Quelle sécurité informatique à l'heure du BYOD (Bring Your Own Device) ?

Quelles sont les difficultés et les défis de la consumérisation de l’IT et du BYOD ? L'objectif est d'analyser le panorama des approches mises en œuvre face à la consumérisation, ainsi que certains des problèmes rencontrés par nombre d’entreprises.

La consumérisation de l’IT et son cousin proche, le BYOD (Bring Your Own Device), figurent au menu des challenges majeurs auxquelles les DSI se trouvent confrontées. L’une et l’autre sont des sujets sensibles d’actualité, amplifiés par la popularité des plates-formes grand public, mais, pour être clairs, ils ne recouvrent en rien la même réalité. De manière générale, la consumérisation de l’IT traduit les répercussions des préférences des salariés sur la technologie fournie par la DSI, en fonction des affinités personnelles en matière de fonctionnalités et de la convivialité de tel type de smartphone, de tel OS de PC portables ou de tablette. Le BYOD va plus loin, car les salariés achètent leur propre équipement pour l’utiliser à des fins professionnelles, et ce, avec ou sans le support de la fonction informatique.

Pendant des années, la consumérisation s’est manifestée par foyers, avec de petits groupes d’utilisateurs exprimant leurs choix personnels au niveau des applications et des plates-formes. Avec la prolifération des produits électroniques grand public, elle pose désormais un problème de fond aux entreprises. Selon l’étude « 2012 PriceWaterhouse Coopers Global State of Information Security Survey », seuls 43 % des personnes interrogées ont indiqué avoir mis en place une stratégie pour gérer l’utilisation des appareils personnels par les salariés. Ce qui est passé sous silence, c’est que même en mettant en place une stratégie et une politique d’utilisation, faire respecter la charte informatique sur un ensemble très hétérogène de technologies est un exercice à rendre fou. Les effets de la consumérisation sur les équipements IT constituent un problème tentaculaire, qui affecte de nombreux points de contrôle et risque de donner lieu à de multiples casse-tête administratifs et à la non satisfaction des besoins. Le BYOD est encore plus pernicieux, car il correspond à l’utilisation par les salariés de leurs appareils personnels en dépit des interdictions de la charte informatique. Chaque divergence entre la charte souhaitée et les règles applicables génère des poches de risques non quantifiés, et c’est cela qui effraie les équipes de sécurité.

Pour de nombreuses entreprises, la consumérisation est un problème afférent à l’appareil, et le contrôle doit donc être exercé au niveau de l’appareil lui-même. Si nous nous penchons sur la variété d’appareils concernés par la consumérisation, force est de constater qu’il existe autant d’outils de gestion que d’appareils. Il existe un outil pour les PC portables gérés, un autre pour les appareils mobiles gérés, et différents outils pour les PC portables et les appareils mobiles non gérés. Par exemple, un vice-président peut utiliser un Mac OS X fourni par la DSI, son smartphone personnel répondant à la charte informatique de son entreprise, et un iPad personnel qui n’y répond pas. Logiquement, il devrait y avoir un outil de gestion par utilisateur, mais dans le cas présent, il y en a trois.

Gérer les PC portables
Les PC portables professionnels sont couverts par les outils de gestion des ordinateurs de bureau. Ces systèmes disposent des capacités nécessaires pour reconnaître les terminaux, définir les accès réseau de l’utilisateur, et transmettre les progiciels et les patches. Même si ces systèmes sont performants en ce qui concerne les actifs d’entreprise gérés, il existe une myriade de systèmes d’exploitation qui ne sont pas aussi facilement pris en charge. La consumérisation a invité le Mac OS X dans la danse, mais il est aussi important de noter que de nombreux PC Windows 7 utilisés dans les entreprises sont toujours standardisés Windows XP. Et ce n’est pas tout : on trouve aussi des PC portables sous Linux et des netbooks sous Chrome, sans oublier les PC Windows 8 sous processeur ARM. Posez la question à n’importe quelle DSI, et on vous avouera qu’il est difficile de gérer les ordinateurs de bureau, même utilisant du matériel standardisé et des applications d’entreprise. Saupoudrez de consumérisation, et il devient encore plus délicat de continuer à travailler et d’assurer la sécurité, d’autant plus qu’il faut y ajouter les plates-formes qui n’entraient pas dans le champ d’application d’origine de l’outil de gestion utilisé.

En ce qui concerne les ordinateurs personnels, les PC portables des prestataires offrent l’exemple idéal pour montrer comment une DSI doit gérer des applications d’entreprise non standard sur son réseau. Les prestataires travaillent aux côtés des salariés, se connectent au même sous-réseau et accèdent aux mêmes applications & ressources. Et pourtant, leurs PC portables ne sont pas soumis à la charte de l’entreprise et ne sont pas gérés par la DSI ; on peut donc légitimement se demander si ces appareils répondent aux normes de sécurité imposées aux salariés normaux. Les DSI s’inquiètent souvent des risques posés par ces terminaux, notamment en cas de contamination du réseau de l’entreprise par un système infecté. Avec la prolifération des PC portables non professionnels utilisés par les salariés du fait de la consumérisation, il devient de plus en plus difficile de rester à la pointe de la prévention des programmes malveillants et de la gestion des correctifs.

Smartphones et tablettes sous gestion
La gestion des smartphones et des tablettes s’appuie sur un cadre complètement différent, baptisé MDM (Mobile Device Management). Les entreprises utilisent déjà pour la plupart une plate-forme MDM, le vénérable BlackBerry Enterprise Server. Elles le remplacent ou le complètent désormais par un second MDM, afin d’accompagner la montée de la consumérisation et l’introduction d’autres appareils, dont certains peuvent être personnels. Les outils de MDM permettent de contrôler que smartphones et tablettes respectent les politiques informatiques, et ils ont l’avantage de pouvoir répercuter à distance les changements de politique sur les appareils qui ne sont pas physiquement présents dans les locaux de l’entreprise.

Un outil de MDM peut soumettre à la charte informatique un smartphone ou une tablette professionnels ou personnels sous gestion, mais, par définition, il ne peut ni gérer ni contrôler l’existence des appareils non gérés, présents sur le réseau et utilisant les applications de l’entreprise. Ainsi qu’il a été indiqué, un outil de MDM ne gère pas non plus tous les types de PC portables. En ce qui concerne les appareils personnels, le salarié doit installer soit la politique soit une application contrôlée par la DSI, ce qui peut créer des tensions. Par exemple, une politique MDM peut verrouiller des paramètres, interdisant toute modification sur le téléphone personnel de l’utilisateur. Une telle situation risque de conduire à des scénarios du pire, où la DSI se verrait obligée d’effacer à la fois les données personnelles et les données professionnelles. Pour atténuer ces risques, les organisations informatiques cherchent des moyens supplémentaires pour partitionner les données, en utilisant, par exemple, des classes enveloppantes pour les applications d’entreprise sur l’appareil mobile ou en isolant les données d’entreprise des autres données stockées.

Contrôler les appareils personnels non gérés
La tablette personnelle, utilisée à des fins professionnelles par notre vice-président, n’est couverte ni par la politique de gestion des ordinateurs de bureau ni par le MDM. À défaut de pouvoir contrôler l’appareil lui-même, certains éditeurs proposent des solutions bloquant l’accès au réseau. Le NAC (Network Access Control), le contrôle d’accès réseau, est l’une de ces méthodes qui permettent d’identifier les appareils autorisés à être utilisés sur un réseau et de bannir les autres.

Pouvoir profiler et identifier les appareils autorisés est une idée ingénieuse en soi, mais la mise en œuvre d’un outil tel que le NAC se heurte à un certain nombre de difficultés. La plus monumentale tient à la variété d’appareils autorisés au titre du BYOD, et séparer le grain de l’ivraie peut s’avérer des plus ardus. Par exemple, un appareil peut être autorisé à utiliser un panel d’applications, mais pas d’autres, et il peut être difficile de définir quel usage est adéquat. Il peut être parfaitement acceptable d’autoriser l’accès des tablettes à l’intranet, mais de restreindre l’accès au CRM, sauf à partir d’un terminal d’entreprise adéquatement configuré. Tenter de créer la liste des exceptions pour tous les appareils possibles couverts par une politique d’utilisation acceptable peut se révéler des plus ingrats, notamment au vu du turnover salarial, et du nombre d’appareils détenus par chacun. Cette tâche est encore plus éprouvante pour les équipes de gestion des opérations réseau qui, historiquement, n’ont pas l’habitude de traiter un volume de tickets de changement aussi élevé que celui dû aux problèmes rencontrés par les utilisateurs finals en raison de l’explosion du nombre d’appareils mobiles.

Trouver de nouvelles approches
Dans les exemples cités, il est évident que de nombreux pièges se dresseront lorsque l’on tentera de développer une politique pratique et applicable. Dans un prochain billet, je reviendrai sur une approche différente. Au lieu d’aborder le problème sous l’angle de la gestion de toutes les permutations des cas d’utilisation, nous allons commencer par la manière de contrôler plus efficacement la sécurité du réseau afin d’évaluer qui est autorisé à accéder à une application donnée. Commençons par le réseau, et de nombreux cas d’utilisation deviendront beaucoup plus simples à gérer.