5 considérations pour une utilisation sûre du BYOD

Outre les menaces ciblées (APT) et les attaques par déni de service (DDoS), des mesures inadaptées à la pratique du BYOD représentent un maillon faible qui peut mettre l’entreprise en difficulté, aussi bien en termes de réputation que de profit.

5 considérations pour une utilisation sûre du BYOD

En 2013, l’armée américaine faisait la une des journaux après avoir autorisé son personnel à accéder à des informations critiques via 14 000 appareils mobiles non équipés d’un logiciel de gestion ou de fonctionnalités permettant de supprimer à distance les données de l’appareil, en cas de vol ou de perte.

Jusqu’à présent, le Moyen-Orient avait le taux d’adoption du BYOD le plus élevé (80%). Selon une étude réalisée par Logicalis, les employés au Brésil, en Russie, en Inde, aux Émirats Arabes Unis et en Malaisie utilisent beaucoup leurs propres appareils au travail. En Europe, une récente étude montre que la France est le premier pays européen en matière d’adoption du Cloud et du BYOD, alors que la sécurité demeure une grave préoccupation.

Pour faire face aux risques liés à cette nouvelle pratique du BYOD, les services informatiques en France doivent prendre en considération un certain nombre de points sécuritaires et opérationnels importants.

1 – L’accès aux données de l’entreprise

Les entreprises se trouvent dans une situation difficile concernant l’accès à leurs données. En effet, si elles ont besoin de partager de plus en plus d’informations pour développer leur activité, elles doivent aussi restreindre et personnaliser l’accès aux données critiques.

Des ordinateurs portables aux clés USB en passant par les smartphones et les tablettes, les employés possèdent une large variété d’appareils connectés qu’ils souhaitent apporter au travail. Pour plus de mobilité et d’efficacité, ils accèdent communément à distance aux données et réseaux de l’entreprise avec leurs propres appareils, tandis qu’ils chattent avec leurs amis, postent des messages sur les réseaux sociaux, écoutent de la musique et partagent des photos en ligne. Cet usage rend les données de l’entreprise plus vulnérables face aux menaces en ligne que sont le phishing, les arnaques et les malwares.

2 – Les infections par malwares

Bien que les malwares deviennent plus persistants et ciblés, les cybercriminels continuent de propager leur code malveillant de la manière la plus simple : en exploitant la faille humaine. Les tokens (jetons de sécurité), certificats et mots de passe de l’entreprise sont sujets aux cyberattaques, surtout si un appareil infecté est connecté au réseau de la société. Installés après le téléchargement d’une pièce jointe prétendument issue d’une institution fiable, et propagés via du spam ou les réseaux sociaux, les malwares utilisent souvent le social engineering pour piéger les employés et les inciter à cliquer rapidement sur l’arnaque. Avec l’augmentation des malwares ciblant les mobiles et les virus aujourd’hui capables de se propager sur tous les appareils connectés, le BYOD est devenu une pratique aisément exploitable par les cybercriminels. Les entreprises françaises ont donc tout intérêt à renforcer leur politique de sécurité liée au BYOD et à autoriser uniquement l’utilisation d’appareils mobiles personnels équipés d’une solution de sécurité, à jour.

3 – Phishing et fraudes

Le phishing et les arnaques tirent aussi avantage de l’usage croissant du BYOD dans les entreprises françaises puisque les employés sont spécifiquement ciblés par ce type de menaces en ligne. Les fraudeurs ciblent de plus en plus leurs attaques : ils gagnent de l’argent en privilégiant la mise en place de plus petites attaques, certes, mais répétées. Ils créent de faux sites de banques, de casinos ou encore des boutiques en ligne, enregistrés durant 1 an et plus afin d’augmenter le taux d’infection. Les achats en ligne à partir d’un appareil utilisé à la fois dans le cadre du travail et pour des loisirs personnels par exemple, sont susceptibles de poser de sérieux risques de sécurité pour l’entreprise.

4 – Un contrôle logiciel complexe

La principale menace liée à la pratique du BYOD est le manque de contrôle à l’égard des logiciels installés sur les appareils personnels, à commencer par les smartphones très prisés au travail par les employés, mais dont les systèmes d’exploitation sont les plus fragmentés. Cette fragmentation rend ces appareils hautement vulnérables à cause de versions non protégées que les cybercriminels peuvent exploiter. Les fuites de données liées à ces appareils posent de sérieux problèmes aux services informatiques car il peut être difficile d’identifier et de sécuriser une connexion avec un OS mobile plus récent, pas toujours pris en charge par les solutions de filtrage existante.

5 – Le vol de matériel

L’une des principales préoccupations liées au BYOD pour les départements informatiques n’est pas le vol de propriétés intellectuelles mais le vol de matériel.

Beaucoup d’employés transfèrent des données critiques sur leurs appareils nomades (PC portable, USB, smartphone) afin d’y accéder pendant leur temps de trajet jusqu’à leur domicile, sur la route ou dans les transports en commun.

Bien que cette pratique leur apporte mobilité et efficacité, la perte et/ou le vol d’une clef USB ou d’un smartphone ayant eu accès aux données et réseaux de l’entreprise, devient un sérieux problème pour l’employeur.

Des fonctions antivol, proposées par une solution antivirus, permettent de localiser, de verrouiller et d’effacer à distance les données en cas de perte ou de vol de l’appareil, permettant ainsi d’assurer la protection des données critiques de l’entreprise.

La faille humaine

Il ne se passe pas un jour sans que les départements informatiques soient confrontés à des infections par malwares, aux vols de données et aux cyberattaques ciblant leur organisation et dont l’origine se trouve être une faille humaine. En effet, les créateurs de malwares et les pirates utilisant le social engineering ciblent le maillon le plus faible de l’entreprise, ce qui signifie que tout doit être ultra sécurisé. Bien sûr, l’erreur est humaine, mais il est important de former les employés pour éviter qu’ils ne cliquent sur des liens et pièces jointes suspects ou qu’ils vérifient par deux fois un e-mail douteux, même s’il leur est personnellement adressé. La politique de gestion informatique de l’entreprise doit aussi intégrer un outil de gestion de flotte mobile.

Des mesures basiques de sécurité, appliquées par les employés, telles que :

• Utiliser différents mots de passe pour divers comptes, sans oublier de les changer régulièrement.

• Ne jamais accéder aux données professionnelles via un appareil appartenant à un tiers.

• Ne pas se connecter à partir d’un point d’accès non sécurisé, contribuent aussi à augmenter la protection des données de l’entreprise face à cet usage du BYOD.

L’installation d’une solution de gestion centralisée de la sécurité permettra un contrôle à la fois des postes de travail virtuels, mobiles et physiques, répondant ainsi à la pratique du BYOD en constante évolution.

Une solution de sécurité installée sur tous les appareils nomades sensibilisera les employés à la sécurité tout en renforçant leur protection antivirus et contre les menaces en ligne, que ce soit au travail ou au domicile.

L’entreprise doit donc mettre en place des politiques de sécurité strictes pour encadrer la pratique du BYOD et ainsi profiter pleinement de ses avantages tels qu’une plus grande satisfaction et une meilleure efficacité et productivité de ses employés au travail, tout en créant un environnement de travail plus sécurisé.