Rencontrez nos experts
English Content

Articles récent

ICT Experts LuxembourgSecurity & EMM Flotte mobile : le talon d’Achille de la conformité GDPR
Flotte mobile : le talon d’Achille de la conformité GDPR

Flotte mobile : le talon d’Achille de la conformité GDPR

Le non-respect de la nouvelle règlementation sur les données personnelles depuis des appareils mobiles devraient exposer 30% des entreprises à des sanctions financières dès 2019 selon Gartner.

Après les points clés de la GDPR et la conformité de votre fournisseur Cloud, intéressons-nous à la confidentialité des données sur les appareils mobiles. Les entreprises sont responsables de la sécurité des données personnelles qu’elles détiennent, même lorsqu’elles sont consultées via des terminaux mobiles, professionnels ou personnels. Or 60% des employés disent accéder aux données de leur entreprise depuis un appareil mobile : planning, mails, contacts, applications… Alors, comment réussir à assurer la conformité avec le nouveau règlement européen sur la protection des données ?

Savez-vous où sont vos données ?

Dans un monde professionnel de plus en plus mobile first, la mise en conformité avec la GDPR dépasse de loin la simple sécurité de l’infrastructure réseau. En effet, le nouveau règlement sur la protection des données porte tant sur la sécurité des données traitées que sur leur confidentialité. La GDPR exige des entreprises qu’elles documentent les flux de données et sachent parfaitement les localiser. Le consentement lors de la collecte doit être archivé, toute violation de données à caractère personnel doit être notifiée à l’autorité de contrôle dans les 72h… C’est une réforme organisationnelle majeure que doivent opérer les entreprises.

Le principe de confidentialité prévoit que les données personnelles doivent être traitées de manière à assurer leur sécurité et leur protection contre tout traitement non autorisé, perte, destruction ou dommage accidentel. Or, les nouveaux usages mobiles en entreprise atténuent la frontière entre la sphère personnelle et professionnelle. Avec l’essor du Bring Your Own Device et du Choose Your Own Device, les mobiles accompagnent les salariés 24h/24, chez eux, au bureau ou sur le terrain. Imposer des règles strictes aux usagers devient donc un vrai défi pour les DSI. Ces nouvelles pratiques de mobilité font accroître les risques d’intrusion et se changent en menace inédite pour l’intégrité des données.

Trop de vulnérabilités

Les failles peuvent venir de comportements à risques de la part des employés, d’attaques malveillantes contre l’entreprise ou encore d’applications à première vue anodines qui accèdent aux données de l’entreprise avant de les transférer.

Voici quelques exemples de failles qui violent le principe de confidentialité :

• Applications malveillantes qui fournissent un accès distant non autorisé permettant d’extraire des données (contacts, base de données clients, documents)
• Applications mobiles qui accèdent à l’information de localisation du mobile et récupèrent les données sur des serveurs.
• Appareils mobiles connectés à un réseau touché par une attaque de type man-in-the-middle, qui entraîne le siphonnage des données de l’appareil.
• Attaques du device pour espionner les communications

Les vulnérabilités sont multiples : connexion à un réseau Wi-Fi ou hotspot non sécurisé, failles sur les OS, mises à jour obsolètes, perte ou vol, détournement du GPS, Bluetooth, de la caméra ou du micro…
Alors que les entreprises sont maintenant dans l’obligation de justifier de chaque donnée détenue, seul 17% des membres des équipes IT disent étendre leur mise en conformité GDPR aux appareils mobiles.

Comment étendre la conformité GDPR aux appareils mobiles ?

S’il est une première mesure essentielle, c’est de garder les terminaux à jour en exécutant les correctifs réalisés régulièrement par l’OS et les applications. Un seul smartphone infecté qui se connecte au réseau de l’entreprise peut mettre à mal l’ensemble de la sécurité du système d’information.
L’utilisation d’une solution de management de flotte mobile permet de gérer ces mises à jour mais aussi de définir des stratégies pour prévenir les usages à risques des salariés : interdiction d’installer des applications non validées par l’entreprise, verrouillage à distance du terminal en cas de de perte ou de vol, cryptage des données de l’entreprise…
Les DSI peuvent aussi adopter des solutions de conteneurisation pour créer deux environnements parfaitement hermétiques sur un même appareil mobile : l’un réservé aux usages professionnels, l’autre dédié aux usages personnels.
Les mesures qui visent à verrouiller les terminaux mobiles de l’entreprise ne sont pas suffisantes. En complément, il convient de surveiller les risques d’attaques malveillantes de manière proactive grâce à une solution tierce d’Advanced Threat Protection interfacée à la solution de gestion de la flotte. Cet outil de protection analyse chaque URL visitée, chaque application installée et permet d’intervenir efficacement lorsque l’intégrité des données présentes sur les terminaux est menacée.

Avec plus de 3 millions de nouveaux malwares découverts en 2017, uniquement sur Android, justifier d’une flotte mobile saine pour se conformer aux exigences de la règlementation européenne va représenter un défi de taille pour les DSI.

Je fais partie du département « Product Development & Innovation » et suis spécialisé dans les solutions d’Enterprise Mobility Management (EMM). Ma mission est d’informer, conseiller et accompagner les DSi dans leur choix d’une solution EMM adaptée aux besoins et aux contraintes de l’Entreprise.

Mes spécialités :

  • Enterprise Mobility Management
  • Développement mobile
  • Technologies sans contact (RFiD, NFC)
  • M2M

Après une formation en « Réseaux & Télécoms », j’ai débuté ma carrière au sein de la société « Locatel France » où j’ai notamment occupé la place de « Responsable Technique » dans le département « Santé publique ». 11 années m’ont permis de me forger une riche expérience dans la mise en place de solutions de domotique en entreprise, de solutions interactives sur TV, en téléphonie et accès Internet au sein des plus grands Hôpitaux et hôtels de France. Je me suis ensuite dirigé vers le Luxembourg et ai intégré la société P&T Consulting S.A. en tant qu’ « Ingénieur Avant-Vente » et « Consultant » pour les activités de développement web, mobile (NFC et RFiD) et de solutions M2M disponibles en mode SaaS.

Cette passion pour l’informatique et les NTIC est apparue le jour où j’ai touché pour la première fois un Apple IIe que j’avais reçu en cadeau d’un ami. Je devais avoir une dizaine d’années…

Pas de commentaires

Laisser une réponse