Impact du RGPD sur la sécurisation des terminaux mobiles

Sécurité des mobiles : état des lieux

Les collaborateurs accèdent désormais au système d’information de l’entreprise depuis leurs terminaux mobiles (smartphones, tablettes et autres ordinateurs portables), qu’ils soient fournis par l’entreprise ou dans le cadre du BYOD (Bring Your Own Device), dont la tendance est en constante progression. Ces appareils utilisés par les salariés dans le cadre de leur activité professionnelle apportent une nouvelle complexité, puisque contrairement aux ordinateurs ou aux serveurs, qui formaient jusqu’alors la colonne vertébrale du système d’information de l’entreprise, les terminaux mobiles ne sont pas physiquement reliés au reste de l’infrastructure et sont donc plus difficiles à contrôler.

Les collaborateurs accèdent aux applications métiers de l’entreprise, et donc aux données les plus stratégiques. Ainsi, à travers ces terminaux, plusieurs sortes de données personnelles peuvent être collectées et traitées : celles des clients de l’entreprise ainsi que celles des salariés. Les mobiles représentent des points stratégiques d’entrée et de sortie de données personnelles et les risques de manquement au RGPD sont importants sur les mobiles de l’entreprise : il convient donc d’apporter des réponses techniques et organisationnelles appropriées.

Les mobiles, nouvelles cibles des cybercriminels

Une des complexités majeures réside dans la porosité des usages entre le domaine personnel et la sphère professionnelle. Les mobiles accompagnent en effet les collaborateurs en permanence, 24 heures sur 24, qu’ils soient au bureau, en déplacement ou chez eux, ce qui accroît les risques d’attaques et d’intrusion dans les données de l’entreprise. C’est pourquoi les terminaux mobiles sont devenus des cibles de choix pour les cybercriminels.

Les attaques sont en constante augmentation et plus d’un tiers ciblent les mobiles. Les vecteurs d’attaques sont multiples et en perpétuelle évolution : les menaces touchent aussi bien les applications, les contenus (phishing, sites malveillants), les réseaux (redirection de type Man-In-the-Middle, fausses bornes wifi ou 4G, attaques via Bluetooth,…), que les appareils eux même : vol, lecture via les périphériques, malwares, vulnérabilités des OS. Sans compter les problèmes liés aux vulnérabilités logicielles, aux comportements ou encore aux configurations. Il suffit d’un seul smartphone infecté se connectant au réseau WiFi de l’entreprise pour compromettre la sécurité de tout le système d’information.

Comment protéger les terminaux mobiles ?

Une solution d’EMM (Enterprise Mobility Management) désigne une approche globale pour sécuriser et permettre l'utilisation par les employés d'une entreprise de smartphones et de tablettes. Elle permettra non seulement de gérer la sécurité des terminaux comme celles des PC et serveurs de l’entreprise, mais également de s’assurer que les terminaux personnels (BYOD) accèdent aux données sensibles avec le même niveau de sécurité. Grâce à ces solutions, il sera possible de définir des stratégies afin de prévenir les pratiques parfois risquées des collaborateurs : interdiction d’installer des applications non essentielles ou qui n’ont pas été validées par l’entreprise, verrouillage à distance du terminal en cas de comportement inapproprié, …

L’administrateur pourra définir et gérer par type de profil des règles de sécurité applicables aux appareils, à l’OS, aux applications ainsi qu’aux données. L’accès au réseau d’entreprise pourra également être limité aux seuls appareils autorisés et respectant les règles de conformité préalablement définies. L’utilisation des wifi, du Bluetooth, NFC, … peut ainsi être contrôlée, jusqu’à la limitation ou l’interdiction de certaines actions, comme la copie, l’impression de documents ou le transfert de mails.

De plus, en cas violation de données, l’administrateur pourra par exemple auditer les smartphones et les transferts de données et mettre en évidence les actions qui ont conduit à une telle situation. Un autre aspect important du RGPD est la DLP (Data Loss Prevention), qui pourra être couverte : En cas de jailbreak/root ou de perte ou vol, l’appareil peut être localisé et, le cas échéant, les données effacées à distance par l’administrateur. Enfin, des solutions de conteneurisation permettant de créer deux environnements étanches sur le mobile : le premier réservé aux usages professionnels, sur lequel l’administrateur peut agir, laissant ainsi la main sur le second au collaborateur sans risque de compromettre les données de l’entreprise…

La mise en place d’une solution d’EMM permettra à l’administrateur de garder le contrôle à distance total de la sécurité de son parc mobile, et ainsi garantir la sécurité de toutes les données qui transitent par ces équipements, renforçant donc la conformité aux principes d’intégrité, de confidentialité et de responsabilité obligatoires dans le cadre du RGPD.