L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a récemment publié ses alertes et recommandations (http://www.ssi.gouv.fr/IMG/pdf/NP_Ordiphones_NoteTech.pdf).
Ainsi, l’ANSSI considère que l’usage des Smartphones et Tablettes dans un environnement professionnel est « problématique » car « les solutions de sécurisation actuelles sont peu efficaces pour assurer une protection correcte des données professionnelles ».
L’ANSSI estime en effet que « lorsque les systèmes d’information traitent d’informations sensibles, les terminaux permettant d’y accéder doivent impérativement être dédiés et avoir fait l’objet d’une évaluation de sécurité, idéalement être labellisés par l’ANSSI ».
L’ANSSI profite également de cette occasion pour livrer 21 recommandations, relatives aux contrôles d’accès et à la sécurité : des applications, des données, des communications, du système d’exploitation et du terminal. Enfin, elle met l’accent sur la cohabitation des usages privés et professionnels du matériel informatique, pour souligner l’utilité de mettre en œuvre des solutions dédiées pour cloisonner efficacement chaque environnement (personnel et professionnel).
Le BYOD n’est évidemment qu’un sous-ensemble de la problématique de la mobilité dans le monde du travail, est également pointé du doigt :
• la pratique du « BYOA » (Bring Your Own Application ») : une grande partie des applications aujourd’hui disponibles et installées sur les terminaux par les salariés effectuent des opérations qui ne relèvent pas de leur fonction première, le tout à l’insu des utilisateurs.
• les connexions à l’aide des terminaux mobiles en dehors du ressort de l’entreprise : en déplacement, les professionnels se connectent à l’Internet alors que les réseaux mobiles sont plus enclins au piratage, notamment sur les réseaux Wi-Fi accessible via hotpost public.
Ces mouvances incitent les cybercriminels à s’introduire dans les bases de données des entreprises et récupérer leurs informations notamment en récoltant des données stockées sur appareils mobiles.
Afin d’anticiper les problèmes liés à la sécurité pensez notamment à :
sensibiliser et informer les salariés sur les risques de sécurité susceptibles d’engendrer des incidents critiques sur les données professionnelles.
encadrer ces utilisations (BYOD, BYOA) par des règles claires, dans la charte d’utilisation des systèmes d’information par exemple ;
prévoir une politique de sécurité informatique et un système de gestion de la sécurité de l’information (envisager la possibilité d’avoir recours à une norme de sécurité de l’information) ;
séparer hermétiquement, quand cela est possible, les environnements personnels et professionnels au sein du même terminal ;
