Que ce soit via smartphone, PC portable ou tablette, nous avons tous de plus en plus tendance à travailler avec nos appareils mobiles personnels. Cela signifie aussi se connecter au serveur de l’entreprise et accéder aux documents et données qui y sont stockés. De quoi s’interroger davantage sur la sécurité de l’information et sur la protection des données. Et surtout avec l’entrée en vigueur, le 25 mai 2018, du nouveau Règlement Général sur la Protection des Données (RGPD). Jacques Folon, Partner chez Edge Consulting, société de conseil en management, passe en revue quelques points d’attention pour que BYOD et RGPD fassent bon ménage. 

Protéger ses appareils et les data qu’ils contiennent

De nos jours, pas mal d’entreprises pratiquent le « Bring Your Own Device » (BYOD ou en français PAP : « Prenez vos Appareils Personnels »). Ceci permet aux collaborateurs d’utiliser leurs propres appareils dans le cadre du travail (smartphone, PC portable, tablette). Or, ce facteur mobilité accroît le risque de vol ou perte de data pour l’entreprise et pour son utilisateur. Jacques Folon illustre : « Celui qui subtilise ou ramasse un appareil portable n’accède pas uniquement aux contacts, photos, mails privés de son propriétaire… il a également accès à son activité professionnelle et aux données confidentielles qu’il contient. »

Comme pour les cyber attaques, il est possible de prendre une série de mesures visant à sécuriser les appareils mobiles des collaborateurs de l’entreprise, et a fortiori protéger leurs data. Et cela est d’autant plus sensé que la réglementation en matière de données - perdues, volées ou employées à mauvais escient -  va être renforcée. Au regard du RGPD, tout citoyen de l’espace européen se sentant lésé en matière d’emploi de ses données privées pourra déposer plainte auprès de la commission vie privée (ndlr : après le 25 mai 2018, elle s’appellera « l’autorité de protection des données »). Celle-ci contrôlera ensuite les entreprises en cause.

Mettre en place une politique de sécurisation et de sensibilisation

Il est donc conseillé de mettre en place une politique de sécurisation des appareils portables au sein de son entreprise. Pour ce faire, il existe des moyens techniques tels que :

  • la technologie dite « Mobile Device Management » (MDM) : elle permet de gérer à distance tout appareil mobile. Par exemple, en bloquant leurs accès et usages en cas de vol ou perte ;

  • la limitation des tentatives de connexions et accès : après un certain nombre d’essais de mots de passe, l’appareil se bloque ;

  • l’encryptage du PC portable, via des mots de passe et autres logins ;

  • un système rendant impossible tout branchement de clé USB aux ports des laptops : cela exclut toute copie – et donc aussi vol – via ce type d’espace de stockage de données.

La sécurisation des appareils mobiles incombe à tous dans l’entreprise. Aussi, en parallèle de ces procédés techniques, il convient de sensibiliser l’ensemble de ses collaborateurs. Il importe de leur transmettre les bonnes pratiques en matière d’usage des appareils mobiles ainsi que de RGPD. Cela peut se faire via une charte ou des formations.

Agir et réagir adéquatement

Enfin, il faut savoir agir à son niveau, selon ses possibilités et le plus tôt possible. Par exemple :

  • les moyens de protection varieront selon la taille et le cœur de métier de l’entreprise. Le boulanger qui conserve sur carte de fidélité électronique les infos de base de ses clients ne va pas prendre les mêmes mesures qu’une grosse entreprise active dans le data management ;

  • s’il y a vol ou perte d’un appareil mobile, il importe de le signaler le plus rapidement possible, et ce, tant comme employé qu’entrepreneur. Plus tôt ce sera fait, plus vite on pourra mesurer l’étendue du préjudice, voire même le contrer.

Pour une vue d’ensemble, des lignes directrices en matière de sécurisation des données sont reprises dans une checklist. Celle-ci permet d’estimer le niveau de conformité de son entreprise. Il s’agit de la norme ISO 27002

Jacques Folon

Jacques Folon

Le Professeur Jacques Folon enseigne la dynamique de travail dans les organisations à l’Université Saint-Louis. Il est aussi Partner chez Edge Consulting, une société de conseil en Management.