BYOD et réseaux sociaux : comment les entreprises gèrent-elles les risques ?

Les politiques d'accès IT ont dû évoluer pour faire face aux tendances liées à l'utilisation de terminaux personnels et services Web grand public pour le travail. C'est l'un des principaux enseignements de la dernière étude du Clusif.

En s'installant dans les entreprises, le nomadisme, les réseaux sociaux et le BYOD ont engendré de nouveaux défis à relever pour les responsables de la sécurité informatique. Dans son rapport bisannuel "Menaces informatiques et pratiques de sécurité en France", le Clusif (Club de la Sécurité de l'Information Français) révèle l'ampleur prise par ces problématiques, et leurs conséquences sur les politiques de sécurité.  

Sur 351 entreprises interrogées, 61% interdisent l'accès à leur système d'information à partir de postes de travail non maîtrisés (cf. graphique ci-dessous). Elles étaient 69% dans ce cas il y a deux ans. Même tendance pour les accès à partir des smartphones et tablettes : en 2012, 38% des entreprises interdisent les accès depuis ces appareils, contre 46% en 2010.

"L'accès nomade aux ressources IT de l'entreprise est de plus en plus généralisé. La maturité des solutions technologiques de connexion, de contrôle des postes nomades et des informations qui transitent permet une meilleure gestion des risques associés. C'est également vrai pour l'accès au SI depuis un poste de travail non maîtrisé (accès publique, ordinateur personnel...) qui est de plus en plus souvent autorisé", note l'étude. Cette dernière souligne cependant que "les informations accessibles sont, en général, plus limitées, les vulnérabilités et menaces engendrées par ce type d'accès étant plus difficiles à maîtriser."

Même si elle reste majoritairement interdite, l'utilisation de messageries instantanées non fournies par l'entreprise (MSN, Skype, etc.) est aussi de plus en plus largement autorisée. Si 70% des entreprises les interdisent aujourd'hui, elles étaient 75% il y a deux ans. Quant aux réseaux sociaux, près des deux tiers des entreprises sondées les interdisent. Elles sont cependant désormais 12% à les autoriser sans condition.

Les problématiques de sécurité liées à ces technologies sont cependant nombreuses : "confidentialité, chiffrement des échanges, journalisation des conversations, transmission des virus, fuite d'information... Bien que les menaces puissent être contrôlées par des dispositifs de sécurité de dernière génération (filtrage protocolaire, antivirus, DLP, etc.), ces services Web publics sont souvent identifiés comme étant à l'origine d'un manque de productivité des utilisateurs", remarque le Clusif.

clusif 420
Les différentes politiques d'accès au système d'Information de l'entreprise selon l'étude du Clusif © Clusif

Virus / Smartphone