Le BYOD, l'ennemi public numéro un des DSI?
A marche forcée depuis trois ans, le phénomène BYOD n'en finit plus de voir ses adeptes se multiplier... au risque de fragiliser la sécurité du SI. Le danger est réel mais les parades existent, à condition de bien s'y préparer.
Je m'abonne
Plus d'un salarié sur deux déclare utiliser son terminal personnel (laptop, smartphone, tablette, etc.) dans le cadre d'activités professionnelles, selon l'Institut Forester. Même son de cloche pour l'Ifop qui annonce que deux tiers des personnes équipées d'un terminal dit «intelligent» l'utilisent aussi à titre professionnel. En revanche, parmi cette foule de personnes reliées au SI de l'entreprise, il n'est nullement précisé combien d'entre elles ont été dûment autorisées et identifiées à s'y connecter. Selon une récente étude publiée par Absolute Software et Vanson Bourne, près de 40 % des entreprises françaises n'ont pas mis en place de politique, ni même de règles pour gérer l'utilisation des appareils mobiles sur le lieu de travail. En perdant le contrôle sur le parc de terminaux connectés, la DSI semble désarmée pour limiter les risques potentiels inhérents à ce parc mobile qui circule «en toute impunité». Pour autant, le tableau n'est pas aussi noir qu'il n'y paraît.
Le BYOD étant un sous-ensemble de la mobilité, la DSI aura donc pour responsabilité de déterminer les données «autorisées» à sortir de l'entreprise.
Thierry Karsenti, Check Point
«Il est impossible de savoir, dans un premier temps, si le système du terminal est sain ou s'il s'agit d'une «passoire» qui possède des logiciels espions... qui peuvent se propager dans le SI de l'entreprise.»
Evaluer les risques potentiels
«Avec la perte de contrôle des DSI sur les terminaux mobiles, des risques supplémentaires sont susceptibles d'apparaître, le SI devenant plus vulnérable», souligne Jérôme Saiz, rédacteur en chef de Qualys Security Community (acteur de la sécurité informatique). Les risques du BYOD sont liés aux capacités délivrées par les terminaux mobiles, au même titre que ceux qui sont fournis par les RSSI (responsables service des systèmes d'information), à une différence près: la DSI, en n'ayant aucune visibilité sur les terminaux, ne maîtrise pas le moment où le collaborateur vient se connecter au SI de l'entreprise. Par ailleurs, la nature technologique de l'appareil et le niveau de sécurité configuré lui sont inconnus. «Il est impossible de savoir, dans un premier temps, si le système du terminal est sain ou s'il s'agit dune «passoire» qui possède des logiciels espions, des chevaux de Troie... qui peuvent se propager dans le SI de l'entreprise», explique Thierry Karsenti, directeur technique pour la zone Europe chez Check Point (spécialiste de la sécurité réseaux). D'autre part, le terminal n'appartenant pas à l'entreprise, un mélange de données à la fois personnelles et professionnelles est possible mais cette «cohabitation» ne peut pas être permise, lorsque les données ont un caractère confidentiel et sensible. Sans parler du droit de regard des managers sur les données professionnelles, qui ne doit pas s'étendre aux données personnelles: «Il y va de la responsabilité de l'entreprise de bien différencier ce qui relève de la bulle professionnelle de ce qui concerne uniquement la sphère privée», confirme Thierry Karsenti.
Agostinho Rodrigues, Interdata
«En installant une brique de sécurité logicielle, il est possible de cloisonner les environnements personnel et professionnel et de maîtriser ce dernier. »
Des solutions humaines et technologiques adéquates
Deux types de mesure sont envisageables pour limiter les risques liés à la sécurité du BYOD. Une communication préventive permettra d'avoir d'abord une action sur le comportement des collaborateurs. Les managers (DSI, RSSI) doivent alerter et sensibiliser les utilisateurs sur les risques potentiels de leurs terminaux. «Les RSSI peuvent également organiser des sessions de formation pour éduquer les collaborateurs à l'usage de leurs terminaux», précise Jérôme Saiz. La DSI dispose également d'un «arsenal» technologique pour pallier les mauvais comportements involontaires, et parfois volontaires, des utilisateurs afin de limiter ou de prévenir tout dégât potentiel sur le SI. A commencer par la maîtrise du terminal. En effet, des outils de MDM (mobile device management) sont disponibles pour gérer les appareils à distance. On peut ainsi activer le chiffrement des données sur les OS des terminaux ou exiger l'entrée d'un mot de passe (ou d'un pin) pour lancer le terminal. Un second niveau consiste à faire appel à des éditeurs spécialisés ou à se lancer dans du développement spécifique. Il s'agit en l'occurrence de mettre en place une brique de sécurité logicielle qui permet de cloisonner les environnements personnel et professionnel et de mettre ce dernier dans une bulle sécurisée dont l'accès est soumis à une autorisation/authentification. «Etant confinée, cette partie du terminal peut ainsi être maîtrisée par l'administrateur, tout en réglant les droits d'accès aux logiciels m é tiers en fonction du profil de l'utilisateur», explique Agostinho Rodrigues, directeur des nouvelles technologies chez Interdata, intégrateur réseau et sécurité. Il est également possible de lancer à distance un effacement total du contenu de l'appareil, suite à la perte/vol de son mobile. Compte tenu des risques potentiels, la question de la sécurité du BYOD est donc devenue un enjeu majeur. D'autant que les ventes de smartphones deviendront majoritaires en 2013, selon le cabinet iSupply, et que celles de tablettes ont déjà dépassé celles des PC au second semestre 2012.
Trois questions à ... Hervé Doreau, responsable offre sécurité chez Symantec : « Le BYOD représente un phénomène subi pour les DSI »
Quels sont les comportements des DSI par rapport au BYOD?
En théorie, de nombreux DSI et RSSI sont contre l'utilisation de terminaux mobiles apportés par les collaborateurs au coeur de l'entreprise, ou dans le cadre d'un service de mobilité. En réalité, ce sont les mêmes qui, bien que s'y opposant farouchement, ferment finalement les yeux, en raison d'une évidence: ils ne peuvent pas faire grand-chose pour contrer le phénomène. Ils risquent d'ailleurs de déclencher une contre-productivité, si des mesures sont prises pour véritablement interdire le BYOD. Le BYOD représente donc un phénomène subi.
Comment se passe finalement l'intégration des terminaux mobiles?
L'intégration des terminaux au SI de l'entreprise est finalement assez classique puisqu'ils sont contrôlés via des outils de MDM (mobile device management). Autrement dit, diverses applications vont permettre de gérer les terminaux, à l'instar de ceux appartenant à l'entreprise. Or, comme l'usage est mixte, à la fois privé et professionnel, cette solution s'avère dépassée car l'utilisateur ne va pas forcément accepter toutes les contraintes liées au contrôle de son terminal (présence d'un mot de passe au démarrage du terminal par exemple).
Que faut-il faire en conséquence pour assurer la sécurité du terminal?
La priorité est de pouvoir gérer les applications et les données qui font partie de la sphère professionnelle et de ne pas imposer de contraintes lorsque l'utilisateur se sert de son mobile pour un usage privé. Le mot de passe doit être placé non pas lorsque le terminal démarre, mais lorsque l'utilisateur veut accéder à son espace professionnel. Le DSI aura alors un contrôle complet sur ce qui est autorisé ou pas. Il aura la main sur la manière dont sont stockées les données, à quel endroit, et si elles doivent être chiffrées/cryptées, etc. Cette stratégie va au-delà du MDM, il s'agit davantage de MAM (mobile application management) et de MIM (mobile information management).
