10 façons de contrer les menaces avec une stratégie BYOD efficace
Est-il vraiment nécessaire d’avoir une solution de sécurité personnalisée pour chaque périphérique spécifique, chaque version de chaque périphérique et chaque membre du personnel de l'entreprise ? Sur quels types de problème cela peut-il déboucher ?
En dépit des avantages que peut représenter la tendance BYOD
(« apporter son périphérique personnel au travail ») pour les
directions informatiques, en ce qu'elles n'ont plus à acheter autant
d'ordinateurs portables, de tablettes et de smartphones pour le personnel que
par le passé, l'idée de voir tous ces périphériques « étrangers »
s’inviter du côté intérieur du pare-feu de l'entreprise les terrorise.
Soyons réalistes : il existe de plus en plus de périphériques
mobiles qui sont amenés sur le lieu de travail par des employés qui s'arrogent
le droit de les utiliser – avec ou sans l'accord des directions informatiques.
Il y a bien sûr du pour et du contre à cet égard. La procédure à suivre est
toujours la même : analyser la situation, définir des règles d'entreprise
et veiller à leur application. Voici quelques conseils qui devraient vous
permettre d'y voir plus clair.
1. Tenir compte de ses propres craintes
Vous devez accepter l'évolution inéluctable de l'environnement
informatique, et non la craindre. À l'ère du cloud, les directions
informatiques considèrent que les exceptions d'hier sont devenus les normes
d'aujourd'hui dans le monde de l'entreprise. L'utilisation de périphériques
personnels sur le lieu de travail, avec les problèmes de sécurité et les
tactiques de piratage qui leur sont liés, doit être contre balancée par les
impératifs de l'entreprise en termes d'agilité, de conformité et d'innovation.
En tenant compte de vos craintes, l'informatique BYO
(« bring-you-own ») et le cloud fonctionnent en parfaite synergie pour
optimiser la productivité et la sécurité tout en responsabilisant à la fois le
personnel et la direction informatique. L'une des premières craintes à
surmonter est la consumérisation.
2. Accepter la consumérisation
Il ne faut pas oublier que ce sont les technologies grand public
qui nous ont permis d'entrevoir pour la première fois ce que l'informatique de
demain nous réserve. En outre, les médias sociaux,lorsqu'ils sont utilisés de
façon efficace, conduisent à un plus haut niveau de collaboration. La gestuelle
(« gesturing ») et la cinétique ouvrent la voie vers
l' « informatique immersive ». Et nous voyons poindre les
premiers signes de cette tendance inéluctable vers l' « humanisation de
l'informatique ».
3. Individualiser l'informatique
Le BYOD ne se limite pas aux périphériques : elle incarne le
choix individuel à l’échelle de l'environnement informatique. À l'ère du cloud,
l'expérience informatique est adaptée sur mesure à la personne. Il ne s'agit
plus d'une approche universelle. En individualisant l'informatique,
l'utilisation des périphériques, des applications, des données, et même
l'environnement sécuritaire peuvent être adaptés à l'usage et donc plus utiles
pour l'entreprise. Pour préserver le caractère personnel du BYOD, veillez à ne
jamais transférer de données d'entreprise sensibles sur des périphériques BYOD
grand public non gérés.
4. Remettre le réseau au premier plan
Avec le transfert des services sur le cloud et les utilisateurs se
connectant aux applications et aux données, le rôle de l'infrastructure réseau
est plus important que jamais. Les réseaux d'aujourd'hui doivent être
haut-débit, hautement redondants, résilients et protégés contre les attaques.
Le cloud computing et la virtualisation exigent aussi des réseaux qui soient
portables. Pour renforcer cette portabilité, vous devez isoler le réseau de
l'environnement hébergés-hébergeurs par le biais de services virtuels.
5. Repenser l'accès aux données
Pour renforcer la sécurité en vue de l'ère ducloud, il est
impératif de repenser les autorisations d'accès, qui ne doivent plus se limiter
à un simple oui/non ou à préciser les utilisateurs/périphériques interdits
d'accès au réseau. Les décisions d'accès doivent être prises à l'aune des
5 W : who (qui), what (quoi), when (quand), where (où) et why
(pourquoi). Ou, en d'autres termes : identité + périphérique + situation +
lieu + cas d'usage. Les systèmes, les réseaux, les applications et les services
doivent intégrer l'expression des attributs utilisateur, périphérique, session
et contrôle de données pour prendre les décisions d'accès voulues. L'utilisation
des attributs « qui, quoi, quand, où, pourquoi » pour l'accès aux
données permet de mieux maîtriser les relations informationnelles complexes.
6. Définir les relations
En appliquant une vision « relationnelle » de la mise en
réseau, il est possible de faire évoluer les réseaux pour les adapter aux
exigences de l'ère du cloud. Les réseaux de l'ère du cloud sont sociaux,
fédérés et orientés services. Ils intègrent une capacité et un contrôle d'accès
granulaires. Le BYOD est un fait acquis. L'authentification par signature
unique (« single sign-on »), l'optimisation de la sécurité, les
services locaux et la stratégie de données à emporter
(« follow-me-data ») sont essentiels pour garantir une productivité
optimale. Penser en termes de relations permet également d'appliquer une
approche inédite de la sécurité.
7. Virtualiser pour sécuriser
La virtualisation est une adaptation de l'informatique aux
besoins, opportunités et stratégies d'innovation de l'entreprise. Cette
évolution entraîne des modifications progressives des applications et processus
existants tout en laissant libre cours à l'innovation pour ceux qui prennent un
nouveau départ – en particulier pour ceux qui utilisent la virtualisation pour
révolutionner l’approche de la sécurité. Une sécurité efficace de la
virtualisation assure la protection de l'informatique itinérante, collaborative
et sociale grâce à l'isolation des ressources sensibles. Il est impossible de
sécuriser efficacement le BYOD sans virtualisation.
8. Penser « multi-tenant »
Le multi-tenant (ou « mutualisation », en français) est
un modèle de propriété, de gestion et de sécurité, qui constitue la nouvelle
réalité du monde du cloud computing et du BYOD. Une approche multi-tenant
éprouvée est essentielle pour assurer la conformité et la confidentialité des
clouds et des autres modèles mutualistes. Le multi-tenant est devenu un
impératif pour protéger les services administratifs, partagés et externes les
uns des autres. Les bonnes clôtures font les bons voisins…
9. Prendre possession…
La nécessité de gérer le périphérique est l'une des premières
requêtes des directions informatiques, mais cela n'est plus toujours
indispensable ni même souhaitable. Avec le BYOD, le périphérique appartient à
l'utilisateur. Le service informatique doit gérer l'accès aux données sensibles
depuis le périphérique BYOD, et pas le périphérique lui-même. Prenez possession
de ce que vous gérez, gérez ce que vous possédez. Prenez possession de vos
propres données. Prenez possession de votre propre chiffrement. Aujourd'hui la
question est : « Dois-je vraiment prendre possession des
périphériques ou simplement des sessions et des données qui seront utilisées à
partir de ceux-ci ? »
10. « In Cloud We Trust »
Plus que de simples mesures de sécurité, la finalité ultime du
cloud est la confiance – une confiance basée sur les principes de sécurité, de
confidentialité, de transparence et de responsabilité. Comme le cloud est de
plus en plus utilisé à des fins d'identification, de services Trust, de collaboration
sécurisée et d'autres innovations, les utilisateurs, les processus et les
technologies doivent soutenir l'application de ces principes fondamentaux, de
la conception architecturale à la conduite des audits.