BYOD et mobilité : cinq défis à relever pour la sécurité IT

Les terminaux mobiles sont de plus en plus adoptés par les entreprises pour satisfaire les attentes des employés et gagner en productivité. La sécurisation de l’environnement de travail n’en devient que plus compliquée et nécessite le déploiement d’une stratégie de sécurité mobile adéquate.

Si de plus en plus d’entreprises lui préfèrent le COPE (Corporate Owned, Personally Enabled), le BYOD (Bring Your Own Device) n’en est pas moins une réalité au sein des entreprises. D’après une étude menée récemment par IDC sur un panel d’entreprises françaises, la maturité des entreprises vis-à-vis du BYOD est particulièrement forte au sein des grands comptes. Une part importante d'entre eux (42 %) l'autorise, alors qu'ils estiment en parallèle que le risque de perte de données est élevé.Les entreprises qui adoptent les technologies de mobilité et les pratiques BYOD pour que leur personnel ait systématiquement accès à leurs données professionnelles doivent veiller au respect des réglementations et normes de sécurité en vigueur. C’est pourquoi on assiste à une unification des stratégies de sécurité des réseaux internes et des plates-formes mobiles. Ainsi, les utilisateurs sont libres d’interagir avec leurs collègues, leurs clients, les fournisseurs et les partenaires, tout en minimisant l’exposition de l’entreprise à plus de risques.
Mais parvenir au juste équilibre entre sécurité et mobilité relève souvent du défi, car la multitude des nouveaux terminaux qui se connectent au réseau de l’entreprise sont autant de points d’accès supplémentaires aux données et aux applications professionnelles pour les utilisateurs malintentionnés et autres hackers. Le BYOD figure d’ailleurs parmi les premières causes d’incidents de sécurité citées par les décideurs IT en réponse à une récente étude mondiale de Dell sur la sécurité. La démocratisation du BYOD constituera l’une des principales préoccupations de sécurité des cinq prochaines années pour 57 % des sondés.
Le fait est que les employés n’hésitent pas à contourner les règles du BYOD dès qu’ils les jugent trop contraignantes ou qu’elles risquent d’empiéter sur leur liberté personnelle. La connexion de nouveaux types de terminaux (smartphones, tablettes, ordinateurs portables, etc.) et de systèmes d’exploitation (Windows 8, Google Android, ou encore Apple iOS) multiplie également les risques pour la sécurité de l’entreprise.
La sécurisation de l’environnement de travail est une tâche ardue, que l’adoption des pratiques BYOD et de mobilité complique encore en créant des failles qui mettent en danger les données. Pour adopter les nouveaux types de terminaux, de plates-formes et de modes de travail favorables à la productivité des employés sans fragiliser les systèmes, ni mettre en péril les données de l’entreprise, la meilleure stratégie consiste à appliquer des pratiques éprouvées en s’appuyant sur des solutions de mobilité flexibles qui ont fait la preuve de leur efficacité.
Voici donc cinq recommandations pour une stratégie de sécurité mobile qui limite les risques sans priver l’entreprise des avantages de la mobilité, en tenant compte des préférences des utilisateurs et de la diversité des terminaux et des systèmes d’exploitation :

Meilleure pratique n°1 : bâtir une infrastructure réseau optimisée pour le BYOD/la mobilité

Mettre en place un réseau dédié au BYOD permet aux entreprises de mieux assumer l’augmentation des besoins en bande passante due aux terminaux mobiles, pour le streaming vidéo par exemple, tout en contrôlant l’accès des applications et terminaux personnels au réseau conformément aux règles de sécurité. Il peut être judicieux d’établir une politique de sécurité générale permettant aux terminaux mobiles d’accéder aux données professionnelles et à certaines parties du réseau principal, de manière à prévenir la fuite d’informations via les terminaux personnels. Il est bon aussi de pouvoir contrôler la conformité des terminaux personnels aux règles de sécurité internes avant d’autoriser leur connexion au réseau.

Meilleure pratique n°2 : établir des règles d’accès mobile/distant

L’établissement de règles de sécurisation des accès mobiles est indispensable pour protéger les informations stratégiques. Tout d’abord, il faut sensibiliser les employés à l’importance de protéger l’accès aux environnements d’exploitation ou aux applications des terminaux par un code PIN ou un mot de passe afin de limiter les risques en cas de perte ou de vol des terminaux. Les entreprises ont également tout intérêt à privilégier les solutions d’accès mobile sécurisé qui emploient des mécanismes d’authentification contextuelle, avec contrôles des accès au réseau et réseau privé virtuel. L’objectif est que seuls les utilisateurs, applications et terminaux mobiles conformes soient autorisés à accéder aux ressources professionnelles. Ces solutions sont efficaces pour empêcher les terminaux ou applications mobiles infectés de propager des logiciels malveillants sur le réseau et éviter les vols de données en cours de transmission.Il est important également de sensibiliser le personnel aux bonnes pratiques élémentaires afin d’éviter les comportements à risque, de contamination du réseau par des programmes malveillants notamment. Ne pas travailler via des points d’accès WiFi sans connexion VPN SSL, par exemple. Dell recommande aussi aux services IT de déployer des règles d’administration système sur tous les terminaux pour automatiser les mises à jour des systèmes d’exploitation et l’installation des correctifs sur les smartphones, tablettes et ordinateurs portables, de façon à neutraliser les failles repérées dans les versions antérieures.

Meilleure pratique n°3 : chiffrer les données sur les terminaux

L’installation de mécanismes de chiffrement pour protéger les données est très efficace en cas de perte ou de vol des terminaux. Une interface centrale permet aux administrateurs de configurer différentes règles de chiffrement selon les catégories d’utilisateurs et la sensibilité des données. Les procédures systématiques de chiffrement/déchiffrement des fichiers sur les tablettes et smartphones sous Windows, Android et iOS contribuent efficacement à réduire les problèmes de sécurité.

Meilleure pratique n°4 : utiliser des conteneurs sécurisés

Le meilleur moyen pour isoler les applications et données professionnelles des contenus personnels revient à créer un conteneur ou un environnement de travail distinct sur les terminaux personnels. En plus de dissocier les contenus, cette approche limite le risque de compromission des données stratégiques.
Les applications téléchargées dans le conteneur donnent accès aux employés à tous les outils de bureautique et de collaboration nécessaires sur le terminal de leur choix, tandis que leurs données confidentielles et personnelles sont protégées : un administrateur IT ne risque pas de les supprimer accidentellement.

Meilleure pratique n°5 : mettre en place un système de gestion des identités et des accès

Les solutions de gestion des identités et des accès (Identity and Access Management, IAM) renforcent la sécurité et simplifient les conditions d’utilisation et de contrôle, sans les risques généralement associés aux accès multiples. Une procédure unifiée d’accès aux données et aux systèmes suppose l’instauration d’une politique de contrôle des accès, la séparation des tâches et la mise en place d’un mécanisme d’authentification unique (single sign-on). L’installation d’une solution unique de gouvernance des identités et de gestion des comptes administrateur couvrant à la fois les accès sur site et distants aide à réduire davantage encore les risques, surtout provenant des terminaux personnels. Enfin, une stratégie IAM bien pensée et suivie peut simplifier les contrôles de conformité si la responsabilité est confiée aux dirigeants de chaque service de l’entreprise, qui sont les mieux placés pour savoir s’il faut ou non accorder tel accès.