Les smartphones, par exemple, peuvent ménager aux salariés un accès sécurisé à des bâtiments, données et applications dans le cloud. Face à une main-d’œuvre toujours plus mobile, les entreprises n’ont d’autre choix que d’élaborer et de mettre en œuvre des stratégies pour limiter les risques de fuite de données, en donnant à leurs collaborateurs les moyens d’accéder aux informations qui leur sont nécessaires pour mener à bien leurs tâches professionnelles.

Le défi aujourd’hui lancé aux responsables de la sécurité informatique
Aujourd’hui, les salariés entendent être en mesure d’accéder aux outils indispensables à l’exercice de leur activité professionnelle en tout lieu ? à leur domicile, sur un ordinateur de bureau, ou en déplacement, à partir d’un mobile, d’une tablette ou d’un portable. De fait, d’après Click Software, jusqu’à 70 % des employés se servent périodiquement de leurs smartphones pour consulter leurs e-mails en dehors du bureau.

Ces variables risquent toutefois de multiplier significativement les risques encourus par vos propres données, tant sur site que dans le cloud, en particulier si vous recourez à un système d’authentification par mot de passe statique. Les enregistreurs de frappe, les techniques de phishing, l’écoute clandestine, voire un simple regard par-dessus l’épaule d’un employé constituent autant de menaces pour la sécurité. En fait, la récente étude de PwC intitulée 2015 Information security breaches survey révèle que 90 % des grandes entreprises ont été victimes de fuites de données, sous une forme ou une autre, depuis l’an dernier, fléau qui a touché 74 % des PME, soit une progression de 9 % sur un an.
Face à ces risques de sécurité, les responsables informatiques doivent envisager de recourir, pour les données et réseaux d’accès mobiles, à une solution d’authentification bi- ou multifactorielle forte. Ces techniques limitent en effet de manière significative le risque de fuite de données, tout en laissant aux salariés une confortable marge de manœuvre leur donnant les moyens d’être aussi productifs que possible, en usant de facteurs supplémentaires pour établir l’identité d’un utilisateur.

Conformité aux règles de l’UE

En réalité, des méthodes d’authentification de ce type pourraient sous peu constituer la règle en Europe : face à la hausse de la cybercriminalité, l’Union européenne applique sa directive sur la sécurité des réseaux et de l’information (SRI) pour traiter ces incidents. Il faudra que nombre d’entreprises mettent en œuvre des procédures qui attesteront de l’utilisation efficace des mesures et politiques de sécurité. À défaut, elles risquent non seulement de faillir à leur réputation en matière de sécurité des données, mais elles s’exposent également à contrevenir aux obligations européennes qui leur incombent en matière de protection des données et de sécurité des informations et à leur mise en application.

Le danger de se mettre à dos les collaborateurs

Il reste néanmoins un dilemme auquel font face nombre de décideurs soucieux d’intégrer de nouvelles solutions de sécurité, plus sûres. Le déploiement inadéquat d’une solution d’authentification mobile risque de compliquer considérablement la tâche des utilisateurs en entreprise et, ce faisant, de nuire considérablement à leur expérience. À partir du moment où la sécurité est renforcée, via de multiples codes d’accès et autres authentifiants, les collaborateurs risquent de prendre en mauvaise part les procédures fastidieuses auxquelles ils doivent se plier pour accéder à des données professionnelles. Il est fort probable, par conséquent, qu’ils communiquent des données sensibles ou compromettantes via d’autres canaux, en dehors d’un mécanisme d’authentification. Les entreprises courent le danger de se mettre à dos leurs collaborateurs en mettant en œuvre une solution d’authentification sans tenir compte de l’expérience utilisateur.

Authentification par effleurement

Fort heureusement, l’avènement de techniques de nouvelle génération axées sur l’authentification forte, couplées à de nouvelles technologies habilitantes propres aux terminaux mobiles, permet d’éviter ce problème et de préserver une expérience utilisateur fluide. L’authentification par effleurement, par exemple – association de mécanismes d’authentification forte (jetons et autres dispositifs de nouvelle génération) tirant parti de technologies à capacité NFC ou Bluetooth – a vocation à améliorer l’expérience d’authentification côté utilisateurs. Il s’agit d’une solution en mode cloud, dont l’installation et la maintenance sont simples pour les professionnels de l’informatique – il suffit au salarié d’approcher son badge d’identification (la même carte à puce qu’il utilise pour l’ouverture de portes) de son mobile ou de sa tablette pour accéder en toute sécurité à plus de 2 400 applications dans le cloud, notamment à Microsoft Office 365.

En l’état, le modèle d’authentification forte de nouvelle génération permet aux entreprises :

• de créer des solutions convergées qui ne ménagent pas seulement un accès logique sécurisé au réseau ainsi qu’à des services et ressources en mode cloud, mais qui contrôlent également les accès physiques aux bâtiments ;

• de prendre en charge des jetons de sécurité mobile dotant les utilisateurs d’une solution d’accès sécurisée extrêmement commode, exploitable sur smartphones ou tablettes, offrant une remarquable expérience utilisateur ;

• d’intégrer des activités de veille pour une sécurité renforcée, englobant l’identification des équipements, avec le concours de technologies embarquées, comme le GPS pour la géolocalisation ;

• de se protéger plus efficacement des menaces en recourant à une authentification multifactorielle dans le cadre d’une stratégie de sécurité à plusieurs niveaux.

L’authentification forte a donc un rôle essentiel à jouer auprès de collaborateurs toujours plus mobiles. En présence de systèmes d’authentification par effleurement tout à la fois sécurisés et garants d’une remarquable expérience utilisateur, les décideurs informatiques auraient tout intérêt à réfléchir à la façon d’employer au mieux cette méthodologie pour protéger leur réseau et leur infrastructure informatique.