En cas de perte ou de vol de smartphone sensible, vous pouvez bricoler avec quelques mesures d’urgence et croiser les doigts. Mais rien ne vaut des solutions professionnelles et une bonne dose d’anticipation.
En cas de vol, le coût du smartphone est dérisoire au regard de la valeur des données professionnelles confidentielles qu’il contient. La première chose à faire est de vous tourner vers les solutions de neutralisation à distance basiques proposées par Google et Apple. Encore faut-il que vous ayez pensé à les activer au préalable, et que le voleur n’ait pas déjà siphonné les contenus sensibles exposés en l’absence de conteneurisation. Ce n’est toujours pas le cas ? Vous pouvez toujours signaler le vol aux autorités, muni du numéro IMEI de votre terminal, mais le blocage qui sera alors mis en place ne fera qu’empêcher le mobile de se connecter aux réseaux cellulaires. Vos données resteront accessibles.
Vous l’aurez compris, dans un cadre professionnel, la meilleure protection reste une application de type MDM (Mobile Device Management). Disposer d’une flotte mobile d’entreprise sécurisée permet de blacklister un appareil perdu ou volé et de s’assurer que les données confidentielles de l’entreprise ne puissent pas être récupérées sur l’appareil.
Avec un MDM, voici la marche à suivre en cas de vol : réfléchir, agir et optimiser.
Ne pas paniquer !
Lorsqu’un smartphone de l’entreprise est perdu ou volé, il faut principalement vérifier deux points de manière pragmatique : mesurer l’étendue des dégâts et voir ce qui peut être évité et comment.
Pour évaluer les dégâts, posez-vous rapidement les bonnes questions. Un dispositif de localisation de l’appareil était-il activé ? Le smartphone était-il protégé par un mot de passe ? Quelles sont les données accessibles une fois le smartphone déverrouillé (contacts, photos, emails, notes, dossiers de stockage sur carte SD) ? Les applications sensibles étaient-elles protégées par un mot de passe exigé à chaque session (messagerie, fichiers, stockage cloud…) ? Certaines applications étaient-elles activables/désactivables à distance (Office 365, Salesforce, client CRM/Gestion commerciale/comptabilité, accès bancaire…). Regroupez ces informations et transmettez-les au gestionnaire de votre flotte mobile qui vous donnera la marche à suivre.
Isoler l’appareil
La seconde phase consiste à isoler l’appareil, si évidemment cela a été pensé en amont. Avec le MDM, c’est la base du concept, quelle que soit la solution. Si certaines ressources Cloud comme Office 365 sont exploitées, tout comme une messagerie de type Gmail ou outlook.com, c’est aussi prévu. Dans ces cas, le principe est donc de blacklister l’appareil soit en l’interdisant complètement, soit en interdisant son usage avec certains logiciels ou avec certains protocoles. Sur Gmail, on peut interdire l’accès en mode IMAP ou POP d’un logiciel de messagerie. Résultat, plus d’accès aux mails. Cette parade n’est évidemment pas suffisante, il convient de mener la réflexion bien plus loin.
Détruire les données du smartphone
La solution de base sur Android, c’est une fonction de localisation et d’effacement qui peut être activée par association d’un compte Google avec l’appareil. Avec iOS d’Apple, c’est la fonction “Localiser mon iPhone” qui doit être activée pour permettre une localisation et un effacement par l’association d’un compte Apple ID sur iCloud. Si ces fonctions de base n’ont pas été activées au départ, cette parade ne peut alors être envisagée que s’il y a eu association avec une plateforme MDM qui, elle-même, intègre cette parade par un moyen ou un autre.
Dans tous les cas l’association d’un smartphone à un dispositif de localisation et de contrôle à distance passe par un site Web applicatif capable d’indiquer la localisation de l’appareil, s’il est encore chargé et mis sous tension. On peut dès lors lancer des actions comme l’effacement des données, un blocage total, la désinstallation des applications logicielles du mobile (MAM pour Mobile Application Management), voire l’accès au réseau général de l’entreprise, au cas où des ouvertures de sessions de type LDAP (Light Directory Access Protocol) sont exploitées pour accéder à l’ensemble des mécanismes et services privés de l’entreprise.
Apprendre pour mieux anticiper
Qu’est-ce qui peut être évité ? Il est clair que si tout avait été pensé en amont, les risques seraient restés minimes. Sauf défaillances dans l’un ou l’autre des services ou logiciels employés pour garantir cette sérénité.
Certains services peuvent aussi être meilleurs (ou plus efficaces) que d’autres parce qu’ils ont été pensés différemment. C’est le cas d’une plateforme de sécurisation à base de conteneurisation des applications et données professionnelles telle que Knox ; cette plateforme (uniquement disponible sur mobiles Samsung) scinde l’infrastructure matérielle et logicielle de chaque smartphone afin qu’il se comporte comme deux smartphones étanches l’un vis à vis de l’autre pour une sécurisation de très haut niveau dans la partie conteneurisée. D’autant que l’appareil ne peut pas être redémarré avec un autre système d’exploitation sans inhiber l’accès à toutes les données confidentielles placées dans le conteneur. Ajoutons que seul l’accès au déverrouillage des données par sécurisation multi-facteurs peut permettre d’accéder au contenu décrypté.