir du respect pour nous-mêmes et être respectés.
Pour un responsable IT, l'une des façons les plus rapides de couper les liens avec ses clients, de perdre leur amour, leur estime consiste à exercer trop de contrôle sur ceux qui aspirent à la réalisation de soi.
Pour faire plus concret, le monde de l’IT est jonché de DSI qui ont essayé de limiter ce que leurs clients internes pouvaient et ne pouvaient pas faire avec les outils technologiques mis à leur disposition. Et le shadow IT existe parce que les clients du DSI n'obtiennent pas de son équipe ce dont ils ont vraiment besoin.
Aucune réponse facile
En même temps, un certain niveau de contrôle est nécessaire contre les risques liés à des comportements délétères. Nous devons empêcher quelqu'un de prendre une clé USB dans la rue, de l'insérer dans son disque dur USB et de libérer un virus ou un ransomware. Nous devons mettre en place des contrôles pour que personne ne perde des données essentielles sur les clients ou les employés.
L'équilibre entre le risque et le contrôle est encore plus important avec les terminaux mobiles. Ceux-ci, smartphones et tablettes, sont, de par leur nature même, conçus pour combiner l'organisation et les expériences informatiques personnelles. Mon smartphone est rempli de photos personnelles, mais aussi de photos d'architecture et d'organigrammes dessinés sur des tableaux blancs. Mes applications recouvrent l'approbation de mes dépenses et de mes courriels d'entreprise ainsi que mes services bancaires mobiles personnels.
Comment offrir la meilleure sécurité mobile sans être celui qui fait de l'expérience informatique mobile un cauchemar pour tout le monde dans l'organisation ? Qu'est-ce que j'autorise et qu'est-ce que je bloque ?
Lorsque je suis confronté à des situations non triviales, apparemment sans issue, j'essaie de revenir à certains principes fondamentaux. L'un d’entre eux consiste à ne prendre des décisions sur des risques qu'après les avoir évalués. J'admets que cela semble un peu banal, mais j'ai trop souvent pris des décisions qui traitent tous les risques de la même façon.
Probabilité et impact potentiel
Pour les terminaux mobiles, quels sont les risques ? Stockons-nous des données confidentielles ou critiques sur ces appareils ? Si oui, lesquelles ? Si quelqu'un pouvait obtenir ces données, que pourrait-il faire pour me nuire ou nuire à l'organisation ? Quel type d'information notre courriel contient-il ? Ces photos des processus métiers nuiraient-elles à l'organisation si quelqu'un les capturait ? Que pourrait faire quelqu'un s'il avait accès à mon application mobile de reporting des dépenses ?
Lorsqu'il s'agit d'évaluer les risques, je cherche, pour chacun d’eux, à définir la probabilité qu’il se matérialise et l’impact qu’il est susceptible d’avoir. Je trouve ensuite la façon la plus pragmatique d'atténuer en priorité les risques pour lesquels ces deux facteurs sont les plus élevés.
Par exemple, quelles données personnelles d'un employé ou d'un client peut-on stocker sur son smartphone ? Si quelqu'un peut stocker beaucoup de données, il est probable que nous perdions les données et, selon la granularité des données personnelles, l'impact pourrait être important. Dans ce cas, le plan de sécurité mobile doit intégrer des mesures d’atténuation des risques liés à la fuite de données personnelles, avec la mise en place de contrôles appropriés. Dans le cas contraire, si la combinaison probabilité-impact est faible, il n’est peut-être nécessaire de mettre en place des contrôles stricts sur les usages autorisés.
Cette approche permet d’aligner les contre-mesures de sécurité sur le besoin de contrôle individuel de nos utilisateurs. Et lors d’un audit de sécurité, c'est une approche qu’il est tout à fait possible d’expliquer (même si, d'après mon expérience personnelle, certains auditeurs ne sont pas familiers avec le concept d’analyse de risque).
Il y a des risques à ne pas en faire assez pour sécuriser les terminaux mobiles, mais il y a aussi des risques à en faire trop. Il s’agit donc de trouver le bon équilibre.