Technologies

5 conseils pour rédiger la politique de sécurité des mobiles

Les DSI doivent fixer une politique de sécurité pour l'usage des mobiles en entreprise. (Crédit Photo : Rawpixel/Pixabay)

Elaborer une politique de sécurité dédiée aux terminaux mobiles est indispensable, notamment dans une stratégie de BYOD. CIO UK propose des bonnes pratiques à adopter pour rédiger ce cadre de sécurité.

PublicitéAu coeur de nos vies professionnelles et personnelles, les terminaux mobiles embarquent des données sensibles de l'entreprise. Les smartphones constituent donc un vecteur important d'attaques pour le cybercriminels. Pour éviter ces risques, les responsables IT doivent prendre des précautions et renforcer la sécurité en établissant une politique spécifique. Pour fixer ce cadre, nos confrères de CIO UK donnent cinq conseils aux DSI.

1-Assurer une connexion sécurisée

Il s'agit d'une brique de base de la protection des mobiles, mais il est indispensable que les utilisateurs disposent d'une connexion sécurisée pour accéder à l'ensemble des services. Si le terminal est fourni par l'entreprise, il est judicieux que tous les mots de passe sont conformes à la politique d'authentification de l'entreprise. Par ailleurs, il faut s'assurer que les services IT et d'autres représentants soient en mesure d'accéder au terminal en cas de problèmes de sécurité.

De plus, il est important de s'assurer que le couple identifiant et mot de passe ne soit pas déjà utilisé pour d'autres dispositifs (PC, portables,tablettes,...) dans l'entreprise. Si les mots de passe sont conservés, il est essentiel que la base de données soit chiffrée.

2-Etre à jour dans les logiciels et les OS

Disposer des dernières mises à jour fonctionnelles et des correctifs de sécurité fournis par le fabricant de terminaux mobiles est un élément important de la politique de sécurité. Ces actualisations sont souvent intégrées et automatiques. L'objectif est de ne pas avoir de versions anciennes et obsolètes d'OS et d'applications susceptibles de contenir des failles.
A noter que certaines entreprises demandent aux utilisateurs d'utiliser un OS particulier sur les téléphones iOS et Android. L'idée est de s'assurer que les applications développées par l'entreprise soient compatibles avec les différents OS.

3-Utiliser un VPN pour les connexions en WiFi public

Souvent les collaborateurs se connectent en déplacement en utilisant des réseaux WiFi public, souvent peu sécurisés. Pour garantir une connexion sûre, les entreprises doivent imposer l'utilisation de VPN (virtual private network) pour accéder aux différentes applications et données. De même, il est important que seules les données utiles soient stockées sur les terminaux et réduire ainsi le risque de fuite lors de la perte ou le vol d'un smartphone. En cas d'accès non autorisé aux données, l'entreprise applique alors un processus de traitement des incidents.

4-Signaler immédiatement la perte de terminaux

En cas de perte ou de vol d'un appareil, il faut le signaler immédiatement à l'équipe IT. Cette dernière dispose d'outils et de procédure pour effacer à distance les données des terminaux. Les iPhone d'Apple peuvent être effacés via Find My iPhone et les smartphones Android peuvent l'être avec android.com/find. Il est par ailleurs judicieux de créer des sauvegardes régulières pour éviter la perte de données.

Publicité5-Interdire le jailbreak

Que les salariés utilisent leur propre smartphone (BYOD) ou celui fournit par l'entreprise, ils doivent vérifier que l'appareil n'est pas jailbreaké. Ce terme concerne les environnements Apple signifiant le déverrouillage des iPhone pour pouvoir installer des applications sur des marketplaces alternatives à l'App Store. En débridant le terminal, les utilisateurs suppriment la sécurité intégrée par le fabricant et le rend donc vulnérable à des attaques. Pour éviter cela, les entreprises doivent s'équiper de solutions MDM (mobile device management) qui contrôlent si les terminaux sont jailbreakés, gèrent les mises à jour et effacent à distance les terminaux perdus ou volés.