Comment adopter BYOD et Internet des objets peut améliorer la sécurité
L’arrivée du BYOD et des appareils connectés dans l’environnement de l’entreprise appelle à des processus appropriés d’enrôlement des terminaux.
Comment adapter les programmes de sécurité pour enrôler de manière appropriée les multiples terminaux personnels et connectés affluant dans l’entreprises ?
Pour faire simple et court, si les RSSI veulent traiter les risques associés au BYOD et à l’Internet des objets, ils doivent commencer par identifier ces risques.
De nombreuses personnes estiment que le BYOD et les objets connectés ne représentent pas un important problème. En fait, beaucoup – et en particulier des dirigeants qui pensent en savoir plus au sujet de la sécurité que les spécialistes du domaine – affirment haut et fort que ces appareils ne contiennent rien de valeur où qu’ils ne les utilisent pas d’une manière susceptible d’engendrer des risques pour l’entreprise. En outre, de nombreuses personnes pensent que parce qu’elles sont en conformité – réglementaire ou avec les politiques internes – elles sont en sécurité.
Cela dit, la plupart des professionnels de l’IT comprennent que si un appareil a une adresse IP, une URL, ou un interrupteur, c’est une cible potentielle. Même une machine à café en salle de repos ou un système d’alarme physique, par exemple, qui ne stockent pas de données clients ou de propriété intellectuelle, peuvent introduire des risques – avec des protocoles réseau peu sûrs, l’absence de contrôles d’accès et d’authentification, ou encore la menace de déni de service, etc.
De telles vulnérabilités pourraient être négligées, mais il est important de savoir de déterminer comment elles sont susceptibles d’être exploitées. Il y a également une forte adhérence du BYOD et de l’Internet des objets avec les politiques de sécurité, de continuité de l’activité et de la réponse aux incidents ; il est important d’être préparé.
Reste que des processus d’enrôlement appropriés sont critiques pour sécuriser les terminaux associés au BYOD et à l’Internet des objets. Le test d’intrusion et les audits techniques de sécurité sont la meilleure façon de découvrir comment ces appareils mobiles et non conventionnels créent des risques – absence de correctifs, interfaces Web ouvertes, mécanismes d’authentification fragiles, etc.
Mais une bonne partie de la sécurité de l’information relève de la psychologie humaine. Et pour comprendre ce volet de la sécurité, il convient d’en apprendre le plus possible sur le sujet. Les composants techniques trouveront alors tout naturellement leur place.
Adapté de l’anglais par la rédaction.