Tandis que les gens utilisent de plus en plus leurs propres tablettes et smartphones pour leur travail, contrôler et sécuriser les données de l'entreprise peut devenir comme une chasse aux chats. les politiques et les protocoles de sécurité informatique établis ne se traduisent pas directement dans le nouveau monde «apportez votre propre appareil».

"En termes de technologies, des éléments tels que les normes de configuration des postes de travail ou les outils de dépannage à distance, qui font généralement partie des stratégies informatiques, ne peuvent pas être appliqués aux appareils mobiles car les plates-formes sous-jacentes sont très différentes", a déclaré Chenxi Wang, vice-président de Forrester Research..

"En termes de processus, la manière dont vous gérez généralement les ordinateurs d'extrémité appartenant à l'entreprise ne peut pas être étendue directement aux périphériques appartenant aux employés, souvent pour des raisons de confidentialité."

Les protocoles et les politiques de sécurité pour un travail flexible peuvent englober: les politiques d'utilisation par les employés et la formation à la sécurité; propriété des données et protection des données; contrôle d'accès à des ressources spécifiques en fonction des niveaux d'autorisation et des politiques; les exigences de cryptage; redondance et reprise après sinistre.

Problème d'affaires

Certaines de ces politiques peuvent être prises en charge par la technologie, mais il s'agit d'un problème commercial et non technique..

"Il faut examiner l'ensemble du secteur (pour développer des protocoles de sécurité)", a déclaré Steve Durbin, vice-président du Forum indépendant sur la sécurité de l'information (ISF). "Les départements des ressources humaines, de l'informatique et des affaires seront impliqués.

"Dans une PME, il s'agit d'une vaste discussion qui se déroulera au niveau de l'équipe de gestion."

Pour de nombreuses entreprises, une formation de sensibilisation est la meilleure voie. Pour d’autres, exiger la mise à niveau et l’installation de mesures de sécurité sur leurs périphériques avant d’accéder aux systèmes de la société, ou l’approvisionnement centralisé et le contrôle de tous les périphériques, peut être la voie à suivre. Les avis sont partagés.

"Le moyen le plus efficace de faire en sorte que les utilisateurs respectent les contrôles de sécurité est d'en faire une condition nécessaire pour accéder aux informations de l'entreprise, telles que les courriers électroniques", a déclaré Chenxi Wang..

"Si votre politique stipule que seuls les téléphones dotés de la dernière mise à jour du système d'exploitation peuvent accéder aux messages électroniques de l'entreprise et que vous disposez de contrôles technologiques, tels que la gestion des périphériques mobiles (MDM) ou des passerelles réseau pour appliquer cette stratégie, vous constaterez que de nombreux employés soyez heureux d'exercer les contrôles de sécurité. "

Tony Dyhouse, directeur de la cybersécurité du réseau de transfert de connaissances TIC soutenu par le gouvernement, met davantage l'accent sur la confiance.

"Pour le moment, la meilleure chose que nous ayons, c'est la politique", a-t-il déclaré. "Vous devez faire plus confiance aux utilisateurs.

"Oui, cela peut être inscrit dans la stratégie, mais si vous souhaitez désactiver une fonctionnalité de l'appareil, vous dépendez des utilisateurs et vous avez rarement le pouvoir de le faire."

Défi cloud

Dyhouse souligne que de nombreux appareils mobiles se synchronisent avec le cloud, mettant potentiellement les données de l'entreprise hors de portée.

"Vous disposez d'un compte iCloud gratuit avec les appareils Apple et l'un des principaux objectifs est de pouvoir synchroniser des calendriers et des e-mails via un compte cloud..

"Avant que vous ne sachiez que tout votre travail est dans le nuage et qu'il n'y a techniquement aucun moyen de vous en débarrasser ou de savoir où il se trouve. Il est techniquement impossible d'appliquer des stratégies nécessitant un pare-feu et un antivirus car toutes les applications de sécurité sont extrêmement tôt journées."

La plus grande chose est la fonctionnalité, croit-il.

"Tout ce qui commence à casser cela au nom de la sécurité échoue parce que les utilisateurs ne le veulent pas.

"Il n'y a qu'un seul mobile auquel vous pouvez vous connecter sur des réseaux classifiés au Royaume-Uni: un BlackBerry. Avec un BlackBerry, vous pouvez désactiver l'accès Internet, mais les gens disent-ils alors à quoi ça sert?"

Brian Horsburgh de Dell Kace estime qu'il est important de mettre en place des protocoles de sécurité tournés vers l'avenir et englobant tous les appareils, pas seulement les smartphones et les tablettes, mais également les kiosques et les terminaux de point de vente..