Le BYOD (Bring Your Own Device), comment l’encadrer ?
C’est en 2012 que le terme a commencé à faire le buzz. Peut-être parce qu’il évoque l’esprit start-up ? Mais c’est quoi au juste, le BYOD ?
Le BYOD consiste à apporter au travail ses outils numériques personnels pour travailler. À la clé : gains de productivité, flexibilité, mobilité… et danger ?
Gérer une flotte aussi disparate fonctionnant sous des systèmes d’exploitation différents relève du casse-tête.
La grande crainte de la DSI : faire entrer le loup dans la bergerie. De quoi donner des cauchemars à nos experts responsables de la sécurité !
Pour le cabinet Gartner, le BYOD relève moins de la politique d’achat et de fourniture des postes de travail que d’une stratégie applicative.
Pour la directeur de recherche, il convient d’appréhender la tendance du BYOD de manière très large, comme un signe de la nécessaire modernisation d’un système d’information trop rigide pour les besoins modernes de flexibilité : « Considérer les activités BYOD comme un problème temporaire généré par des employés frustrés serait une erreur tragique. Il s’agit d’une transformation permanente et irréversible.«
Avec le RGPD, comment mieux encadrer le BYOD ?
La mise en place du RGPD peut être l’occasion de revoir les pratiques du BYOD, puisque la question de la conformité se surajoute à celle de la sécurité.
C’est l’occasion de remettre les process internes à plat car, comme le rappelle la CNIL, l’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, pour peu qu’il ait autorisé l’accès au système d’information.
Une politique de BYOD passe par un ensemble de bonnes pratiques, à la fois organisationnelles et techniques.
Sur le plan organisationnel, la charte utilisateurs doit être toilettée et introduire de nouveaux garde-fous. Cette refonte de la charte s’accompagne d’un plan de formation.
Réduire les menaces liées au BYOD
Le phénomène d’utilisation d’appareils personnels sur le lieu de travail, qui a engendré une réduction massive des coûts, une plus grande flexibilité des utilisateurs et un éventail plus large d’appareils.
Les impératifs de sécurité ne changent pas, quel que soit le propriétaire de l’appareil ou le système d’exploitation qu’il exécute.
En gardant cette remarque à l’esprit, voici quelques conseils pour réduire les menaces internes liées à l’utilisation d’appareils personnels sur le lieu de travail.
- Sachez quand vous devez dire non
- Ayez une politique de BYOD
- Identifiez les responsabilités en amont
- Envisagez des réseaux ou services segmentés
- Utilisez les outils de gestion des appareils mobiles (MDM)
- Imposez des paramètres de sécurité standard
- Rendez obligatoires les mises à jour des applications et du système d’exploitation
- Formez les utilisateurs
- Ayez un plan pour les incidents de sécurité
- Utilisez la surveillance
La gestion des terminaux mobiles
Quand on parle de la mobilité en entreprises ou encore du Bring Your Own Device (BYOD), il est difficile de passer à côté des applications de gestion des terminaux mobiles. Il faut dire qu’elles sont quasi indispensables pour qui veut gérer ses smartphones, tablettes et ordinateurs portables, que ce soit pour des questions de sécurité, de mises à jour, de contrôle à distance, etc.
Avec ce type de solution, les experts sécurité reprennent la main…
…et automatisent toutes les mesures de sécurité des réseaux informatiques vulnérables aux cyberattaques.
Comment ? En la couplant avec l’identification de l’utilisateur.
Quand il se connecte via son login d’entreprise, la solution lui demande son autorisation pour installer la configuration de sécurité. Elle est alors installée dans l’appareil de sécurité, l’identité est la première étape.
81 % des brèches de sécurité viennent en effet de vols d’identité en ligne, d’après une étude Verizon.
Alors les techniques vont de plus en plus loin grâce à des systèmes comme Active directory, l’identification est multifactorielle.
L’analyse comportementale
Pardon de vous l’apprendre, mais nous avons tous des comportements plus ou moins routiniers sur nos ordinateurs de travail. « On reçoit un nombre moyen d’emails à peu près similaire tous les jours, on se connecte à peu près toujours du même endroit, avec le même appareil… »
Le terrain idéal pour faire tourner un algorithme de machine Learning !
L’analyse comportementale fonctionne en deux étapes :
- D’abord, une phase d’apprentissage et d’observation du parcours de l’utilisateur.
- Ensuite, en les comparant aux données récoltées, la solution contrôle les comportements.
Ils sont jugés suspects s’ils diffèrent de la petite routine habituelle et deviennent une menace potentielle.
Dans ce cas, l’algorithme alerte la DSI ou traite immédiatement le dysfonctionnement.
L’Avis de Pérenne’IT
La protection des données repose aussi sur des dispositifs techniques qui passe par :
- une authentification forte (certificat électronique, carte à puce…)
- le chiffrement des flux d’informations (VPN, HTTPS…).
- des solutions de gestion des terminaux (Mobile Device management MDM)
- des solutions de gestion des applications mobiles (Mobile application management MAM)