Données personnelles – défense d'entrer !

Afin de répondre rapidement à des besoins en matière de BYOD, un département informatique configure le téléphone mobile personnel d'un employé pour qu'il puisse s'en servir pour travailler. Dès lors, l'employeur a accès à toutes les informations personnelles stockées sur l'appareil.

Les employés tolèreront-ils cela comme le prix à payer pour pouvoir utiliser leur appareil mobile préféré au travail ?

Dilemme à l'ère de l'espionnage par le gouvernement

Qu'il s'agisse de révélations concernant les écoutes de la NSA ou des plaintes déposées récemment par sept fournisseurs d'accès à Internet (FAI) à l'encontre de l'agence de renseignement britannique GCHQ, les articles sur l'espionnage de la part des gouvernements font la une de la presse. Celui-ci est accusé d'avoir accédé à des millions de communications privées, certains affirmant que des points d'échange Internet en Allemagne auraient été ciblés, et d'autres, que la société de télécommunications belge Belgacom aurait été infectée par un malware permettant à l'agence GCHQ d'accéder à son infrastructure réseau.
En outre, en début d'année, des téléphones anti-espionnage ont été commercialisés... Ce n'est sûrement pas une coïncidence. Rien d'étonnant à ce que le grand public devienne hyper attentif à toute violation de sa vie privée.
En réalité, ils ont souvent matière à s'inquiéter dans leur vie quotidienne. Nous sommes nous aussi régulièrement témoins de ce scénario : afin de répondre rapidement à des besoins en matière de BYOD, un département informatique configure le téléphone mobile personnel d'un employé pour qu'il puisse s'en servir pour travailler. Dès lors, l'employeur a accès à toutes les informations personnelles stockées sur l'appareil.
Les employés tolèreront-ils cela comme le prix à payer pour pouvoir utiliser leur appareil mobile préféré au travail ?

Le respect de la vie privée des utilisateurs, un casse-tête pour les entreprises

Que font les entreprises pour limiter les risques ? Après tout, la tendance n'est pas à la baisse au niveau des programmes de BYOD et des sollicitations visant à ouvrir l'accès aux systèmes d'entreprise via mobiles. En effet, selon le cabinet d'études Ovum, la mobilité sera, cette année encore, un des sujets prépondérants dans le secteur de l'informatique, ainsi qu'une des grandes priorités de l'année pour les entreprises.
En fait, si cette tendance se maintient, on constatera que beaucoup d'entreprises ne sont pas prêtes à protéger la vie privée de leurs employés. À l'occasion de nos récents sommets européens sur la mobilité organisés afin d'aider les participants (des DSI, des RSSI, des responsables de la mobilité, des responsables de la sécurité et des responsables/directeurs de l'informatique) à découvrir comment faire de la mobilité sécurisée en un avantage concurrentiel, nous avons posé la question suivante : « À quel point connaissez-vous les règles relatives à la vie privée en vigueur dans votre entreprise ? »
36 % des répondants se sont dit conscients de la problématique, mais malgré tout dans l'incapacité de réagir en l'absence de politique formelle en place, tandis que 8 % d'entre eux admettaient ne pas être très au fait sur le sujet.

La gestion des appareils mobiles insuffisante pour permettre au BYOD de garder la cote

Il est assez normal que les entreprises aient besoin d'un certain niveau d'accessibilité aux smartphones/tablettes de leurs employés pour que ceux-ci puissent travailler en situation de mobilité, ou encore afin d'autoriser des connexions aux serveurs. Les problèmes surviennent lorsque ces entreprises utilisent des technologies héritées pour leur gestion des appareils mobiles (MDM). Comme l'indiquent son nom, ce type de solutions se limite à la gestion des terminaux. La solution de MDM ne distingue pas les données de façon à réellement protéger la vie privée des employés. Ainsi, bien qu'elle donne aux employés la possibilité d'accéder librement à leurs fichiers et autres documents professionnels, en réalité c'est l'ensemble des informations sur leur appareil qui devient accessible à l'entreprise : communications personnelles, applications, images... La totale.
Et comme si cela ne suffisait pas, en plus de permettre à leurs employeurs d'accéder à toutes ces données, ces derniers obtiennent ainsi la possibilité de toutes les effacer s'ils considèrent que l'appareil est compromis ou exposé à des risques. Cela place les employés comme leurs appareils (sans parler des informations qui figurent dessus) en position vulnérable. Rien de mieux pour détruire la cote du BYOD auprès des employés.
C'est pourquoi les solutions de MDM seules ne suffisent pas pour répondre au problème. En réalité, les employés pourraient d'eux-mêmes refuser de participer au programme de BYOD de leur entreprise s'ils venaient à craindre que la confidentialité de leurs données personnelles ne soit pas assurée.

Protéger les données professionnelles et les informations personnelles : un exercice d'équilibre

Les informations ont différents types de valeur, et ce, quelle que soit votre activité : intrinsèque, commerciale, pour la mesure de performances, d'acquisition, économique, ou marchande...
La tendance est à l'augmentation de la valeur de ces données, ce qui rend la capacité à les gérer efficacement encore plus essentielle.
Rien d'étonnant, donc, à ce que les DSI veuillent s'assurer qu'elles ne se retrouvent jamais en danger à la suite d'une fuite ou autre. Mais demander aux employés d'abandonner leur terminal mobile et tout ce qui s'y trouve afin de garder les données de l'entreprise en sécurité est exagéré.
Les entreprises doivent parfaire leur capacité à trouver un équilibre entre protéger leurs actifs et prévenir la violation du territoire personnel de leurs employés.

Quelle solution ?

Aujourd'hui, à l'heure où les déploiements de BYOD continuent d'augmenter rapidement, la solution mobile adéquate est celle qui permet aux employés de garder le contrôle de leur appareil et de leurs informations ; celle qui tient l'entreprise à distance des données personnelles, tout en sécurisant également les données professionnelles.
Sur le plan technique, la solution est simple, en réalité : mettre une barrière bien définie et infranchissable entre les données personnelles et professionnelles.
Le fait de créer un conteneur sécurisé de données professionnelles, et séparé du contenu personnel et privé du propriétaire de l'appareil permet de s'assurer que ces frontières soient bien définies.
Du point de vue professionnel, les documents et informations de l'entreprise sont ainsi protégés. L'accès à une partie ou à l'ensemble de ces informations est autorisé en fonction de la politique de gestion des identités en place. Les données de l'entreprise sont ainsi protégées, de même que ce qui compte le plus pour l'employé : que ses informations privées le restent.

Gagner la confiance des employés

Une récente étude de Ponemon Institute indique que 75 % des entreprises peinent à empêcher leurs employés d'utiliser des appareils mobiles non sécurisés afin d'accéder à des données réglementées.
Tout naturellement, si les employés ne croient pas que le programme de BYOD mis en œuvre dans leur entreprise leur permette de sauvegarder leur vie privée, ils trouveront un moyen pour le contourner. Il est donc de l'intérêt des entreprises :
  1. de prendre les mesures nécessaires afin de protéger les droits de leurs utilisateurs en matière de respect de leur vie privée;
  2. de communiquer au sujet de ces normes de façon proactive auprès de leurs employés;   
  3. d'encourager l'adoption d'outils mobiles sécurisés au sein du personnel.
En démontrant clairement que leur stratégie de mobilité est sécurisée, les entreprises obtiendront la confiance de leurs employés, qui pourraient dans le cas contraire craindre pour la vulnérabilité de leurs données.
Il est essentiel pour les organisations d'intégrer une politique relative à la vie privée des utilisateurs à leur stratégie de mobilité professionnelle sécurisée. Dans le cas contraire, les articles faisant les grands titres des journaux concernant l'espionnage du gouvernement pourraient très vite devenir les récits d'organisations faisant l'objet de la colère d'employés s'estimant bafoués en raison d'une protection de la vie privée insuffisante. Prenez donc les mesures adéquates et investissez dans la bonne solution sécurisée de mobilité.

Autour du même sujet