Des politiques renforcées, un "Must" pour le BYOD
Personne ne peut nier que la tendance du BYOD (Bring Your Own Device) ne cesse de s’accélérer. En conséquence, les organisations ouvrent leurs réseaux à des appareils ne faisant pas partie du parc de l’entreprise.
Pour les entreprises, la prolifération
d’appareils personnels dans l’environnement
de travail permet plus d’efficacité et une augmentation de la
productivité, sans
compter la réduction des coûts en téléphonie. Les salariés
peuvent répondre aux
emails, télécharger des informations sur des partages de
fichiers et mettre à
jour les sites Internet depuis le RER, la plage ou durant les
matchs de
football de leurs enfants − souvent à leurs propres frais. Sur
un plan plus
personnel, des études ont montré que les employés sont plus
heureux et efficaces
lorsqu’ils utilisent les appareils et applications de leurs
choix au travail.
Tout le monde est donc gagnant ? Pas vraiment.
Voici le dilemme : alors
que toutes veulent être plus productives, peu d’entreprises
ont mis en place
des politiques pour sécuriser correctement le flot d’appareils
mobiles qui
entrent sur le lieu de travail. Et sans ces politiques, elles
n’ont pas d’autres
choix que de dire non aux appareils personnels, et par
conséquent à une plus
grande productivité et à certaines économies de coûts.
Selon une enquête indépendante que nous avons
commandité l’an dernier auprès
de 300 décideurs IT issus de moyennes et grandes entreprises en
Europe, pas
moins de 60% des sondés sont préoccupés par la capacité de
leurs entreprises à
sécuriser leurs propres données dans ce nouvel environnement
de consumérisation
de l’IT.
En outre, la plupart des entreprises ne sont pas
sûres – ou n’ont simplement
pas les moyens – de pouvoir sécuriser les appareils mobiles
personnels : 66%
des sondés autorisent seulement l’utilisation du parc
d’appareils mobiles de
l’entreprise pour lesquels une politique de sécurité peut être
directement
appliquée. 21% des entreprises indiquent que les utilisateurs
d’appareils
mobiles personnels sont tenus responsables d’assurer la
sécurité de leurs appareils
− une pratique dangereuse.
Dans un sens, nous pouvons comprendre les
réticences des entreprises à
accepter des appareils provenant de leurs employés.
Généralement, ceux-ci sont
dépourvus de la plupart des fonctions de sécurité de base−
tels que l’antivirus
et la protection par mot de passe − incorporées dans
pratiquement tous les
ordinateurs du lieu de travail. En outre, la polyvalence de
ces appareils
personnels signifie que les applications critiques de
l’entreprise peuvent, et
seront, accessibles depuis n’importe quel réseau et de
n’importe où. Cela
conduit à une quantité phénoménale de données sensibles qui se
retrouvent sur ces
appareils, dont l’exposition pourrait être très nuisible à
l’entreprise.
Pourtant, il devient de plus en plus difficile
pour les entreprises de dire
non aux employés qui utilisent leurs propres appareils − il
est clair que les
salariés ne vont pas s’arrêter d’utiliser leurs propres
mobiles à des fins
professionnelles, ils essaieront juste de trouver les moyens
pour le faire.
Dans ce contexte, quelle est la réponse aux
défis de sécurité posés par le BYOD ?
Voici trois mesures IT qui peuvent offrir
une certaine tranquillité aux organisations:
1) Implémenter Une Politique Mobile Pertinente :
C’est le B.A.BA de toute
politique. La plupart des organisations devrait prendre le
temps d’évaluer réellement
leurs objectifs et de déterminer les menaces qui s’appliquent
(par exemple les
sites Internet malveillants, la perte de productivité,
l’utilisation de la
bande passante excessive) à leur réseau. Quelques points sur
lesquels le
département IT doit s’interroger:
* Quelles sont les applications
nécessaires, et lesquelles doivent
être non autorisées ?
* Quels seront les employés
autorisés à utiliser ces
appareils ?
* Qui a accès au réseau selon
qui, quoi, où et quand ?
Les entreprises
devraient également contrôler l’accès en fonction des besoins
d’informations, et
faire des évaluations de vulnérabilités en continu. Et bien
sûr, elles ont
besoin de comprendre comment mettre en application les
politiques qu’elles ont
fixées.
2) Le logiciel de gestion à distance:
Il est important d’être en
mesure d’appliquer l’éventail des fonctions de sécurité de
base, tels que l’antivirus
ou le logiciel d’effacement des données à distance, sur
n’importe quel appareil
contenant des données d’entreprise.
Le logiciel de gestion à
distance permet à
l’IT de mettre à jour automatiquement les appareils des
utilisateurs avec les
derniers correctifs pour empêcher toutes les vulnérabilités
existantes d’être
exploitées dans le cadre d’attaques mobiles. Les entreprises
devraient
également localiser, suivre, verrouiller, effacer, sauvegarder
et
restaurer de manière
centralisée et à
distance les équipements afin de pouvoir protéger, récupérer
et restaurer les
données d’entreprise stockées sur des appareils mobiles perdus
ou volés.
3) Bloquer les appareils non conformes:
C’est là que les organisations
peuvent pratiquer l’art du compromis. Souvent les salariés
s’empressent d’utiliser
leurs appareils personnels pour le travail mais sont réticents
à y installer
des logiciels supplémentaires − dont certains pourraient
effacer leurs précieux
contacts et photos de leur téléphone, tablette ou ordinateur
portable.
En guise
de compromis, les entreprises pourraient permettre à leurs
salariés d’utiliser
leurs propres appareils si – et seulement si – ils acceptent
d’installer
certaines applications conformes à la politique de sécurité
interne. Dans le
cas contraire, les salariés devront s’en tenir à un appareil
imposé par l’IT. Une
solution alternative envisageable par certaines entreprises
serait
l’utilisation d’un téléphone à double usage divisé en deux
partitions logiques – l’une pour
un usage professionnel et l’autre pour un
usage personnel –l’IT ayant un contrôle total sur la
partition professionnelle.
Quoiqu’il en soit, les organisations doivent
comprendre que pour protéger
efficacement leurs réseaux et données d’entreprise des menaces
potentielles
venant d’appareils mobiles, elles doivent aborder la question
de sécurité au
niveau du réseau, et non uniquement au niveau du terminal. En
effet, il est
très difficile de protéger des téléphones et tablettes
personnels en utilisant
des agents de sécurité: d’un point de vue technique, les
appareils mobiles d’aujourd’hui
n’ont pas la puissance de processeur suffisante pour supporter
de tels agents et
il y a beaucoup trop de systèmes d’exploitation et d’appareils
différents pour
permettre un réel maintien à jour ; du point de vue de
l’utilisateur, il est
très difficile d’imposer l’installation de logiciels de
sécurité sur les
appareils personnels des employés apportés sur le lieu de
travail.
En conséquence, la seule
solution efficace est de s’assurer
que le cœur du réseau est protégé et que l’entreprise peut
contrôler à la fois
les accès entrants et sortants au réseau d’entreprise par les
appareils
externes. Cette stratégie de sécurité réseau nécessite un fort
contrôle sur les
utilisateurs et les applications, outre une gestion au niveau
de l’appareil. Il
faut que les organisations IT
puissent
détecter et contrôler : l’utilisation des applications sur
leurs réseaux et terminaux en s’appuyant sur la
classification des applications,
l’analyse comportementale et l’association à l’utilisateur; les applications Web à un
niveau précis, ce qui comprend
l’inspection du trafic applicatif encrypté, en dépit des
ports et protocoles utilisés.
Il est clair que les organisations devront
beaucoup investir pour s’adapter
et passer à une nouvelle façon d’accompagner leurs employés
dans leurs choix
technologiques.
Mais elles n’ont pas le choix − le BYOD n’est
pas prêt de
disparaitre et les responsables IT se doivent d’anticiper.