Quelle sécurité informatique à l'heure du BYOD (Bring Your Own Device) ?
Quelles sont les difficultés et les défis de la consumérisation de l’IT et du BYOD ? L'objectif est d'analyser le panorama des approches mises en œuvre face à la consumérisation, ainsi que certains des problèmes rencontrés par nombre d’entreprises.
La consumérisation de l’IT et son cousin
proche, le BYOD (Bring Your Own Device), figurent au menu des challenges
majeurs auxquelles les DSI se trouvent confrontées. L’une et l’autre sont des
sujets sensibles d’actualité, amplifiés par la popularité des plates-formes
grand public, mais, pour être clairs, ils ne recouvrent en rien la même
réalité. De manière générale, la consumérisation de l’IT traduit les
répercussions des préférences des salariés sur la technologie fournie par la
DSI, en fonction des affinités personnelles en matière de fonctionnalités et de
la convivialité de tel type de smartphone,
de tel OS de PC portables ou de
tablette. Le BYOD va plus loin, car les salariés achètent leur propre
équipement pour l’utiliser à des fins professionnelles, et ce, avec ou sans le
support de la fonction informatique.
Pendant des années, la consumérisation s’est
manifestée par foyers, avec de petits groupes d’utilisateurs exprimant leurs
choix personnels au niveau des applications et des plates-formes. Avec la
prolifération des produits électroniques grand public, elle pose désormais un
problème de fond aux entreprises. Selon l’étude « 2012 PriceWaterhouse Coopers Global State of Information Security Survey », seuls 43 % des personnes interrogées ont
indiqué avoir mis en place une stratégie pour gérer l’utilisation des appareils
personnels par les salariés. Ce qui est passé sous silence, c’est que même en
mettant en place une stratégie et une politique d’utilisation, faire respecter
la charte informatique sur un ensemble très hétérogène de technologies est un
exercice à rendre fou. Les effets de la consumérisation sur les équipements IT
constituent un problème tentaculaire, qui affecte de nombreux points de
contrôle et risque de donner lieu à de multiples casse-tête administratifs et à
la non satisfaction des besoins. Le BYOD est encore plus pernicieux, car il
correspond à l’utilisation par les salariés de leurs appareils personnels en
dépit des interdictions de la charte informatique. Chaque divergence entre la
charte souhaitée et les règles applicables génère des poches de risques non
quantifiés, et c’est cela qui effraie les équipes de sécurité.
Pour de nombreuses entreprises, la
consumérisation est un problème afférent à l’appareil, et le contrôle doit donc
être exercé au niveau de l’appareil lui-même. Si nous nous penchons sur la
variété d’appareils concernés par la consumérisation, force est de constater
qu’il existe autant d’outils de gestion que d’appareils. Il existe un outil
pour les PC portables gérés, un
autre pour les appareils mobiles gérés, et différents outils pour les PC portables et les appareils mobiles
non gérés. Par exemple, un vice-président peut utiliser un Mac OS X fourni par
la DSI, son smartphone
personnel répondant à la charte informatique de son entreprise, et un iPad
personnel qui n’y répond pas. Logiquement, il devrait y avoir un outil de
gestion par utilisateur, mais dans le cas présent, il y en a trois.
Gérer les PC portables
Les PC
portables professionnels sont couverts par les outils de gestion des
ordinateurs de bureau. Ces systèmes disposent des capacités nécessaires pour
reconnaître les terminaux, définir les accès réseau de l’utilisateur, et
transmettre les progiciels et les patches. Même si ces systèmes sont
performants en ce qui concerne les actifs d’entreprise gérés, il existe une
myriade de systèmes d’exploitation qui ne sont pas aussi facilement pris en
charge. La consumérisation a invité le Mac OS X dans la danse, mais il est aussi
important de noter que de nombreux PC Windows 7 utilisés dans les entreprises
sont toujours standardisés Windows XP. Et ce n’est pas tout : on trouve
aussi des PC portables sous Linux
et des netbooks sous Chrome,
sans oublier les PC Windows 8 sous processeur ARM. Posez la question à
n’importe quelle DSI, et on vous avouera qu’il est difficile de gérer les
ordinateurs de bureau, même utilisant du matériel standardisé et des
applications d’entreprise. Saupoudrez de consumérisation, et il devient encore
plus délicat de continuer à travailler et d’assurer la sécurité, d’autant plus
qu’il faut y ajouter les plates-formes qui n’entraient pas dans le champ
d’application d’origine de l’outil de gestion utilisé.
En ce qui concerne les ordinateurs
personnels, les PC portables
des prestataires offrent l’exemple idéal pour montrer comment une DSI doit
gérer des applications d’entreprise non standard sur son réseau. Les
prestataires travaillent aux côtés des salariés, se connectent au même
sous-réseau et accèdent aux mêmes applications & ressources. Et pourtant,
leurs PC portables ne sont pas
soumis à la charte de l’entreprise et ne sont pas gérés par la DSI ; on
peut donc légitimement se demander si ces appareils répondent aux normes de
sécurité imposées aux salariés normaux. Les DSI s’inquiètent souvent des
risques posés par ces terminaux, notamment en cas de contamination du réseau de
l’entreprise par un système infecté. Avec la prolifération des PC portables non professionnels
utilisés par les salariés du fait de la consumérisation, il devient de plus en
plus difficile de rester à la pointe de la prévention des programmes malveillants et de la
gestion des correctifs.
Smartphones et tablettes
sous gestion
La gestion des smartphones et des tablettes s’appuie sur un cadre complètement
différent, baptisé MDM (Mobile Device Management). Les entreprises utilisent
déjà pour la plupart une plate-forme MDM, le vénérable BlackBerry Enterprise
Server. Elles le remplacent ou le complètent désormais par un second MDM, afin
d’accompagner la montée de la consumérisation et l’introduction d’autres
appareils, dont certains peuvent être personnels. Les outils de MDM permettent
de contrôler que smartphones et
tablettes respectent les politiques informatiques, et ils ont l’avantage de
pouvoir répercuter à distance les changements de politique sur les appareils
qui ne sont pas physiquement présents dans les locaux de l’entreprise.
Un outil de MDM peut soumettre à la charte
informatique un smartphone ou
une tablette professionnels ou personnels sous gestion, mais, par définition,
il ne peut ni gérer ni contrôler l’existence des appareils non gérés, présents
sur le réseau et utilisant les applications de l’entreprise. Ainsi qu’il a été
indiqué, un outil de MDM ne gère pas non plus tous les types de PC portables. En ce qui concerne les
appareils personnels, le salarié doit installer soit la politique soit une
application contrôlée par la DSI, ce qui peut créer des tensions. Par exemple,
une politique MDM peut verrouiller des paramètres, interdisant toute
modification sur le téléphone personnel de l’utilisateur. Une telle situation
risque de conduire à des scénarios du pire, où la DSI se verrait obligée
d’effacer à la fois les données personnelles et les données professionnelles.
Pour atténuer ces risques, les organisations informatiques cherchent des moyens
supplémentaires pour partitionner les données, en utilisant, par exemple, des
classes enveloppantes pour les applications d’entreprise sur l’appareil mobile
ou en isolant les données d’entreprise des autres données stockées.
Contrôler les appareils personnels non gérés
La tablette personnelle, utilisée à des fins
professionnelles par notre vice-président, n’est couverte ni par la politique
de gestion des ordinateurs de bureau ni par le MDM. À défaut de pouvoir
contrôler l’appareil lui-même, certains éditeurs proposent des solutions
bloquant l’accès au réseau. Le NAC (Network Access Control), le contrôle
d’accès réseau, est l’une de ces méthodes qui permettent d’identifier les
appareils autorisés à être utilisés sur un réseau et de bannir les autres.
Pouvoir profiler et identifier les appareils
autorisés est une idée ingénieuse en soi, mais la mise en œuvre d’un outil tel
que le NAC se heurte à un certain nombre de difficultés. La plus monumentale
tient à la variété d’appareils autorisés au titre du BYOD, et séparer le grain
de l’ivraie peut s’avérer des plus ardus. Par exemple, un appareil peut être
autorisé à utiliser un panel d’applications, mais pas d’autres, et il peut être
difficile de définir quel usage est adéquat. Il peut être parfaitement
acceptable d’autoriser l’accès des tablettes à l’intranet, mais de restreindre
l’accès au CRM, sauf à partir d’un terminal d’entreprise adéquatement configuré.
Tenter de créer la liste des exceptions pour tous les appareils possibles
couverts par une politique d’utilisation acceptable peut se révéler des plus
ingrats, notamment au vu du turnover
salarial, et du nombre d’appareils détenus par chacun. Cette tâche est encore
plus éprouvante pour les équipes de gestion des opérations réseau qui,
historiquement, n’ont pas l’habitude de traiter un volume de tickets de
changement aussi élevé que celui dû aux problèmes rencontrés par les
utilisateurs finals en raison de l’explosion du nombre d’appareils mobiles.
Trouver de nouvelles approches
Dans les exemples cités, il est évident que
de nombreux pièges se dresseront lorsque l’on tentera de développer une
politique pratique et applicable. Dans un prochain billet, je reviendrai sur
une approche différente. Au lieu d’aborder le problème sous l’angle de la
gestion de toutes les permutations des cas d’utilisation, nous allons commencer
par la manière de contrôler plus efficacement la sécurité du réseau afin d’évaluer
qui est autorisé à accéder à une application donnée. Commençons par le réseau,
et de nombreux cas d’utilisation deviendront beaucoup plus simples à gérer.