Authentification smartphone : des coûts cachés

Pour compléter notre série d’articles sur les avantages et inconvénients du smartphone dans le cadre de l’authentification forte, nous vous proposons d’aborder à présent l’aspect économique, et les coûts cachés que peut impliquer l’authentification smartphone dans un cadre professionnel.

Le smartphone est particulièrement plébiscité par les entreprises pour leurs besoins d’authentification multifacteur. SMS de validation, push, application d’authentification… les solutions de MFA sur mobile sont nombreuses, et massivement utilisées pour sécuriser les accès des collaborateurs. La simplicité d’utilisation du mobile, couplée au fait que les employés sont majoritairement très familiers à cet appareil, en fait un moyen tout trouvé pour démocratiser l’authentification forte. Particulièrement, les entreprises qui souhaitent surveiller leur budget cyber, ont tendance à penser qu’il s’agit de la solution la plus économique du marché. Cependant, qu’il s’agisse d’un smartphone personnel ou fourni par l’entreprise, l’utilisation du mobile dans le cadre des authentifications professionnelles présente des coûts cachés…

Le BYOD, une solution de facilité qui engendre des frais

Parfois, les entreprises font appel aux smartphones personnels de leurs collaborateurs, lorsqu’elles décident de mettre en place une politique d’authentification via mobile. Les salariés doivent alors intégrer la procédure MFA dans leur quotidien via leur propre matériel.

À première vue, on peut penser que cela dispense les organisations du coût d’une solution de cybersécurité dédiée, voire des dépenses liées à l’achat d’un smartphone professionnel pour chaque salarié. Or, le concept du Bring Your Own Device n’est pas exempt de frais. En effet, si les entreprises souhaitent réellement sécuriser les appareils personnels de leurs collaborateurs, elles se doivent d’investir dans un outil de sécurisation pour chaque mobile, afin d’ajouter une couche de sécurité supplémentaire lors des diverses authentifications.

Découvrir pourquoi l’authentification multifacteur sur mobile
peut être une fausse bonne idée

Par ailleurs, les collaborateurs sont susceptibles de changer de mobile, que ce soit en cas de perte, de vol, ou tout simplement par envie. Cette transition d’un smartphone à un autre implique inévitablement un temps de réinitialisation ou de récupération, qui est bien souvent géré par le service DSI. Sans compter les différentes marques et modèles de mobiles et leurs spécificités, auxquelles l’entreprise doit s’adapter, pour bien souvent faire du cas par cas…. Ce temps de support technique se traduit par la mobilisation des ressources de l’entreprise, engendrant donc des coûts cachés, surtout lorsque les collaborateurs changent régulièrement leurs devices, sans forcément prévenir en amont leur entreprise. Se posent alors des questions pouvant se relever insolubles pour les DSI :

• Comment porter la sécurité du précédent appareil sur le nouveau ?
• La DSI peut-elle imposer l’acquisition d’une marque et d’un modèle de mobile précis ?
• Doit-on obliger les collaborateurs à prévenir l’entreprise en cas de perte, vol, ou changement de mobile ?

Au-delà de ces constats, il faut être conscient que certaines personnes seront forcément réfractaires au fait d’utiliser leurs mobiles personnels pour un usage professionnel. Les entreprises devront donc inévitablement investir dans une autre solution de cybersécurité pour les collaborateurs refusant le BYOD, ajoutant un peu plus de support technique. Il en va de même pour les salariés ne possédant pas de smartphone, à qui l’entreprise devra fournir un téléphone professionnel, ou trouver une alternative sécurisée payante.

À titre d’exemple, voici les recommandations de la CNIL concernant le BYOD¹ :

L’utilisation d’un smartphone professionnel présente des coûts cachés

Utiliser un smartphone professionnel peut sembler une solution de choix pour assurer la sécurité d’une entreprise. Les collaborateurs étant nombreux à devoir utiliser un mobile dédié dans le cadre de leurs missions, leur entité y ajoute bien souvent un service gratuit pour démocratiser l’authentification forte où installer un gestionnaire de mots de passe. Cependant, il faut garder à l’esprit que ce que l’entreprise n’investit pas en argent à proprement parlé, elle l’investit en temps :

• Il n’existe aucun outil d’automatisation dédié aux DSI, lorsque l’on parle de smartphones professionnels. Par exemple, les mises à jour périodiques de mots de passe robustes et uniques doivent être faites manuellement, pour chacun des mobiles des collaborateurs.

• Certaines populations, peu familiarisées à l’usage du mobile et aux bonnes pratiques de cybersécurité qui y sont associées, ne savent pas utiliser convenablement le smartphone professionnel. Pour la DSI, il s’agira donc d’investir du temps en formation, mais également en support, pour les problèmes que rencontreront sans aucun doute les collaborateurs au quotidien.

Ces différentes actions peuvent faire perdre un temps précieux aux DSI et services informatiques d’une entité : si la perte n’est pas chiffrée en termes pécuniaires, elle se répercute tout de même sur la productivité de la DSI et des collaborateurs.

De plus, en cas de perte du smartphone, ou encore de vol, son remplacement est à la charge de l’entreprise. Nous connaissons tous le prix d’un smartphone et à quel point il peut être fragile et convoité. Bien souvent, ce coût reste beaucoup plus élevé qu’une solution de cybersécurité classique.

Enfin, si utiliser un mobile professionnel, notamment dans le cadre de la 2FA, reste un premier pas intéressant pour sécuriser davantage les données et authentifications des collaborateurs, il faut néanmoins avoir conscience de ses failles.

Outre l’aspect économique, le smartphone souffre d’un manque de souveraineté certain. La fabrication de la plupart des mobiles fait intervenir plusieurs pays, parmi lesquels de nombreux acteurs asiatiques et américains. Chacun de ces États possède sa propre vision de la vie privée, et sa propre législation concernant ses composants, sur lesquels le client final n’a qu’un droit de regard assez restreint. De ce fait, si l’un de ces pays installe un logiciel malveillant à des fins d’espionnage industriel par exemple, sur chacun de ses produits distribués en France, il nous serait très difficile de nous en rendre compte… Côté sécurité, il faut également avoir conscience que le mobile reste un appareil faillible : en 2021, Google a détecté près de 58 failles zero-day sur Android.²

Pour conclure, nous ré-insisterons sur le fait qu’utiliser un smartphone professionnel ou personnel, dans le cadre de la MFA notamment, est un premier pas pour sécuriser les données et accès des collaborateurs. Cependant, ces solutions présentent des vulnérabilités, et malgré l’imaginaire commun ne sont pas exemptes de coûts ! Face à ce constat, investir dans un outil de cybersécurité matériel dédié peut donc avoir du sens, en ajoutant notamment un fort niveau de protection à votre entreprise. Il existe en effet des solutions adaptées à tous les besoins et budgets, capables de sécuriser votre SI et de s’adapter à des cas d’usages précis. On en discute ?

¹ https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques

² https://www.phonandroid.com/google-a-detecte-58-failles-zero-day-en-2021-un-record-absolu.html