10 façons de contrer les menaces avec une stratégie BYOD efficace

Est-il vraiment nécessaire d’avoir une solution de sécurité personnalisée pour chaque périphérique spécifique, chaque version de chaque périphérique et chaque membre du personnel de l'entreprise ? Sur quels types de problème cela peut-il déboucher ?

En dépit des avantages que peut représenter la tendance BYOD (« apporter son périphérique personnel au travail ») pour les directions informatiques, en ce qu'elles n'ont plus à acheter autant d'ordinateurs portables, de tablettes et de smartphones pour le personnel que par le passé, l'idée de voir tous ces périphériques « étrangers » s’inviter du côté intérieur du pare-feu de l'entreprise les terrorise.
Soyons réalistes : il existe de plus en plus de périphériques mobiles qui sont amenés sur le lieu de travail par des employés qui s'arrogent le droit de les utiliser – avec ou sans l'accord des directions informatiques. Il y a bien sûr du pour et du contre à cet égard. La procédure à suivre est toujours la même : analyser la situation, définir des règles d'entreprise et veiller à leur application. Voici quelques conseils qui devraient vous permettre d'y voir plus clair.

1. Tenir compte de ses propres craintes
Vous devez accepter l'évolution inéluctable de l'environnement informatique, et non la craindre. À l'ère du cloud, les directions informatiques considèrent que les exceptions d'hier sont devenus les normes d'aujourd'hui dans le monde de l'entreprise. L'utilisation de périphériques personnels sur le lieu de travail, avec les problèmes de sécurité et les tactiques de piratage qui leur sont liés, doit être contre balancée par les impératifs de l'entreprise en termes d'agilité, de conformité et d'innovation. En tenant compte de vos craintes, l'informatique BYO (« bring-you-own ») et le cloud fonctionnent en parfaite synergie pour optimiser la productivité et la sécurité tout en responsabilisant à la fois le personnel et la direction informatique. L'une des premières craintes à surmonter est la consumérisation.

2. Accepter la consumérisation
Il ne faut pas oublier que ce sont les technologies grand public qui nous ont permis d'entrevoir pour la première fois ce que l'informatique de demain nous réserve. En outre, les médias sociaux,lorsqu'ils sont utilisés de façon efficace, conduisent à un plus haut niveau de collaboration. La gestuelle (« gesturing ») et la cinétique ouvrent la voie vers l' « informatique immersive ». Et nous voyons poindre les premiers signes de cette tendance inéluctable vers l' « humanisation de l'informatique ».

3. Individualiser l'informatique
Le BYOD ne se limite pas aux périphériques : elle incarne le choix individuel à l’échelle de l'environnement informatique. À l'ère du cloud, l'expérience informatique est adaptée sur mesure à la personne. Il ne s'agit plus d'une approche universelle. En individualisant l'informatique, l'utilisation des périphériques, des applications, des données, et même l'environnement sécuritaire peuvent être adaptés à l'usage et donc plus utiles pour l'entreprise. Pour préserver le caractère personnel du BYOD, veillez à ne jamais transférer de données d'entreprise sensibles sur des périphériques BYOD grand public non gérés.

4. Remettre le réseau au premier plan
Avec le transfert des services sur le cloud et les utilisateurs se connectant aux applications et aux données, le rôle de l'infrastructure réseau est plus important que jamais. Les réseaux d'aujourd'hui doivent être haut-débit, hautement redondants, résilients et protégés contre les attaques. Le cloud computing et la virtualisation exigent aussi des réseaux qui soient portables. Pour renforcer cette portabilité, vous devez isoler le réseau de l'environnement hébergés-hébergeurs par le biais de services virtuels.

5. Repenser l'accès aux données
Pour renforcer la sécurité en vue de l'ère ducloud, il est impératif de repenser les autorisations d'accès, qui ne doivent plus se limiter à un simple oui/non ou à préciser les utilisateurs/périphériques interdits d'accès au réseau. Les décisions d'accès doivent être prises à l'aune des 5 W : who (qui), what (quoi), when (quand), where (où) et why (pourquoi). Ou, en d'autres termes : identité + périphérique + situation + lieu + cas d'usage. Les systèmes, les réseaux, les applications et les services doivent intégrer l'expression des attributs utilisateur, périphérique, session et contrôle de données pour prendre les décisions d'accès voulues. L'utilisation des attributs « qui, quoi, quand, où, pourquoi » pour l'accès aux données permet de mieux maîtriser les relations informationnelles complexes.

6. Définir les relations
En appliquant une vision « relationnelle » de la mise en réseau, il est possible de faire évoluer les réseaux pour les adapter aux exigences de l'ère du cloud. Les réseaux de l'ère du cloud sont sociaux, fédérés et orientés services. Ils intègrent une capacité et un contrôle d'accès granulaires. Le BYOD est un fait acquis. L'authentification par signature unique (« single sign-on »), l'optimisation de la sécurité, les services locaux et la stratégie de données à emporter (« follow-me-data ») sont essentiels pour garantir une productivité optimale. Penser en termes de relations permet également d'appliquer une approche inédite de la sécurité.

7. Virtualiser pour sécuriser
La virtualisation est une adaptation de l'informatique aux besoins, opportunités et stratégies d'innovation de l'entreprise. Cette évolution entraîne des modifications progressives des applications et processus existants tout en laissant libre cours à l'innovation pour ceux qui prennent un nouveau départ – en particulier pour ceux qui utilisent la virtualisation pour révolutionner l’approche de la sécurité. Une sécurité efficace de la virtualisation assure la protection de l'informatique itinérante, collaborative et sociale grâce à l'isolation des ressources sensibles. Il est impossible de sécuriser efficacement le BYOD sans virtualisation.

8. Penser « multi-tenant »
Le multi-tenant (ou « mutualisation », en français) est un modèle de propriété, de gestion et de sécurité, qui constitue la nouvelle réalité du monde du cloud computing et du BYOD. Une approche multi-tenant éprouvée est essentielle pour assurer la conformité et la confidentialité des clouds et des autres modèles mutualistes. Le multi-tenant est devenu un impératif pour protéger les services administratifs, partagés et externes les uns des autres. Les bonnes clôtures font les bons voisins…

9. Prendre possession…
La nécessité de gérer le périphérique est l'une des premières requêtes des directions informatiques, mais cela n'est plus toujours indispensable ni même souhaitable. Avec le BYOD, le périphérique appartient à l'utilisateur. Le service informatique doit gérer l'accès aux données sensibles depuis le périphérique BYOD, et pas le périphérique lui-même. Prenez possession de ce que vous gérez, gérez ce que vous possédez. Prenez possession de vos propres données. Prenez possession de votre propre chiffrement. Aujourd'hui la question est : « Dois-je vraiment prendre possession des périphériques ou simplement des sessions et des données qui seront utilisées à partir de ceux-ci ? »

10. « In Cloud We Trust »
Plus que de simples mesures de sécurité, la finalité ultime du cloud est la confiance – une confiance basée sur les principes de sécurité, de confidentialité, de transparence et de responsabilité. Comme le cloud est de plus en plus utilisé à des fins d'identification, de services Trust, de collaboration sécurisée et d'autres innovations, les utilisateurs, les processus et les technologies doivent soutenir l'application de ces principes fondamentaux, de la conception architecturale à la conduite des audits.