Sirh

Accès mobile et sécurité : les bons réflexes de défense

Le | Core rh

Avec les terminaux mobiles vient forcément la question de la sécurité. C’est d’ailleurs la plus forte inquiétude des entreprises qui souhaiteraient bénéficier d’une plus grande accessibilité mobile de leurs outils RH. Mais quelle démarche devraient-elles entreprendre pour éliminer un maximum de risques ?

Avec les terminaux mobiles vient forcément la question de la sécurité. C’est d’ailleurs la plus forte inquiétude des entreprises qui souhaiteraient bénéficier d’une plus grande accessibilité mobile de leurs outils RH. Mais quelle démarche devraient-elles entreprendre pour éliminer un maximum de risques ?

D’après Jean-François Beuze, fondateur de la SSII Sifaris, les dangers sont bien réels : « On a d’abord mis en avant les applications et les usages liés aux smartphones avant la sécurité. » Sans compter que les informations stockées dans les clouds des différents éditeurs attirent également l’attention des pirates. En 2010, une étude menée par Fortify révélait l’ampleur du phénomène. On y apprenait à l’époque que 12 % des pirates sondés s’étaient déjà introduits dans des clouds à des fins financières. Rien de rassurant. Pour mieux se prémunir, voici quelques conseils.

Réaliser un état des lieux

Avant de se lancer, il est toujours primordial de mener une réflexion globale entre la DRH et la DSI. Sur les conseils de Benoît Capitant, directeur d’unité opérationnelle du cabinet mc2i, les deux services en profiteront pour réaliser « un état des lieux de l’ensemble des applicatifs afin de voir ceux qui sont éligibles à un accès externe ainsi qu’un état des lieux des solutions proposées pour cet accès externe. Aujourd’hui, des solutions existent mais elles engendrent aussi des contraintes. » L’entreprise devra-t-elle prendre le contrôle sur le terminal mobile du salarié ? S’il ne lui appartient pas, cette stratégie pourrait s’avérer problématique. Elle peut également décider de contrôler l’accès aux applications mobiles. « Mais le niveau de sécurisation sera moindre », poursuit le responsable.
 
Effectuer des audits

L’audit est sûrement l’une des principales actions à mener pour se prémunir de risques d’intrusion dans les applications fournies par un éditeur. L’entreprise devra poser quelques questions à ce dernier. A-t-il déjà été audité ? À quelle fréquence ? Accepte-t-il de se faire audité une nouvelle fois ? C’est la stratégie qu’a choisi d’adopter l’éditeur TalentSoft : « Cela répond à toute une démarche faite d’audits en interne et en externe par des partenaires. Nos clients ont aussi la possibilité de réaliser tous les audits qu’ils veulent sur notre société. Cela représente un vrai travail continu puisque nos outils évoluent en permanence », rapporte Joël Bentolila, cofondateur et CIO. L’audit devra être capable d’analyser la sécurité à tous les niveaux : dans les datacenters, dans les réseaux et dans les applications.

Penser à la question de la responsabilité

Il sera aussi important de ne pas négliger les responsabilités juridiques en cas d’intrusion dans les données sensibles. L’entreprise et l’éditeur devront s’accorder là-dessus, notamment dans le contrat.

Former les collaborateurs

Le danger peut venir de l’extérieur mais également de l’intérieur. L’entreprise devra donc former l’ensemble de ses collaborateurs à la sécurité des données professionnelles, surtout s’ils utilisent leur propre smartphone. De nombreux conseils peuvent s’avérer utiles : ne pas stocker de données sensibles sur son téléphone, utiliser un mot de passe et une application de protection, ne pas travailler sur des tâches trop importantes alors qu’on est connecté sur le réseau wifi d’un lieu public…

Utiliser une application de sécurisation

Elle sera utile si l’entreprise opte pour le BYOD mais aussi si elle décide de fournir l’équipement tout en donnant aux salariés la possibilité de l’utiliser à des fins personnelles. « Thales a par exemple développé une application permettant de séparer vie personnelle et vie en entreprise. Ce type de produits pourrait être la solution pour sécuriser les smartphones et les tablettes », croit Jean-François Beuze.

Aurélie Le Caignec

Transférer cet article à un(e) ami(e)