Le Club de la presse information BtoB a organisé le 15 janvier une matinée-débat sur la problématique entre mobilité et sécurité ou comment appréhender les risques. La mobilité n'est pas un phénomène nouveau dans les entreprises, mais depuis quelques années elle a pris de l'ampleur et touche l'ensemble des collaborateurs. Le développement des smartphones dans la sphère privée fait que les employés attendent le même niveau de service en entreprise. « Il y a donc une adaptation plus rapide des politiques de sécurité avec des cycles de changement qui sont devenus beaucoup plus courts », explique Bernard Montel, directeur technique de RSA. Il ajoute - un avis partagé par l'ensemble des participants - « la bulle périmétrique a éclaté et il est impératif de faire une évaluation des risques ».

Sécurisation du terminal et des applicatifs


Or les risques sont nombreux et les réponses à apporter aussi. Ainsi, pour Philippe Jouvelier, consultant sécurité chez HP, « le premier problème de sécurité sur la mobilité dans les entreprises, c'est la perte et le vol des terminaux ». Il existe des outils comme les MDM pour pallier à ce risque, mais les entreprises tardent à les déployer, admet le consultant. Autre problème de sécurité, les applications qui sont « des vrais trous dans les smartphones », analyse M. Jouvelier. Un moyen pour s'en prémunir peut-être de « créer un catalogue applicatif pour mobile où l'utilisateur accepte une réduction de certaines fonctionnalités pour garantir la sécurité des applications ».

La sécurisation des données est un autre élément à prendre en compte, répond Antoine Rizk, vice-président marketing des marchés verticaux chez Axway où plusieurs solutions existent pour « confiner les applications professionnelle avec une sécurisation au niveau du hardware, ouvrir les applications mais avec très peu d'informations disponibles comme dans le cas des clients légers ou alors virtualiser l'OS ». L'expérience montre qu'aujourd'hui, l'heure est à l'ouverture face aux besoins de mobilité et que la clef de la sécurité est dans « la gestion des API en protégeant l'accès au back office des entreprises », souligne M. Rizk. Philippe Jouvelier rappelle néanmoins un préalable qui est la classification des données selon leur sensibilité et « les entreprises sont très en retard dans ce domaine ».

Vers une prise en compte des comportements


Une autre orientation est la sécurisation contextuelle, en fonction du comportement de l'utilisateur. « Technologiquement c'est possible, avec les outils de supervision de l'infrastructure », lance Philippe Jouvelier. Néanmoins, il ajoute que « cela dépend des pays. En Allemagne et en France cela pose des problèmes vis-à-vis de la vie privée ». Tout dépend donc de la maturité des entreprises, mais confie que ces dernières s'intéressent aux salariés qui quittent l'entreprise en emportant des données sensibles. Charles Gresset, directeur des services télécoms chez Econocom-Osiatis, constate que « le contextuel est un élément fondamental dans la sécurisation des terminaux mobiles. Il existe des solutions d'analyse du trafic applicatif sur mobile pour détecter des comportements anormaux ». « Cela peut se faire aussi partir de l'analyse des logs », confie Yaya Silla, architecte solutions chez Terradata. Toujours est-il que si les solutions sont diverses et variées, le coût est un frein à leur déploiement notamment pour les PME. L'arrivée de services en mode SaaS peut être un moyen d'évangélisation. La sensibilisation des personnes à risques dans les entreprises aussi.