Actualités

Mobile perdu : comment éviter le scénario catastrophe ?

Découvrez comment éviter le scénario catastrophe

27/10/2017
En cas de perte ou de vol d’un appareil mobile utilisé dans le cadre professionnel, les données de l’entreprise peuvent être gravement mises en danger

Imaginez… L'un des collaborateurs de votre entreprise perd (ou se fait dérober) son smartphone lors d'un salon professionnel auquel participent la plupart de vos concurrents. Le risque de fuite de données confidentielles ou d'acte de malveillance est réel. Mais cette perte peut avoir plus ou moins de répercussions selon le niveau de protection de l'appareil et votre politique de gestion de flotte mobile (EMM pour Enterprise Mobility Management). Voici 4 hypothèses qui font état des conséquences, plus ou moins graves, selon le niveau de sécurisation de la flotte d'appareils mobiles de votre entreprise.

Cas n°1 : Scénario à haut risque

Aucun dispositif de sécurité n'est en place.

Votre entreprise n'applique pas de politique de gestion des risques et le smartphone du collaborateur ne dispose pas de protection particulière. Dans ce cas précis, le risque est élevé car la vulnérabilité de l'appareil est bien réelle. Cette hypothèse, la plus grave, ne permet pas d'action spécifique de la part du RSSI, qui peut néanmoins évaluer rapidement le niveau de sécurisation en questionnant le propriétaire du téléphone : l’appareil était-il protégé par un mot de passe ? L’accès à ses comptes professionnels étaient-ils enregistrés ? Conservait-il des données sensibles sur son appareil ? etc.

Passé ce premier constat de la situation et des tentatives de récupération de l’appareil auprès des organisateurs de l’événement où il a été perdu ou volé, il n’y a plus qu’à espérer qu'aucune utilisation frauduleuse du terminal mobile n’aura lieu. Mais, lorsque l’on sait qu’ une cyberattaque coûte généralement plusieurs centaines de milliers d’euros, cet incident peut être une bonne occasion de s’interroger sur la mise en place d’une stratégie de sécurité à l’échelle de l’organisation.

Cas n°2 : Erreur de gestion – le terminal mobile n'est pas enregistré

L’entreprise a défini une politique de gestion de ses appareils mobiles grâce à une solution MDM mais, malheureusement, le terminal du collaborateur n’y a jamais été enregistré.

Comme pour le cas précédent, aucune contre-mesure n'est envisageable. Sans cet enrôlement préalable du terminal mobile, il n'y a ni authentification ni restrictions ni protection de l’appareil possibles à distance. Croisez les doigts pour qu'aucune attaque ne se produise ! Des actions préventives existent : vous pouvez par exemple opter pour un enregistrement obligatoire, voire l’automatiser grâce à des solutions Over-The-Air qui imposent la réinscription automatique, même si l’appareil a été réinitialisé.

Cas n° 3 : Niveau de sécurité minimum requis

L'entreprise applique les directives de sa politique de sécurité et dispose d’une solution MDM dans lequel l'appareil est enregistré.
Dans ce cas de figure, le niveau de protection de l'appareil est plus élevé. Le fait d'inscrire le device dans le système de gestion des terminaux mobiles permet d'appliquer des règles de sécurité et d'agir de différentes façons selon l'importance des données stockées.
Voici quelques actions réalisables à distance par l'équipe en charge de la sécurité grâce au MDM, à adapter en fonction du niveau de risque :
• Le risque est faible (par exemple oubli du portable lors d’un rendez-vous professionnel) : géolocalisation de l’appareil perdu et affichage d'un message sur l’écran d'accueil demandant à le restituer. On peut parfois compter sur la bienveillance d’autrui !
• Le risque est modéré (par exemple vol du téléphone avec retrait de la carte SIM) : blocage de la réinitialisation du téléphone portable, qui devient de fait invendable sur un marché parallèle.
• Le risque est élevé (par exemple vol ou perte d’un portable contenant des données confidentielles dans un environnement à risque) : suppression de toutes les données stockées si elles revêtent un caractère sensible et si leur divulgation peut mettre la société en péril.
Ces pistes d’intervention sont données à titre indicatif. Après évaluation de la situation, vous pouvez bien sûr donner une réponse graduée en fonction du risque encouru.

Cas n°4 : Assurance tous risques

Une politique de sécurité est en place dans l'entreprise, l'appareil est enregistré et dispose d’un conteneur sécurisé.

A priori, dans cette situation, vous n'avez pas de souci à vous faire. Ce niveau de sécurité maximal est assuré par la présence d’un conteneur professionnel dont le fonctionnement repose sur le principe de virtualisation matérielle : grâce à elle, les RSSI peuvent gérer indépendamment chacun des conteneurs virtuels hébergés sur les serveurs de l’entreprise ou dans le cloud, en s’appuyant sur un même système d’exploitation. L’accès aux données et aux applications professionnelles est donc limité et contrôlé depuis un seul système physique. Dans l'hypothèse d'un vol ou de la perte d’un smartphone, la conteneurisation de l’espace de travail, piloté directement par le service informatique, permet de séparer, isoler, chiffrer et protéger les données contre les attaques. Malgré le fait que ce conteneur soit protégé par un mot de passe, il est toutefois plus sage d'effacer les données et de bloquer le téléphone.

Les défaillances de sécurisation des appareils mobiles peuvent prendre plusieurs formes et s’avérer lourdes de conséquences si l'entreprise n'a pas mis en place un système MDM de sécurité globale, avec procédure d'enrôlement systématique et automatique des terminaux mobiles et utilisation de conteneurs. Ces solutions permettent aux RSSI de garder la main à distance sur l'appareil et de contrôler son niveau de protection. Par ailleurs, pour limiter la casse, il est recommandé d'imposer des processus d'authentification stricts aux collaborateurs avec, par exemple, des mots de passe complexes, la mise en place de plusieurs niveaux de sécurité (jusqu'à la reconnaissance de l'utilisateur par empreinte digitale ou contrôle de l’iris), la double authentification ou encore le Single Sign-On.