APPLIS MOBILES & PRIVACY
Quel DSI ou RSSI n’a pas été confronté à la pression d’un VIP ou d’un groupe de jeunes collaborateurs souhaitant pouvoir utiliser leurs applications personnelles sur le lieu de travail ou dans leur outil de mobilité professionnel ?
Lors du FIC 2015 qui s’est tenu à Lille en janvier dernier, Clément Saad, Président fondateur de Pradeo Security Systems recevant le grand prix de la PME innovante, expliquait que « la principale menace, qui allait survenir sur les smartphones et les tablettes, serait apportée au travers des applications mobiles, qui seraient donc le point d’interaction avec le monde digital ».* Il ajoutait qu’il convenait de « vérifier le comportement généré par une application mobile, pour garantir que l’application ne récupère pas vos données ».
La plupart des applications autorise le téléchargement de toutes les données personnelles de l’utilisateur présentes dans son smartphone ou sa tablette. Ce qui est vrai pour les smartphones et les tablettes devient aussi vrai pour le monde des objets connectés, sans que les utilisateurs n’en aient forcément conscience. Par exemple, la montre ou le brassard de jogging connectés (qui aident le joggeur à calculer son temps de course, sa distance parcourue, son rythme cardiaque, etc.) ont-il besoin d’avoir accès au carnet d’adresse complet du joggeur ? En quoi cela va-t-il l’aider ? Si le joggeur est directeur financier d’entreprise ou responsable chez un opérateur d’importance vitale (OIV), l’accès à son carnet d’adresse par une application lambda ne sera-t-il pas quelque peu gênant ? De même, il ne viendrait pas à ces responsables l’idée de charger le jeu « Angry Birds » sur leur PC de bureau, alors pourquoi le faire sur un mobile à usage professionnel ou mixte ? Ce qui ne nous semble pas malveillant l’est peut-être pour l’organisation qui nous emploie et peut avoir certaines conséquences…
Pour éviter de tout interdire, l’entreprise peut fournir un mobile professionnel à usage unique, indépendant du mobile personnel, ou bien passer au mode COPE (Corporate Owned, Personally Enabled) : le périphérique appartenant à l’entreprise est conteneurisé pour être aussi utilisé en mode privé, à charge pour le RSSI de bloquer, par filtrage, les applications en contradiction avec la politique de sécurité de l’employeur.
* Interview parue dans “SECURITY DEFENSE Business Review” n°123