C’est en substance le message délivré par Spencer Wilcox, superviseur des services de conformité de Constallation Energy, dans le cadre d’une présentation lors du congrès sécurité de l’(ISC)2, qui se déroulait fin septembre à Orlando, en Floride.
Selon lui, avant de permettre aux salariés d’accéder au SI de l’entreprise avec des terminaux mobiles, il faudrait leur faire signer un accord de respect de la charte interne des usages mobiles et de la sécurité des terminaux, entre autres. Ce document préciserait notamment que l’entreprise reste propriétaire des données susceptibles d’être répliquées sur le terminal mobile, jusqu’aux données d’usage et de localisation. Il stipulerait également qu’elle est susceptible, si nécessaire, de partager ces données avec des tiers. Wilcox souligne que des précédents ont montré que les entreprises étaient susceptibles d’encourir des préjudices sévères du fait d’enchaînements malheureux dans le cadre de l’utilisation de terminaux mobiles par leurs collaborateurs.
Par exemple, dans l’affaire LVRC Holdings LLC contre Brekka, en 2009, un employé malveillant a volé des données du terminal mobile qui lui avait été fourni par son entreprise. Celle-ci a poursuivi le salarié en invoquant une violation de la législation américaine Computer Fraud and Abuse Act. Mais une Cour d’Appel locale a tranché en faveur du salarié, notamment parce que l’entreprise n’avait pas défini explicitement ce qui pouvait constituer une violation des usages légitimes des terminaux mobiles fournis à ses salariés... «La Cour a noté que “vous avez donné à votre employé la permission d’agir comme il lui semblait pertinent. Dès lors, il était autorisé à utiliser l’appareil sans restriction. Il avait un blanc-seing. Et il pouvait faire ce qu’il voulait des données parce que vous n’aviez pas fixé de limite.”»
Wilcox a également encouragé les entreprises à prévoir une politique interdisant l’utilisation du téléphone mobile au volant : les entreprises fournissant des téléphones mobiles à leurs employés et attendant d’eux une joignabilité sans faille pourraient s’exposer à la mise en cause de leur responsabilité en cas d’accident.
Un autre scénario préoccupant mais sans précédent légal touche à la prise de vue avec des appareils administrés ou possédés par l’entreprise. Wilcox souligne que de nombreuses personnes ne réalisent pas que les photos numériques intègrent des métadonnées - latitude et longitude du lieu de prise de vue, date et heure, etc. Des attaquants pourraient utiliser ces données pour trouver la situation géographique exacte d’un lieu ou d’un objet qu’ils visent, physiquement.
Wilcox reconnaît que la nature pervasive des technologies modernes de mobilité et l’émergence d’appareils mobiles tels que les iPhone ou les iPad rendent difficile d’en interdire l’utilisation. Mais cette utilisation doit être encadrée afin de minimiser les risques techniques et légaux.
Krister Samuelsson, de Volvo, en Suède, assistait à la présentation de Wilcox. Il a indiqué que son organisation a mis en place une politique de sécurité relative aux terminaux mobiles. Mais il en souligne la difficulté de gestion, en raison du caractère multinational de ses activités et des différences législatives de chaque pays. Les exceptions locales sont donc la règle avec les difficultés que cela entraîne pour emporter l’adhésion des utilisateurs.
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Tous les services du MagIT sur