QUEL EST L’IMPACT DU RGPD SUR LA SÉCURITÉ DES SMARTPHONES ?
Depuis le 25 mai 2018, la mise en application du RGPD (règlement général sur la protection des données) a changé la manière dont les données personnelles sont organisées, gérées, collectées et protégées par toutes les organisations. En matière de mobilité, un employé peut, depuis son smartphone, avoir accès à la base de données des clients ou des prospects. Des données que le RGPD encadre très fermement. La conformité au nouveau règlement européen constitue donc un travail de fond autant pour les PC que pour les mobiles. Car les smartphones, au même titre que les ordinateurs, sont de plus en plus reliés aux serveurs de l’entreprise. Si le RGPD apporte de nouveaux droits et protections pour les consommateurs, il impacte aussi la sécurité des données mobiles. La gestion des risques mobiles doit alors devenir une priorité pour la DSI.
La sécurisation des données mobiles n’est plus une option
Et pourtant, quoi de plus difficile à sécuriser qu’un appareil qui peut être connecté à une multitude de réseaux différents, qui comprend de nombreuses applications à la fois personnelles et professionnelles, et dont les communications (voix, SMS, email, messagerie instantanée) peuvent être interceptées ?
Le RGPD met donc les entreprises face à leurs responsabilités : la protection des données et des usages doit être réelle et effective. En cas d’audit ou de fuite de données, il sera nécessaire de prouver que tout a été fait pour protéger et sécuriser les données personnelles stockées sur les mobiles de l’entreprise. Et cela passe bien souvent par une vraie solution robuste qui va bien au-delà des fonctionnalités d’un simple MDM (Mobile Device Management).
Comment mieux appréhender la gestion des risques ?
Le RGPD rend obligatoire l’analyse d’impact relative à la protection des données. C’est-à-dire que chaque organisation doit prendre le temps de cartographier l’ensemble des flux d’informations et des données stockées sur les serveurs et les terminaux de l’entreprise, y compris les mobiles. Qui a accès à quelles données ? Dans quel but ? Quels sont les barrières et les garde-fous en place ? Qui gère les droits d’accès ?
A lire également : Entreprises : vos smartphones sont-ils bien sécurisés ?
Autant de questions qui doivent être anticipées, avec une approche « privacy-by-design« qui érige la sécurité en obligation absolue au moment de la création d’un projet numérique.
Cette gestion des risques doit donc pousser les entreprises à sécuriser les téléphones professionnels avec un maximum de rigueur.
Quelques exemples :
- Accès aux téléphones : est-ce que les smartphones sont tous verrouillés par défaut ? Avec quel type de code ? Qui peut le changer ?
- Gestion des mises à jour : est-ce que toutes les mises à jour de l’OS mobile sont déployées massivement par défaut ? Connaissez-vous les versions des OS sur toute votre flotte ?
- Téléchargement des applications : quelles sont les procédures mises en place pour empêcher toute intrusion dans un smartphone ? Qui peut installer une nouvelle application? Quelles applications sont autorisées / interdites ? Le téléchargement se fait depuis une liste blanche, une marketplace officielle ou depuis tout support ?
- Perte et vol : quelles sont les stratégies mises en place en cas de perte ou de vol de mobile ? Pouvez-vous géolocaliser les terminaux ? Les effacer à distance ?
- Sécurisation des communications : est-ce que toutes vos communications sont chiffrées pour éviter tout risque d’interception ? Comment prouver que vos informations sont correctement protégées ?
- Protection de l’accès au système d’information : est-ce qu’un téléphone professionnel ouvre une brèche dans le SI de votre entreprise mettant ainsi en péril la confidentialité des données qui y sont stockées ?
Ce travail implique au-delà du DSI et du RSSI, les RH (formation et politiques internes), le juridique (conseil juridique et gestion des risques légaux), la communication (communication interne) et la direction générale (pour impulser le mouvement et faire de la sécurité un enjeu majeur).
A lire également : Déstabilisation, espionnage, sabotage : comment sensibiliser la direction ?
Parce qu’il impose de nouvelles normes plus strictes et plus protectrices, le RGPD doit être une occasion pour les entreprises de transformer une contrainte en opportunité. Car la question de fond, ce n’est pas tant les efforts à fournir pour être conforme au RGPD et sécuriser ses données mobiles, mais de mesurer le temps et le budget économisés par rapport aux conséquences – bien réelles – d’une attaque sur un ou plusieurs mobiles de votre flotte.