Alliancy

Comment les agents mobiles s’attaquent à la vie privée des utilisateurs

Face à la croissance rapide de la mobilité d’entreprise et une dépendance de plus en plus importante vis-à-vis du BYOD, les entreprises doivent désormais confier leurs données à des appareils mobiles sur lesquels elles n’ont pas la main. Clairement cela implique de trouver un équilibre entre la vie privée du salarié, la mobilité, la facilité d’usage et la sécurité de l’entreprise. Mais, là où le contrôle et la visibilité sont généralement synonymes de bon niveau de sécurité, dans ce cas précis, ces facteurs ont des effets secondaires imprévus.

Eduard Meelhuysen, directeur EMEA de Bitglass

Pour avoir la main sur les appareils mobiles qui se connectent à leur réseau d’entreprises, de nombreuses sociétés font appel à des logiciels MDM (Mobile Device Management). Ce qui n’est pas sans inconvénient. Les solutions MDM nécessitent l’installation d’un agent logiciel sur chaque appareil mobile, que celui-ci appartienne à l’entreprise ou au salarié en propre. Ce qui soulève des problèmes inattendus en ce qui concerne la vie privée de l’utilisateur ou la protection de ses données.

La plupart des employés comprennent qu’en autorisant l’installation d’un agent sur leurs appareils personnels, ils donnent un droit de regard à leur employeur sur leurs données. Ce que la plupart des gens et des sociétés ne réalisent pas, c’est l’étendue même de ce contrôle. Durant une semaine, Bitglass a expérimenté comment le MDM peut être utilisé pour surveiller et contrôler les smartphones et tablettes des utilisateurs sans qu’ils le sachent.

Chaque participant à cet essai avait donné la permission à la DSI d’installer des certificats MDM sur leurs appareils, une pratique courante pour faire circuler des données sur un réseau d’entreprise via un VPN ou un proxy général. En seulement 7 jours, le logiciel a remonté des informations sur les centres d’intérêt des employés, leurs activités, leurs identités et même leurs relations amoureuses et amicales. Ces découvertes devraient servir d’alerte pour les entreprises à l’heure où elles doivent se mettre en conformité avec le Règlement général de protection des données (RGPD) de l’Union européenne.

Regardons un peu quelles informations ont été remontées durant cette expérience :

Alors que le RGPD entrera en application en mai 2018, les sociétés opérant avec des données européennes doivent revoir leur approche vis-à-vis du BYOD. Aussi bien le RGPD que les réglementations nationales mettent l’accent sur l’importance d’une politique transparente au regard de la conformité ; en d’autres termes, les employeurs devront indiquer clairement quelles sont les données qu’ils récoltent et comment elles sont stockées. Au-delà de ce point, les sociétés devront respecter la vie privée : les salariés de l’UE ont le droit de refuser les intrusions, de demander l’effacement des données collectées, entre autres droits liées à leurs vies privées. Droits qui peuvent être violés si une solution aussi inquisitrice que le MDM est déployée.

Déployer une solution de sécurité aussi intrusive ne ferait que pousser les employés à contourner les initiatives de la DSI, en refusant l’installation de logiciels ou de certificats MDM sur leurs appareils personnels. Les sociétés auraient tout intérêt à adopter une autre approche pour la sécurité du BYOD. Il existe maintenant des logiciels qui peuvent contrôler le flux de données vers un appareil sans impliquer la logistique de devoir déployer un agent sur l’appareil de l’employer ni freiner son expérience utilisateur. À la différence des solutions MDM ou MAM, ces logiciels sans agent garantissent aussi une conformité complète avec l’ensemble des réglementations et fournissent toute la visibilité et les capacités d’audit nécessaires sur les données professionnelles. Parce que ces solutions sont par nature basées sur la donnée, elles laissent aux employés la liberté d’accéder aux données de l’entreprise de n’importe quel appareil, sans compromettre leur vie privée.

Quitter la version mobile