L'entreprise ouvre de plus
en plus son système d'information, soit en permettant à ses collaborateurs de
se connecter à distance, soit en autorisant ses partenaires à accéder à certaines
parties de ce système. La démarche est bonne puisqu'elle donne accès à partir
de portables ultra légers, d'assistants personnels, voire de téléphones mobiles
à des informations à jour. Les temps de réponse à la clientèle sont réduits et
la réactivité s'en trouve améliorée.
Mais
la prise de risque est de plus en plus importante. En effet, selon les consultants
de Gartner Group, quatre types d'impacts peuvent être identifiés lorsque l'on
permet à des terminaux mobiles d'accéder au système d'information.
Impacts technologiques.
La difficulté à surmonter concerne principalement la protection des échanges de
données - qui représentent parfois de gros volumes - entre le système central
et les mobiles. Et c'est moins un problème de technologie que de management. Les
techniques de cryptage et de protection des accès sont au point mais bien souvent
les utilisateurs les contournent. C'est là que des brèches peuvent être ouvertes.
Il faut donc tenir à jour une liste précise des terminaux mobiles en circulation
et pour chacun d'eux instaurer des contrôles d'accès rigoureux. De plus, l'évolution
rapide de la technologie peut rendre les contrôles assez difficiles. Les téléphones
portables par exemple, même s'ils reposent sur des standards technologiques bien
établis (comme Java 2 Enterprise Edition ou J2EE), ne sont pas toujours capables
d'exécuter les mêmes applications. Le travail d'un responsable de la sécurité
sera compliqué d'autant par ces multiples versions de logiciels à maintenir. Enfin,
les réseaux sans fil peuvent présenter des failles de sécurité. Un défaut de configuration
peut permettre à un voisin (ou tout simplement à quelqu'un qui stationne à proximité
dans sa voiture) d'accéder au réseau de l'entreprise aussi facilement que s'il
se trouvait à l'intérieur du bâtiment.
Impacts sur les processus.
La mobilité influe de manière importante sur les processus qui régissent l'activité
de l'entreprise. L'adoption généralisée des téléphones portables a réduit les
cycles de décision puisque chacun peut être joint en tout lieu, à toute heure.
Ces nouvelles possibilités de communication ne présentent pas que des avantages
: des données sensibles risquent d'être diffusées un peu partout, hors de l'enceinte
de l'entreprise, échappant ainsi à tout contrôle. Permettre à un responsable financier
d'approuver une transaction lorsqu'il se trouve dans une salle de conférence peut
paraître performant, mais aucune entreprise n'aimerait qu'il déclenche par erreur
une telle opération lors de son trajet matinal en se trompant de touche sur son
téléphone. Gartner Group recommande que les processus métiers prennent en compte
la mobilité uniquement si cela présente un avantage évident. Et dans ce cas, les
contrôles de risque doivent être intégrés au processus.
Impacts personnels.
Les mobiles, téléphones ou PDA, représentent autant des outils professionnels
que personnels : personne ne pourra empêcher un employé de configurer son téléphone
comme il lui plaît, de charger sur son assistant personnel l'application de son
choix : ces matériels échappent à un processus de configuration stricte. L'entreprise
devra donc devancer les désirs de ses salariés équipés de mobiles pouvant accéder
aux informations. Elle devra par exemple leur proposer une application sécurisée
d'accès à leur courrier électronique plutôt que de les laisser installer eux-mêmes
un de ces logiciels redirecteurs d'e-mails qu'ils ne manqueront pas de trouver
très pratiques, sans se demander s'ils n'ouvrent pas une brèche dans la sécurité
du système d'information en l'utilisant.
Impacts légaux. Le fait
d'accéder sans contrainte de temps, ni de lieu aux informations de l'entreprise
peut faire oublier des règles légales élémentaires. Comment être certain que toutes
les restrictions de diffusion des informations sont respectées - celles de la
CNIL en France par exemple - alors que les accès pourront être effectués à partir
de mobiles incontrôlables ? Enfin, la sollicitation d'un collaborateur à toute
heure du jour - ou de la nuit - grâce à son mobile sera bien souvent en contradiction
avec les conventions qui régissent sa profession.
|