L’évolution des pratiques de mobilité au travail appelle des solutions de sécurité évoluées

S'il est tentant et relativement simple d’imposer des restrictions de sécurité strictes, celles-ci ont souvent pour effet de ralentir exagérément les connexions et l’utilisation des dispositifs mobiles.

Repensez à une réunion de votre équipe. L’animateur fait de son mieux pour conserver l’attention des personnes présentes. Certains participants ont l’air concentré, mais d’autres tentent discrètement de naviguer sur Internet ou de répondre à leurs e-mails. Imaginez la même scène, mais les personnes présentes dans la salle avec vous ne sont que des représentations 3D d’eux-mêmes. Où que se trouvent les membres de l’équipe, en différents lieux de la ville ou même dans d’autres pays, les voilà réunis virtuellement dans une même pièce.

Dans un futur pas si lointain, ce sera une réalité. Nous en sommes à l’ère des effectifs mobiles, qui apporte avec elle de nouvelles technologies et de nouvelles opportunités pour rendre les environnements de travail plus flexibles et plus confortables, plus productifs même selon certains.

Mais les équipes IT qui ont vocation à protéger la sécurité des données les plus critiques de l’entreprise savent que vue au travers des lunettes de réalité virtuelle du futur, la vie professionnelle ne sera pas nécessairement teintée en rose. La mobilité promet autant d’opportunités que de risques de perte de données, surtout parce que pour être productifs, les salariés doivent aujourd’hui collaborer et pouvoir accéder aux documents et aux informations où qu’ ils soient.

Selon le rapport Dell Evolving Workforce , la moitié des salariés dans le monde utilisent des terminaux personnels pour travailler ou envisagent de le faire à l’avenir. Mais alors que 54% des entreprises autorisent les pratiques BYOD (bring their own devices) pour leurs salariés, 27% seulement protègent la sécurité des terminaux personnels utilisés.

Cette situation crée un sérieux dilemme pour les DSI et les services IT des entreprises. Que nous soyons des salariés à plein temps ou des sous-traitants, nous nous mettons tous à travailler différemment. La frontière entre la vie professionnelle et la vie privée est de plus en plus floue et tous les salariés ont besoin d’un accès plus libre aux documents sensibles de leur entreprise en dehors du lieu de travail traditionnel. Dans ce contexte, même la perte d’une petite clé USB peut avoir des conséquences catastrophiques sur une entreprise.

Avec tous les risques auxquels les professionnels s’exposent chaque jour, est-il possible pour les entreprises d’adopter ces tendances et de faciliter la mobilité au travail sans compromettre leur sécurité ou grever leur budget IT ?

Les terminaux mobiles exposent les entreprises aux mêmes risques pour leur sécurité

40% des dirigeants de PME estiment que s’ils devaient perdre la totalité de leurs données internes suite à la compromission d’un système, ils devraient mettre la clé sous la porte. La mobilité des salariés est donc particulièrement risquée pour plusieurs raisons :

Les risques de perte et de vol de terminaux mobiles sont élevés.

Que perd-on plus facilement ? Une clé USB ou un PC fixe ? Quand un salarié perd un support informatique sur lequel des fichiers et des mots de passe sont stockés, et que ce dernier tombe entre de mauvaises mains, les risques pour la sécurité peuvent être considérables. Ajoutez à cela la fréquence des vols d’ordinateurs portables, de smartphones et de tablettes, et vous comprendrez combien la sécurité mobile peut poser problème.

Les salariés qui télétravaillent risquent de se connecter à des réseaux mal sécurisés.

S’ils ne sont pas suffisamment sensibilisés à la question, il est possible que les salariés ignorent qu’en se connectant via l’accès WiFi gratuit de leur café préféré, ils peuvent permettre à des hackers à proximité d’accéder aux fichiers de leur entreprise et de voler des informations. Et nous avons de bonnes raisons de penser, hélas, que la majorité des salariés sont mal formés : le rapport Dell Global Technology Adoption Index révèle que 39% seulement des entreprises pensent que leurs salariés sont parfaitement informés des règles de sécurité de l’entreprise.

Les bureaux distants sont souvent moins bien sécurisés que le siège des entreprises.

Si un membre d’une équipe décide un jour de travailler depuis son domicile, l’équipe IT ne considérera peut-être pas cette situation comme risquée. Mais si la fille de cette personne revient de l’école en ayant sans le savoir un virus sur son ordinateur portable et qu’elle se connecte au réseau WiFi de la famille, alors l’ordinateur portable du salarié risque d’être contaminé par le même virus, et les fichiers voire le réseau de l’entreprise se trouveront potentiellement exposés. Globalement, les bureaux distants sans service IT dédié sur site sont moins sécurisés et ces vulnérabilités sont autant de vecteurs pouvant compromettre toute l’entreprise.

De nouvelles menaces émergent

Ces derniers mois, les employeurs ont constaté une recrudescence des attaques visant spécifiquement leurs salariés. Rien que l’an dernier, pour compromettre un serveur distant de JP Morgan Chase, des hackers ont procédé par « spear phishing » (technique du harponnage) et ont adressé des e-mails à des salariés du groupe en se faisant passer pour des collègues pour obtenir des renseignements ou des droits d’accès. En février 2015, une attaque de type « watering hole » (trou d’eau) a utilisé Forbes.com comme intermédiaire pour propager un malware ciblant des agences de la défense et des sociétés de services financiers aux Etats-Unis.

Non seulement les hackers abusent les salariés pour perpétrer leur attaque, mais ils exploitent aussi les terminaux mobiles de façon ingénieuse au moyen de techniques toujours plus sophistiquées. L’édition 2015 du rapport annuel de Dell sur les menaces pour la sécurité informatique, le 2015 Dell Security Annual Threat Report, révèle l’apparition en 2014 de malwares Android au comportement comparable à celui des malwares ciblant les PC. Les chercheurs s’attendent à voir circuler en 2015 des kits d'exploitation de failles connues des terminaux mobiles. Et, malheureusement, comme les systèmes sous Android que possèdent les salariés tournent souvent sur d’anciennes versions du système d’exploitation, ceux-ci sont plus vulnérables encore aux attaques.

La nécessité de protéger les données sans ralentir la productivité

Le plus gros défi que posent ces nouvelles conditions de travail consiste à trouver le juste équilibre entre sécurité et productivité. Il est tentant et relativement simple d’imposer des restrictions de sécurité strictes, mais si celles-ci ont pour effet de ralentir exagérément les connexions et l’utilisation des dispositifs mobiles, on perd alors les avantages de la mobilité.

C’est pourquoi, les équipes IT doivent protéger les données elles-mêmes, en renforçant trois axes de sécurité des données :

1.     Le chiffrement : les techniques de chiffrement protègent les données là où elles sont stockées, sur les systèmes fixes ou mobiles, sur les supports de stockage portatifs, de type clé USB, ou même dans le Cloud public. De plus, avec une technique de chiffrement totalement transparente, les salariés ont accès aux données et peuvent les partager sans être contraints par des contrôles de sécurité excessifs et sans être ralentis dans le chargement de l’information.

2.     L’authentification avancée : il est vital de s’assurer que les personnes qui tentent d’accéder à un système sont bien celles qu'elles prétendent être, et que les salariés ne puissent avoir accès qu’aux informations qu’ils sont en droit de consulter pour leur travail. Il existe de nombreuses formes d’authentification, des solutions matérielles, le contrôle d’identifiants, l’administration à distance centralisée et l’authentification unique sécurisée, le tout opérant de façon unifiée pour rendre la sécurité mobile à la fois plus robuste et transparente pour l’utilisateur.

3.     Lutte contre les malwares : la dernière approche consiste à reconnaître les malwares pour bloquer leur progression avant qu’ils s’infiltrent dans le système. Les systèmes actuels de protection contre les malwares appliquent des méthodes dites de « confinement » qui isolent les applications les plus fréquemment ciblées dans un environnement virtualisé, de façon à empêcher la propagation des malwares au sein du système d’exploitation du système. De plus, ces antivirus sophistiqués peuvent identifier automatiquement les attaques de malwares d’après l’analyse de comportements au sein de l’environnement confiné, plutôt que de détecter les signatures de malwares, ce qui permet de neutraliser les attaques zero-day dès leur apparition.

Les pratiques de mobilité au travail vont continuer de se développer tant que la technologie et la culture de l’entreprise y seront favorables, aussi faut-il s’attendre à ce que de nouvelles problématiques de sécurité occupent l’attention des équipes IT. Si les futures pratiques de mobilité sont toujours en devenir, le futur de la sécurité se prépare dès aujourd’hui. On ne peut plus dire qu’il est impossible de trouver le juste équilibre entre sécurité et productivité.