BYOD : trouver le bon équilibre entre risques et bénéfices

Autoriser les appareils mobiles appartenant aux employés n'implique pas d'accepter tous les risques qui y sont liés. Des experts partagent leurs stratégies de sécurité en matière de BYOD.

Il existe toutes sortes d'appareils mobiles : des smartphones, des ordinateurs portables, des tablettes, des appareils hybrides, convertibles et amovibles. Si la mobilité améliore l'efficacité des collaborateurs d'une entreprise en leur offrant un accès universel aux données et aux systèmes métier, elle contribue à saper l'efficacité de la protection du réseau d'entreprise.

iPhone

De nombreux responsables de la sécurité ont déjà été confrontés aux conséquences de cette situation : de moins en moins de contrôle sur l'accès aux données d'entreprise depuis une multitude d'appareils grand public, et personnels (le fameux BYOD pour Bring Your Own Device), et plus de difficultés à déterminer quels appareils accèdent à quels systèmes et à quelles données.

Il est interdit d'interdire... ou en tout cas inutile

Il n'est donc pas surprenant qu'à l'heure où les appareils mobiles personnels se généralisent sur le lieu de travail, les employeurs aient du mal à assurer un usage sécurisé du BYOD. Anthony Peters, directeur des technologies de l'information chez Burr Pilger Mayer Inc., une société de services financiers comptant 400 collaborateurs basés à San Francisco, en témoigne : son univers professionnel policé et ordonné autour du BlackBerry a été complètement ébranlé voici quelques années par l'engouement pour l'iPhone d'Apple.

Demandez à celui qui nie le BYOD dans son entreprise de consulter ses logs : je vous parie qu'il y trouvera un Safari Mobil

Dave Martin, EMC

« Aujourd'hui, nous avons presque entièrement intégré le BYOD, constate Anthony Peters. Nous autorisons les iPhone, Android et les Windows Phone. Il ne nous reste que sept BlackBerry que j'espère bientôt retirer de la circulation ».

Burr Pilger Mayer n'est pas la seule entreprise dans ce cas. Les taux d'adoption du BYOD varient selon les régions et les secteurs, mais si l'on en croit les estimations, on atteint des proportions de 40 % à 75 % imputables aux smartphones et aux tablettes grand public. D'après la société d'études de marché Osterman Research, dans l'État de Washington, on compte aujourd'hui presque deux fois plus d'iPhone, d'iPad et d'appareils Android appartenant aux employés que d'équipements équivalents fournis par les entreprises. Interdire le BYOD sur le lieu de travail est donc rarement efficace.

« Demandez à quiconque nie le BYOD de consulter ses logs : je vous parie qu'il y trouvera Safari Mobile », affirme Dave Martin, vice-président et directeur de la sécurité d'EMC Corp. « Rejeter le BYOD ne fait que le pousser dans la clandestinité, où vous perdez toute visibilité. Je préfère savoir qu'il y a des appareils personnels et en combattre méthodiquement les risques plutôt que de faire semblant de croire que je peux carrément les interdire. L'expérience montre que cette stratégie est vouée à l'échec ; les utilisateurs trouvent toujours le moyen de la contourner. En revanche, si vous êtes trop permissif, vous vous exposez à la perte de données. De la même manière, nous ne pouvons pas verrouiller les appareils personnels, alors nous devons trouver le moyen de les utiliser intelligemment ».

Maîtriser les risques du BYOD

Le BYOD pose de nombreux risques, dont certains sont largement connus et d'autres moins bien compris. Le Security for Business Innovation Council, qui réunit des responsables de la sécurité informatique des mille plus grandes entreprises américaines, citait la perte ou le vol d'équipements mobile comme principale préoccupation. Le danger dans ce cas est clair : les appareils manquant à l'appel ont beau contenir des données sensibles, moins d'un quart d'entre eux peuvent être effacés à distance, selon Osterman Research.

De plus, les employeurs sont rarement en mesure d'évaluer les risques de violation des données sur les appareils non gérés. « En gros, cela revient à perdre le contrôle de vos données », constate Dave Martin.

« A partir du moment où les e-mails sont récupérés [par réseau cellulaire] et ouverts sur un appareil mobile personnel, je perds toute visibilité de l'accès aux données. En cas de phishing, je ne me rendrais même pas compte qu'une attaque a eu lieu et je perd[rai]s l'occasion de réaliser une [analyse port-mortem] ».

Lorsqu'un équipement personnel contourne les filtres entrants habituellement appliqués aux appareils d'entreprise, il devient vulnérable aux logiciels malveillants, un risque en rapide augmentation, notamment au niveau des appareils Android.

De la même façon, les appareils qui contournent les filtres sortants aggravent les risques de non-conformité aux lois et aux impératifs réglementaires en matière de confidentialité des données. Et bien sûr, plus l'usage du BYOD se répand, plus la fréquence de ces comportements à risque augmente.

On peut être tenté de juguler ces risques en verrouillant les BYOD de la même façon que les appareils d'entreprise, mais les organisations qui s'y essaient se heurtent de front aux limites imposées par la protection de la vie privée.

« Au début, nous avons rencontré de nombreuses réticences », indique Anthony Peters. « [Les utilisateurs craignaient qu'on joue] les Big Brother et qu'on se mêle un peu trop de leur vie privée. Dès le départ, nous avons consulté la direction, les ressources humaines et le service juridique, en passant pas mal de temps avec les différentes personnes et en leur expliquant le fonctionnement [des politiques de sécurité BYOD]. Cela nous a beaucoup aidé à concevoir les règles du jeu. »

A faire donc, avant de choisir une solution d'EMM pour encadrer au mieux un BYOD de plus en plus présent.

Pour approfondir sur Mobilité