Votre domicile et votre bureau s'ouvrent avec une clé. Votre carte bancaire et votre téléphone mobile ont leur code PIN. Votre ordinateur et vos comptes en ligne ont leurs mots de passe. De même, pour les logiciels, des fonctions de sécurité intrinsèques sont primordiales. Ces fonctions de sécurité sont conçues pour protéger les personnes, les entreprises qui les emploient ainsi que les données qui leur sont confiées. Mais dans une époque ou la commodité règne, la sécurité peut partir aux oubliettes, en particulier en ce qui concerne les appareils mobiles.
Les utilisateurs se comportent mal
Des mesures de sécurité peuvent uniquement fonctionner lorsqu'elles sont mises en œuvre. Malheureusement, les études sur le comportement humain nous montrent que les personnes ne font jamais ce qui est le mieux pour eux. Des comportements comme le fait de laisser les appareils déverrouillés, de télécharger des applications, de naviguer sur des sites non validés et d'ouvrir des pièces jointes inconnues mettent en péril les données personnelles des utilisateurs. Si ces mêmes utilisateurs utilisent ces mêmes appareils dans le cadre de programmes BYOD professionnels, les risques augmentent de manière exponentielle.
La meilleure option pour des utilisateurs incapables de changer leurs habitudes est le logiciel de sécurité. Tamara Law, experte en sécurité des appareils mobile suggère le recours à un logiciel scannant les e-mails, identifiant les liens douteux sur les sites de médias sociaux et scannant les applications avant qu'elles ne soient téléchargées. « Plus de 50 % des logiciels malveillants se trouvent sur des mobiles et un tiers d'entre eux recueillent nos informations. Il est vraiment nécessaire de faire quelque chose car nous n'allons pas simplement arrêter de télécharger nos e-mails ou des applications et nous irons toujours consulter de nouveaux sites internet. » Gardez également un œil sur votre présence en ligne. « Vous devriez également être plus prudent sur ce que vous publiez sur les sites de médias sociaux, toutes les informations sont autant d'aides qui permettent aux assaillants de mieux nous cibler. »
Le bon équilibre pour les entreprises
Le défi pour les entreprises est encore plus grand. Si elles venaient à perdre leurs informations, cela affecteraient bien plus que quelques personnes. Mais bien qu'elles aient des raisons de souhaiter conserver leurs données dans un même lieu, ce raisonnement va à l'encontre de la tendance. Du fait de la part grandissante des applications sur le cloud et des programmes de BYOD, les travailleurs mobiles sont de plus en plus nombreux. Leur nombre devrait atteindre 1,3 milliards de personnes, soit 37,2 % des travailleurs, d'ici 2015 selon la société d'études IDC. Les employés souhaitent un accès facile et rapide alors que dans le même temps, les entreprises et les responsables informatiques exigent la sécurité. Certaines solutions ne peuvent pas satisfaire tout le monde. Et alors que des études démontrent que les entreprises ont beaucoup à gagner d'une authentification plus forte et plus intelligente, ces solutions en valent largement la peine.
« Les entreprises doivent devenir plus cyber-résilientes » conseille Law. « Elles doivent développer le QI sécurité de leurs employés pour qu'ils abandonnent leurs comportements à risque. » Elle recommande que tous les employés s'authentifient avant d'accéder à des données confidentielles et propose une variété d'options à la disposition des entreprises offrant à la fois protection et ergonomie pour l'utilisateur.
- Autorisations multi-niveaux : Les employés doivent fournir deux facteurs pour se connecter au réseau. Une autre autorisation est nécessaire avant de pouvoir accéder à des informations plus sensibles ou plus précises. Symantec VIP est un service d'authentification à deux facteurs fournissant le second facteur. Il fournit des identifiants aux employés pour leur permettre de se connecter aux systèmes de l'entreprise à distance. VIP va au-delà des mots de passe. Dans un futur proche, il utilisera l'identifiant de l'appareil et l'empreinte digitale de l'utilisateur pour accéder aux systèmes de l'entreprise.
- Certificats numériques : Une fois téléchargés, les certificats numériques ne demandent plus aucune saisie de la part de l'utilisateur.
- Politiques de contrôle des données : Tous les employés n'ont pas besoin d'avoir accès à toutes les applications. Un point de contrôle central devrait également être mis en place pour suivre les accès.
- Single Sign On : Un utilisateur a en moyenne 26 comptes différents et seulement 5 mots de passe, dont un pour accéder aux comptes professionnels. L'authentification unique ou single sign on limite les risques de comportements à risque de la part de l'employé.
- Conteneurs d'application client : Les conteneurs d'application reposent sur le chiffrement pour recueillir les données des utilisateurs mobiles.
Le maître mot selon Law : la simplicité. « Plus les choses sont simples, plus efficace en sera la sécurité. L'idée est de s'assurer que les personnes, les processus et la technologie s'accordent comme il faut. Formez vos collaborateurs, assurez-vous de proposer les bons processus pour que les bonnes personnes aient les bonnes informations et que vous soyez en mesure de faire ce qu'il faut dans le cas où un appareil mobile est perdu ou volé. »
