[Tribune] Comment concilier ergonomie et sécurité informatique dans un environnement mobile

Règlement Général sur la Protection des Données (RGPD), directive 'Network and Information Security' (NIS) sur la sécurité des réseaux et des systèmes d'information, nouvelle directive européenne sur les Services de Paiement (DSP2) ... 2018 est une année marquée par l'entrée en vigueur de plusieurs réglementations, qui apportent notamment de nouvelles règles en matière de cybersécurité. Parmi elles, l'authentification forte et la protection de l'accès aux données sont des tendances de plus en plus généralisées.

Si l'authentification forte et toutes ses déclinaisons - telles que l'authentification 'MFA', pour 'Multi-Factor Authentification', l'authentification adaptative ou l'authentification basée sur le risque - sont devenues aujourd'hui des pratiques de plus en plus répandues pour accéder au système d'information des entreprises, elles sont d'autant plus nécessaires en environnement mobile professionnel. Passons en revue 6 bonnes raisons d'utiliser l'authentification forte en environnement mobile professionnel.

1 : Répondre aux exigences réglementaires

Pour commencer il s'agit de répondre à certaines exigences réglementaires, qui ne se limitent pas aux utilisateurs sur poste de travail. L'authentification forte ne permettra pas de répondre en intégralité à ces directives et règlements mais contribuera activement à la mise en conformité.

DSP2 : Directive européenne sur les services de paiement 2^e version

Objectif : favoriser l'innovation, la concurrence et l'efficience du marché et plus précisément moderniser les services de paiement en Europe au profit des consommateurs et des entreprises.

Entrée en vigueur : 13 janvier 2018, mais un délai d'adaptation de 18 mois après la publication au JO de l'UE des normes techniques est prévu, ce qui devrait reporter leur application à septembre 2019.

Obligation concernant l'accès aux données : l'authentification forte est imposée pour les paiements en ligne de plus de 30 euros, la création de virements permanents et les autorisations de prélèvements. Les agrégateurs de comptes et prestataires de paiement devront aussi passer par l'authentification forte pour se connecter aux banques et récupérer les données de leurs usagers.

RGPD : Règlement général sur la protection des données

Objectif : harmoniser le panorama juridique européen en matière de protection des données personnelles.

Entrée en vigueur : 25 mai 2018

Obligation concernant l'accès aux données : au-delà du principe du consentement à la collecte et à la conservation des données, la nouvelle réglementation étend les responsabilités des entreprises et leurs obligations d'assurer la sécurité des informations de leurs clients. Les entreprises doivent tout mettre en oeuvre pour sécuriser efficacement leur système d'information, à commencer par la flotte mobile qui représente une menace réelle. Renforcer la sécurité des accès en s'appuyant sur l'authentification forte est un premier pas pour se mettre au niveau de sécurité exigé par le RGPD.

NIS: directive Network and Information Security

Objectif : donner à chaque état les moyens de mieux protéger ses entreprises et services publics essentiels face aux attaques informatiques. Dans le prolongement du dispositif de cybersécurité des opérateurs d'importance vitale introduit en 2013 par la Loi de Programmation Militaire (LPM), cette directive permet de renforcer la protection de nombreux autres acteurs indispensables à la vie quotidienne des citoyens.

Transposition de la directive en France : 09 mai 2018

Obligation concernant l'accès aux données : la directive fixe des objectifs sans imposer de moyens, et les mesures de sécurité qui seront imposées aux opérateurs de services essentiels (OSE) restent à venir. Toujours est-il qu'un volet "contrôle et audit" est prévu et que les exigences en termes de sécurisation des terminaux et d'authentification forte seront renforcées.