Le nombre d'employés qui utilisent leurs appareils mobiles personnels au travail ne cesse d'augmenter. En ouvrant ainsi la porte à leurs réseaux, les entreprises ne sacrifient-elles pas la sécurité de leurs données à l'autel de la productivité?

Si le phénomène n'est pas nouveau, il s'intensifie. Environ de 60% des entreprises requièrent aujourd'hui les services de fournisseurs externes pour la gestion des applications mobiles et des appareils et, du coup, pour les mesures de sécurité de ceux-ci, selon un sondage de Current Analysis, publié en septembre.

Cette tendance s'explique en partie par la popularité croissante du Bring Your Own Device (BYOD), pratique qui permet aux employés d'utiliser leurs terminaux mobiles personnels au travail.

«Traditionnellement, les entreprises fournissaient à leurs employés les appareils. Elles en avaient un meilleur contrôle. Ce n'est plus nécessairement le cas», dit Jean Loup Le Roux, conseiller principal en sécurité de l'information chez In Fidem, entreprise montréalaise spécialisée en sécurité.

Pour réduire leurs coûts, nombre d'entreprises laissent leurs employés utiliser leurs propres appareils à des fins professionnelles: ordinateurs portatifs, téléphones intelligents et tablettes.

«Du coup, les entreprises ne sont plus propriétaires du matériel. Elles doivent trouver un moyen de sécuriser leur utilisation», souligne Jean-Philippe Nantel, analyste principal au Centre de recherche informatique de Montréal (CRIM).

Le défi est de taille, car ces appareils mobiles hébergent aussi bien des informations professionnelles stratégiques que personnelles. L'intrusion dans un téléphone intelligent «peut donc se rendre très loin», rappelle Jean Loup Le Roux.

Chaque appareil peut devenir l'équivalent d'un «cheval de Troie»: «Nous branchons les téléphones aussi bien aux ordinateurs de nos maisons, qu'à nos tablettes ou nos ordinateurs de bureau. Autant de portes d'entrée si l'appareil est infecté.»

Qui plus est, la puissance des populaires téléphones intelligents ne cesse d'augmenter. Un couteau à double tranchant, selon le spécialiste: «D'un côté, ils supportent des logiciels plus sécuritaires; de l'autre ils peuvent être la cible de virus plus complexes.»

À l'instar de ce qu'on observe avec les ordinateurs, «on embarque dans une course entre le développement de mesures de sécurité et celui de virus».

Alors, pourquoi ne pas interdire l'utilisation de terminaux mobiles à des fins professionnelles? «C'est réalisable, mais ça va contre la tendance très forte de l'utilisation des téléphones ou des ordinateurs portatifs», estime Jean-Philippe Nantel.

La firme Gartner a récemment publié une étude qui indiquait que, d'ici 2017, 50% des dirigeants d'entreprise comptent demander à leurs collaborateurs d'utiliser leurs propres terminaux.

Selon Jean-Philippe Nantel, la solution réside davantage dans un meilleur encadrement du phénomène. «Il faut que les réseaux des entreprises soient segmentés adéquatement. Chaque segment n'étant accessible qu'à ceux qui en ont l'autorisation.»

Jean Loup Le Roux rappelle que les solutions existent. «On peut refuser l'accès à un réseau d'entreprise à tous les appareils qui ne sont pas sécurisés par plusieurs mots de passe et ceux qui ont des applications dont la sécurité n'est pas adéquate.»