opolja - Fotolia
BYOD : les risques associés à l’utilisation d’appareils personnels au bureau
Après les multiples confinements, un nombre croissant d’employés a pris l’habitude d’utiliser ses terminaux mobiles personnels pour ses activités professionnelles. Et de les amener au bureau en y revenant.
Des millions de personnes ont commencer à retourner au bureau, plus ou moins vite et plus ou moins régulièrement, après près de deux ans de télétravail. Si le retour partiel sur site est un signe positif laissant entrevoir la fin de la pandémie de Covid-19, certains experts redoutent d’importantes répercussions sur la cybersécurité des entreprises.
La pandémie a obligé un grand nombre de salariés à travailler à distance. Et avec ou sans l'autorisation de leurs employeurs, beaucoup ont utilisé leurs propres terminaux mobiles pour rester en contact avec leurs supérieurs, collègues, clients et autres partenaires clés, tout au long de la pandémie.
Force est toutefois de constater que les appareils grand public ne disposent pas de protections de cybersécurité aussi efficaces que les équipements administrés par l'entreprise. Ils sont donc potentiellement plus exposés aux malveillances. Et même lorsque les salariés n'utilisaient que les appareils mobiles de l'entreprise pour travailler à distance, ils n'avaient pas d'autre choix que de se connecter à des réseaux Wi-Fi personnels, là encore potentiellement moins sécurisés que les réseaux d’entreprise.
Quoi qu'il en soit, des centaines de milliers d'appareils mobiles, peu sécurisés pour la plupart, se reconnectent d'un seul coup aux réseaux d'entreprise. Quels sont alors les risques encourus ? Et comment les entreprises peuvent-elles les atténuer ?
Un risque de pandémie IT
L'afflux massif de nouveaux appareils qui se connectent pour la première fois aux réseaux des entreprises pose de sérieux problèmes de sécurité, estime Jake Moore, spécialiste de la sécurité chez Eset. D'après lui, des logiciels malveillants sont susceptibles de se déverser par milliers sur des environnements jadis sécurisées.
Jake MooreSpécialiste de la sécurité, Eset
Face à cela, les entreprises doivent sécuriser leurs données et leurs réseaux. Mais Jake Moore explique que cela nécessite de prévoir plusieurs couches de sécurité et de compter sur la coopération de tous au sein de l'organisation. Les équipes chargées de la cybersécurité ne peuvent pas faire face seules.
« Avant d'autoriser des appareils n'appartenant pas à l'entreprise à accéder au réseau, les données doivent être protégées. Il convient de les séparer dans des réseaux d'invités, d'isoler les zones sensibles et de n'accorder l'accès qu'aux seules personnes qui en ont vraiment besoin », affirme-t-il. Et d'ajouter que « si un appareil tiers doit accéder au réseau, il est vivement conseillé de s'assurer qu'il est équipé d'une solution antivirus fiable et approuvée par l'entreprise, ainsi que de le soumettre au préalable à des analyses ».
Chiffrement intégral du stockage
Dans la mesure où de nombreux salariés utilisent désormais leurs propres appareils mobiles, des données d'entreprise sensibles risquent de tomber entre de mauvaises mains, une fois à l'extérieur du bureau. Jake Moore explique qu'en procédant au chiffrement intégral du stockage interne de l’appareil, les entreprises peuvent garantir la sécurité des données stockées sur ceux-ci en dehors du lieu de travail. « Cette mesure doit être prise impérativement pour tout appareil quittant les locaux », poursuit-il.
En outre, pendant la pandémie, de nombreux smartphones ont pu faire l'objet de sérieuses atteintes à la cybersécurité, risquant de constituer une réelle menace pour les réseaux d'entreprise lors de la réouverture des bureaux. « Un logiciel de gestion des applications mobiles (MAM) peut aider les administrateurs réseau à surveiller tout ce qui s'exécute sur leur réseau et, si nécessaire, à prendre le contrôle des appareils mobiles à distance », préconise Jake Moore.
Les fondamentaux du BYOD
Les entreprises modernes sont déjà conscientes de la menace pour la cybersécurité que fait peser l'utilisation d'appareils mobiles personnels sur les réseaux d'entreprise, car ces problèmes existaient bien avant la pandémie, relève Sean Wright, responsable de la sécurité des applications chez Immersive Labs.
« Face à ce risque, une politique de sécurité doit déjà être prévue, et mise en oeuvre par des solutions de gestion d'équipements adaptées », commente-t-il. Mais Sean Wright est persuadé que le retour des salariés sur le lieu de travail mettra ces dispositifs à rude épreuve. Pour lui, l'un des meilleurs moyens de résoudre ce problème est de définir des autorisations d'utilisation strictes.
Les entreprises qui autorisent leurs salariés à utiliser leurs propres appareils mobiles sur les réseaux professionnels doivent se montrer rigoureuses quant à l'installation des correctifs de sécurité. « Le déploiement des correctifs est d'une importance capitale », insiste-t-il. « Les équipements grand public étant de plus en plus vulnérables, il est essentiel que ceux qui se connectent à votre réseau soient parfaitement à jour ». Sean Wright encourage aussi les entreprises autorisant le BYOD (Bring Your Own Device) à faire fonctionner les appareils mobiles personnels sur un réseau isolé, avant d'ajouter : « la première chose qu'un pirate tente de faire, c'est de procéder par "déplacement latéral". Cette mesure ne lui en donnera pas la possibilité ».
Andrew Hewitt, analyste expérimenté chez Forrester, pense que l'utilisation d'appareils mobiles sur les réseaux Wi-Fi d'entreprise s'avère extrêmement dangereuse pour toutes les organisations qui n'ont pas les moyens d'assurer à la fois la conformité des appareils, la mise à jour des certificats et la gestion des identités et des accès (IAM). « En présence d'une gestion unifiée des terminaux et d'une solution IAM, le BYOD ne devrait pas poser de problèmes majeurs », dit-il.
Il exhorte aussi les entreprises et les professionnels à se méfier des attaques de phishing par SMS, dites de smishing, qui ont connu une véritable recrudescence pendant la pandémie. « Imaginez un instant qu'un pirate émette ce qui ressemble à une notification d'urgence depuis un immeuble de bureaux, et qu'il s'agisse en réalité d'une tentative de phishing », précise Andrew Hewitt.
Un afflux de maliciels
De nombreuses entreprises ont autorisé leurs employés à travailler sur des appareils mobiles personnels au cours des deux dernières années. Potentiellement moins sécurisés que les appareils administrés par l’entreprise, ils sont susceptibles d’avoir collecté de manière furtive des logiciels malveillants, et de représenter une menace pour la sécurité du système d’information.
Martin RileyResponsable de la gestion des services de sécurité, Bridewell Consulting
Martin Riley, responsable de la gestion des services de sécurité chez Bridewell Consulting déclare : « Alors que les salariés reviennent sur site, ils risquent d'intégrer au réseau des appareils corrompus ou moins sécurisés, que ce soit par le biais d'applications malveillantes ou d'équipements réellement infectés".
« Bien des entreprises font également trop confiance à leur administration des appareils mobiles et aux mécanismes de sécurité en place », observe-t-il. « C'est d'autant plus vrai si l'entreprise ne dispose pas d'une solution de gestion des équipements utilisateur (UEM) suffisamment mature et intégrée pour soutenir les technologies de mobilité d'entreprise. »
Selon Martin Riley, la plus grosse difficulté pour les services informatiques confrontés à ces problèmes est de trouver un juste équilibre. Par exemple, des restrictions de cybersécurité trop rigoureuses sur les appareils mobiles peuvent nuire à la productivité et à l'expérience des utilisateurs. En revanche, une approche trop laxiste peut exposer les entreprises à de graves menaces.
Pour lui, la meilleure solution consiste à appliquer un modèle de sécurité sans confiance (zero-trust) de façon à n'accorder aucune confiance implicite à un individu ou à un appareil. « Cela sous-entend d'isoler autant que possible les utilisateurs et les appareils des actifs de l'entreprise (données, applications, infrastructure et réseaux) conformément au modèle Identification, Authentification, Autorisation et Audit », précise Martin Riley.
Sensibiliser les utilisateurs
Martin Riley explique que face à l'apparition constante de nouvelles menaces en ligne, les entreprises se doivent de former les employés et de les sensibiliser aux problèmes de sécurité.
« Pour autant, la responsabilité de la sécurité ne doit pas incomber uniquement aux utilisateurs. Ceux-ci doivent être tenus régulièrement informés des risques, des types de menaces et des bonnes pratiques ». Les employés recourant toujours plus à leurs appareils et applications mobiles dans le cadre de leurs activités professionnelles, il incite les entreprises à inclure ces éléments dans le champ d'application des contrôles de sécurité, des tests et des technologies anti-phishing.
« A l'aide d'un logiciel moderne capable de gérer les terminaux et les applications mobiles, les entreprises peuvent déployer des stratégies globales pour l'authentification, la gestion des données et les correctifs, afin d'offrir à l'utilisateur une certaine souplesse tout en améliorant la gestion des risques », remarque Martin Riley.
Prendre des mesures sans attendre
Lee Newcombe, responsable de la cybersécurité chez Capgemini, pense qu'à l'avenir les entreprises pourront connecter des « appareils pollués » à leurs réseaux locaux sans trop de risques, mais il explique néanmoins que ce n'est pas envisageable à l'heure actuelle, du fait de réseaux internes non segmentés et mal protégés.
« Nous sommes encore loin de vivre dans un monde zero-trust, où la microsegmentation interne serait de rigueur et où chaque demande d'accès ferait l'objet de divers contrôles avant d'être accordée », développe Lee Newcombe. Dès lors, les entreprises doivent prendre des précautions supplémentaires en cas d'utilisation d'appareils mobiles personnels sur leurs réseaux. Dans un premier temps, il recommande de demander au personnel de s'assurer que les signatures des logiciels anti-malware sont à jour et de supprimer tout logiciel non standard avant de pénétrer dans les bureaux.
Lee Newcombe encourage aussi les entreprises à vérifier le niveau de sécurité des appareils, à distance et lors de leur connexion au réseau local, si elles en ont les moyens. Il leur faut aussi mettre en place une surveillance de la sécurité pour identifier toute activité malveillante sur le réseau interne. Les entreprises ne doivent pas non plus oublier les solutions anti-malware côté serveur. Bien que de nombreuses entreprises rouvrent leurs portes à la sortie des confinements, de l'avis général, l'avenir du travail passe par des approches hybrides. Etant donné que les employés continueront d'utiliser leurs appareils mobiles chez eux comme au bureau, les entreprises doivent renforcer leurs défenses en conséquence.
Jitender Arora, responsable de la sécurité des informations chez Deloitte UK, invite les entreprises à se doter de solides défenses contre le phishing, de systèmes de détection et de réaction au niveau des terminaux (EDR), de services de sécurité essentiels et de proxys web afin d'améliorer la sécurité de leurs environnements de travail hybrides.