Accueil Expert Sécurité mobile : plaidoyer pour en finir avec l’urgence

Sécurité mobile : plaidoyer pour en finir avec l’urgence

Définir des nouvelles stratégies de sécurité et de mobilité. L’avis d’expert de Serge Niango, directeur Avant-Vente France, Citrix.

 

Petit à petit, le « bureau » se dématérialise et devient nomade, les frontières entre la vie professionnelle et la vie personnelle sont perméables. La mobilité bouleverse profondément l’environnement et les habitudes de travail. Elle s’impose aussi bien dans les murs qu’hors des murs de l’entreprise.

On a trop longtemps considéré la mobilité uniquement comme une question de terminaux. Symbolisée par les smartphones et les tablettes, elle est bien davantage une question de contexte et questionne les notions mêmes de travail et de lieu de travail.

Le premier défi qu’impose la mobilité est qu’elle est protéiforme : elle ne s’arrête pas aux smartphones ou aux tablettes, elle englobe les PC mobiles et les PC hybrides et elle s’étendra à terme aux montres, voitures et autres objets connectés. Parallèlement les sources d’information et les modules d’interaction (notamment les applications) se « mobilisent ». L’erreur ici serait de gérer les différentes facettes de cette mobilité indépendamment les unes des autres.

Pour structurer au mieux sa réflexion et appréhender un projet de mobilité, par définition pervasif [ndlr : des objets communicants se reconnaissent et se localisent automatiquement entre eux], on pourra se focaliser sur quatre problématiques :  la multiplication et diversité des appareils mobiles, l’explosion des applications (susceptibles de collecter ou de transmettre des informations risquant de violer les politiques de sécurité/confidentialité de l’entreprise), la multiplication des accès (problématiques de bande passante et augmentation des risques de sécurité), et la prolifération des espaces de stockages en ligne grand public (Google Drive, OneDrive, et autres Dropbox).

« C’est tout ? » direz-vous. Pas vraiment. La mobilité a jusqu’ici souvent été subie par les entreprises : il s’agissait avant tout de réagir. Les équipes IT prenaient alors des allures de médecins urgentistes telles qu’on les croise parfois dans des séries télévisées. On courrait après une solution de MDM (Mobile Device Management) pour gérer les iPhones des membres du comité de direction comme un docteur enchainerait les poches de sang en « trauma 1 ».

Adopter une démarche plus pragmatique

Il est temps d’adopter une démarche plus sereine, plus pérenne, et plus pragmatique. Il s’agit non seulement de pouvoir contrôler les périphériques mais aussi de fournir toutes les applications utiles aux métiers dans un cadre maîtrisé et uniformisé, de surveiller les usages, de protéger les données et les accès.

Il ne faut pas se baser sur ce que les produits peuvent ou non faire pour définir ses stratégies de sécurité et de mobilité (ce sont d’ailleurs les mêmes). C’est tout l’inverse. Il faut d’abord bien définir ses besoins et imaginer ses stratégies de sécurité, puis choisir ensuite la solution qui permet de les concrétiser. Pour cela, il faut commencer par cartographier ce que l’on veut mettre à disposition des utilisateurs. Il faut ensuite évaluer le niveau de criticité des applications et des données mises à disposition pour ainsi définir quelles sécurités on veut mettre en place, à quel moment, dans quel contexte.

Pour concrétiser une telle approche, il est impératif de travailler de façon itérative et partir d’un périmètre restreint avec des applications simples, pour lesquelles on prendra le temps de recueillir les impressions des utilisateurs finaux. Dans un second temps, on ajoutera de nouveaux services au fil de l’eau. Et on définira, de façon tout aussi itérative, sans dogmatisme, comment prendre en compte l’utilisation de services et d’applications grand public.

Plus que des cas d’usages ou des profils (le commercial itinérant, le comptable sédentaire, etc.), on s’attachera à définir une règle pour un contexte (un profil d’utilisateur + un lieu + une connexion + un terminal + une ou plusieurs applications + etc.).

Réagir au danger différemment

Ça n’exonère pas complètement des risques potentiels dont la liste semble infinie. Mais ça permet d’en anticiper plus et de réagir au danger différemment. Souvent, en raison sans doute à la conscience du danger, le « Non » a été la première réponse des DSI face à l’invasion mobile. Toute stratégie mobile pertinente consiste aujourd’hui à remplacer cette négation systématique par la mise à disposition de services qui sont intrinsèquement sécurisés dans des contextes identifiés.

Le métier de la DSI ne change pas finalement : il consiste toujours à mettre à disposition des applications et des ressources informatiques en garantissant sécurité et disponibilité. La mobilité ne change rien à cet axiome. Tout au plus permet-elle d’étendre le champ d’intervention (et le pouvoir ?) des directions informatiques.