- La mobilité n'est plus une exception à gérer par dérogation — c'est le mode de travail dominant qui doit être intégré à la gouvernance de sécurité au même titre que les infrastructures fixes.
- La gouvernance de la sécurité mobile couvre quatre dimensions : politique (définition des exigences), technique (MDM, accès conditionnel), opérationnelle (gestion des incidents mobiles), et humaine (formation, responsabilisation).
- Capital One (2019) illustre que l'accès cloud depuis des terminaux mobiles — avec des droits IAM mal configurés — peut exposer des volumes massifs de données. La gouvernance mobile doit inclure les accès cloud portés par les terminaux.
- Le comité de gouvernance sécurité doit inclure un responsable de la sécurité mobile avec une vision transversale : terminaux, accès, données, utilisateurs — et un mandat pour imposer des standards à l'ensemble de l'organisation y compris aux équipes métiers qui déploient des solutions mobiles.
- La gouvernance de la sécurité mobile doit être révisée annuellement et lors de changements majeurs : adoption d'une nouvelle plateforme mobile, changement de politique télétravail, fusion-acquisition ajoutant un nouveau parc.
Intégrer la mobilité dans la gouvernance de sécurité signifie traiter les terminaux mobiles et les accès distants avec le même niveau de rigueur que les infrastructures fixes — serveurs, équipements réseau, applications hébergées. Cette intégration est encore incomplète dans de nombreuses organisations, où la sécurité mobile est traitée comme un sujet IT opérationnel plutôt que comme une dimension de la gouvernance sécurité globale.
Les conséquences de cette séparation sont concrètes : des décisions d'architecture mobile prises sans revue RSSI, des politiques MDM définies par l'IT sans validation sécurité, des déploiements d'applications mobiles métiers sans qualification sécuritaire, et une absence de vision consolidée du risque mobile dans le SMSI. Cette intégration dans la gouvernance ne se fait pas par l'ajout d'une ligne dans le rapport annuel de sécurité — elle requiert des processus, des responsabilités, et des ressources dédiées.
Les quatre dimensions de la gouvernance mobile
La gouvernance de la sécurité mobile couvre quatre dimensions complémentaires. La dimension politique : définir les exigences de sécurité pour chaque type de terminal (entreprise, BYOD), chaque type de données (classification), et chaque type d'accès (ressources internes, cloud) — ces politiques sont des documents vivants, révisés régulièrement et actualisés lors de changements technologiques ou organisationnels. La dimension technique : déployer et maintenir les outils réalisant les politiques (MDM/UEM, accès conditionnel, DLP, EDR mobile) — sans cette dimension, les politiques restent des vœux pieux. La dimension opérationnelle : définir et exercer les procédures de gestion des incidents mobiles (perte de terminal, compromission, départ d'un collaborateur) — la qualité de la réponse aux incidents ne se découvre pas au moment de l'incident. La dimension humaine : former les utilisateurs et les équipes IT, mesurer l'efficacité de la formation, et établir des responsabilités claires pour chaque type d'équipement.
Intégrer la mobilité dans le SMSI
Le Système de Management de la Sécurité de l'Information (SMSI), qu'il soit formel (ISO 27001) ou informel, doit intégrer la mobilité comme un domaine de risque à part entière. Cette intégration inclut : la cartographie des risques mobiles (terminaux perdus, terminaux compromis, accès non autorisés, fuite de données via applications) avec leur probabilité et leur impact, les mesures de traitement associées et leur niveau d'implémentation, les indicateurs de suivi permettant de mesurer l'évolution du risque mobile dans le temps, et les revues périodiques évaluant si les mesures en place restent adaptées aux risques. L'annexe A de l'ISO 27001:2022 inclut explicitement les exigences liées aux équipements mobiles (contrôle 8.1) et au télétravail (contrôle 6.7) — les organisations certifiées doivent démontrer que ces contrôles sont effectivement implémentés, pas seulement documentés.
Morgan Stanley a été condamné à 35 millions de dollars par la SEC pour avoir revendu des serveurs contenant des données clients non effacées. La gouvernance de fin de vie des équipements — un aspect de la gouvernance des actifs informatiques — n'avait pas été correctement appliquée. En mobilité, la gouvernance de fin de vie des terminaux (wipe certifié, désinscription MDM, révocation des accès) suit la même logique : sans processus formalisé et vérifié, des terminaux en fin de vie peuvent maintenir des accès résiduels ou exposer des données. La gouvernance mobile couvre l'ensemble du cycle de vie, pas uniquement le déploiement et l'exploitation.
Le rôle du responsable sécurité mobile
La gouvernance de la sécurité mobile requiert une responsabilité claire : un responsable — RSSI, architecte sécurité, ou responsable dédié dans les grandes organisations — chargé de maintenir une vision consolidée du risque mobile, de piloter les projets de sécurisation (déploiement MDM, accès conditionnel), de qualifier les nouvelles solutions mobiles avant déploiement, et de représenter le sujet sécurité mobile dans les instances de gouvernance IT. Sans responsabilité nominative, la sécurité mobile reste un sujet diffus traité de manière réactive et sans cohérence d'ensemble. Dans les organisations sans RSSI dédié, cette responsabilité peut être partagée entre le DSI et un référent sécurité — l'essentiel est qu'elle soit explicite et que son titulaire dispose du mandat et des ressources pour agir.
Révision de la gouvernance mobile : quand et comment
La gouvernance de la sécurité mobile doit être révisée à intervalles réguliers (annuellement au minimum) et lors d'événements déclencheurs spécifiques. Annuellement : revue de l'ensemble des politiques, des outils, et des indicateurs — intégrant les changements technologiques de l'année (nouvelles versions d'OS mobile, nouvelles menaces documentées, évolution des plateformes cloud) et les leçons des incidents survenus. Lors d'événements déclencheurs : adoption d'une nouvelle politique de télétravail (élargissement du périmètre mobile), déploiement d'une nouvelle application mobile métier (nouveau vecteur d'accès), changement d'un fournisseur MDM (migration de parc), ou fusion-acquisition (intégration d'un nouveau parc de terminaux avec ses propres configurations). Ces révisions déclenchées par des événements sont aussi importantes que les révisions planifiées — elles garantissent que la gouvernance mobile reste adaptée à la réalité opérationnelle de l'organisation.
La compromission de Capital One via une mauvaise configuration IAM AWS illustre que la gouvernance des accès cloud portés par les terminaux est une dimension de la gouvernance mobile souvent négligée. Les credentials AWS configurés sur des terminaux de développeurs ou d'administrateurs — avec des droits plus larges que nécessaires — sont un risque directement lié aux terminaux qui les portent. La gouvernance mobile doit couvrir non seulement la sécurité du terminal lui-même, mais aussi les droits et accès cloud qu'il porte.
L'exposition de 10 millions de fiches clients SNCF illustre les conséquences d'une gouvernance insuffisante des accès aux bases de données clients depuis des terminaux mobiles ou distants. Une gouvernance mobile incluant des politiques DLP sur les accès aux données personnelles en masse, des alertes sur les volumes de requêtes inhabituels, et des revues régulières des droits d'accès depuis des terminaux distants aurait pu détecter ou prévenir cette exposition.
La compromission de Medibank via des identifiants volés a exposé 9,7 millions de clients dont des données médicales. Les identifiants provenaient d'un employé ou prestataire avec accès distant. La gouvernance des accès distants — qui fait partie intégrante de la gouvernance mobile — aurait dû couvrir : contrôle régulier des comptes avec accès distant, vérification du MFA activé, surveillance des connexions depuis des localisations inhabituelles, et révocation rapide lors des fins de collaboration.