Mobilité d’entreprise et sécurité : problèmes et solutions
L'utilisation de la mobilité augmente tout autant que le nombre de menaces pesant sur les données mobiles. Les DSI doivent lutter contre les problèmes de sécurité liés à la mobilité pour ne pas se laisser dépasser.
La mobilité entraîne à la fois des changements massifs dans le rôle de l’IT et dans la manière dont est conduite l’activité de l’entreprise. Malheureusement, l'adoption et la sophistication croissantes de la mobilité s'accompagnent d'une accélération des problèmes de confidentialité et de sécurité. Et il y a plusieurs bonnes raisons à cela.
Tout d’abord, le volume de données qui traversent les réseaux, depuis les centres de calcul jusqu’aux terminaux mobiles, progresse à un rythme exponentiel. D’ailleurs, une part toujours plus importante des données d’entreprise contourne complètement les contrôles de sécurité périmétrique traditionnels pour transiter directement entre cloud et terminaux mobiles. En fait, clairement, la mobilité est la nouvelle plateforme de l’innovation, faisant suite à l’ère du poste de travail Windows.
Mais beaucoup de DSI peinent à suivre. Le rythme du changement est sans précédent. Et à cela s’ajoute le fait que DSI et RSSI se préoccupent de capacités tandis que les directions s’intéressent aux résultats.
Il va sans dire que tous les aspects traditionnels de la manière dont une entreprise fait des affaires et dont son IT se transforme en un centre de profit – tout en continuant à déployer des efforts pour maintenir les systèmes en fonction et accompagner les utilisateurs finaux – sont remis en question, ou du moins repensés.
En définitive, le principal ennemi du DSI est moins l’argent que le temps. Le nouveau mandat du DSI l’enjoint d'utiliser la technologie pour stimuler l'innovation, gérer l’équilibre entre risques et bénéfices, en interne comme en externe, pour la croissance de l’entreprise, tout en contrant les menaces de la concurrence et des cyber-délinquants. Pour beaucoup, relever les nouveaux défis posés par le mobile paraît presque insurmontable en raison de la rapidité du changement et des inconnues qui créent de nouveaux risques. Le rythme du changement et la nouvelle dynamique de l'informatique des utilisateurs finaux posent d'énormes défis de confidentialité et de sécurité de l'information.
Les professionnels de la sécurité nationale et du renseignement utilisent depuis longtemps une technique d'analyse appelée la fenêtre de Johari. Ce concept peut aider à diviser un large éventail de sujets complexes en sous-ensembles plus faciles à consommer intellectuellement et à traiter en pratique. Le concept oblige à diviser les problèmes stratégiques comme la sécurité en trois domaines : les connaissances connues, les inconnues connues et les inconnues inconnues.
Appliqué à la sécurité de la mobilité, ce concept fait ressortir plusieurs informations connues : le mobile est le moteur d'une véritable évolution dans tous les aspects de l’activité ; les terminaux mobiles sont hostiles aux architectures d'entreprise ; la production de données augmente à un rythme difficile à mesurer ; l'écosystème mobile dépasse celui du poste de travail ; chaque terminal mobile sera piraté ou a été piraté, ou est en train de créer un système de fuite de données personnelles / professionnelles vers le domaine public ; les appareils, capteurs et applications BYOD sont la norme et non l'exception.
Les vecteurs d’attaque et les méthodes des attaquants relèvent de l’inconnu connu : ils évoluent et se multiplient ; reste à découvrir comment… Il en va de même pour les fuites de données accidentelles provoquées par des utilisateurs : elles sont appelées à survenir. La question de savoir dans quelle proportion et avec quelles conséquences. Et puis si la plupart des entreprises comprennent que le mobile est au cœur de la transformation numérique et qu'il répond aux exigences d'agilité de l'entreprise, la manière d’effectuer cette transformation et de traiter les nouveaux risques induits relève de l’inconnu.
Viennent enfin les inconnues inconnues : comment les entreprises doivent-elles se moderniser pour répondre pleinement aux besoins d’agilité de leurs collaborateurs, clients et partenaires ? Comment les entreprises vont-elles faire évoluer leurs environnements informatiques des utilisateurs finaux pour qu'ils englobent pleinement de multiples systèmes d'exploitation, environnements applicatifs et modèles de propriété de terminaux mobiles ?
Quels nouveaux modèles et méthodes de sécurité seront les plus efficaces pour défendre les informations de l'entreprise, contrer les attaques et protéger les employés, les partenaires et les clients ?
Pour lutter contre les problèmes de sécurité mobile, les entreprises devraient commencer dès maintenant à développer un modèle de stratégie de défense en profondeur. Cette méthode suppose une approche par couches, y compris un modèle sans confiance, pour contrecarrer les attaques plus sophistiquées. Les DSI devraient envisager quatre stratégies : traiter tous les appareils mobiles, y compris les capteurs IoT, comme des vecteurs de menaces ; surveiller et contrôler les appels à des API tierces pour détecter les fuites de données ; adopter des méthodes d'identité numérique et des solutions de gestion des droits numériques (DRM) ; éduquer les utilisateurs finaux.