Actualités

A-t-on vraiment besoin de sécuriser les appareils mobiles en entreprise ?

Un état des lieux de la sécurisation des mobiles en entreprise

27/10/2017

A-t-on vraiment besoin de sécuriser les appareils mobiles en entreprise ?

En tant que RSSI, le développement de la mobilité dans votre entreprise constitue sans doute un enjeu central. Plus d’un DSI sur deux estime aujourd’hui que les bénéfices de la mobilité en entreprise sont plus importants que les risques de sécurité encourus. Petit état des lieux de la sécurisation des mobiles en entreprise pour vous aider à y voir plus clair.

Les appareils mobiles mènent la danse dans les entreprises, et pour cause : ils favorisent la productivité des collaborateurs pendant les déplacements et multiplient les points de contact avec les clients, renouvelant quantitativement et qualitativement les vecteurs de communication. En France, entre 2015 et 2018, le nombre de tablettes livrées en entreprise devrait ainsi augmenter de 56 % et celui de smartphones de près de 30 %.

L’épineuse question de la mobilité des collaborateurs en entreprise

En France, 80 % des employés réalisent aujourd’hui une partie de leur travail en dehors du bureau physique traditionnel (transports, espaces communs de l’entreprise, domicile, etc.). Ces nouvelles pratiques amènent l’entreprise à faire des choix en termes d’équipement mobile : doit-il être fourni par l’entreprise ou par le salarié ?

• Le COPE (Corporate Owned, Personally Enabled)
Dans ce cas de figure, l’entreprise fournit les terminaux professionnels et autorise leur utilisation à des fins personnelles. 82 % des entreprises françaises mettent des appareils mobiles à disposition de leurs employés et 37 % de ces derniers utilisent leurs mobiles professionnels pour un usage privé – un chiffre qui monte à 46 % chez les CSP+. Cette approche peut être couplée au CYOD (Choose Your Own Device), lorsque l’entreprise propose aux collaborateurs de choisir parmi une liste fermée d’appareils approuvés par le DSI. L’intérêt du COPE et du CYOD ? Garder le contrôle sur la flotte de smartphones et de tablettes, facilitant sa gestion et sa sécurisation.

• Le BYOD (Bring Your Own Device)
Avec le BYOD, l’entreprise tolère l’utilisation par ses employés de leur appareil mobile personnel dans le cadre professionnel. Si cette pratique est courante dans les très petites entreprises, souvent par défaut, elle ne concernerait qu’environ 30 % de celles de plus de 200 salariés.

Malgré des usages mobiles qui se multiplient et se diversifient, moins de la moitié des entreprises françaises ont fait installer des antivirus et antimalwares sur les appareils de leurs collaborateurs. Les mobiles sont ainsi bien souvent les grands oubliés de la politique de sécurité des entreprises… ils sont pourtant soumis aux mêmes risques que les ordinateurs fixes.

Les grandes entreprises emboîtent le pas de la cybersécurité

La mobilité de vos collaborateurs implique le partage d’informations sensibles – commandes, factures, données personnelles sur les clients, négociations en cours, recherche et développement, etc. Les grandes entreprises ont bien compris les intérêts et les enjeux de la sécurisation de cette mobilité. La preuve ? Au niveau européen, 67 % d’entre elles ont déjà mis en place des restrictions de sécurité concernant l’utilisation de leurs appareils mobiles.

Cette prise de conscience progressive est liée aux conséquences que pourrait avoir l’exploitation d’une faille dans leur système d’information (SI), extrêmement lourdes à plusieurs niveaux :
• Concurrentiel : c’est sans doute la principale raison qui pousse les entreprises à sécuriser leur flotte mobile. Une faille, en plus de pouvoir causer la fuite de données concurrentielles, engendre une prise de retard d’en moyenne 9 semaines (résolution technique du problème, démarches juridiques et processus de dédommagement), ralentissant d’autant l’avancée des projets. Un énorme manque à gagner en termes de compétitivité !
• Marketing : le préjudice marketing en cas de cyberattaque est l’une des conséquences les plus difficiles à réparer. Un SI mal protégé pourrait porter considérablement atteinte à l’image de marque. L’intégrité, la crédibilité et donc la réputation de l’entreprise est en jeu.
• Financier : en investissant dans la sécurisation mobile, les entreprises se protègent de la perte de leurs données sensibles et/ou de la paralysation de leur activité. Le coût d’un effort financier est à mettre en perspective, sachant qu’une cyberattaque coûte en moyenne 773 000 € !
• Légal : la sécurisation des données sensibles est par ailleurs un impératif légal. Les entreprises françaises doivent se donner les moyens de les protéger d’après l’article 34 de Loi informatique et libertés. La CNIL (Commission nationale de l’informatique et des libertés) n’hésite pas à sanctionner les contrevenants : en 2015, elle a effectué 510 contrôles, 93 mises en demeure et prononcé 10 sanctions.

Conscient des enjeux de la cybersécurité, l’État français lui-même s’est saisi de ces questions en votant la loi de programmation militaire en décembre 2013. Cette loi a mené à la création d’une liste secrète de plus de 200 entreprises classées OIV (Opérateurs d’Importance Vitale) dont le bon fonctionnement est considéré comme crucial à celui de tout le pays. L’adoption de la loi a transformé le regard des DSI sur la sécurité des données : ils s’empressent désormais de se mettre en conformité, débloquant des projets d’investissements longtemps suspendus.

Les PME peinent à établir une stratégie de gestion mobile

Les entreprises de moins de 250 salariés en sont encore au stade de la sensibilisation quant aux enjeux de la mobilité. 82 % d’entre elles ont utilisé des solutions mobiles en 2015 mais plus de la moitié n’ont pris aucune disposition pour contrôler l’utilisation de leurs appareils. L’enjeu se situe donc d’abord au niveau de la gestion des smartphones et des tablettes grâce au déploiement de solutions MDM permettant de contrôler la flotte mobile.

C’est seulement une fois cette condition remplie que les PME françaises pourront prendre en main la question de la sécurité de leur flotte mobile. Aujourd’hui, les mesures sont quasiment inexistantes. Pourtant, 11 % d’entre elles déclarent avoir déjà été victimes d’actes de malveillance. En 2015 :
• 60 % des PME n’ont défini aucune restriction de sécurité quant à l’utilisation de leurs appareils mobiles ;
• 75 % ne savent pas où sont sauvegardés les documents, parfois confidentiels, échangés avec leurs clients ;
• 82 % permettent à leurs collaborateurs d’accéder à n’importe quel site web, même potentiellement dangereux.

Pour les PME, la première étape en vue d’établir une politique de sécurité mobile passe donc par la mise en place d’un véritable système de gestion, proposant une vision globale et précise de la flotte mobile.

Si les appareils mobiles et les applications de partage sont devenus des outils de travail courants, les risques qu’ils constituent pour la sécurité des données des entreprises sont encore mal estimés. Les défis sont nombreux : sensibiliser les collaborateurs, gérer la séparation entre espaces professionnel et personnel, déployer des outils de gestion et de sécurisation de la flotte mobile... Heureusement, des solutions efficaces et accessibles existent pour toutes les entreprises, des PME jusqu’aux grandes entreprises.