L'entreprise vient de publier les résultats de son enquête "State of Mobility" sur l'utilisation des technologies mobiles en entreprise en 2012. Cette étude met en lumière une adoption croissante des applications mobiles par les professionnels, puisque 77 % des entreprises françaises ont des projets d'applications mobiles. Malgré cette forte tendance, l'étude démontre que la mobilité représente une des principales sources de risque informatique.
L'enquête de Symantec (2012 State of Mobility Survey) a été réalisée par Applied Research entre août et novembre 2011. Ses résultats sont basés sur les réponses des DSI de 6275 entreprises réparties dans 43 pays.
Ils révèlent un changement mondial dans l'adoption des technologies mobiles. En France, l'étude montre que 77 % des entreprises en sont au moins à discuter du déploiement d'applications mobiles personnalisées (contre 71% dans le monde) et qu'un tiers de nos entreprises a déjà lancé ou est en cours de déploiement d'une application.
Malgré cette forte tendance, près de la moitié (48%) des répondants ont indiqué que la mobilité représentait un challenge très important à leurs yeux. 41% des entreprises interrogées ont identifié les terminaux mobiles comme une de leur trois principales sources de risque informatique. Cependant, face à ces problématiques, les responsables informatiques parviennent à équilibrer les avantages et les risques des appareils mobiles en transformant leur approche de la mobilité pour gagner en flexibilité commerciale, en productivité et en efficacité de travail.
« Nous sommes impressionnés par le rythme de l'adoption des applications mobiles au sein des entreprises », explique Laurent Heslault, Directeur des stratégies de sécurité de Symantec en Europe de l'Ouest. « Les entreprises qui, hier, refusaient les appareils mobiles se mettent à distribuer et développer activement des applications mobiles. Ce changement culturel a introduit une nouvelle série de défis et de problématiques complexes pour les ressources informatiques. Du point de vue de la sécurité, la majorité des entreprises manifestent une certaine appréhension, et il apparait clairement un besoin d'éducation voire de sensibilisation sur le déploiement et l'utilisation des terminaux mobiles en entreprise, et par les entreprises», ajoute-t-il.
Les appareils mobiles sont devenus des outils professionnels essentiels
Cet investissement témoigne de la confiance des entreprises quant aux avantages potentiels de la mobilité. Cette confiance est renforcée par un phénomène rare : l'alignement entre les attentes et la réalité. En règle générale, les gains attendus des nouvelles technologies ne sont pas vérifiés après leur mise en œuvre. Ce n'est pas le cas pour les smartphones et tablettes actuellement utilisés : 70 % des personnes interrogées s'attendaient à voir la productivité des employés augmenter, mais 77 % l'ont vu augmenter après la mise en œuvre.
Comme pour toute nouvelle technologie adoptée, les technologies mobiles mettent à l'épreuve les directions informatiques. La mobilité est considérée comme un défi (entre « un peu » et « extrêmement ») par près de la moitié (43 %) des personnes interrogées en France et les deux tiers ont placé la réduction du coût et de la complexité en tête de la liste de leurs objectifs. Du point de vue de Symantec, l'intensification des difficultés indique le passage des petits projets pilotes et des implémentations tactiques, souvent marqués par le contournement des règles et les exceptions, aux déploiements à l'échelle de l'entreprise, avec des normes qui, à plus grande échelle, augmentent la complexité. Elle signifie également que de nombreuses implémentations ne tirent pas encore parti des systèmes et processus existants de l'entreprise comme elles devraient le faire, ce qui allègerait considérablement la charge et les coûts inhérents au passage à une plus grande échelle et à la duplication des ressources.
Les risques liés à la mobilité ont un impact sur les entreprises
L'adoption des technologies mobiles n'est pas exempte de risques et les directions informatiques en sont conscientes. Le maintien d'un haut niveau de sécurité est l'un des principaux objectifs de près de trois entreprises sur quatre et 42 % classent les appareils mobiles parmi les trois premiers risques informatiques, ce qui en fait le principal risque cité par les responsables informatiques. De la perte et du vol d'appareils à la propagation sur le réseau de l'entreprise de programmes malveillants provenant de ces appareils, en passant par la fuite de données et les accès illicites aux ressources internes, les préoccupations ne manquent pas. Les appareils mobiles donnant aujourd'hui accès à des processus métier et données critiques, le coût des incidents de sécurité peut être important.
Comment y font-elles face en France ? 59% demandent un accord de leurs salariés sur un ensemble de règles de sécurité et 57% une vérification des terminaux, mais seulement 20% interdisent les données personnelles sur un terminal professionnel.
39% des responsables informatiques français pensent encore que les risques liés à la mobilité en entreprise sont faibles, si l'on conjugue cette statistique aux facteurs risques évoqués, qui sont tous traditionnels et qui vont du spam au vol de terminaux et aux maliciels, et qu'enfin on y ajoute que seulement 54% des terminaux sont gérés par l'entreprise (et donc 46% connecté « librement »), il devient nécessaire de sensibiliser et les ressources IT et les employés aux différents risques.
Principales recommandations
Dans ce contexte, Symantec leur adresse les recommandations suivantes :
- Ouverture : la mobilité offre de nombreuses possibilités à toutes les entreprises, quelle que soit leur taille. Découvrez comment en profiter et élaborez une approche progressive pour bâtir un écosystème en accord avec votre plan. Pour tirer pleinement parti des avancées dans le domaine de la mobilité, prévoyez des applications mobiles métier qui sont largement utilisées. Les employés utiliseront des appareils mobiles à des fins professionnelles d'une manière ou d'une autre. Veillez à ce qu'ils le fassent selon vos propres conditions.
- Réflexion stratégique : élaborez un rapport d'évaluation réaliste de l'échelle ultime de votre plan de mobilité et de son impact sur votre infrastructure. Dépassez le cadre des e-mails. Explorez toutes les possibilités offertes par la mobilité et évaluez les risques et menaces qui doivent être atténués. Lors de votre planification, adoptez une approche interfonctionnelle pour sécuriser les données sensibles, où qu'elles puissent atterrir.
- Gestion efficace : les appareils mobiles sont des terminaux légitimes qui exigent autant d'attention que les PC traditionnels. Bon nombre des processus, règles, programmes de formation et technologies applicables aux ordinateurs de bureau et portables le sont également aux plates-formes mobiles. Par conséquent, la gestion des appareils mobiles doit être intégrée à la politique générale de gestion de l'infrastructure informatique et administrée de la même façon, de préférence avec des solutions compatibles et des politiques unifiées. Cette approche améliore l'efficacité opérationnelle tout en réduisant les coûts.
- Application appropriée : face au nombre croissant d'employés qui connectent leurs appareils personnels au réseau de leur entreprise, il est indispensable pour les entreprises de modifier leur politique d'utilisation acceptable pour accueillir les appareils personnels au même titre que ceux qui leur appartiennent. Les leviers de gestion et de sécurité doivent différer en fonction du propriétaire de l'appareil et des contrôles associés requis par l'entreprise. Les employés continueront d'ajouter des appareils au réseau de leur entreprise pour travailler de manière plus efficace et plus agréable, ce que les entreprises doivent anticiper sur plusieurs plans : juridique, opérationnel et culturel.
- Sécurité exhaustive : dépassez le cadre des règles de mot de passe, d'effacement et de blocage d'applications. Concentrez-vous sur l'information et les endroits où elle est visualisée, transmise et stockée. Une intégration avec les règles existantes de prévention des pertes de données, de chiffrement et d'authentification garantit la conformité systématique avec les politiques internes et les réglementations.