Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

BYODComment gérer les risques liés au BYOD ?

Les constructeurs d’appareils mobiles ne cessent d’inonder le marché avec de nouveaux modèles, les prix des forfaits illimités ne cessent de baisser, Internet est devenu omniprésent et accessible à tous, en tout lieu et à tout instant. Par ailleurs, la plupart des entreprises tolèrent, voire encouragent de plus en plus les employés à adopter le BYOD(1) afin de réduire les coûts d’acquisition des terminaux et améliorer la réactivité et donc la productivité. Cet ensemble de facteurs a ainsi favorisé l’utilisation des équipements personnels dans le cadre professionnel.

Cette pratique n’est pas sans effets puisque les entreprises se retrouvent face à de nouvelles contraintes relatives à la gestion de flotte mobile (smartphones, tablettes, terminaux hybrides, etc.) et la sécurisation des données de l’organisme.

Le BYOD implique des risques à maîtriser

Une étude de Cisco a montré que la France est le pays où le taux d’utilisation des terminaux personnels en entreprise est le plus faible avec un taux de 52%, contre 70% aux Etats-Unis et en Chine. La tendance est à la hausse et ce taux risque d’exploser dans un avenir proche. Les entreprises doivent se préparer à encadrer ce phénomène, analyser de très près les risques induits et étudier les solutions à mettre en place pour réduire les effets de bord et autres dérives.

Les entreprises doivent en premier lieu déterminer si le BYOD apporte une réelle réduction des coûts dans le contexte considéré. Une estimation des frais liés à la mise en place des solutions d’organisation et de sécurité peut influencer de façon significative la décision d’autoriser ou non le recours au BYOD, sachant que des coûts cachés peuvent exister, comme l’adaptation de l’architecture sécurité de l’organisme, l’acquisition de solutions de sécurité appropriées, l’ajustement des politiques de sécurité, la sensibilisation et la formation des utilisateurs et des services informatiques.

Les organisations qui estiment que la pratique du BYOD est incontournable doivent gérer les risques encourus, qui selon le CLUSIF(2), se répartissent en trois catégories principales :

  • Les risques concernant les données professionnelles ou personnelles :
    • Fuite de données sensibles, notamment en cas de perte ou de vol du terminal ;
    • Perte de données personnelles, typiquement suite à un effacement à distance du terminal par erreur.
  • Les risques concernant le système d’information de l’entreprise :
    • Fuite d’information et ses impacts en termes d’image ;
    • Accès à distance non autorisé au SI suite à une compromission des identifiants par la présence de keylogger installé sur le terminal à l’insu de son propriétaire.
  • Les risques relevant des obligations légales et de la responsabilité pénale, civile et sociétale :
    • Problème de responsabilité en cas de vol d’un terminal contenant des données professionnelles ;
    • Discrimination sociale entre collaborateurs équipés et non équipés.

La plupart des risques identifiés ci-avant ne sont pas nouveaux mais le fait que les terminaux appartiennent aux employés peut modifier les natures d’impacts. De plus, aucune jurisprudence portant sur un litige relatif au Code du Travail et lié au BYOD n’est à ce jour recensé en France.

Aussi, un ensemble de scénarios doit être construit et de multiples questions doivent être posées pour mettre en évidence les risques à couvrir, parmi lesquels :

  • Comment officialiser le BYOD, faut-il modifier le contrat du travail, la charte informatique ou le règlement intérieur ?
  • Comment garantir la sécurité des informations auxquelles les employés accèdent sur leurs terminaux personnels ?
  • Comment protéger les données de l’entreprise sans compromettre la vie privée des utilisateurs ?
  • Les assurances en cas de sinistre ou d’incident de sécurité sont-elles à la charge de l’employé ou l’employeur ?
  • Comment définir les limites entre vie privée et vie professionnelle ?
  • Comment contrôler les usages abusifs, voire illicites (installation et utilisation des applications sans licence, etc.) ?

Des mesures de sécurité visant à réduire les risques peuvent être mises en place mais elles sont le plus souvent délicates à implémenter au vu de l’hétérogénéité des équipements disponibles sur le marché et le rejet de ces mesures par les employés ou les organisations syndicales.

Bien que des solutions existent pour pallier aux risques de certains aspects du BYOD, elles sont encore peu déployées et le plus souvent mal maîtrisées.

Quelques solutions de base sont néanmoins préconisées :

  • Endpoint Protection (EP) for Mobile Devices, permettant le renforcement de la protection des terminaux mobiles et pour la protection des applications, de la connectivité réseau et des données ;
  • Mobile Device Management (MDM), permettant de superviser et administrer les terminaux mobiles ;
  • Security Information & Event Management (SIEM), permettant aux administrateurs sécurité de superviser notamment l’activité réseau émise par chaque terminal et les éventuels incidents de sécurité ;
  • Next-Generation Firewalls (NG-FW), permettant d’appliquer une politique de sécurité BYOD en périmétrie, notamment en détectant automatiquement et en catégorisant les différents OS de terminaux (iOS, Android, Windows Phone, etc.).

Mise en situation (simulation) :
« La réunion annuelle se déroule comme chaque année au siège de la société BOMOD à Paris. Mr Pépin, le responsable financier se trouvait la veille à l’aéroport de Moscou (SVO) ; son vol était prévu à 20h35 mais son avion a eu un retard.
Mr Pépin en  a profité pour envoyer un email professionnel au comptable, en lui communiquant des chiffres sur les résultats des dernières opérations via son smartphone personnel.
Il s’est connecté avec sa tablette tactile au réseau public de l’aéroport pour finaliser la réponse à un appel d’offre sur un dossier particulièrement stratégique.
A son arrivée à la réunion il s’aperçoit qu’il n’a plus sa sacoche, qui contenait smartphone et tablette, perdue ou volée lors de son trajet en transport en commun.
Par ailleurs, le comptable déclare qu’il n’a pas reçu d’email, Mr Pépin a dû se tromper de destinataire…»

  • Quelle est la responsabilité de l’entreprise face à cette situation ?
  • En supposant que le destinataire est l’un des concurrents, comment l’entreprise doit réagir face à ce problème ? qui est responsable ?

De manière générale, la question à se poser est la suivante : quels sont les risques entraînés par le BYOD et comment les maîtriser dans le cadre d’un SMSI(3) ?

Répondre à cette interrogation, c’est inclure les problématiques spécifiquement liées au BYOD dans le périmètre du SMSI, en intégrant les terminaux personnels en tant qu’actifs en support, porteurs de vulnérabilités et exposés à un certain nombre de menaces, en identifiant les actifs primordiaux dont les critères de sécurité sont susceptibles d’être impactés, et en évaluant les risques potentiels pour l’entreprise, en vue de les traiter de façon acceptable.


(1) BYOD : Bring Your Own Device
(2) CLUSIF : Club de la Sécurité des Systèmes d’Information Français
(3) SMSI : Système de Management de la Sécurité de l’Information

Références :
www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2012-Byod-Synthese.pdf
www.zdnet.fr
www.journaldunet.com
www.bcp-expert.com
www.channelnews.fr/expertises/etudes/14434-byod–la-france-encore-tres-frileuse.html

CONIX

By | 2017-08-07T11:23:54+00:00 07/03/2013|Conix Security, Pilotage de la sécurité|