Finissez en définitivement avec les clés USB (et les risques informatiques qui vont avec) ?

,

Il y a quelques semaines, une clé de stockage s’est perdue du côté de Londres. Par tout à fait n’importe laquelle : elle contenait des informations sensibles sur l’organisation de la sécurité à Heathrow. Si égarer ou se faire dérober du matériel informatique peut arriver, la vraie question demeure : comment de telles données peuvent terminer sur de simples clés USB ? Et en creux, la question qui vous taraude : peut-on éviter ce genre de fuite ? Allez, on vous dit comment.

Les supports de sauvegarde amovibles ont toujours été des médias de prédilection pour échanger des données. Les clés USB en tête, et avant elles les CD-Roms et les disquettes (pour les plus anciens). L’arrivée d’Internet a changé la donne, car il a rendu très aisé le transfert de données sans support. Pour autant, transférer de gros volumes peut encore s’avérer long. La clé USB reprend dans ce cas du poil de la bête. Avec les risques liés à cette pratique. Si insérer une clé USB semble imparable, est-ce que bloquer le transfert de données ne pourrait pas l’être tout autant ? La réponse tient en trois lettres : EMM, ou Enterprise Mobility Management.

Kesako ?

EMM est un terme générique qui recouvre les solutions de gestion et de sécurisation de la mobilité en entreprise. Bien que la mobilité soit le maître mot, elle concerne tous les appareils : postes fixes, ordinateurs portables, tablettes, natels. Le fonctionnement d’un EMM est simple : vous enregistrez vos appareils, et dès lors vous pouvez les gérer. Un simple QR code ou simple lien permettent l’enregistrement en quelques secondes. A ce moment précis, vous prenez le contrôle complet de l’appareil. Des profils, que vous aurez défini à l’avance, gèrent les restrictions et règles de sécurité qui s’appliquent à l’appareil. Comme par exemple : empêcher l’emploi d’un stockage externe. Hop, on vient de régler le problème d’Heathrow… Ok, c’est probablement un raccourci. Mais vous n’êtes pas le premier aéroport d’Europe non plus, non ?

Finis les clés de sécurité WiFi qui traînent sur les bureaux. Diffusez-les automatiquement aux employés, et seulement à eux.

Vous allez me dire : et si mon employé vient avec son matériel ? Primo : c’est une question pertinente, car c’est une pratique de plus en plus en vogue. Que nous promouvons d’ailleurs auprès de nos clients. Deuxio : vous ne devriez pas laisser vos collaborateurs se connecter à votre réseau sans contrôle. EMM pallie tout cela. Tout d’abord, le système peut gérer un appareil personnel. Il est même très efficace dans cette tâche puisqu’il segmente en deux le natel de votre employé : les applications et les données professionnelles ne sont pas partageables vers les applications personnelles. Et vous pouvez forcer des règles simples comme : un appareil non-enregistré ne peut pas se connecter au réseau de l’entreprise. Ni en Wifi, ni avec un câble, ni en VPN. Point réglé.

Quelques fonctions basiques…

En plus de gérer des paramètres de sécurité, simples ou avancés, EMM sait aussi gérer les appareils et leur fonctionnement. A commencer par les applications et les paramètres de base. C’est le deuxième « M » d’EMM. Une fois l’appareil enregistré, les paramètres réseau de base sont poussés automatiquement. Par exemple : le réseau WiFi de l’entreprise. Vous n’avez alors même plus à diffuser les clés de sécurité qui finissent inévitablement sur des Post-It au bord des écrans. Idem pour le VPN, dont tous les réglages arrivent par les airs. Il ne reste plus à l’utilisateur qu’à rentrer son mot de passe personnel. Evidemment, EMM vérifie aussi la compatibilité d’un appareil avec vos règles de sécurité, comme la présence d’un antivirus, d’un mot de passe et de données encryptées. Et empêche l’accès au réseau en cas de manquement à ces règles.

Un appareil mobile s’éloigne un peu trop de vos locaux ? Il se bloque ou s’efface automatiquement…

Côté applications, elles sont diffusées de la même façon dès l’enregistrement de l’appareil. Automatiquement, et sans intervention. Les utilisateurs de l’entreprise sont regroupés en profils (vente, technique), et les lots d’applications varient en fonction de ces profils. Si une nouvelle application est ajoutée par la suite, l’ajout dans le profil déclenche son installation sur tous les appareils. Et pour vos collaborateurs qui s’inquiètent de la pollution de leur iPhone préféré, la désinscription d’EMM génère un nettoyage systématique de l’appareil, mais uniquement pour la partie qui était sous votre contrôle. Si l’appareil vous appartient, vous restreignez à l’inverse la possibilité de supprimer le profil.

… Mais pas seulement

Mais plus qu’un simple gestionnaire de profil, EMM peut vous emmener plus loin. Beaucoup plus loin. Supposons que certains de vos appareils soient dédiés à un usage au bureau. Pour un lab, ou pour une salle de réunion. Et qu’ils contiennent des données sensibles, sur le développement de certains de vos produits ou services. Vous n’aimeriez pas qu’ils quittent vos mûrs. Mais que faire si un malfaiteur vous « l’emprunte », ou si un collaborateur indélicat décide d’arrondir ses indemnités de départ ? En trois clics, vous délimitez un périmètre géographique sur une carte, en dehors duquel vous déclenchez une action. Un effacement express par exemple ou un blocage automatique.

Je passe sur l’application de règles sur certaines plages horaires seulement, ou la supervision à distance des appareils, en temps réel. Focalisons-nous sur une autre fonction : le mode Single App. Vous êtes sur un salon, et vous avez mis à disposition une tablette pour faire la démonstration de votre toute nouvelle application à succès. Mais évidemment, il se trouve toujours un petit malin pour détourner votre appareil. Oui… mais non, pas avec EMM. Vous bloquez l’appareil en Single App Mode le temps du salon, et vous êtes sûr qu’il ne sera pas utilisé pour autre chose que vos démos. Une fois le salon fini, vous débloquez le mode et retrouvez toutes les fonctionnalités de votre iPad. Et là encore, si on vous l’emprunte, l’effacement démarre dès la porte du salon franchie. Bluffant, non ?

Evidemment, toutes ces fonctions méritent mieux que quelques lignes : une vraie démonstration en live qui vous fera comprendre le potentiel d’une solution EMM. Envoyez-nous un petit mot sur notre formulaire de contact ci-dessous, et nous viendrons vous la faire à domicile. Et répondre à la question qui reste encore dans un coin de votre esprit : « ok, mais combien ça coûte ? ». Dans les faits, quelques dizaines de francs par an et par appareil. Support compris chez Steel Blue, vous nous connaissez. La sécurité a un prix, mais il n’est finalement pas déraisonnable. Quand bien même vous seriez à la tête d’un gros aéroport.

Steel Blue : all inclusive, all right !


GDPR, vous connaissez ? Pourtant vous devriez, sous peine de mettre votre entreprise à la faute…

Le Réglement Général sur la Protection des Données (RGPD, ou GDPR dans la langue de Shakespeare), entre en vigueur le 25 mai 2018. Il définit les règles de traitement des données personnelles des ressortissants de l’UE. Y compris pour les entreprises lorsqu’elles exercent en dehors de l’UE. Chronique d’une révoluion annoncée.

Derrière ce terme barabre se cache la volonté de l’Union Européenne de restreindre l’utilisation des données liées à la numérisation galopante de nos activités. Cette nouvelle législation sera plus restrictive, avec des sanctions assez lourdes à la clé. Vous pensez que cela ne concernera pas les entreprises suisses ? Erreur ! Ces nouvelles règles du jeu visent le traitement des données personnelles de ressortissants européens. Dès lors, si vous réalisez des affaires en Europe (vente de produits ou de services) ou si vos campagnes marketing visent des membres de l’UE, vous n’y échappez pas.

Quelles données, quels individus ?

Mais commençons par le commencement : que se cache-t-il derrière le terme « données personnelles » ? A priori, rien de bien nouveau : adresse email ou postale, numéros de téléphone, poste dans l’entreprise. Mais demain, d’autres éléments vont venir se rajouter avec la GDPR : données de localisation, cookies, identifiants, éléments permettant de vous identifier physiquement, etc.

Le GDPR renforce le droit à disposer de ses données

Voilà pour le caractère personnel des données. Mais à quels individus ces critères vont-ils s’appliquer ? Pour les entreprises, le champ d’application est assez large. Il comprend les clients évidement, mais aussi les fournisseurs, les sous-traitants et les salariés. Avec au final des traitements et des sources de données bien différents.

Quelles sont les obligations ?

Le principe fondateur de cette nouvelle réglementation est simple : le renfort du droit à disposer de ses données et à en garder le contrôle, et par conséquent la protection de la vie privée.

Dorénavant, les entreprises devront prendre en compte ces contraintes dès l’étude de la mise en place de tout nouveau système. Ce que l’UE qualifie de « privacy by design« , ou protection dès la conception. Par exemple : votre tout nouveau système d’emailing qui traque l’activité des utilisateurs doit inclure un droit à l’oubli. En effet, tout contact inactif depuis 3 ans doit être supprimé systématiquement d’une base marketing. Par ailleurs, chaque système de traitement de données devra inclure dès le départ une option de consentement (opt-in), consentement que l’utilisateur doit avoir la possibilité de refuser.

Les données ne seront désormais plus qu’en prêt auprès des entreprises qui les exploitent

Les traitements des données personnelles devront faire l’objet d’un registre. Ce registre devra contenir l’ensemble des traitements qui est effectué sur ces données. Reprenons l’exemple de votre sytème d’emailing. Il doit conserver une trace des tous les envois effectués, adresse par adresse, à vos contacts. Y compris date d’envoi, contenu, etc. De la même façon, si vous traitez vos contacts par profilage avec des cookies, vous devrez garder une trace de ces traitements dans votre registre.

Quelles conséquences pour les individus ?

Par principe, chaque individu reste propriétaire de ses données, qui ne font plus l’objet que d’un prêt aux enteprises qui les exploitent.

Dans le détail, voici quelques conséquences bien réelles. Premièrement, le principe de transparence doit s’appliquer : chacun a le droit de savoir à quoi servent ses données. En second lieu, tout un chacun peut faire valoir le droit à ne pas faire l’objet d’une décision basée exclusivement sur un traitement automatisé. C’est le cas évidemment du ciblage publicitaire. Ce même ciblage doit laisser la possibilité à tout moment de se désinscrire.

Côté risque ? Jusqu’à 4% du CA plafonné à 20Mio d’euros. Ca fait réfléchir.

Last but not least, vous pourrez faire valoir un droit à l’oubli généralisé en réclamant la suppression de vos données (vous y penserez probablement lorsqu’on vous démarchera au téléphone à domicile). Et ces données doivent être exportables par l’individu concerné, c’est-à-dire que vous pouvez savoir quelles sont les données qui ont été récoltées sur vous.

Quels sont les risques ?

Les sanctions sont assez lourdes pour les entreprises. Avec un risque d’amende jusqu’à 4% du chiffre d’affaires, et un plafond à 20Mio d’euros. Vous avez bien lu. Si ces sanctions pourraient s’avérer dérisoires pour les GAFA (Google, Amazon, Facebook, Apple), elles pourraient être fatales pour les petites entreprises. Il y a fort à parier tout de même que l’UE se focalise dans un premier temps sur les grands groupes cités plus haut, dont le fonds de commerce et la prospérité sont basés en majorité sur le traitement de ces données.

Pour vous mettre en conformité : évaluation puis transformation

Si les modifications peuvent paraître titanesques, l’UE accorde aux entreprises 2 années pour se mettre en conformité. Il vous appartient donc de faire auditer votre situation dès maintenant, et de mettre sur pied un plan de mise à niveau. Avec quels coûts ? C’est ce que nous allons voir.

Comment se mettre en conformité avec la GDPR ?

Vous devrez passer au travers de deux phases bien distinctes : évaluation puis transformation.

Un audit interne tracera en particulier un inventaire des données personnelles que vous manipulez, et des processus associés. Vous pourrez alors établir un classement du traitement de ces données, du plus conforme au moins conforme.

Une fois ce classement réalisé, viendra le temps de la transformation. Il est peu probable que vous passiez l’audit haut la main. Notamment parce que certaines contraintes sont nouvelles, et que vous n’avez rien prévu pour y faire face. Qui dispose aujourd’hui d’un registre des traitements ? Votre système d’information devra être adapté. Soit en surface, soit en profondeur. Je ne saurai que trop vous conseiller, en cas de chagement profond, de passer sur des systèmes Cloud qui, au-delà des avantages merveilleux qu’ils offrent au jour le jour, seront plus rapidement en conformité. Et vous éviteront de passer tout votre budget IT dans ces nouvelles obligations. La grande majorité des éditeurs Cloud planchent déjà sur leur adaptation à la GDPR.

Vos processus doivent suivre le mouvement

Les changements technologiques ne feront malheureusement pas tout. Votre gouvernance interne – la façon dont vous gérez les données – devra être adaptée pour se conformer à ce nouveau réglement. Avec à la clé des habitudes de travail qu’il faudra bouleverser. Et ne pensez pas, si votre clientèle est 100% suisse, que vous pourrez passer au travers des gouttes. La Loi sur la Protection des Données suit généralement les directives européennes. Et il y a peu de chance qu’elle fasse exception cette fois-ci.

A la lecture de ces lignes, vous pouvez vous retrouver dans l’une ou l’autre des deux situations suivantes. Soit vous n’avez rien compris. Et dans ce cas, nous vous invitons à nous contacter. Soit vous prenez peur, et dans ce cas, nous vous invitons aussi à nous contacter. Vous ne pourrez pas faire l’impasse sur ce sujet. Mais il n’est pas raisonnable de paniquer. Cette transformation ne sera pas douloureuse si elle est accompagnée convenablement.

Steel Blue : all inclusive, all right !


Mobilité : le projet Interreg France-Suisse et le Cloud favorisent le télétravail

, , ,

Vous prenez votre voiture pour aller au travail sur le Grand Genève ? Une vraie partie de plaisir… Pour ne pas se déplacer systématiquement, opter pour le télétravail reste une option. A ce titre, le projet Interreg favorise l’émergence de lieux de coworking dans la région genevoise, et lutte ainsi activement contre les déplacements inutiles et coûteux. Rencontre avec un des acteurs du projet, Luc Jaquet, chef de projet à Sofies.

Le programme Interreg France-Suisse vise à améliorer la coopération territoriale. En particulier, le projet déployé sur le Grand Genève cherche à développer des services innovants à base de nouvelles technologies afin de faciliter, entre autres, le télétravail. Parmi ces technologies, le Cloud, naturellement mobile, prend évidemment une part importante. Luc Jaquet, qui gère le projet pour la région genevoise, nous détaille les axes de développement de cette initiative,. Et en quoi les solutions Cloud de Steel Blue sont d’un intérêt majeur dans ce cadre.

Quels sont les axes sur lesquels vous intervenez dans le cadre du projet Interreg France-Suisse ?

Luc Jaquet : « Dans les grandes lignes ils sont de trois ordres. En premier lieu, nous agissons dans les zones transfrontalières pour le développement de structures qui favorisent le télétravail au plus proche des lieux de résidence pour éviter au maximum les déplacements. Dans le détail, nous intervenons pour l’aide à la création d’espaces de coworking ou le développement d’espaces existants, y compris au moyen de partenariats public-privé et de modèles d’affaires innovants pour améliorer la viabilité dans des zones a priori moins rentables car éloignées des centres urbains.

A l’autre bout de la chaîne, nous accompagnons les entreprises pour mettre en place le travail à distance. Le spectre de notre intervention est large et touche les aspects stratégiques, managériaux et juridiques, l’optimisation immobilière, mais aussi les outils techniques pour soutenir cette mise en place. Il y a encore de la méfiance de la part des PME vis-à-vis du télétravail. Il faut les rassurer en la matière. Et lorsque le pas est franchi, s’assurer qu’elles ne rencontrent pas de difficultés avec les nouveaux outils déployés.

Finalement, une application innovante est développée pour faire le lien entre l’offre de coworking et les utilisateurs : GOWO, le réseau social du coworking. Elle sert de porte d’entrée unique pour trouver le bon lieu où l’on veut travailler, tout en favorisant les échanges entre professionnels et en récompensant les comportements vertueux en termes de mobilité et d’engagement dans le réseau. Le lancement officiel de l’application est prévu pour février 2018. »

Quelles problématiques techniques se posent pour les espaces de coworking et pour les entreprises en matière de télétravail ?

Luc Jaquet : « Les espaces de coworking ont besoin de savoir comment gérer les allers et venues d’utilisateurs hétéroclites et ponctuels. Cela pose de nombreux défis techniques : quelle capacité souscrire pour la connexion Internet ? Comment proposer des services mutualisés tels que les impressions ? Comment garantir la sécurité du réseau et des utilisateurs entre eux ? La responsabilité légale de l’exploitant de la zone de télétravail est engagée car il est le seul responsable de ce qui se passe sur son réseau.

Pour les entreprises, tout commence généralement par un audit. Il n’y a pas de solution générique, il est nécessaire de faire du cas par cas. Ce qui est le propre des petites et moyennes entreprises. Quels sont les outils déjà en place ? Les applications qui devront être accessibles à distance ? La population d’utilisateurs qui sera concernée ? Comment garantir la sécurité ? Comment former les utilisateurs ? Les problématiques sont nombreuses. En plus de changement de modèle, de nouveaux outils sont mis en œuvre, et l’accompagnement est une condition sine qua non de réussite. »

En quoi les services Cloud constituent un avantage pour la mise en œuvre de votre stratégie ?

Luc Jaquet : « Le Cloud est intrinsèquement associé à une utilisation à distance des services. Cela fait partie du modèle. Opter pour des services Cloud permet donc de ne pas différencier leur utilisation depuis la maison, un espace de télétravail ou les bureaux. L’explosion des technologies dans le nuage favorise ainsi la mise en place des moyens techniques qui supportent les solutions promues dans le cadre du projet Interreg.

Assez naturellement, nous nous sommes tournés vers Steel Blue, qui porte le Cloud dans son ADN. Notre prise de contact avec Emmanuel Dardaine nous a permis rapidement de cerner les besoins que nous pourrions adresser, que ce soit pour aider au développement d’espaces de coworking, ou pour accompagner les entreprises dans leur démarche. Le niveau d’expertise de Steel Blue ainsi que leur focalisation sur les petites entreprises en font un partenaire de choix pour nous accompagner dans notre mission. »

Vous avez envie vous aussi de passer au télétravail ? Avec le projet Interreg d’un côté et Steel Blue en fournisseur de solutions de coworking, vous êtes entre de bonnes mains, avec l’assurance de mettre toutes les chances de votre côté. Prenez contact avec nous grâce au formulaire ci-dessous pour un rendez-vous à trois, et bénéficiez de l’expérience croisée de deux experts du domaine.

Steel Blue : all inclusive, all right !