Les objets connectés entrainent de nouveaux risques pour l'entreprise

À mesure que les objets connectés intègrent le monde de l'entreprise, les services informatiques découvrent de nouvelles menaces qui pèsent sur les données et doivent relever de nouveaux défis pour les protéger.

La mobilité est le maître mot de notre époque. Chaque année, de nouveaux types de terminaux mobiles font leur entrée sur le marché, repoussant les limites de la connectivité et transformant la nature même de nos communications, de nos méthodes de travail, jusqu'à nos modes de vie. Un des principaux phénomènes à l'origine de ce tournant est la multiplication des objets connectés, et plus largement, le succès de l'Internet des objets. Grâce à ces objets, les consommateurs peuvent bénéficier d'une plus grande flexibilité et être plus efficaces, en gérant leurs tâches quotidiennes, personnelles ou professionnelles, à tout moment, où qu'ils soient.

La demande d'objets connectés évolue à un rythme soutenu. Selon les fabricants, plus de 700 000 montres Android Wear ont été livrées en 2014. Le récent lancement de l'Apple Watch a engendré plus de 2,3 millions de précommandes dans le monde et les prévisions de ventes atteignent 15 millions de dollars, rien qu'aux États-Unis. Selon les experts, le marché des objets connectés représentera 12,6 milliards de dollars américains d'ici 2018.

Les consommateurs à l'origine de cette demande sont facilement identifiables. Une enquête indépendante réalisée récemment indique que 42% des hommes âgés de 18 à 34 ans et des parents avec un mineur à charge possèdent un objet connecté ou prévoient d'en acheter. Parmi eux, 95% envisagent de l'utiliser pour effectuer leur travail. Ce segment démographique regroupe des personnes hyper connectées qui ont accepté cette nouvelle dynamique entre travail et vie privée : il s'agit de la « génération mobile ».

De nouvelles menaces de sécurité pour les données

À mesure que les objets connectés se multiplient et intègrent le monde de l'entreprise, les services informatiques découvrent de nouvelles menaces qui pèsent sur les données et doivent relever de nouveaux défis pour les protéger. Ils doivent repenser leurs stratégies et infrastructures informatiques pour permettre une utilisation sure et efficace de ces objets dans un contexte professionnel.

Les technologies portables étant relativement récentes, elles se développent et s'améliorent constamment. Les fabricants recherchent en permanence des fonctionnalités et applications pratiques qui optimiseraient l'efficacité des collaborateurs. 

Le fonctionnement des objets connectés actuels repose principalement sur des notifications : ils servent d'interface entre l'utilisateur et le smartphone, qui se trouve généralement dans sa poche. Les utilisateurs peuvent recevoir des informations sur leur objet et également réaliser quelques opérations. À l'instar des premiers smartphones grand public ayant passé les portes de l'entreprise, cette génération d'objets connectés n'est pas aussi sécurisée que la dernière génération de smartphones. Bien que l'Apple Watch propose une fonction de chiffrement, la grande majorité de ces objets offre peu d'options de règles, de gestion ou de configuration à distance. D'autre part, le stockage de données hors connexion étant lui aussi restreint (tout en restant possible) sur ces objets, la plupart d'entre eux ne proposent pas le chiffrement. 

Les entreprises doivent donc s'assurer que leurs équipes de développement des applications internes, leurs sous-traitants et leurs éditeurs de logiciels indépendants ajoutent les options de sécurité essentielles à leurs applications pour objets connectés. Heureusement, certains éditeurs de logiciels indépendants le font déjà : ils configurent et ajoutent eux-mêmes des options telles que le chiffrement pour pallier le manque de fonctionnalités natives sur les objets connectés.

Autre défi de taille : les objets connectés ont tous des fonctionnalités propres. Certains, comme l'Apple Watch, sont étroitement associés à l'appareil hôte (ici, l'iPhone). D'autres, comme la Samsung Galaxy Gear S, permettent de stocker davantage de données hors connexion et possèdent leur propre SIM. Grâce à cette connectivité indépendante, les utilisateurs peuvent passer des coups de fil et envoyer des SMS directement depuis l'objet connecté. En outre, bien que l'objet ait été initialement conçu pour être associé à un smartphone Galaxy standard ou hybride, il est tout à fait possible de le faire fonctionner de manière autonome.

Ces différences notables d'architecture contraignent les entreprises à étudier avec attention les fonctionnalités de chaque objet connecté avant d'établir leur stratégie.

Définition d'une stratégie d'entreprise pour les objets connectés
Interdire catégoriquement les objets connectés est impossible. D'un point de vue technique, les entreprises peuvent uniquement bloquer l'application permettant d'associer l'objet au téléphone ou désactiver des fonctions de l'appareil, telles que la connexion Bluetooth. Là encore, ces options ne sont pas proposées par toutes les plateformes mobiles. D'autre part, les utilisateurs n'apprécieront probablement pas ces méthodes et pourraient se désinscrire du système EMM, limitant par la même occasion les avantages qui découlent de l'utilisation des smartphones en entreprise.

Dans ce cas, quelle est la bonne stratégie ? Avant toute chose, les entreprises doivent déterminer quelles sont les données auxquelles les utilisateurs accèdent et les problèmes de réglementation qui y sont liés. Une fois ces risques définis, le service informatique doit travailler en collaboration avec les ressources humaines et le service juridique pour définir des politiques d'utilisation qui conviennent à toutes les parties, et établir un cadre régulant l'utilisation des objets connectés dans l'entreprise. Si les utilisateurs accèdent régulièrement à des données sensibles, le service informatique devra mettre en place un système de conteneurisation pour restreindre les données synchronisées avec l'objet connecté.

En définitive, les utilisateurs veulent bien agir. C'est pourquoi le service informatique doit communiquer en amont sur les risques qu'ils font courir aux données de l'entreprise quand ils utilisent les objets connectés pour y accéder. La communication doit aller dans les deux sens : le service informatique doit indiquer aux utilisateurs les données auxquelles ils peuvent accéder ou non depuis leur objet connecté, tandis que les utilisateurs doivent partager leur expérience avec le service informatique et lui indiquer les données auxquelles ils souhaitent accéder. Dans certains cas, il peut s'avérer nécessaire de développer de nouvelles applications qui protègent nativement l'accès aux données pour répondre aux besoins des utilisateurs en matière de productivité.

Ce processus doit être répété régulièrement, à mesure que de nouveaux objets connectés sont commercialisés. Le service informatique doit se montrer proactif et adapter les règles et les infrastructures techniques en fonction des objets connectés qui arrivent chaque jour sur le marché.

Tout comme les smartphones et les tablettes ont évolué au cours des huit dernières années, les objets connectés sont amenés à évoluer et à s'adapter de plus en plus aux entreprises. Les objets connectés représentent une véritable opportunité d'augmenter la productivité des utilisateurs. Les services informatiques doivent mesurer les risques qu'ils représentent pour la sécurité des données et les gérer en conséquence. 

IoT