Actualités

3 étapes pour reprendre le contrôle des usages mobiles en entreprise

Découvrez 3 étapes pour reprendre le contrôle des usages mobiles en entreprise

27/10/2017

3 étapes pour reprendre le contrôle des usages mobiles en entreprise

Le monde de l’entreprise change. Encore sédentaire il y a peu, l’activité des collaborateurs est aujourd’hui mobile et la limite entre les utilisations personnelles et professionnelles des appareils est parfois floue. La sécurisation de la flotte mobile est une priorité majeure pour les RSSI : quelles étapes suivre pour reprendre le contrôle sur ces nouveaux usages ?

En France, 37 % des employés utilisent leurs mobiles professionnels pour un usage privé – un chiffre qui monte à 46 % chez les CSP+. Et environ 30 % des entreprises de plus de 200 salariés tolèrent l’usage d’appareils personnels au travail. La mobilité et les usages qui l’accompagnent ont quelque peu échappé aux DSI : les collaborateurs utilisent régulièrement leurs propres équipements pour travailler, les divisions métier se sont parfois équipées sans consulter les équipes IT, et même les entreprises qui n’ont pas explicitement fait le choix de la mobilité y sont de fait confrontées.

Dans ce contexte, il est important de pouvoir sécuriser une flotte mobile déjà existante et qui va grandissant – d’ici 2018, le nombre de tablettes livrées en entreprise en France devrait augmenter de 56 % et celui de smartphones de près de 30 %. Suivez pas à pas nos conseils pour reprendre le contrôle sur la flotte mobile de votre entreprise avec le plus d’efficacité possible !

Définir clairement sa politique de sécurité mobile

Un projet de sécurisation mobile passe par les mêmes étapes que n’importe quel autre projet IT. En tout premier lieu, un état des lieux technique s’impose (lien vers article n°5) : il s’agit pour vous de bien définir les besoins de votre entreprise en établissant un cahier des charges complet de la politique de sécurité mobile visée, prenant en compte les projets de votre entreprise à court et à moyen terme. Vous pouvez vous servir de la politique de sécurité générale en place pour y intégrer des exigences spécifiques en matière de mobilité.

Afin d’établir ce cahier des charges, il vous faudra réaliser un mapping de votre environnement actuel. En répertoriant la flotte d’appareils mobiles, en mesurant son hétérogénéité et en estimant sa facilité d’intégration dans le système d’information, vous aurez déjà commencé à reprendre la main sur la politique de sécurité mobile.

Cet état des lieux vous aidera ensuite à vous poser les bonnes questions :
Les appareils de vos collaborateurs sont-ils uniquement destinés au travail ou à un mélange pro/perso (dual persona) ?
En cas de dual persona, avez-vous affaire à un système :
De BYOD (Bring Your Own Device pour « prenez vos appareils personnels ») ?
De CYOD (Choose Your Own Device, quand le collaborateur peut utiliser son appareil personnel dans un cadre pro à condition qu’il ait été choisi parmi une présélection « approuvée » par l’entreprise) ?
De COPE (Corporate Owned, Personally Enabled, lorsque le mobile appartient à l’entreprise mais peut être utilisé pour des usages personnels) ?
Vos collaborateurs ont-ils déjà été sensibilisés aux questions de sécurité mobile... ou tout le travail reste-t-il à faire ?

Une fois ces questions éclaircies, vous pourrez opter pour la politique de sécurité mobile la plus appropriée. Au-delà des aspects techniques, renseignez-vous sur les limites légales et réglementaires de la responsabilité de l’entreprise, des RSSI et des collaborateurs (lien vers article 2) par rapport à la protection des données. Cela vous aidera à définir rigoureusement quels usages des terminaux pourront être autorisés ou non.

Identifier les solutions de gestion adaptées

Maintenant que l’usage du matériel mobile est éclairci, reste à choisir votre stratégie et à sélectionner la solution qui vous permettra de reprendre au mieux le contrôle de votre flotte et de sa sécurité. Il vous faudra tenir compte à la fois des besoins corporate de l’entreprise, qui incluent la sécurisation et la gestion des données, et des besoins spécifiquement liés aux métiers, nécessitant parfois le déploiement d’une ou de plusieurs applications dédiées.

Plusieurs possibilités s’offrent à vous :
Optez pour une gestion matérielle complète de la flotte avec le MDM (Mobile Device Management ou « gestion des terminaux mobiles ») , qui vous permet de prendre la main sur l’ensemble des terminaux mobiles utilisés dans un cadre professionnel et de contrôler les usages ;
Gérez les applications avec un MAM (Mobile Application Management ou « gestion des applications mobiles ») afin de mettre en place un store d’entreprise ;
Si vous souhaitez administrer et sécuriser l’accès aux documents de l’entreprise notamment par leur cryptage, le MCM (Mobile Content Management ou « gestion de contenu sur mobile ») est fait pour vous ;
Si votre projet combine ces différents besoins et nécessite la mise en place de solutions spécifiques, vous pouvez plus largement définir votre EMM (Enterprise Mobility Management ou « gestion de la mobilité d’entreprise ») afin de mettre au point une solution sur mesure.

Mettre en place une solution de gestion de la sécurité mobile

Le travail en amont est maintenant terminé : vous avez déterminé quels étaient les usages autorisés, défini clairement vos besoins en matière de sécurité mobile et identifié les solutions de gestion adaptées. Vous devez également avoir défini les ressources et les délais nécessaires à la mise en place de ce projet et vous savez donc si vous pouvez confier l’intégration à une équipe en interne ou devez faire appel à un prestataire externe. Voilà le moment venu d’organiser plus pragmatiquement la gestion sécuritaire de votre flotte d’appareils mobiles : le temps presse ! Mais, si le travail préparatoire a été correctement effectué, cette mise en place ne devrait pas poser de problème majeur.
Tout d’abord, commencez par établir votre POC (Proof Of Concept ou « preuve de concept ») afin de déterminer la faisabilité de l’intégration du MDM au sein de votre système d’information. Il doit vous permettre de tester à différents niveaux la pertinence et l’efficacité des fonctionnalités de la solution globale que vous avez choisie, de prévenir en temps et en heure toute faille de sécurité potentielle, voire de compléter votre liste de prérequis.

Il est ensuite recommandé d’effectuer une première intégration pilote, en associant une sélection d’appareils mobiles de votre entreprise à la solution logicielle envisagée (MDM, MAM, MCM, EMM) et aux applications utilisées. Ce test permet de mettre en évidence certaines problématiques, notamment d’incompatibilité, qui étaient jusqu’alors imprévisibles. Le test effectué, vous pouvez organiser le déploiement de la solution sur l’ensemble de la flotte mobile. Le déploiement peut prendre un certain temps mais il sera grandement facilité si vous avez effectué correctement votre POC, votre test pilote et si vous avez pris le temps de sensibiliser correctement vos collaborateurs.
Après les correctifs inévitables, il faudra savoir conserver votre flotte en état de marche optimal. Une bonne veille vous permettra de rester au courant des mises à jour, des patchs disponibles et des nouveaux risques à anticiper, afin d’actualiser la sécurisation et d’assurer le maintien en condition opérationnelle de l’ensemble des appareils mobiles de l’entreprise.

Il est indispensable de faire le point en amont sur la situation et les besoins de votre entreprise pour réussir le déploiement d’une solution de sécurisation des appareils mobiles. Une telle transition peut faire peur : n’hésitez pas à aller demander conseil auprès des constructeurs ! Ils sauront vous guider dans vos démarches et vous proposer des solutions personnalisées ou prédéfinies.