Cybersécurité : le BYEH succède au BYOD

Aujourd'hui, les domiciles connectés et équipés d'appareils intelligents sont plus nombreux que les petites entreprises il y a 20 ans, et, comme elles, ont besoin d'une attention et d'une protection spécifique. Un enjeu d'autant plus prégnant avec la montée en puissance du télétravail.

Depuis plus de 20 ans, le secteur de la cybersécurité se concentre principalement sur les entreprises, et non sur la sécurité de notre domicile, et ce malgré l'adoption croissante des appareils intelligents qui rendent notre quotidien plus pratique mais également plus vulnérable. Pourtant, aujourd'hui, les domiciles connectés et équipés d'appareils intelligents sont plus nombreux que les petites entreprises il y a 20 ans, et, comme elles, ont besoin d'une attention et d'une protection spécifique

Par ailleurs, la pandémie a forcé les entreprises à passer d’environnements de travail essentiellement centralisés à un environnement de télétravail hautement distribué. Ce passage rapide à des environnements de travail possiblement non sécurisés et non gérés (des outils informatiques, objets connectés, mobiles, environnements cloud…) a considérablement augmenté la surface d'attaque exploitable, et donc l'exposition des entreprises et des utilisateurs face aux menaces cyber.

Depuis quelques années, les entreprises voient une augmentation de l’utilisation d’appareils personnels à des fins professionnelles par leurs employés. Aujourd’hui, les entreprises doivent envisager d'adopter des politiques qui leur permettent de mieux gérer et contrôler ces appareils personnels. Le défi de la sécurité, autrefois centré sur le BYOD (bring your own device), s'est transformé en BYEH (bring your enterprise home). Nous avons besoin de nouvelles normes et pratiques de sécurité pour faire face à ce changement inhérent a la transformation du mode de travail.

Les politiques de sécurité, les processus de gestion, les contrôles, les équipements et les logiciels nécessaires pour protéger ce nouvel écosystème d'entreprise doivent être définis en prenant en compte que le domicile est aujourd’hui un environnement de non-confiance pour l’entreprise.

Parmi les objets connectés que l’on retrouve dans nos maisons, il y a par exemple l’éclairage connecté, les serrures intelligentes, les smart TV, les assistants numériques, les haut-parleurs sans fil, les caméras ou encore les thermostats. Et il faut ajouter à cela les ordinateurs, les smartphones, les tablettes de l’ensemble des occupants. Bien souvent, ces derniers ne savent pas comment sécuriser ces appareils. En outre, le cloisonnement des solutions de sécurité rend plus difficile la découverte et le traitement des vulnérabilités.

Aujourd'hui, même un cyber attaquant débutant peut s'introduire dans une maison sans avoir à franchir physiquement la porte d’entrée, et y voler des objets de valeur (compte bancaire, papiers d'identité) ou nuire au bien-être des habitants (en prenant le contrôle des appareils connectés par exemple). C'est un problème majeur pour les particuliers, mais également pour les entreprises et les administrations qui ont recours au travail à distance pour poursuivre leur activité pendant la pandémie Covid-19.

Si vous prenez tous les appareils présents dans chaque foyer, intelligents ou non, multipliés par le nombre d’employés d’une entreprise ou d’une administration, vous aurez une vision de l'ampleur du vecteur de menace que le télétravail implique.

La cybersécurité n'est pas le seul domaine impacté par les nouveaux usages liés à la pandémie. Les FAI, par exemple, intervenaient jusqu’alors souvent en priorité dans les entreprises en cas de panne. Les délais entre le signalement et la réparation pour les entreprises se comptent en heures, tandis que les délais pour les consommateurs sont le plus souvent mesurés en jours. Aujourd'hui, la frontière entre une connexion critique ou non critique à distance est très floue. Comment une entreprise peut-elle indiquer à un fournisseur d'accès Internet qu'une connexion spécifique nécessite une intervention prioritaire ?

De même, l'accès au haut débit et la vitesse de connexion au réseau sont aujourd'hui plus importants que jamais. Il est peut-être temps pour les autorités de repenser la désignation du haut débit, car ce qui était adapté au domicile avant la pandémie ne l’est certainement plus pour une famille travaillant à domicile, dont les enfants suivent des cours à distance.

Les vagues de changement que la Covid-19 a déclenchées ont transformé le domicile en espace de travail, faisant de chaque appareil connecté dans une maison un risque potentiel pour l’entreprise. Aujourd'hui, la maison n'est plus seulement une maison intelligente ; c'est un bureau, parfois une salle de classe, un cabinet médical, ou une porte d’entrée pour réceptionner les livraisons.

Alors que nous nous efforçons d'adapter notre économie et notre pays au lendemain de la pandémie, il est essentiel que nous repensions également la sécurité de nos foyers afin de garantir la mise en place de normes de protection. Nos maisons font désormais partie d'un environnement d'entreprise. Il est temps que nous les considérions comme tel et adoptions des politiques et des pratiques de sécurité pour répondre à la nouvelle réalité du BYEH.