Avis d'expert : les entreprises face au BYOD (Bring Your Own Device)

Voici l'avis d'expert de Christophe Auberger, responsable technique chez Fortinet (leader mondial sécurité réseaux) à Sophia. Les intertitres sont de la rédaction.

"Des Politiques Renforcées – Un Must pour le BYOD"

"Personne ne peut nier que la tendance du BYOD (Bring Your Own Device) ne cesse de s’accélérer. De plus en plus, les salariés choisissent la plateforme de leurs choix plutôt que d’accepter un appareil IT réglementaire, et paient pour leurs propres smartphones et factures téléphoniques. En conséquence, de plus en plus d’organisations ouvrent leurs réseaux à des appareils ne faisant pas partie du parc de l’entreprise, et voient toutes sortes de dispositifs, depuis les iPads au dernier gadget Android, franchir leurs portes.

Le grand dilemme des entreprises

Pour les entreprises, la prolifération d’appareils personnels dans l’environnement de travail permet plus d’efficacité et une augmentation de la productivité, sans compter la réduction des coûts en téléphonie. Les salariés peuvent répondre aux emails, télécharger des informations sur des partages de fichiers et mettre à jour les sites Internet depuis le RER, la plage ou durant les matchs de football de leurs enfants − souvent à leurs propres frais. Sur un plan plus personnel, des études ont montré que les employés sont plus heureux et efficaces lorsqu’ils utilisent les appareils et applications de leurs choix au travail.

Tout le monde est donc gagnant? Pas vraiment. Voici le dilemme : alors que toutes veulent être plus productives, peu d’entreprises ont mis en place des politiques pour sécuriser correctement le flot d’appareils mobiles qui entrent sur le lieu de travail. Et sans ces politiques, elles n’ont pas d’autres choix que de dire non aux appareils personnels, et par conséquent à une plus grande productivité et à certaines économies de coûts.

Le nouvel environnement de consumérisation de l'IT

Selon une enquête indépendante que nous avons commandité l’an dernier auprès de 300 décideurs IT issus de moyennes et grandes entreprises en Europe, pas moins de 60% des sondés sont préoccupés par la capacité de leurs entreprises à sécuriser leurs propres données dans ce nouvel environnement de consumérisation de l’IT. En outre, la plupart des entreprises ne sont pas sûres – ou n’ont simplement pas les moyens – de pouvoir sécuriser les appareils mobiles personnels : 66% des sondés autorisent seulement l’utilisation du parc d’appareils mobiles de l’entreprise pour lesquels une politique de sécurité peut être directement appliquée. 21% des entreprises indiquent que les utilisateurs d’appareils mobiles personnels sont tenus responsables d’assurer la sécurité de leurs appareils − une pratique dangereuse.

Dans un sens, nous pouvons comprendre les réticences des entreprises à accepter des appareils provenant de leurs employés. Généralement, ceux-ci sont dépourvus de la plupart des fonctions de sécurité de base− tels que l’antivirus et la protection par mot de passe − incorporées dans pratiquement tous les ordinateurs du lieu de travail. En outre, la polyvalence de ces appareils personnels signifie que les applications critiques de l’entreprise peuvent, et seront, accessibles depuis n’importe quel réseau et de n’importe où. Cela conduit à une quantité phénoménale de données sensibles qui se retrouvent sur ces appareils, dont l’exposition pourrait être très nuisible à l’entreprise.

Pourtant, il devient de plus en plus difficile pour les entreprises de dire non aux employés qui utilisent leurs propres appareils − il est clair que les salariés ne vont pas s’arrêter d’utiliser leurs propres mobiles à des fins professionnelles, ils essaieront juste de trouver les moyens pour le faire.

Trois mesures à appliquer

Dans ce contexte, quelle est la réponse aux défis de sécurité posés par le BYOD? Voici trois mesures IT qui peuvent offrir une certaine tranquillité aux organisations:

1-     Implémenter Une Politique Mobile Pertinente : C’est le B.A.BA de toute politique. La plupart des organisations devrait prendre le temps d’évaluer réellement leurs objectifs et de déterminer les menaces qui s’appliquent (par exemple les sites Internet malveillants, la perte de productivité, l’utilisation de la bande passante excessive) à leur réseau. Quelques points sur lesquels le département IT doit s’interroger:

• Quelles sont les applications nécessaires, et lesquelles doivent être non autorisées?
• Quels seront les employés autorisés à utiliser ces appareils?
• Qui a accès au réseau selon qui, quoi, où et quand?

Les entreprises devraient également contrôler l’accès en fonction des besoins d’informations, et faire des évaluations de vulnérabilités en continu. Et bien sûr, elles ont besoin de comprendre comment mettre en application les politiques qu’elles ont fixées.

2-     Le Logiciel de Gestion à Distance: Il est important d’être en mesure d’appliquer l’éventail des fonctions de sécurité de base, tels que l’antivirus ou le logiciel d’effacement des données à distance, sur n’importe quel appareil contenant des données d’entreprise. Le logiciel de gestion à distance permet à l’IT de mettre à jour automatiquement les appareils des utilisateurs avec les derniers correctifs pour empêcher toutes les vulnérabilités existantes d’être exploitées dans le cadre d’attaques mobiles. Les entreprises devraient également localiser, suivre, verrouiller, effacer, sauvegarder et restaurer  de manière centralisée et à distance les équipements afin de pouvoir protéger, récupérer et restaurer les données d’entreprise stockées sur des appareils mobiles perdus ou volés.

3-     Bloquer les Appareils Non Conformes: C’est là que les organisations peuvent pratiquer l’art du compromis. Souvent les salariés s’empressent d’utiliser leurs appareils personnels pour le travail mais sont réticents à y installer des logiciels supplémentaires − dont certains pourraient effacer leurs précieux contacts et photos de leur téléphone, tablette ou ordinateur portable. En guise de compromis, les entreprises pourraient permettre à leurs salariés d’utiliser leurs propres appareils si – et seulement si – ils acceptent d’installer certaines applications conformes à la politique de sécurité interne. Dans le cas contraire, les salariés devront s’en tenir à un appareil imposé par l’IT. Une solution alternative envisageable par certaines entreprises serait l’utilisation d’un téléphone à double usage divisé en deux partitions logiques – l’une pour un usage professionnel et l’autre pour un usage personnel –l’IT ayant un contrôle total sur la partition professionnelle.

Aborder la question de sécurité au niveau du réseau

Quoiqu’il en soit, les organisations doivent comprendre que pour protéger efficacement leurs réseaux et données d’entreprise des menaces potentielles venant d’appareils mobiles, elles doivent aborder la question de sécurité au niveau du réseau, et non uniquement au niveau du terminal. En effet, il est très difficile de protéger des téléphones et tablettes personnels en utilisant des agents de sécurité: d’un point de vue technique, les appareils mobiles d’aujourd’hui n’ont pas la puissance de processeur suffisante pour supporter de tels agents et il y a beaucoup trop de systèmes d’exploitation et d’appareils différents pour permettre un réel maintien à jour ; du point de vue de l’utilisateur, il est très difficile d’imposer l’installation de logiciels de sécurité sur les appareils personnels des employés apportés sur le lieu de travail.

En conséquence, la seule solution efficace est de s’assurer que le cœur du réseau est protégé et que l’entreprise peut contrôler à la fois les accès entrants et sortants au réseau d’entreprise par les appareils externes. Cette stratégie de sécurité réseau nécessite un fort contrôle sur les utilisateurs et les applications, outre une gestion au niveau de l’appareil. Il faut que les organisations  IT puissent détecter et contrôler : l’utilisation des applications sur leurs réseaux et terminaux en s’appuyant sur la classification des applications, l’analyse comportementale et l’association à l’utilisateur; les applications Web à un niveau précis, ce qui comprend l’inspection du trafic applicatif encrypté, en dépit des ports et protocoles utilisés.

Il est clair que les organisations devront beaucoup investir pour s’adapter et passer à une nouvelle façon d’accompagner leurs employés dans leurs choix technologiques. Mais elles n’ont pas le choix − le BYOD n’est pas prêt de disparaitre et les responsables IT se doivent d’anticiper."