Les précautions à prendre avec le BYOD

Le  phénomène du BYOD (Bring Your Own Device) ou Apportez votre appareil  personnel) consiste à autoriser des employés à utiliser à des fins  professionnelles leurs propres matériels. Généralement, ce sont les  cellulaires mais cela peut également concerner les tablettes et les  ordinateurs portables.

Ce  phénomène est de plus en plus fréquent au sein des compagnies ; elles  doivent donc s’adapter afin de limiter les risques de sécurité. 

Il  est important de préciser que la sécurité d’une compagnie et le BYOD  sont tout à fait compatibles. Mais les dirigeants doivent avoir  conscience que si des appareils personnels se connectent au réseau  interne,les collaborateurs auront alors la possibilité de récupérer des  documents potentiellement sensibles mais surtout, éventuellement des  malwares qui sont de plus en plus fréquents sur ce type de  périphériques. Il faut donc déployer un environnement spécifique à  destination de ces appareils. Selon la dernière étude de Symantec  d’avril 2017 sur les menaces de sécurité d’Internet (Internet Security  Threat Report), 1 appareil sur 20 a été la cible d’une tentative  d’infection en 2016. Il y a quelques semaines plus de 36 millions  d’Android se seraient fait infectés par un malware.  

En  effet, aujourd’hui les recommandations sont de prendre en compte ces  appareils inconnus ou non maîtrisés ou alors, comme certaines  compagnies, interdire la connexion au réseau de l’entreprise par les  périphériques personnels.Cependant, cette interdiction nécessite  généralement de prévoir l’achat ou la location de matériels équivalents  puisque la mobilité dans l’entreprise est devenue quotidienne, sauf de  manière exceptionnelle.

Pour ce qui sont des recommandations, il faut alors mettre en place la politique et se poser certaines questions clés :

  • Comment gérer les différents systèmes d’exploitation des appareils personnels qui se connecteront au réseau?
  • Comment bien paramétrer les niveaux d’accès en fonction des employés?
  • Comment  s’assurer de la sécurisation des données confidentielles de la  compagnie vis-à-vis des données personnelles de l’employé?
  • Comment s’assurer de la bonne compréhension du nouveau protocole par les employés?

Le  directeur des systèmes d’information sera alors généralement assisté de  plusieurs services ou d’une entreprise experte en gestion de la  mobilité qui pourra aider à la définition des besoins.
 

Nous  constatons, d’après les différents témoignages de paramétrage de ces  politiques, que le point de démarrage est le courriel et l’agenda. Ce  sont en effet les applications les plus utilisées, les plus simples à  configurer et les plus élémentaires en terme de besoin. C’est par ce  biais qu’il est possible de mesurer le niveau de compréhension des  collaborateurs quant aux mesures prises, à leur sensibilisation face aux  nouvelles menaces et à l’acceptation de la politique de sécurité de  l’entreprise.
 

Dans  un second temps, si cette première étape est un succès, les  applications les plus utilisées seront les applications métiers. Les  entreprises vont alors pouvoir utiliser leurs propres Boutique  d’applications dans lesquelles l’ensemble des applications autorisées et  étant considérées comme sûre pour la sécurité seront disponibles. Cela  permettra en même temps de contrôler si des appareils modifiés  (jailbreaked, rooted) accèdent aux données de l’Entreprise.
 

La  mise en œuvre d’une politique BYOD est généralement l’une des  recommandations à déployer au sein d’une compagnie. Cet usage permettra  alors d’obtenir une confiance accrue de la part des collaborateurs mais  aussi de la part de la Direction Générale vis-à-vis des enjeux en  matière de stratégie d’affaire et de sécurité des données corporatives  sur des matériels personnels.

Ainsi,  des outils EMM (Enterprise Mobility Management) comme IBM MaaS360 sont  présents sur le marché pour offrir toutes les garanties nécessaires à  l’utilisation d’appareils personnels au sein d’une entreprise.

 

Source : article BBC technology : Millions of Android phones hit by 'Judy' malware