Le BYOD: oui, mais…

Avec l’arrivée des smartphones dans les outils d’accès à l’information, le management de la sécurité du système d’information des entreprises devient de plus en plus périlleux. Faut-il pour autant dire non au BYOD ? À partir de quelques conseils et règles à adopter, le Oui, … mais, peut changer la donne.

Pour tenter de répondre au point de vue énoncé par Patrick Pailloux, directeur général de l’ANSSI, lors des dernières Assises de la sécurité 2012, il serait plus raisonnable de dire oui à l’intégration des terminaux mobiles personnels au réseau de l’entreprise, mais, bien entendu, à certaines conditions. De toute manière « le mal » est fait… Le BYOD (Bring-your-own-Device) est largement entré dans les mœurs et il n’est donc plus possible d’endiguer le phénomène. L’étude de l’Idate confirme cette tendance en donnant le chiffre de 45% de salariés qui emploient leur smartphone pour se connecter au système d’information de leur entreprise. Par ailleurs, une entreprise qui refuserait totalement un tel moyen de connexion se verrait taxer de ringardise… Reste simplement à déterminer comment le gérer au mieux sans tomber dans le piège de l’artillerie lourde avec une combinaison de solutions de sécurité à multiples étages, toutes aussi complexes et coûteuses à mettre en œuvre.

Le premier réflexe à adopter est celui de considérer le terminal mobile (Smartphones ou tablettes) comme un poste de travail portable comme un autre, dans la mesure où son usage est sensiblement le même, hormis la téléphonie et la photographie. Si Gartner considère dans sa dernière étude, que les terminaux mobiles personnels des employés seront deux fois plus contaminés par des logiciels malveillants que les appareils appartenant à l’entreprise, c’est qu’il considère qu’aucune règle de sécurité ne peut être réellement appliquée sur ces équipements. Or, si l’on observe les usages des terminaux mobiles, on constate en effet, qu’ils sont employés en premier lieu pour consulter des documents et accéder à la messagerie.
Vient ensuite, l’accès aux applications de l’entreprise. Il est donc tout naturel d’équiper systématiquement le terminal mobile personnel de l’employé d’une solution de protection contre les malveillances, similaire au PC portables (antivirus, antispam, pare-feux, …) en y ajoutant un système antivol. La solution doit également intégrer le contrôle d’accès à des sites potentiellement dangereux. Pour le responsable réseau, il est donc primordial de disposer d’une solution de protection administrable qui soit commune à l’ensemble des équipements. Chez certains éditeurs, la solution de protection prend en charge les postes de travail sous Windows, Mac OS et Linux ainsi que les serveurs de fichiers et de messagerie, mais elle gère également les équipements mobiles sous Android, notamment.
Ainsi à partir d’une même console, le parc fixe et nomade est piloté de façon centralisée. Ce premier niveau de protection n’est donc pas insurmontable à appliquer.

Le second niveau de protection à prendre en compte est celui de l’authentification de l’utilisateur. Plusieurs solutions existent sur le marché mais la plus simple, et pourtant suffisante, est de disposer d’un système d’authentification à deux facteurs : l’un, reprend le mode classique de la saisie de l’identifiant et du mot de passe et l’autre, authentifie la personne par l’envoi par SMS d’un code ponctuel qu’il faudra saisir pour valider la connexion finale. De cette manière, l’entreprise, qui souhaite contrôler l’accès de ses employés au système d’information par VPN, augmente le niveau de sécurité sans compliquer ni alourdir le processus. À chaque connexion, un code unique est généré en temps réel et envoyé par SMS à l’utilisateur.
Ainsi, il est facile d’autoriser la connexion aux seuls utilisateurs référencés par l’entreprise. C'est une approche simple et moderne qui peut facilement être déployée dans une configuration de cloud privé car elle s'interface avec les acteurs principaux de manière totalement transparente, tels que Cisco, Juniper, Checkpoint, F5, Microsoft, Citrix ou applications Cloud public compatibles SAML (Google Apps, Office 365 par exemple).

Le troisième niveau de sécurité à appliquer concerne le filtrage Web afin de sécuriser et contrôler le flux de données à travers les réseaux d’entreprise. Dans ce cas, il s’agit de mettre en place un système de filtrage Web à travers un proxy qui fera office de garde barrière en fonction de listes blanches, aussi bien pour des sites Web ou réseaux sociaux, que pour des applications distantes, quelle que soit leur origine (hébergement interne ou externe à l’entreprise, Cloud public ou privé, etc.). 
Seule difficulté, les terminaux mobiles doivent impérativement être paramétrés par l’employé. Dans ce cas, on peut imaginer que l’entreprise rembourse tout ou partie du coût du forfait mobile payé par l’employé avec l’obligation de respecter certains paramétrages, de veiller à ne pas désactiver l’antivirus installé (voir plus haut). D’autres entreprises pourront également confier un terminal mobile pré-configuré à l’employé. Il ne s’agit donc plus de Byod à proprement parlé. Certains nomment ce modèle le COPE
(Corporate Owned Personaly Enabled) qui présente de nombreux avantages aussi bien pour l’employé que pour l’entreprise et surtout pour son DSI.  La maîtrise des conditions d’usage du terminal mobile en termes de sécurité est ainsi beaucoup mieux maîtrisée, exactement comme pour les PC nomades confiés par l’entreprise.

La quatrième règle à observer concerne la vulnérabilité du portail d’accès aux ressources et aux applications de l’entreprise. Protection nécessaire, indépendamment de l’usage des smartphones, l’audit régulier de vulnérabilité des sites de l’entreprise s’avère encore plus indispensable dans ce contexte.  En effet, l’entreprise doit pouvoir faire face aux attaques lancées sur l’ensemble de ses sites Web qui représentent une interface de communication de portée mondiale.
Ils sont, par conséquent, la proie des hackers de tout horizon. Parmi les nombreux exemples d’actualité qui ont mis en lumière la dangerosité, des attaques de sites Web, Sony (PSN), des sites d’états, Barracuda Networks illustrent bien le phénomène. Dans tous les cas, la réputation de l’entreprise est affectée. Or, la sécurité des sites est trop souvent négligée par les entreprises par méconnaissance des risques ou par crainte du coût élevé des audits. Aujourd’hui, des offres de services à la carte, relativement peu coûteuses, existent sur le marché.  Ces audits permettent également d'évaluer préalablement la conformité aux normes PCI-DSS.

La cinquième précaution à prendre touche à la gestion des droits d’accès.  Plus encore que pour les postes fixes ou les portables, la définition des affectations et la gestion des autorisations, qu’elles soient temporaires ou évolutives, prend une dimension plus critique avec les utilisateurs de smartphones.
L’administrateur doit pouvoir concilier des règles correspondant à des notions de fonction et d’appartenance à un groupe (marketing, commercial, logistique…) et des informations publiées par la DRH afin d’assurer la mise à jour, en fonction des évolutions de poste et des entrées-sorties du personnel. Il est donc important de pouvoir déterminer finement quels sont les répertoires et fichiers autorisés pour chaque utilisateur, aussi bien dans un serveur de fichier que sur des environnements collaboratifs de type SharePoint. Et, bien entendu, cette tâche doit pouvoir être déléguée simplement aux responsables hiérarchiques qui sont les seuls à pouvoir apprécier la pertinence des droits (qui accède à quoi).

La sixième couche se rapporte au pare-feu de l’entreprise. Couramment employée dans les réseaux d’entreprises, les boîtiers tout-en-un (Appliance) de sécurité apportent l’étage final de la structure de protection des accès. Bien que cette couche de protection ne soit pas liée spécifiquement à un contexte BYOD, il est important de rappeler qu’elle a (bien entendu) sa place dans ce panorama dans la mesure où le principe d’un pare-feu, associé à un système de prévention d’intrusions et à des connexions VPN s’impose d’autant plus. 

En conclusion. Avant l’arrivée des smartphones dans les outils d’accès à l’information, le management de la sécurité du système d’information était déjà une tâche particulièrement rude. Cependant, pour les entreprises qui se sont engagées dans une approche globale de la sécurité, le pas à franchir est beaucoup moins difficile.
Les différents principes de base appliqués, tels que la responsabilité et la mobilisation des individus, la sensibilisation aux risques, la révision régulière des politiques de sécurité restent toujours opérantes et judicieuses avec ou sans smartphones. L’erreur serait de considérer la sécurité que sous le seul angle technologique. Or, tous les acteurs sont concernés dans la mesure où la valeur de l’information qui circule dans l’entreprise ne peut être déterminée par le gestionnaire du réseau.

Autour du même sujet