Les 7 péchés capitaux en matière de sécurité des applications mobiles

En entreprise, une stratégie de mobilité sécurisée et productive peut faire la différence. Malheureusement, la productivité des utilisateurs est souvent sacrifiée sur l'autel de la sécurité.

En permettant l'utilisation de données professionnelles au sein d'applications développées en interne ou commerciales, les entreprises peuvent alors exploiter le potentiel de la mobilité. Les workflows mobiles peuvent en effet être plus rapides et plus intuitifs que sur les postes de travail ; mais la prudence est de mise avant de permettre l'utilisation généralisée d'informations professionnelles sensibles sur des appareils mobiles.  

Devoir troquer la convivialité contre la sécurité place les entreprises dans une position peu enviable. Voici la liste des sept péchés capitaux en matière de sécurité des applications mobiles, avec les conseils pour les éviter et transformer l'expérience utilisateur sans compromettre la sécurité.

1. Compter uniquement sur la gestion des appareils mobiles

Ne faites pas aveuglément confiance à la gestion des terminaux mobiles (MDM) comme unique façon de protéger un téléphone mobile : si la sécurité des appareils est importante, celle des données qu'ils contiennent l'est encore plus. La gestion MDM ne convient pas dans tous les scénarios, et une approche de conteneurisation s'appuyant sur un chiffrement applicatif et indépendant du terminal se révélera plus efficace pour sécuriser les données d'entreprise. Celles-ci bénéficieront de la même protection avancée, quel que soit le modèle de propriété et de gestion des appareils. Pour résumer, la conteneurisation est la clé !

2. Ne pas uniformiser la sécurité sur les différents systèmes d'exploitation

Le manque d’uniformité est l'une des principales causes contribuant aux maux de tête des responsables informatiques. Le parc d'appareils mobiles fait l'objet d'une diversification constante, et l'absence d'un modèle de sécurité commun à toutes les plateformes est une véritable épine dans le pied que les directions informatiques ne devraient pas avoir à supporter.

Mettre en place une plate-forme de mobilité sécurisée et indépendante du type de terminal utilisé permet de résoudre ce casse-tête. En simplifiant la gestion quotidienne des appareils, les départements informatiques peuvent ainsi se concentrer sur la stratégie plutôt que sur la résolution de problèmes, sans oublier l'impact positif d'une telle approche sur les coûts. Au bout du compte, les employés peuvent continuer à utiliser une multitude de terminaux sans que cela affecte leur productivité.

3. Utiliser un mot de passe unique au niveau du terminal 

Les mots de passe uniques au niveau des terminaux rendent les entreprises vulnérables au risque de fuites de données. Une solution simple est de mettre en place des mots de passe plus complexes, mais cela nécessite le contrôle des appareils à l'aide d'une solution MDM, ce qui affecte l'expérience utilisateur.

Les applications et leurs données doivent être protégées à l'aide de mots de passe et d'une cryptographie indépendante du chiffrement du terminal. Les responsables informatiques et les employés peuvent ainsi garder l'esprit tranquille à la suite du piratage du mot de passe d'un appareil, car les données, elles, resteront chiffrées.

4. Restreindre les processus métiers

Les utilisateurs doivent pouvoir accéder aux processus métiers dont ils ont besoin, sans restriction. Une bonne solution de sécurité des applications mobiles doit permettre aux applications de s'échanger des métadonnées, des documents et des services en toute sécurité dans le cadre de workflows rationalisés et productifs. Les utilisateurs pourront ainsi effectuer une grande variété de tâches sans avoir à basculer manuellement entre plusieurs applications, et en tirant simplement parti d'une solution efficace.

En leur fournissant un lanceur qui leur donne accès à toutes leurs applications professionnelles, les entreprises permettent à leurs utilisateurs d'accéder en un simple clic à toutes les applications sur leur téléphone (e-mails, agenda, contacts, documents, etc.), et leur offrent également un accès direct à d'autres applications de productivité telles que Salesforce1, Box, Polaris, Docusign, etc.

    5. Échouer à garder le contrôle des données

Problématique majeure pour les entreprises, les fuites de données surviennent lorsque celles-ci sont placées hors du contrôle des départements informatiques au mépris des politiques approuvées par leurs soins. Une bonne solution de sécurité applicative doit permettre à l'entreprise de contrôler le flux de données entrant et sortant de son domaine. En les conteneurisant et en mettant en place des workflows partagés, on peut garder ces données à l’intérieur du périmètre de l'entreprise. Ainsi isolées, il devient également possible d'effacer n'importe quelles données professionnelles à distance lorsque la situation l'exige, comme dans le cas où un appareil serait perdu ou volé, ou suite au départ d'un employé.

    6. Proposer une mauvaise expérience utilisateur

Dans une tendance croissante à rendre mobile les contenus et les applications, et à l'heure où les terminaux mobiles deviennent notre principal support informatique avant même les ordinateurs portables ou de bureau traditionnels, l'expérience prend sans cesse davantage d'importance. Pour qu'elle soit satisfaisante, les applications doivent être simples et agréables à utiliser. Les contrôles de sécurité nuisant à cette expérience, en particulier sur un appareil personnel, ils risqueront de pousser les utilisateurs à chercher une solution alternative, souvent moins sécurisée. Ces comportements vont créer un phénomène accroissant les risques pour l’entreprise que l’on nomme le « shadow IT ».

Les risques se multiplient lorsque les données sont migrées vers le Cloud, ou même juste en dehors de l'environnement fortement sécurisé de l'entreprise. C'est ici que le chiffrement des terminaux joue un rôle essentiel, et qu'il est nécessaire d'isoler les documents dans un conteneur afin de protéger aussi bien les données personnelles que les données professionnelles.

    7. Ne pas obtenir le soutien de l'entreprise étendue

Dans l'entreprise étendue, la simple gestion des appareils mobiles (MDM) n'est pas une solution viable pour assurer la sécurité des données professionnelles. En effet cette approche s'appuie uniquement sur l'appartenance d'un utilisateur à un groupe au sein de l'annuaire de l'entreprise afin d'automatiser le respect des stratégies et le contrôle des accès. Les départements informatiques sont généralement peu enclins à ajouter des individus ne faisant pas partie des employés (membres du conseil, indépendants ou autres) dans cet annuaire.

La solution de sécurité des applications mobiles devra être suffisamment flexible pour permettre l'utilisation sécurisée et contrôlée d'informations professionnelles sensibles à tous les niveaux organisationnels, même à des personnes qui ne sont pas employés.

   

Il n'y a qu'une approche évidente pour éviter de commettre l'un de ces péchés « capitaux » : ne pas compromettre la convivialité au nom de la sécurité. Les entreprises cherchant à sécuriser leurs applications mobiles seront bien inspirées de suivre ces conseils afin de transformer l'expérience utilisateur proposée, tout en mettant en œuvre une stratégie de protection des données efficace.

Chiffrement / Mobilité