Le confinement, les besoins de travailler à distance et de pouvoir accéder aux systèmes d’informations depuis une grande variété d’appareils ont remis au goût du jour la problématique du BYOD et mis en évidence ses vertus. Les problématiques de sécurité qu’il soulève sont désormais de mieux en mieux maîtrisées et maîtrisables…
La frontière entre usage personnel et professionnel des équipements informatiques est de plus en plus poreuse. C’est pourquoi les organisations tendent à ne plus établir de démarcation. Pour preuve, les employés sont de plus en plus encouragés à utiliser leur téléphone personnel, à des fins professionnelles.
Dans le même temps, ceci contraint les sociétés à une vigilance supplémentaire car, elles ne peuvent plus se contenter de surveiller les appareils circonscrits à une périmètre défini… L’employé pourra chercher à accéder aux données de l’entreprise depuis des réseaux étrangers à ce périmètre. Le Bring Your Own Device (BYOD), tendant de plus en plus à devenir la norme, de nouveaux protocoles de sécurité doivent être déployés pour protéger l’entreprise et accorder plus d’autonomie aux employés.
Sécurité du BYOD, que faut-il comprendre ?
Le marché du BYOD progresse à un rythme effréné : des estimations récentes indiquent qu’il pourrait atteindre les 367 milliards de dollars d’ici 2022, alors qu’il n’était que de 30 milliards en 2014, d’après les chiffres de Forbes. Cette hausse peut s’expliquer par la « consommation » croissante d’outils technologiques en entreprise. Une récente étude Dell rapporte que 61 % des employés de la génération Y et plus de 50 % des plus de 30 ans estiment que les applications et les appareils qu’ils utilisent dans leur vie personnelle, sont plus performantes et efficaces que celles en usage dans l’entreprise. Ceci dit, les organisations font évoluer leurs technologies afin d’offrir à leurs collaborateurs une expérience similaire à celle qu’ils connaissent avec leurs outils personnels.
La progression du BYOD n’est pas sans risques pour l’entreprise, comme dit précédemment. Selon le Verizon Mobile Security Index 2020, 40% des entreprises disent avoir été confrontées à une attaque visant les téléphones mobiles. Le récent piratage informatique subie par Jeff Bezos (P.-D.G. d’Amazon) montre que même les dirigeants ne sont pas à l’abri des menaces liées à l’utilisation d’un appareil personnel à des fins professionnelles. La mise en place d’une politique de sécurité globale en matière de BYOD est plus que nécessaire.
Un appareil, deux utilisateurs
Comment les entreprises peuvent-elles se défendre contre les risques du BYOD, tout en donnant aux employés les moyens de rester productifs ?
En lisant ou en envoyant des e-mails, en ayant accès à l’entreprise via des sites Internet ou des applications, ou en échangeant avec des partenaires depuis des applications personnelles – le recours au BYOD s’accompagne de risques importants – sauf à adopter une politique de sécurité globale.
Une politique BYOD réaliste doit accepter que les employés, habitués au mobile et au Cloud, doivent pouvoir accéder aux ressources n’importe où et depuis n’importe quel appareil ; tout en considérant les risques potentiels et en s’efforçant de les prévenir. Pour ce faire, une politique globale de BYOD suppose que deux utilisateurs coexistent sur un même appareil mobile géré par l’entreprise. Cette approche permet de séparer au sein d’un même outil contenus personnels/professionnels et applications.
Cette démarche permet aux services informatiques d’appliquer des mesures de sécurité conformes à la politique de l’entreprise, pour la partie professionnelle, tout en permettant à l’utilisateur de rester maître de ses applications personnelles. Ceci peut permettre aux services informatiques, non seulement d’isoler les applications potentiellement malveillantes, mais aussi et de protéger les données de l’entreprise contre les attaques de phishing lancées depuis les applications de messagerie personnelle.
Prévention et détection des risques dans un environnement BYOD
La gestion unifiée des terminaux (UEM) permet à l’entreprise de détecter quand un appareil mobile a été attaqué et de prendre les mesures correctives pour supprimer la menace et empêcher l’accès aux données. Ce protocole doit être mis en œuvre conjointement à une solution de protection contre les menaces (ThreatDefencetool), fournissant des analyses des applications et passant en revue le téléphone, afin d’évaluer sa sécurité et de possibles fuites de données. Dans le cas d’une attaque malware, comme celle subie par le P.-D.G. d’Amazon, un outil de défense contre les menaces aurait détecté la corruption du système d’exploitation et l’étendue de l’intrusion permettant d’avoir accès aux données personnelles et de prendre le contrôle du téléphone.
L’utilisateur maîtrise entièrement la partie personnelle de son appareil et peut télécharger les applications qu’il souhaite. Pour ce qui concerne le volet professionnel, la politique de sécurité de l’entreprise n’autorise l’installation que de certaines applications et uniquement les versions vérifiées. Elle peut également exercer une surveillance pour s’assurer que les applications sont constamment mises à jour, afin de réduire les risques. L’entreprise pourra, au besoin, effectuer à distance la mise à jour des applications.
Elle pourra se faire soit via UEM, ou notification invitant l’utilisateur à mettre à jour ses applications s’il veut continuer à avoir accès aux ressources de l’entreprise en toute sécurité.
Les fuites et les pertes de données sont la principale préoccupation des entreprises (72%) en matière de sécurité dans les environnements BYOD (CrowdResearch). Ne pas mettre à jour ou renfoncer les politiques en matière de BYOD n’est pas une option pour ces organisations ! Bannir l’usage des réseaux sociaux et des applications de messagerie sur le téléphone personnel d’un employé ne peut bien sûr pas être envisagé.
La solution ? La combinaison entre UEM et outil de protection face aux menaces (Threat Defence tool) est le meilleur compromis pour renforcer la sécurité et réduire les risques liés à un usage du matériel personnel à des fins professionnelles.
___________________
Par Brian Foster, SVP Product Management MobileIron