BYOD : une nouvelle vague de cadeaux high-tech à gérer après les fêtes

Les ventes cumulées de terminaux en 2014 (PC, tablettes, téléphones mobiles et ultramobiles) sont estimées à 2,4 milliards d’unités au niveau mondial, soit une hausse des ventes de 3,2 % par rapport à 2013. Les Smartphones représentant à eux seuls 71 % du marché global des téléphones en 2014.

Cette forte croissance de l’outil mobile est donc synonyme pour les équipes de sécurité informatique – dont les effectifs sont restreints – d’un véritable casse-tête, notamment lorsque, de retour de vacances, les salariés voudront connecter leur nouveau terminal sur le réseau de leur entreprise. 

La tendance du BYOD complique en effet l’une des principales missions des équipes de sécurité IT : la protection des données.

Ainsi, ce n’est pas un hasard si les hackers ont fait de ces terminaux mobiles leur nouvelle cible. La multitude de terminaux mobiles présents en entreprise revêt un vrai caractère économique pour eux car ces outils, de plus en plus nombreux, sont clairement plus vulnérables.

Le problème majeur avec l’utilisation de terminaux personnels par les employés est l’accès aux données de l’entreprise en dehors du périmètre de contrôle par les services IT. Vu la multitude de terminaux proposés, le nombre d’applications ou de systèmes d’exploitation utilisés, il peut vite s’avérer très difficile d’identifier les données qui transitent sur ces appareils.

En parallèle, le nombre de logiciels malveillants mobiles croit très rapidement, augmentant par conséquent les risques (selon les dernières études de Cisco : http://www.cisco.com/web/offers/lp/2014-annual-security-report/index.html, 99 % des attaques sur mobile en 2013 ont ciblé les terminaux utilisant le système d’exploitation Android). Confrontées à un manque de visibilité, la plupart des équipes de sécurité informatique n’ont pas la capacité d’identifier les menaces potentielles sur ces terminaux mobiles.

Toutefois, et malgré ces risques, il n’est pas souhaitable et encore moins stratégique d’interdire le BYOD en entreprise.

Pour la plupart des entreprises, il s’agit de mettre en place des règles de sécurité liées à l’usage des terminaux personnels, et ainsi de définir précisément l’usage que peuvent avoir les employés de leurs outils personnels. Pourtant, afin de préserver la sécurité de l’information dans un monde où règne la mobilité, les professionnels de la sécurité IT doivent également être capables de tout voir et de connaître parfaitement leur environnement. C’est seulement grâce à cette visibilité qu’ils peuvent comprendre les risques et s’en protéger.

Quelques conseils à suivre pour conserver le contrôle de leurs réseaux :

Premièrement, utiliser des technologies permettant d’avoir un maximum de visibilité sur tous les terminaux, systèmes d’exploitation, utilisateurs, comportements réseau, fichiers utilisés ainsi que toutes les applications, menaces et vulnérabilités. Avec ces informations, l’entreprise peut surveiller l’usage des mobiles et des applications et identifier les infractions potentielles aux règles de sécurité.

Deuxièmement, les entreprises doivent utiliser des technologies qui permettent d’analyser et donner du sens aux données liées à la sécurité (forensic) afin de mieux comprendre les risques. A partir de ces renseignements, il est en effet possible d’évaluer les applications mobiles et de déterminer si elles sont malicieuses, d’identifier les vulnérabilités et les attaques qui ciblent les périphériques mobiles. 

Troisièmement, identifier les technologies agiles qui permettent à l’entreprise de s‘adapter et de prendre des mesures correctives rapidement pour protéger les systèmes dans un environnement mobile qui évolue très vite. Les entreprises se doivent de créer et d’appliquer des politiques de sécurité qui régissent les données qui peuvent être transmises ou non aux utilisateurs disposant de terminaux personnels.

Pour les employés qui utilisent leur propre outil au bureau, il serait également judicieux de bloquer l’accès au réseau ou aux ordinateurs de l’entreprise (PC portables, ordinateurs, serveurs), avec des fonctionnalités de contrôle applicatif par exemple. L’entreprise peut également mettre en place des applications autorisées permettant aux utilisateurs de se connecter à leurs ordinateurs à distance via des  tablettes lors de déplacements. Même si l’entreprise ne peut pas empêcher l’installation d’applications sur les terminaux mobiles de ses employés, elle peut toutefois en empêcher l’accès sur les ordinateurs professionnels.

Finalement, la sécurité des terminaux mobiles peut se résumer en trois étapes :

•Avant – Etablir un contrôle sur le mode d’utilisation des terminaux mobiles et définir les données auxquelles le salarié peut avoir accès ou non. 

•Pendant – La visibilité et la base d’informations sur le fonctionnement du réseau sont indispensables si les experts sécurité veulent espérer identifier les menaces et les terminaux à risques, et surveiller l’activité sur le réseau.

•Après – Lorsque l’inévitable arrive et que le réseau est compromis, l’entreprise doit être en mesure de comprendre comment la menace a pu pénétrer le réseau, avec quel(s) système(s) elle a interagit, et quels fichiers ou applications ont été endommagés, afin de corriger le problème au plus vite.

En France, 47 % des entreprises favorisent le BYOD mais seulement 21 % d’entre elles sécurisent les terminaux personnels de leurs collaborateurs. Dans un monde où le BYOD est inévitable, les entreprises ont besoin d’un niveau de sécurité accru, afin d’identifier plus facilement les comportements et applications à risques sur les terminaux mobiles de leurs salariés. Et cela pour être en mesure de protéger leurs données.

http://www.gartner.com/newsroom/id/2875017