BYOD et sécurité : les entreprises jouent à la roulette russe avec les apps mobiles

Un pourcentage alarmant d’applications mobiles dans le cadre professionnel sont capables d’accéder à certaines fonctions sensibles des appareils, ou favorisent des comportements à risque pour l’entreprise.

Lorsque les entreprises déploient leurs stratégies de BYOD (soit l'utilisation de terminaux personnels pour travailler), la plupart des DSI et des dirigeants ignorent que beaucoup d’applications mobiles sont autorisées par défaut à accéder aux systèmes et aux données de l’entreprise ; et qu’elles favorisent par conséquent des comportements à risque pouvant compromettre la sécurité et les règles internes relatives à la confidentialité des données.

Ce danger a été récemment illustré avec l’application gratuite Flashlight, qui permet d’activer la fonction flash de l’appareil photo d’un smartphone pour l’utiliser comme une lampe torche : parallèlement à sa fonction première, l’application enregistrait les informations personnelles des utilisateurs, telles que la localisation du téléphone, le profil du propriétaire, etc., et les envoyait aux annonceurs.

En réalité, un pourcentage alarmant d’applications mobiles utilisées dans le cadre professionnel sont capables d’accéder à certaines fonctions sensibles des appareils, ou favorisent des comportements représentant un risque pour l’entreprise et allant à l’encontre de ses règles internes en matière de BYOD. Si les entreprises ne prêtent pas attention à ce que font ces applications et comment elles le font, cela revient à jouer à la roulette russe avec leur propre sécurité.

A quel moment une app mobile « inoffensive » se transforme-t-elle en balle dans le barillet ?
Oublions les menaces des hackers et les logiciels malveillants un moment. En apparence inoffensives, les applications présentes dans l’appareil mobile de chaque collaborateur peuvent devenir des armes redoutables qui se retournent contre l’entreprise. Ceci parce que les systèmes d’exploitation mobiles incluent des API que les apps peuvent utiliser pour accéder potentiellement à des données confidentielles, privées ou sensibles, telles que des listes de contacts, des photos ou des agendas. De plus, les apps peuvent accéder aux comptes des réseaux sociaux de l’entreprise via les appareils mobiles, ainsi qu’à certaines fonctions embarquées comme le GPS, la caméra, l’enregistreur audio, etc. En fait, beaucoup d’apps sont dotées de fonctionnalités cachées qui peuvent être utilisées à mauvais escient ou dans un but malveillant.

Le risque est grand pour les entreprises, car la plupart des équipes IT n’ont pas la même visibilité et le même contrôle sur les comportements des apps mobiles qu’avec les logiciels d’entreprise traditionnels. Il est donc essentiel qu’elles adoptent les mêmes bonnes pratiques et procédures pour préparer le déploiement des apps mobiles, comme elles le font avec les autres applications. En analysant les apps mobiles et en mettant en place une base de connaissances relatives aux comportements d’utilisation, les équipes IT peuvent réduire considérablement l’effet « roulette russe » qui caractérise actuellement les apps mobiles.

Arrrrr!* (*l’Application Readiness Réduit le Risque de Roulette Russe)
Les entreprises qui ont mis en place des procédures internes avancées, et qui ont notamment adopté les bonnes pratiques, processus et technologies d’Application Readiness, peuvent préparer les applications en vue de leur déploiement interne – qu’il s’agisse d’applications physiques, virtuelles, cloud, PC ou mobiles. Cette approche apporte une méthodologie pour tester, packager et déployer les apps de l’entreprise de manière fiable et prévisible.

Avec l’automatisation de l’Application Readiness, la DSI peut comprendre beaucoup plus précisément les comportements des apps mobiles. Par exemple, le contrôle des applications – qui examine les propriétés et la configuration des applications – permet de déterminer les fonctionnalités de l’appareil mobile que l’application utilise et de générer un rapport qui permet d’établir des règles définissant les comportements à risque. Ces règles peuvent ensuite être utilisées par la solution d’Application Readiness pour identifier automatiquement les applications présentant un risque potentiel, ce qui permet à la DSI de les gérer de manière appropriée.

Identifier et gérer efficacement les apps mobiles à risque permet non seulement de minimiser le risque mais également d’améliorer l’expérience utilisateur. Les employés peuvent utiliser les apps autorisées en toute confiance, en sachant qu’elles ont été contrôlées. Et les responsables de la sécurité pourront s’assurer que les risques ont été cernés en évitant les apps qui favorisent les comportements à risque, ou en prévenant ces comportements à risque avant que les apps n’accèdent au réseau de l’entreprise.

Les équipes déjà en place connaissent les procédures pour réduire les risques
Beaucoup d’entreprise recrutent de nouvelles équipes pour gérer les applications mobiles et les questions de sécurité qui y sont liées. Pourtant, les équipes déjà en place possèdent toute l’expérience nécessaire. Les directions informatiques qui s’appuient déjà sur les bonnes pratiques, processus et technologies d’Application Readiness pour déployer leurs applications en toute sécurité peuvent appliquer les mêmes principes aux apps mobiles. Avec cette approche, les entreprises pourront simultanément améliorer leur efficacité opérationnelle et mettre en place une procédure standardisée pour le déploiement de toutes les applications. Le fait d’ajouter les applications mobiles signifie simplement étendre les processus existants à des formats, systèmes d’exploitation et solutions de déploiement supplémentaires, tels que les systèmes de gestion des appareils mobiles.

L’Application Readiness a déjà prouvé sa capacité à gérer les nouveaux formats (comme les applications virtualisées) et les nouveaux OS (comme Windows 8). Les mêmes équipes peuvent également se charger de préparer les applications PC pour l’accès via les appareils mobiles avec Citrix/RDS. Utiliser un processus d’Application Readiness unique, standard et homogène pour toutes les applications de l’entreprise – y compris les applications mobiles – est donc cohérent. Tirer profit des connaissances et de l’expérience des équipes en place a du sens, et se traduit par une plus grande agilité de l’IT et des coûts de maintenance moindres.

Même l’app mobile la plus innocente peut se transformer en risque important pour les entreprises qui ignorent comment les configurations et les fonctionnalités peuvent accéder aux données sensibles et, potentiellement, disséminer ces informations malgré les règles internes en matière de BYOD. En adoptant une approche globale pour gérer le cycle de vie complet des applications, les entreprises peuvent s’appuyer sur les équipes, l’expertise et les technologies existantes pour tester les apps mobiles, comprendre les menaces potentielles et prendre les mesures qui conviennent. Après tout, on ne joue pas vraiment à la roulette russe si l’arme n’est pas chargée.

Smartphone