TOPIC Sécurisation mobile : une dimension supplémentaire Une des meilleures raisons de choisir le cloud est le confort des collaborateurs mobiles. Ils peuvent consulter leurs données et leurs applications n’importe où et sur n’importe quel appareil. D’où les inquiétudes : « Les systèmes et données de l’entreprise dans le cloud sont de plus en plus souvent approchés par les appareils mobiles qui appartiennent aux collaborateurs. Cela tracasse de nombreuses entreprises », constate John Yeoh, Research Analyst de la Cloud Security Alliance. Cédric Pierrard (Efficy). Dans l’attente d’une telle unification européenne, certains prestataires cloud vous garantissent que vos données ne quitteront jamais le territoire belge. D’autres, tels que Cloudbizz, ont recours à des centres de données en Belgique et au Luxembourg, un pays limitrophe auquel la plupart des entreprises belges osent confier leurs données. À raison d’ailleurs, parce que le Luxembourg ne dispose pas seulement des centres de données les mieux sécurisés (Tier 4), mais propose en outre la loi de « protection contre la faillite ». Le Grand-Duché est le premier pays européen qui garantit aux clients de centres de données en faillite qu’ils pourront récupérer leurs données. Votre responsabilité Tout se paie. Une répartition plus restrictive de données coûtera davantage au client qu’un stockage qui peut se faire n’importe où. Mais vous gardez l’entière responsabilité de vos données, quel que soit le contrat conclu avec le prestataire, prévient Robert Kloots : « Plus moyen de déléguer. Autant en tenir compte quand vous signez le contrat. Quant au prestataire cloud, il doit être très explicite et transparent à propos de trois facteurs essentiels pour vos données : la disponibilité, l’intégrité et la confidentialité. » Rien ne vous empêche évidemment d’optimiser la sécurité des données, puisque les collaborateurs restent le Il va de soi que les appareils mobiles, surtout quand ils sont la propriété privée des collaborateurs, sont moins bien contrôlés par l’employeur et donc beaucoup plus exposés que les ordinateurs desktop de jadis. La perte de ces appareils, la déferlante de malware mobile et l’insécurité des hotspots wifi sont quelques exemples parmi d’autres de la dimension supplémentaire que les appareils mobiles ont donnée à la problématique de la sécurisation. Il existe heureusement sans cesse plus de techniques pour contrer l’usage abusif de données sur les appareils mobiles. « Le cryptage de toutes les données d’entreprise qui partent vers le cloud ou en reviennent, constitue une bonne manière de prévenir le détournement de l’information », explique Philippe Waslet. « Sans oublier l’utilisation de systèmes d’authentification (tels que le Digipass des applications bancaires ndlr), qui constituent une excellente protection contre les abus. » chaînon le plus faible de la sécurisation. Sachez que de nombreux services cloud sont utilisés à l’insu du département ICT. « Il faut donc ramener cette ‘informatique de l’ombre’ au plus vite sous le contrôle de l’entreprise », insiste Robert Kloots. « Ensuite seulement vous pourrez évaluer le risque, le coût et la convivialité, des critères essentiels dans le choix d’un prestataire et d’un type de service cloud. » M. Kloots insiste sur d’autres démarches indispensables pour renforcer le maillon faible : « Les collaborateurs doivent comprendre que la sécurité est une nécessité, quitte à réduire quelque peu le confort d’utilisation. Ils doivent aussi accepter qu’il ne faut pas répondre à chaque e-mail et pas ouvrir n’importe quel fichier joint. » Philippe Waslet (Waslet IT). 34 BECI - Bruxelles métropole - décembre 2015 Conclusion Pour de nombreuses entreprises, et tout spécialement les PME, le cloud est une bonne manière de réduire les coûts et de se concentrer davantage sur les activités qui contribuent directement à leurs résultats. Cela ne signifie pas pour autant qu’il faut expédier les données dans le cloud n’importe comment. Il y a lieu de tenir compte de multiples facteurs (le cloud, oui ou non ; et si oui, dans quelle mesure ?), mais en fin de compte, il s’agit d’évaluer la valeur de vos données et le niveau de risque que vous tolérez. Tous les experts en sécurité vous le diront : la question n’est plus de savoir si vous serez piraté, mais plutôt quand, comment et pendant combien de temps. ● R.A.
37 Online Touch Home