WHITE PAPER Informatique Mobile : Vers une Approche Systémique de la Stratégie Sécurité

Transcription

1 WHITE PAPER Informatique Mobile : Vers une Approche Systémique de la Stratégie Sécurité IDC France - 5 rue Chantecoq, Puteaux Tel. : Fax : Sponsored by: DELL Karim BAHLOUL novembre 2003 DANS CE LIVRE BLANC Ce Livre Blanc, réalisé et publié par IDC sur l'initiative de Dell, souhaite mettre en évidence les enjeux liés au développement croissant des stratégies d'informatique mobile au sein des entreprises françaises, et plus particulièrement les enjeux liés à la sécurisation du système d'information dans ce contexte de mobilité. Pour ce faire, IDC a réalisé une enquête au cours du mois d'octobre 2003 auprès des directions informatiques de 150 grands comptes français des secteurs publics et privés employant plus de collaborateurs. L'informatique mobile s'impose aujourd'hui comme un axe stratégique de développement. Les résultats de l'enquête menée par IDC confirment cette tendance en faveur d'une plus grande pénétration des plates-formes mobiles dans les entreprises, tirée par la réduction progressive et continue du prix moyen des PC Portables, le développement des standards de communication Wireless (GSM, GPRS, b/g) et l'élargissement des usages de l'informatique mobile. Autant d'éléments qui poussent les entreprises à reconsidérer les bénéfices de l'informatique mobile sous un nouvel angle, celui de la proximité de l'entreprise avec ses collaborateurs, ses clients et ses partenaires. Conséquence du développement de l'informatique mobile et de l'ouverture croissante des systèmes d'information, la sécurité informatique est devenue l une des préoccupations majeures des Directions Informatiques. A juste titre puisque les risques associés à l'informatique mobiles sont multiples et critiques. Dans ce contexte, les entreprises sont confrontées à un paradoxe : la politique de sécurité du système d'information ne doit pas représenter un frein au développement de l'activité de l'entreprise, tandis que les exigences Business (accroître la productivité et la rentabilité, développer le portefeuille clients et les parts de marché ) ne doivent pas augmenter les risques liés à l'insécurité informatique. L'enquête menée par IDC met en lumière les stratégies de sécurité retenues par les entreprises pour pallier les risques encourus. Alors que ces politiques sécuritaires semblent aujourd'hui insuffisantes, le niveau de maturité des entreprises face à la problématique sécurité tend à évoluer progressivement vers une approche "systémique" capable de résoudre le paradoxe identifié.

2 L'INFORMATIQUE MOBILE SE DEMOCRATISE La mobilité n'est plus aujourd'hui le phénomène de mode lié au développement de nouveaux standards. L'informatique mobile s'impose aujourd'hui comme un axe stratégique de développement, notamment dans les structures regroupant de nombreux collaborateurs : la moitié des grands comptes interrogés par IDC (49%) déclare que le développement d'une stratégie d'informatique mobile fait partie de leur priorité d'investissement pour les prochaines années. Dans ce contexte, plusieurs questions se posent : quelles sont les raisons qui poussent aujourd'hui les entreprises à massivement investir dans les technologies informatiques mobiles? Quelles sont les bénéfices qu'elles identifient ou qu'elles attendent de ces technologies? Et surtout, les entreprises ont-elles pris la mesure des contraintes sécuritaires et organisationnelles liées à la mise en œuvre d'une stratégie d'informatique mobile? L'OPPORTUNITE D'UNE STRATEGIE MOBILITE Alors que le développement d'une véritable stratégie d'informatique mobile était freiné ces dernières années par un ticket d'entrée considéré par une majorité d'entreprises comme trop élevé, les nombreux développements technologiques ont participé à infléchir la courbe d'opportunité liée à la mise en œuvre d'une telle stratégie. Cette courbe, présentée dans la figure 1, est influencée à la fois par les bénéfices attendus de l'informatique mobile mais également par les coûts qu'elle implique, qu'ils soient directs ou indirects : acquisition des plates-formes, gestion du parc informatique mobile, administration des postes, stratégie de sécurité des postes distants et, plus généralement, la sécurisation du système d'information de l'entreprise dans un contexte d'ouverture croissant. Ces différents éléments, qui restent au centre des problématiques de développement d'une stratégie d'informatique mobile, sont influencés par les facteurs suivants : L'évolution des caractéristiques intrinsèques des ordinateurs portables les positionne, de manière croissante, comme des plates-formes directement concurrentes de leurs homologues fixes : accélération de la puissance de calcul, miniaturisation des composants, augmentation des capacités de charge, multiplication des possibilités de connectivité ou encore amélioration de l'ergonomie générale ; Conséquences : les usages liés à la mobilité, jusqu'alors limités par des ressources physiques peu adaptées, se sont développés pour dépasser le cadre de la simple consultation statique en mode déconnecté ou en mode d'accès distant mais filaire (messagerie, agenda, consultation de tarifs ou de fiches produit ). Les nouveaux développements technologiques prônent aujourd'hui une plus grande interactivité des plates-formes mobiles avec le système d'information de l'entreprise grâce à une connexion distante et sans fil (Wireless) : consultation et enregistrement de données dans le système d'information à travers les applications stratégiques telles que l'erp, le CRM (gestion de la relation clients), les applications SFA (automatisation des forces de vente) ou encore les applications métiers. L'évolution des usages de la mobilité qui repose notamment sur la standardisation des technologies de communication mobiles autour du GPRS et du WiFi (802.11b et bientôt le g) permet de valoriser les solutions d'informatique mobile. La courbe d'opportunité de la mobilité, telle qu'elle est présentée figure 1, ne signifie pas que les coûts liés à la mise en œuvre d'une stratégie d'informatique mobile ralentissent ou diminuent, loin de là. L'acquisition d'un parc de Notebooks exige un 2 #FR IDC

3 investissement matériel certes moins important aujourd'hui qu'il y a trois ans pour des niveaux de performance et d'ergonomie bien supérieurs auquel il faut ajouter les dépenses liés à la gestion du parc informatique mobile, à l'administration des postes distants ou encore à la sécurisation du système d'information. FIGURE 1 LE COUT D'OPPORTUNITE D'UNE STRATEGIE D'INFORMATIQUE MOBILE Coût relatif (acquisition, gestion, sécurisation) Une stratégie mobilité difficile à appréhender Mobilité Prix élevé des outils mobiles Faible sensibilisation aux bénéfices de la mobilité Peu d applications mobiles existantes Technologies de communication mobiles peu matures (Data) La qualité de services au centre des interrogations Sécurité Forte médiatisation de l insécurité IT Forte appréhension des DI La sécurisation du SI et du réseau LAN est la priorité Les technologies de sécurisation en mode d accès mobile sont incomplètes et coûteuses Une nouvelle maturité des stratégies mobilité Mobilité Diminution du coût d acquisition des plates-formes mobiles : croissance du parc Recherche de nouveaux gains de productivité dans les entreprises Développement de nouveaux usages liés à la mobilité Vers une plus grande maturité des technologies de communication mobiles (débits, qualité de services) Sécurité La sécurité informatique globale est au centre des préoccupations des DSI Les technologies de sécurité se diversifient et gagnent en maturité De nouveaux outils de sécurité sont standardisés : lecteur de smartcard, authentification biométrique Bénéfice relatif (mobilité) Temps Source: IDC, 2003 LES TECHNOLOGIES INFORMATIQUES MOBILES S'INSTALLENT L'analyse des ventes trimestrielles d'ordinateurs PC sur le marché professionnel témoigne de la dynamique forte en faveur des technologies mobiles. Alors que les ventes de PC portables approchaient unités sur le premier trimestre de l'année 1999 soit 17% de l'ensemble des PC commercialisés sur la période le volume des ventes de PC portables a atteint près de unités sur le troisième trimestre La croissance particulièrement importante des ventes de Notebook supérieure à la dynamique du marché des PC Desktops a renforcé le poids des PC portables par rapport aux plates-formes traditionnelles. Cette progression constante porte le poids des Notebooks à 37% de l'ensemble des PC commercialisés sur le troisième trimestre 2003, une proportion qui devrait encore progresser sur le dernier trimestre 2003 pour atteindre, selon IDC, 38%. En définitive, sur l'ensemble 2003 IDC #FR106 3

4 de l'année 2003, les ventes de Notebooks représenteront plus du tiers de l'ensemble des ordinateurs professionnels commercialisés en France (34%), contre 21% en 2000 et 17% en FIGURE 2 REPARTITION DES VENTES TRIMESTRIELLES ET ANNUELLES ENTRE PC PORTABLES ET PC DESKTOPS SUR LE MARCHE FRANÇAIS PROFESSIONNEL, 1999 A 2003 (VOLUME) 100% PC portable PC Desktop 75% 50% 37% 25% 18% 0% Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q % 21% 24% 27% 34% Source: IDC, 2003 Les résultats de l'enquête menée par IDC confirment cette tendance en faveur d'une plus grande pénétration des plates-formes mobiles dans les entreprises. Près des trois quarts des structures interrogées (73%) qui appartiennent tant au secteur privé qu'au secteur public ont vu leur parc de Notebooks croître au cours des deux dernières années, une dynamique d'équipement forte qui repose sur un double phénomène : La croissance du parc informatique des entreprises est de plus en plus portée par le développement du parc de PC portables. En d'autres termes, l'informatisation des nouveaux collaborateurs passe, dans un nombre croissant d'entreprises, par l'acquisition de plates-formes mobiles qui représentent une véritable alternative aux PC traditionnels. Selon les résultats de l'enquête menée par IDC, 84% des entités interrogées expliquent l'augmentation de leur parc d'ordinateurs portables par l'équipement de collaborateurs nouvellement recrutés ; 4 #FR IDC

5 Parallèlement à l'augmentation du parc informatique global, le développement du nombre de PC portables dans les entreprises et les administrations repose également sur un phénomène croissant de substitution des PC Desktops par des Notebooks. Plutôt que de remplacer les ordinateurs Desktops en fin de vie par des plates-formes récentes mais similaires, un nombre croissant d'entreprises renouvelle leur parc PC à travers l'acquisition de plates-formes mobiles. Même si le terme de cannibalisation est encore fort pour décrire cette tendance, le phénomène de substitution est déjà très présent dans les entreprises : les trois quarts des structures interrogées par IDC justifient l'augmentation de leur parc de PC portables par le remplacement de certaines unités fixes considérées comme obsolètes. Le parc d'ordinateurs portables des entreprises tend à croître rapidement. L'enquête menée par IDC indique que le poids des PC Notebooks atteint d'ores et déjà 15% du parc PC total des entreprises et des administrations interrogées. Une tendance qui devrait se poursuivre dans les prochaines années au regard des perspectives d'adoption des plates-formes informatiques mobiles : près de la moitié des entreprises interroger prévoit d'augmenter leur parc de Notebooks à court terme, c'est-à-dire dans les 12 prochains mois. FIGURE 3 LE PARC DE PC PORTABLES PROGRESSE Avez-vous augmenté le parc d'ordinateurs portables au cours des deux dernières années? Non 27% Oui 73% Collaborateurs nouveaux Sur quels facteurs repose l'augmentation du nombre d'ordinateurs portable depuis deux ans? Remplacement de PC Desktops : 75% Équipement de collaborateurs nouvellement arrivés : 84% Equipement de collaborateurs nouveaux ET Remplacement de PC Desktop Remplacement de PC Desktop 25% 59% 16% Source: enquête conjointe IDC/Dell, 2003 VERS LA RATIONALISATION DU COUT DE POSSESSION DE L'INFORMATIQUE MOBILE L'effet de volume est un élément déterminant dans le déclenchement d'une stratégie d'informatique mobile. Le ticket d'entrée de la mobilité, lié au coût des plates-formes informatiques et à celui des prestations complémentaires (gestion administration, sécurisation), sera d'autant plus abordable que le nombre d'unités considérées est élevé IDC #FR106 5

6 Alors que l'opportunité d'une stratégie d'informatique mobile était la plupart du temps annihilée par les coûts d'acquisition des PC portables considérés comme trop important par rapport à leur équivalent technologique dans le monde Desktops l'évolution à la baisse des prix des plates-formes mobiles poussent les entreprises à reconsidérer leurs décisions d'investissement ; La diminution des prix moyens des ordinateurs portables est d'autant plus un facteur incitatif d'adoption que le différentiel de prix avec les PC Desktops tend à diminuer. La figure 4 décrit l'évolution des prix moyens en faveur des PC portables : la réduction du prix moyen des plates-formes mobiles atteint 35% entre le premier trimestre 1999 et le troisième trimestre 2003, tandis que les Desktops voient leur prix régresser de 11% sur la même période. Conséquence : alors que le prix moyen des Notebooks était supérieur de 83% à celui des Desktop début 1999, la différence de prix entre les deux catégories de PC a fortement diminué sur la période. Le surcoût généré par l'acquisition d'un Notebook a été divisé par près de 3 sur la période : il s'élève à 35% au troisième trimestre 2003 ; FIGURE 4 L'EVOLUTION DU PRIX MOYEN DES PC PORTABLES ET DESKTOP SUR LE MARCHE FRANÇAIS ENTRE 1999 ET 2003 (PRIX HT $US) Notebook Desktop Prix constatés HT ($US) Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q % Q % + 51% + 51% + 42% + 35% Source: IDC, 2003 Le coût unitaire d'une stratégie d'informatique mobile est inversement proportionnel au volume d'ordinateurs portables considérés. Le nombre de PC portables impliqués dans la stratégie mobilité de l'entreprise est donc un élément crucial puisqu'il permet de répartir les coûts "fixes" liés à la mise en œuvre, à l'administration et à la sécurisation de la stratégie mobilité de l'entreprise sur un nombre toujours plus élevé de plates-formes mobiles et de diminuer ainsi le coût total de possession (TCO : Total Cost of Ownership) du poste informatique mobile. L'effet de volume, associé à la diminution du prix moyen des ordinateurs portables ces dernières années, favorisent la rationalisation du coût de possession unitaire de l'informatique mobile. Conséquence directe de la diminution du coût de possession unitaire de l'informatique mobile, les bénéfices attendus par les entreprises autour de la mise en œuvre d'une stratégie d'informatique mobile sont de plus en plus en accord avec le niveau de coût qu'une telle politique engendre. Même si les entreprises éprouvent, aujourd'hui encore, des difficultés à anticiper le niveau de rentabilité de leurs investissements autour de la mobilité (ROI : retour sur investissement) notamment à travers les difficultés à estimer le coût réel lié à la stratégie sécurité de l'infrastructure mobile le développement de nouveaux usages et de nouveaux services liés à la mobilité en direction des collaborateurs, des partenaires ou encore des clients, les incite de manière croissante à passer le cap de l'informatique mobile. 6 #FR IDC

7 VERS UNE NOUVELLE APPROCHE DE L'INFORMATIQUE MOBILE En définitive, la véritable valeur ajoutée d'une stratégie d'informatique mobile repose sur la capacité des collaborateurs à accéder au système d'information de l'entreprise, de manière transparente et quelque soit leur localisation géographique. Alors que les bénéfices associés à l informatique mobile sont clairement identifiés par les entreprises, plusieurs questions restent en suspend : quelles sont les populations aujourd hui prioritairement équipées en technologie mobile, quelles sont les tendances pour les prochaines années, quel est le degré actuel d ouverture du système d information en mode d accès distant? Autant de questions destinées à identifier le véritable niveau de maturité des entreprises face à cette problématique d informatique mobile. LA PROXIMITE, AU CŒUR DE LA PROBLEMATIQUE D'ACCES DISTANT Même si la diminution du prix moyen des PC portables est un facteur incitant les entreprises à adopter massivement les plates-formes mobiles, elle n'explique pas, à elle seule, l'engouement actuel des entreprises pour les technologies mobiles. Elles cherchent, à travers la mise en œuvre d'une stratégie d'informatique mobile, à renforcer la proximité avec leurs collaborateurs, leurs clients et leurs partenaires. FIGURE 5 LES BENEFICES DE L'ACCES DISTANT AU SYSTEME D'INFORMATION DE L'ENTREPRISE Des contacts plus étroits avec le site de l'entreprise 14% 25% 61% De meilleures réponses aux demandes des clients 22% 18% 60% Des décisions plus rapides dans les phases de négociations 23% 18% 59% L augmentation de la productivité globale des employés mobiles 19% 26% 55% 0% 25% 50% 75% 100% Bénéfices nuls ou faibles Bénéfices moyens ou importants Bénéfices très importants Source: enquête conjointe IDC/Dell, 2003 Les structures interrogées par IDC confirment cette tendance : elles identifient clairement les bénéfices qu'elles associent à la possibilité d'accéder, de manière distante, au système d'information de l'entreprise. La proximité est au cœur de leur réflexion stratégique : 2003 IDC #FR106 7

8 La proximité de l'entreprise avec ses collaborateurs, à travers la capacité de ces derniers à disposer des ressources disponibles au sein du système d'information données et contenus stratégiques de l'entreprise quelle que soit leur localisation géographique. Cette proximité stratégique pour les populations intrinsèquement nomades telles que les commerciaux, les agents/techniciens de maintenance ou encore les consultants est identifiée par 61% des entreprises interrogées comme un bénéfice majeur de l'accès distant au système d'information : Un bénéfice d'autant plus stratégique que le lien potentiellement permanent des collaborateurs avec le système d'information permet à l'entreprise de renforcer son niveau de maîtrise et sa visibilité sur une population par définition difficile à contrôler ; Par ailleurs, l'accès distant des collaborateurs au système d'information de l'entreprise est synonyme de gains de productivité considérables pour plus de la moitié des structures interrogées (55%). La capacité des collaborateurs itinérants à disposer d'informations actualisées (en temps réel ou périodiquement) telles que des ordres de mission à jour, la modification de la tournée d'un transporteur ou encore la mise à jour des informations critiques d'un dossier client permet à ces derniers d améliorer leur niveau de productivité en optimisant dynamiquement l'allocation de leur temps ; Les gains de productivité proviennent également d une collaboration plus étroite entre des employés de l entreprise géographiquement distants. L'utilisation des plates-formes informatiques mobiles en mode d accès distant favorise le développement de nouvelles façons de travailler entre collaborateurs un bénéfice majeur pour 59% des entreprises interrogées (figure 6), notamment à travers l échange d informations en temps réel et l'utilisation de solutions de travail collaboratif. FIGURE 6 LES APPORTS D'UNE STRATEGIE D'INFORMATIQUE MOBILE De nouvelles façons de travailler entre les collaborateurs 59% De nouveaux modes de relation avec les partenaires et fournisseurs 47% De nouveaux services en direction des clients 21% 0% 25% 50% 75% Source: enquête conjointe IDC/Dell, 2003 La proximité de l'entreprise avec ses clients : la qualité de services fournie aux clients, la capacité à répondre précisément aux besoins exprimés, la réactivité face aux attentes des clients et des prospects, sont aujourd'hui des 8 #FR IDC

9 axes de différenciation critiques, notamment pour les structures évoluant sur des marchés très concurrentiels et dont les marges de manœuvre en matière de différenciation prix ou produit sont limitées. Ainsi, la capacité des forces de vente nomades à déterminer en temps réel la disponibilité des différentes gammes de produits grâce à une connexion distante au système de gestion des stocks représente un avantage concurrentiel certain. Cette souplesse permet aux forces commerciales d adapter dynamiquement la nature de leur proposition aux contraintes de production de l entreprise, optimisant ainsi les délais de livraison, la gestion des stocks et la satisfaction des clients. En conséquence, près des deux tiers des entités interrogées (60%) plébiscitent les solutions d'informatique mobile pour leur capacité à renforcer la proximité des entreprises avec leurs clients et prospects. EQUIPEMENTS MOBILES : AU-DELÀ DES POPULATIONS NOMADES Selon IDC, la mobilité professionnelle concerne 10,3 millions de collaborateurs en France en 2003, soit 45% de la population active. La mobilité des collaborateurs devrait encore progresser dans les années à venir pour atteindre 13 millions de professionnels à l horizon 2007, portant le poids de la population mobile à près de 48% de l ensemble des professionnels. La mobilité interne, qui concerne les collaborateurs ayant un besoin élevé de se déplacer dans l enceinte de leur entreprise, touche 20% de la population active française tandis que la mobilité externe, qui caractérise l activité des professions nomades (encadrement, commerciaux, techniciens de maintenance, visiteurs médicaux ) touche 25% des professionnels en France. Les résultats de l enquête menée par IDC confirment la place de la mobilité externe au sein des grands comptes français. FIGURE 7 LE POIDS DES COLLABORATEURS MOBILES En moyenne Ensemble des collaborateurs 61% 27% Moins de 25% de collaborateurs mobiles 25% à 50% 50% à 75% Plus de 75% 8% 4% 22% Commerciaux 24% 10% 7% 60% 67% Encadrement 40% 8% 23% 30% 48% Marketing/Communication 38% 9% 32% 21% 44% Informatique 39% 26% 16% 20% 39% 0% 20% 40% 60% 80% 100% Source: enquête conjointe IDC/Dell, IDC #FR106 9

10 La figure 7 précise le caractère plus ou moins mobile de certaines fonctions de l'entreprise encadrement et management, informatique, forces de vente, Marketing/Communication, celles disposant des taux d'équipement les plus élevés en plates-formes mobiles. Les résultats de l'enquête indiquent que l équipement actuel de ces collaborateurs en PC Notebooks est en adéquation avec leur niveau de mobilité externe. Ainsi, 62% des forces commerciales des grands comptes interrogés disposent d un PC portable, un niveau d équipement proche des besoins puisque 67% des commerciaux ont une activité explicitement mobile (mobilité externe). De même, alors que 48% de l encadrement est déclaré comme fortement mobile, le taux d équipement de cette population de collaborateurs en Notebooks atteint, en moyenne, 46%. Les équipes informatiques font face au même phénomène : 36% d'entre elles disposent d un ordinateur portable tandis que 39% ont une activité impliquant une grande mobilité (intervention sur site, maintenance ). Seules les équipes marketing disposent d un taux d équipement moyen supérieur à leur niveau de mobilité : 46% contre 44%. Alors qu'il existe une forte adéquation entre le degré de mobilité externe de ces populations et leur niveau d'équipement en Notebooks, les entreprises projettent d'investir encore massivement à court terme et moyen terme pour renforcer la pénétration des plates-formes mobiles au sein de ces mêmes catégories de collaborateurs. La figure 8 décrit cette perspective à travers de nouvelles phases d'équipement qui privilégient les populations traditionnellement équipées : 90% des entreprises interrogées prévoient de renforcer l'équipement des personnels d'encadrement tandis que 60% investiront dans l'équipement du personnel informatique. De même, alors que 52% des entreprises ont activement investi dans l'équipement mobile de leurs forces commerciales ces dernières années, 50% de ces mêmes entreprises envisagent d'élargir la pénétration des Notebooks à une frange plus importante de leurs commerciaux. FIGURE 8 LES POLITIQUES D INVESTISSEMENT DES ENTREPRISES EN MATIERE D INFORMATIQUE MOBILE Encadrement/Management/responsable d équipe 97% 90% Informatique 60% 81% Commerciaux, avant-vente, responsable de compte Marketing/Communication 52% 50% 45% 35% Conseils, formation Services après-vente, maintenance 24% 18% 18% 13% Chauffeur / Livreur / Transporteur 5% 6% 0% 25% 50% 75% 100% Les catégories de collaborateurs bénéficiant de PC portable Nouvelle phase d'équipement prévue à court et moyen terme Source: enquête conjointe IDC/Dell, #FR IDC

11 La volonté d'équiper une base toujours plus importante de collaborateurs est un phénomène participant à la démocratisation des outils mobiles. Non pas que le nombre de collaborateurs fondamentalement nomades augmentent dans les mêmes proportions que la base installée de PC portables, mais plutôt que les entreprises tendent à élargir la notion de mobilité à des collaborateurs dont le niveau de mobilité externe est bien moins important que celui des collaborateurs itinérants, voir pour certains quasiment nul. Cette nouvelle donne est tirée par l'évolution des caractéristiques intrinsèques des ordinateurs portables qui pousse ces derniers à se substituer aux plates-formes traditionnelles : la réduction de leur niveau d'encombrement, des capacités de stockage et de puissance aujourd'hui équivalentes à celles d'un PC Desktop, une ergonomie améliorée grâce à l'augmentation de la taille et de la qualité des écrans associés, une connectivité tout aussi large que celle proposée par les PC traditionnels leur permettant de se connecter au réseau de l'entreprise par voie filaire (modem RTC/RNIS, carte réseau RJ45) ou par les ondes (GSM, GPRS, b/g). ACCES DISTANT : DE LA MESSAGERIE ELECTRONIQUE AUX APPLICATIONS VERTICALISÉES Alors que la pénétration des PC portables en direction des populations nomades est déjà bien engagée, les entreprises sont entrées dans une nouvelle phase d'équipement concernant des populations dont la mobilité est souvent restreinte aux frontières de l'entreprise. Conséquence de cette double approche de l'équipement mobile, les Directions Informatiques se doivent de reconsidérer l'accès des PC portables au système d'information en fonction des différents usages associés à ces plates-formes. Se substituant de manière croissante aux PC Desktops, certains PC portables doivent bénéficier des mêmes caractéristiques d'accès au système d'information que leurs homologues fixes. Seule différence de taille, le caractère mobile de la plate-forme leur confère une plus grande sensibilité dans la mesure où les données et les applications hébergées en local sur la machine sont beaucoup plus exposées qu'elles ne l'étaient dans un mode Desktop ; Cette problématique d'accès globale au système d'information depuis une plateforme mobile est d'autant plus critique pour les Directions Informatiques qu'elles développent, de manière croissante, des réseaux locaux sans fil WLAN (Wireless LAN) interconnectés avec le réseau LAN traditionnel. Bien qu'ils ne soient pas destinés, dans la plupart des cas, à se substituer au réseau local filaire de l'entreprise, les réseaux sans fils WLAN répondent à des attentes fortes, notamment à travers le développement de nouveaux usages Wireless autour d'applications très verticalisées : c'est le cas dans le domaine de la santé accès au dossier du malade pendant la tournée du médecin, aide au diagnostique, prescription en direct ou encore dans le domaine de la logistique et des inventaires optimisation de la localisation, du suivi et des mouvements des stocks dans les entrepôts ; La troisième problématique d'accès au système d'information repose sur la connexion des utilisateurs aux données et aux applications de l'entreprise en mode d'accès distant. La capacité des collaborateurs itinérants à interagir avec le système d'information en mode d'accès distant par voie filaire (RTC, RNIS, DSL ) ou non-filaire (GSM, GPRS, WiFi) représente la véritable valeur ajoutée liée à l'utilisation des plates-formes mobiles : enregistrement des commandes clients, consultation des stocks en temps réel, état d'avancement de la production, historique des commandes, gestion des achats, suivi de la maintenance et du support aux clients Identifiée comme un bénéfice majeur à travers sa capacité à améliorer la satisfaction des clients et la productivité des collaborateurs, la connexion distante au système d'information nécessite d'ouvrir les applications stratégiques de l'entreprise IDC #FR106 11

12 FIGURE 9 LES BESOINS D'ACCES DISTANT AU SYSTEME D'INFORMATION DES ENTREPRISES Messagerie électronique 8% 85% 93% Intranet 20% 70% 90% Application de gestion de la relation clients (CRM) 17% 66% 83% Accès Internet 29% 51% 80% ERP 23% 55% 78% Applications métiers 14% 63% 76% Applications collaboratives 19% 48% 68% Application décisionnelle 23% 30% 53% 0% 25% 50% 75% 100% Besoins moyens ou importants Besoins très importants Source: enquête conjointe IDC/Dell, 2003 La figure 9 confirme cette tendance : les besoins d'accès distant des utilisateurs sont aujourd'hui plus vastes que les seules applications de messagerie électronique ou l'intranet. Ils s'étendent de manière croissante aux applications stratégiques de l'entreprise telles que la gestion de la relation clients (automatisation des forces de vente, suivi et support clients, automatisation des actions Marketing), l'erp et bien entendu les applications métiers de l'entreprise. Ces besoins d'accès aux applications stratégiques, qualifiés de très importants par plus de la moitié des entreprises interrogées, recadrent la problématique de mobilité autour de la nécessaire sécurisation du système d'information de l'entreprise. 12 #FR IDC

13 LA SECURITE, AU CŒUR DE LA PROBLEMATIQUE MOBILITE Face à l'ouverture croissante des systèmes d'information et la pénétration des technologies Internet, la sécurité informatique est devenue l une des préoccupations majeures des Directions Informatiques. Cette préoccupation est d'autant plus critique pour les entreprises que le développement d'une stratégie d'informatique mobile s'inscrit progressivement dans leur politique de développement informatique : le parc de Notebooks ne cesse de croître, impliquant de nouveaux besoins autour de la sécurisation des plates-formes et de l'accès distant au système d'information ; les projets liés à la mise en œuvre de réseaux WLAN se concrétisent, renforçant d'autant les exigences de sécurité face aux nombreuses menaces qui y sont associées ; certaines entreprises prévoient d'autoriser, à termes, l'accès distant à Internet ou au réseau d'entreprises via des Hotspots (bornes publiques d'accès WiFi), une perspective qui nécessite un niveau de sécurisation optimale. La sécurisation du parc de PC portable est un impératif quelque soit le niveau de maturité des entreprises en matière d'accès distants au système d'information : accès filaire ou non-filaire, accès à la messagerie électronique ou accès aux applications stratégiques et métiers. La mise en œuvre d'une stratégie d'informatique mobile implique de nouveaux comportements de la part de l'entreprise à travers la mise en place d'une politique globale de sécurité destinée à couvrir l'ensemble des risques identifiés mais également de la part des collaborateurs équipés de plates-formes mobiles : vigilance face au vol physique de la plate-forme, contrôle de l'accès physique au Notebook, surveillance des données stratégiques hébergées en local DE L'ACCES DISTANT A L'ACCES MOBILE : LA SECURITE IT EN QUESTION La sécurité du système d'information est une priorité pour les Directions Informatiques. Elles ont investi quelques 753 milliards d'euros sur la seule année 2002 autour de la problématique de sécurité informatique, une enveloppe globale en croissance de 19,8% par rapport à Et cette tendance devrait se confirmer en 2003 avec une croissance des dépenses de sécurité estimée à 22%, portant le niveau des investissements à 920 millions d'euros. Cette prise de conscience des entreprises autour de la problématique de sécurisation du système d'information doit être considérée suivant une double contrainte : Sécuriser le système d'information il héberge les données vitales de l'entreprise et distribue les applications stratégiques qui sont au cœur des processus de l'entreprise afin d'assurer la pérennité de l'activité ; Développer de nouveaux usages et de nouvelles pratiques informatiques pour augmenter le niveau de productivité des collaborateurs et le niveau de rentabilité de l'entreprise, favoriser la proximité avec les clients et, bien entendu, gagner des parts de marché autant de facteurs qui permettent d'assurer la pérennité de l'entreprise IDC #FR106 13

14 FIGURE 10 LES FREINS AU DEVELOPPEMENT D UNE STRATEGIE D INFORMATIQUE MOBILE La mise en place de solutions mobiles remet en cause la sécurité du SI 17% 24% 60% La gestion et la maintenance d'un parc de PC portable sont complexe et coûteuse 32% 24% 44% L autonomie des PC portables n est pas adaptée aux besoins 39% 22% 39% Les besoins en mobilité sont trop faibles 36% 28% 37% Les problèmes de synchronisation des données résidant sur le portable avec le SI 43% 23% 35% L'intégration des solutions mobiles au SI est complexe 35% 32% 33% 0% 25% 50% 75% 100% Frein nul ou faible Frein moyen ou important Frein très important Source: enquête conjointe IDC/Dell, 2003 FIGURE 11 L'EVOLUTION DES TECHNOLOGIES DE COMMUNICATION MOBILE Débits 54Mbs 11Mbs WiFi 2Mbs 384Kbs UMTS 30/54Kbs 9,6/14,4Kbs Bureaux Lieux publics Centre Ville GPRS GSM Ville département Pays International Étendue géographique Source: IDC, #FR IDC

15 Selon IDC, ces contraintes ne peuvent être dissociées l'une de l'autre, et ne doivent pas agir l'une au détriment de l'autre dans la mesure où elles ont pour finalité un objectif commun : garantir la pérennité de l'entreprise. En d'autres termes, la politique de sécurité du système d'information ne doit pas représenter un frein au développement Business, tandis que les exigences économiques (accroître la productivité et la rentabilité, développer l'activité ) ne doivent pas augmenter les risques liés à l'insécurité informatique. Le développement de l'informatique mobile souffre de ce paradoxe : identifié par les entreprises comme axe stratégique permettant de favoriser la proximité avec les clients et de gagner en productivité, le développement de l'informatique mobile est freiné par les contraintes qu'elle soulève en matière de sécurisation (voir figure 10) : 60% des Directeurs Informatiques interrogés par IDC se déclarent freinés dans leur démarche mobilité. Les contraintes sécuritaires tendent à croître au rythme de l'évolution des technologies de communication. Alors que la majorité des entreprises autorisent l'accès distant des collaborateurs au système d'information en mode filaire (73% d'entre elles), elles sont de plus en plus nombreuses à étudier les possibilités de l'accès distant en mode "Wireless" grâce aux standards GSM, GPRS (bientôt UMTS) ou encore WiFi : ces standards gagnent en maturité à travers l'élargissement de leur couverture géographique et l'augmentation des débits de connexion (voir figure 11). D'autant plus que les technologies de communication mobile sont d'ores et déjà largement implémentées au sein des parcs mobiles en place : 56% des entreprises interrogées disposent de PC portables équipés WiFi, une pénétration qui devrait augmenter dans les prochaines années puisque 77% des entreprises prévoient d'investir dans des plates-formes équipées WiFi (voir figure 12). De même, l'adoption des réseaux WLAN progresse dans les entreprises : 39% des structures interrogées ont d'ores et déjà implémenté un réseau WLAN dans un premier temps limité à quelques utilisateurs qui devrait rapidement s'étendre à une part plus importante des collaborateurs (selon 55% des entreprises équipées), tandis que 24% prévoient d'initier une telle démarche dans les prochaines années. Par ailleurs, 44% des entreprises sensibilisées aux technologies WLAN (équipées ou projetant de s'équiper) sont décidées à autoriser l'accès futur de certains utilisateurs via des Hotspots. FIGURE 12 LES TECHNOLOGIES DE COMMUNICATION MOBILE ADOPTEES PAR LES ENTREPRISES L équipement actuel et à venir des Notebooks en technologie de communication Carte réseau WLAN (WiFi) 56% 77% L adoption des réseaux WLAN par les entreprises Équipement actuel Extension prévue du nombre d utilisateurs modem GPRS modem GSM modem RTC 11% 14% 25% 27% Technologies intégrées dans le parc Noebook actuel Technologies intégrées dans les futurs PC portables 75% 78% 0% 25% 50% 75% 100% Non mais projet dans plus de 2 ans 5% Non, pas de projet 37% Oui 39% Non 45% Non, mais projet dans les 2 ans 19% Oui 55% Source: enquête conjointe IDC/Dell, IDC #FR106 15

16 EVALUER LE RISQUE DE L'INFORMATIQUE MOBILE Face à l'évolution des usages et des modes de communication de l'informatique mobile, les entreprises se doivent d'évaluer le niveau de risque qu'implique une telle politique. Le risque est multiple, plus vaste que le risque "réseau" lié à l'intrusion inamicale ou à l'interception de données confidentielles transitant sur le réseau (Wireless, LAN, Internet). Le graphique 13 recense les différents risques auxquels les entreprises sont confrontées dans la gestion et l'exploitation de leur parc informatique mobile. FIGURE 13 LES RISQUES DE L'INFORMATIQUE MOBILE Risques de l accès filaire Virus Destruction du Notebook Vol du PC Portable Vol physique des données Intrusion via le réseau interne Lecture «inamicale» de données confidentielles transitant sur le réseau Réseau LAN SI de l entreprise WLAN Risques de l accès Wireless Virus Destruction du Notebook Vol du PC Portable Vol physique des données Intrusion via le réseau interne Lecture «inamicale» de données confidentielles transitant par les ondes Virus Lecture «inamicale» de données confidentielles transitant sur le réseau Intrusion sur le réseau local de l entreprise INTERNET Virus Lecture «inamicale» de données confidentielles transitant sur le réseau Intrusion sur le réseau local de l entreprise Virus Vol, destruction du Notebook Vol physique des données Intrusion par le réseau interne du client/partenaire Lecture «inamicale» de données confidentielles transitant sur le réseau LAN Client/Partenaires Domicile GSM/GPRS Hotspot Virus Vol, destruction du Notebook Vol physique des données Intrusion par les ondes Lecture «inamicale» de données confidentielles transitant via les ondes Source: IDC, 2003 Du point de vue de l'utilisateur, le risque informatique associé à la mobilité se situe à trois niveaux : En mode d'accès local, à travers l'utilisation du PC portable en mode filaire (connecté au réseau local via RJ45) ou non-filaire (connecté au réseau local en mode b/g) : le risque porte tant sur la plate-forme physique destruction du PC portable, vol du PC portable, vol de données confidentielles (copie sur support physique) que sur le réseau interne : virus, intrusion malveillante via le réseau LAN ou par les ondes (réseau WLAN). Dans ce dernier cas de figure, la connexion physique au réseau de l'entreprise, qui représente un premier rempart à l'accès au système d'information, est remplacée par une connexion sans fil : les ondes radio utilisées pour transmettre les données peuvent dépasser les frontières de l'entreprise selon un périmètre plus ou moins important, facilitant d'autant la connexion au système d'information d'ordinateurs physiquement externes à l'entreprise ; 16 #FR IDC

17 Au niveau du réseau Internet, à travers le risque de lecture inamicale des données transitant sur le réseau Internet, le risque d'intrusion sur le réseau local de l'entreprise et le risque viral ; En mode d'accès distant, depuis le site d'un client, d'un partenaire, en situation de télétravail depuis le domicile du collaborateur ou en situation de mobilité à travers une connexion filaire ou Wireless (GSM/GPRS ou WiFi/Hotspot) : Dans ce contexte, le risque "physique" repose sur les mêmes problématiques qu'en mode d'accès local, à la différence qu'il est exacerbé par le fait que l'utilisateur se trouve dans un environnement externe, plus difficile à maîtriser : le risque de vol est multiplié tandis que l'accès physique aux données (lecture "accidentelle" de données confidentielles, copie sur support ) est facilité ; Le risque "réseau" est lui aussi exacerbé par le fait que le collaborateur nomade ne maîtrise pas le réseau filaire ou Wireless qu'il emprunte en mode d'accès distant. Les risques "physique" et "réseau" ne remettent pas uniquement en cause la sécurisation des données hébergées en locales sur la plate-forme mobile, ils touchent à la sécurité de l'ensemble du système d'information de l'entreprise à travers la connexion du Notebook au réseau local LAN. Les résultats de l'enquête montrent que les structures interrogées ont une réelle conscience des risques qu'elles encourent. Elles hiérarchisent ce risque au premier rang desquels elles positionnent le risque stratégique lié à la perte ou au vol de données confidentielles (voir figure 14) : les deux tiers des entreprises interrogées (65%) considèrent ce risque comme majeur étant donné qu'il met en péril le développement économique de l'entreprise (divulgation de données comptables, managériales ou produits vers la concurrence) et remet en cause les investissements réalisés (dépenses de R&D, veille économique ). FIGURE 14 LES RISQUES LIES A LA MISE EN PLACE D'UNE STRATEGIE D'INFORMATIQUE MOBILE Risque stratégique : perte/vol de données confidentielles pour l'entreprise 15% 20% 65% Risque financier : perte matérielle (vol des PC portables) 19% 20% 61% Risque technologique : difficulté à restaurer des données perdues qui étaient stockées localement sur le PC Portable 27% 18% 55% Risque juridique : perte/vol de données portant sur les clients ou les fournisseurs 25% 25% 50% Risque en matière d'image : perte de confiance des clients/fournisseurs (vol de données personnelles) 31% 25% 44% 0% 25% 50% 75% 100% Risque nul ou faible Risque moyen ou important Risque très important Source: enquête conjointe IDC/Dell, IDC #FR106 17

18 Malgré la lucidité des entreprises quant aux risques qu'elles encourent qu'ils soient stratégiques, financiers, technologiques, juridiques ou liés à un déficit d'image auprès des clients ou des fournisseurs, les résultats de l'enquête IDC indiquent que "seuls" 70% des Directeurs Informatiques disposant d'un parc de Notebooks ont mis en œuvre une politique de sécurité qu'ils considèrent comme adaptée aux spécificités de l'informatique mobile. Plusieurs questions restent alors en suspend : Quelles sont les solutions technologiques mises en place pour sécuriser le système d'information dans ce contexte d'informatique mobile, et quelle est leur efficacité face aux risques encourus? La stratégie sécurité des entreprises repose-t-elle sur une approche structurée ou sur une approche opportuniste? En d'autres termes, quel est le niveau de maturité des entreprises face à la sécurisation de leur système d'information? VERS UNE APPROCHE SYSTEMIQUE DE LA SECURITE INFORMATIQUE Comment évaluer l'efficacité d'une stratégie de sécurisation du système d'information? Une question complexe les entreprises ne disposent pas d'indicateurs permettant d'ajuster, de manière optimale, le niveau de sécurité au niveau de risque qui appelle une réponse simple : une stratégie de sécurité est efficace quand elle prend en compte, de manière adaptée, l'ensemble des risques encourus. En d'autres termes, la pertinence d'une stratégie sécurité ne repose pas uniquement sur l'efficacité des solutions technologiques retenues une condition nécessaire mais non-suffisante, elle est également liée à l'amplitude des risques que cette politique de sécurité couvre. A ce titre, quelle serait la pertinence d'investir massivement dans une solution IPVPN particulièrement efficace (et coûteuse), si rien n'est fait pour pallier les risques de divulgation des données hébergées localement en cas de perte ou de vol du PC portable? FIGURE 15 QUELLES SOLUTIONS DE SECURITE AUTOUR DE LA STRATEGIE D'INFORMATIQUE MOBILE? Question : Êtes-vous équipé ou prévoyez-vous de vous équiper à court terme des solutions de sécurité suivantes? Question : Quel est, selon vous, le niveau d efficacité des solutions de sécurité suivantes? Solution d'antivirus 100% 16% 80% 96% Authentification par mot de passe 99% 1% 23% 64% 87% Solution IP VPN 66% 14% 26% 71% 97% Solution de détection d'intrusion 64% 6% 26% 65% 91% Cryptage des données 53% 13% 21% 75% 96% Câble antivol 60% 3% 29% 37% 66% Tatouage/marquage des PC portables 44% 4% 25% 35% 60% Lecteur de smartcard 23% 12% 31% 46% 77% Authentification biométrique 8% 4% 25% 57% 82% 0% 25% 50% 75% 100% 0% 25% 50% 75% 100% Solution déjà en place En projet Solution efficace Solution très efficace Source: enquête conjointe IDC/Dell, #FR IDC

19 Dans ce contexte, la politique de sécurisation de la stratégie d'informatique mobile nécessite de sécuriser chaque facteur de risque préalablement identifié, au "risque" d'être inefficiente : perte, vol, destruction des données ou de la plate-forme mobile, risque viral, risque d'intrusion, risque de lecture "inamicale" des données transitant sur le réseau local, sur Internet ou via les ondes Selon IDC, cette conception globale de la sécurité IT représente un impératif vers lequel les entreprises devront tendre. Les résultats de l'enquête menée par IDC montrent que les entreprises se dirigent progressivement vers cette approche systémique de la sécurité informatique qui prône la couverture optimale des risques de l'informatique mobile : la totalité des structures interrogées ont investi, dans une première phase, autour des solutions d'authentification simple (mot de passe) et d'antivirus ; elles sont nombreuses à se tourner, dans une seconde phase d'investissement, vers des solutions technologiquement évoluées destinées à limiter le risque "réseau" : réseau privé virtuel (IPVPN), détection d'intrusion ou encore cryptage des données des solutions identifiées comme efficaces par la presque totalité des structures interrogées. La solution IPVPN, qui a l avantage d être applicable à un grand nombre d utilisateurs, utilise différents standards et mécanismes de sécurité afin de protéger l information et s assurer que seules les personnes autorisées peuvent accéder au réseau : l IPSec est le protocole de sécurité le plus utilisé dans le cadre du trafic VPN, il peut utiliser le DES, le 3DES et d autres algorithmes pour crypter les données. Selon IDC, étant donné que de nombreuses entreprises et organisations ont déjà mis en place un VPN sur leur réseau WAN, étendre cette solution à la problématique d'accès distant Wireless s avère relativement économique. Seul inconnue : la capacité d'un Hotspot à accepter le client VPN installé sur le PC portable du collaborateur ; les résultats de l'enquête IDC présagent une troisième phase d'investissement destinée à pallier plus particulièrement le risque "physique" de l'informatique mobile : alors que 77% des entreprises considèrent les technologies SmartCard comme des solutions d'authentification efficaces et complémentaires au simple mot de passe, elles sont seulement 23% à avoir implémenté ces technologies encore récentes. Le fossé est encore plus important pour les solutions d'authentification forte basées sur la biométrie (emprunte digitale, iris, rétine, voix ) : 82% des entreprises les considèrent comme efficaces, seulement 8% ont investi dans ces technologies encore peu répandues. Selon IDC, la part relativement faible des projets d'authentification par Smartcard ou biométrie respectivement 12% et 4% des entreprises interrogées repose essentiellement sur le caractère novateur des solutions considérées. Les projets d'implémentation devraient progresser au rythme de leur démocratisation auprès des utilisateurs professionnels. Selon IDC, la maturité des entreprises en matière de sécurisation de leur stratégie informatique mobile tend à évoluer positivement même si elles sont encore nombreuses à être freinées dans leur démarche par les difficultés qu'elles éprouvent à identifier le ROI d'une politique de sécurité IT. Alors que 57% des structures interrogées ont des difficultés à estimer le coût de cette politique sécurité, 59% font face à des difficultés pour en évaluer les bénéfices. Selon IDC, la démarche ROI, bien que structurante pour l'entreprise, ne doit pas brider le développement de l'informatique mobile. D'autant plus que certaines mesures de sécurité informatique, telles que le câble antivol ou le tatouage de la plate-forme, ne sont que "faiblement" adoptées par les structures interrogées malgré leur coût dérisoire et leur efficacité "préventive" indéniable. Elles sont une réponse directe au risque "stratégique" (vol de données confidentielles), identifié par les entreprises comme le risque majeur de l'informatique 2003 IDC #FR106 19

20 mobile. D'autres réponses technologiques sont directement intégrées dans les standards de communication. C'est le cas des protocoles : Le 802.1x est un protocole de sécurité développé par le IEEE pour les réseaux locaux sans fil compatibles aux standards Ce protocole, qui utilise des clés dynamiques contrairement à la technologie des clefs WEP (Wired Equivalent Privacy) qui utilise des clés statiques dont le cryptage à 40 bits s'est avéré limité fournit une infrastructure d authentification permettant à l utilisateur d être authentifié par une autorité centrale ; Obligatoire dans les technologies g et e, le i est un protocole de cryptage des données et de gestion de clefs utilisateurs également développé par le IEEE. CONCLUSION Les entreprises sont de plus en plus nombreuses à investir dans le développement d'un parc d'ordinateurs portables, première étape vers la mise en œuvre d'une véritable stratégie d'informatique mobile. Elles doivent pour cela considérer de manière urgente une nouvelle approche de la sécurité informatique leur permettant de limiter le risque de l'informatique mobile. Même si le risque "zéro" n'existe pas, une approche systémique de la sécurité informatique est la seule véritable réponse au paradoxe auquel les entreprises doivent faire face : développer la stratégie informatique mobile pour répondre aux exigences Business de l'entreprise (rentabilité, productivité, parts de marché ) sans que la problématique de sécurité directement liée ne représente un frein aux développements Business et technologiques. COPYRIGHT NOTICE External Publication of IDC Information and Data Any IDC information that is to be used in advertising, press releases, or promotional materials requires prior written approval from the appropriate IDC Vice President or Country Manager. A draft of the proposed document should accompany any such request. IDC reserves the right to deny approval of external usage for any reason. Copyright 2003 IDC. Reproduction without written permission is completely forbidden. 20 #FR IDC