• Aucun résultat trouvé

Le BYOD (apporter son propre périphérique au bureau) et les dangers qui lui sont associés

N/A
N/A
Protected

Academic year: 2022

Partager "Le BYOD (apporter son propre périphérique au bureau) et les dangers qui lui sont associés"

Copied!
10
0
0

Texte intégral

(1)

Le phénomène « BYOD »

Le BYOD (apporter son propre périphérique au bureau) et les dangers qui lui sont associés

Livre blanc

Publication : Mars 2013

(2)

Qu’est-ce que le BYOD ?

Le BYOD (Bring Your Own Device) est l’appellation adoptée pour décrire le fait que des employés ou des visiteurs connectent leurs ordinateurs et leurs périphériques mobiles personnels au réseau informatique de l’entreprise. Le BYOD touche les entreprises de toutes tailles et pose un certain nombre de problèmes spécifiques.

Le phénomène du BYOD est également appelé « consumérisation de l’informatique », expression qui souligne bien les difficultés auxquelles sont confrontées les directions informatiques lorsque des périphériques grand public de toutes sortes accèdent à leurs réseaux en lieu et place des ordinateurs parfaitement gérés, contrôlés et sécurisés du passé.

Le présent livre blanc a pour but de décrire les principaux catalyseurs du phénomène BYOD, les défis qu’il pose aux entreprises, une approche stratégique permettant de gérer le BYOD et comment WatchGuard agit pour contribuer à créer un écosystème BYOD sécurisé.

Quel est le danger ?

Afin d’apprécier les défis et les risques générés par le BYOD, il est primordial de bien reconnaître les caractéristiques et les différents moteurs de ce mouvement.

Jusqu’à très récemment, une direction informatique type fournissait aux employés tous les programmes et les outils nécessaires (et approuvés) à la productivité, en garantissant leur administration et leur sécurité. Il s’agissait essentiellement de fournir aux travailleurs un ordinateur (PC de bureau ou

ordinateur portable) et d’y installer toutes les applications nécessaires (suite « Office », par exemple) et conformes aux normes informatiques de l’entreprise.

Mais l'adoption massive de la technologie mobile et l'utilisation de plus en plus étendue des réseaux sociaux a donné naissance à une nouvelle tendance : le BYOD.

Les entreprises se sont soudainement trouvées confrontées à un nouvel environnement de travail où les employés apportaient au bureau leurs téléphones mobiles personnels. Ces périphériques étaient capables de prendre des notes, d’enregistrer du son et de photographier des données sensibles ou des documents internes, que les employés pouvaient ensuite partager facilement à l’extérieur, en dehors de tout contrôle de l’entreprise. D’autres périphériques, tels que les lecteurs MP3, pouvaient aussi servir de disques durs amovibles et permettaient donc aux employés d’emporter n’importe où des

informations avec eux, sans que l’entreprise n’ait aucune trace de ces données quittant son emprise.

En outre, les employés ont commencé à se passionner pour les réseaux sociaux. Très vite, la plupart des directions informatiques ont perçu ces réseaux sociaux comme une perte de temps et une source de baisse de productivité des employés. Cependant, les succès de certains précurseurs ont prouvé que ces médias sociaux contribuaient également à renforcer l’efficacité des utilisateurs en leur permettant de partager, de collaborer et de communiquer d’une façon bien plus souple et conviviale qu’avec les seules applications strictement contrôlées par l’entreprise.

(3)

mais à des tâches. Peu à peu, les employés découvraient qu’ils pouvaient travailler à tout moment et quel que soit l'endroit. Désormais, nous travaillons et nous distrayons avec de multiples périphériques (téléphones, ordinateurs portables, tablettes) sans sacrifier ni notre productivité, ni notre équilibre de vie, ni notre satisfaction personnelle.

En moins de 10 ans, la consumérisation de l’informatique s’est installée, confrontant les administrateurs informatiques à de nouveaux défis et opposant les directions informatiques, toujours en attente de sécurité et de contrôle, aux utilisateurs, avides de productivité et de liberté.

Ne nous y trompons pas : le BYOD est définitivement installé. Une étude conduite en 2011 par un cabinet d’analystes a révélé que 40% des périphériques employés pour accéder aux applications professionnelles étaient des périphériques personnels, soit une augmentation de 30% par rapport à 20101. Un autre cabinet publiait dans le même temps une autre étude qui estimait que d’ici à 2014, 80%

des professionnels utiliseront au moins deux périphériques personnels pour accéder à leurs systèmes et données d’entreprise.

Cependant, bien que le BYOD représente des dangers significatifs, l’intégration d’une telle démarche dans le cadre d’une stratégie informatique offre de nombreux avantages à la fois aux entreprises et à leurs employés. Si on les compare aux périphériques informatiques traditionnels, les périphériques mobiles grand public sont bien moins chers. Et comme de plus en plus d’employés les utilisent, les directions informatiques allègent d’autant leurs charges d’acquisition et de gestion, réduisant ainsi significativement leurs dépenses informatiques. Comme l’a montré une récente étude publiée au Royaume-Uni, c’est au contraire en tentant de restreindre l’accès des employés à partir d’un périphérique personnel que les directions informatiques accroissent leurs coûts.

En ce qui concerne la productivité des employés, justement, une enquête menée auprès de 1100 travailleurs mobiles a montré que « les employés qui utilisent des périphériques mobiles à des fins personnelles et professionnelles travaillent 240 heures de plus par an que les autres. »3

L’adoption du BYOD en entreprise offre d’autres avantages, comme une satisfaction accrue des employés et l’obtention de meilleurs résultats grâce à la collaboration accrue et au travail à distance.

Le BYOD est tout bonnement une réalité incontournable. Et en fin de compte, de nombreuses raisons (réduction des coûts, efficacité accrue des utilisateurs, etc.) plaident en faveur de son adoption en

entreprise. Toutefois, les directions informatiques doivent impérativement prendre en compte les risques et les défis générés par cette tendance.

1 IDC (parrainé par Unisys). « Etude IDC 2011 - La consumérisation de l’informatique : combler le fossé de la consumérisation. » Juillet 2011.

2 Gartner

3 iPass. « Rapport iPass 2011 sur la main-d’œuvre mobile. » Novembre 2011.

(4)

Les défis posés aux directions informatiques

« On ne peut protéger que ce que l’on connaît. » Cette affirmation est parfois utilisée pour justifier le rejet du BYOD.

Mais, comme pour toute règle, il existe des exceptions, et pour le BYOD, cette exception trouve son origine dans les directions générales.

Car, dans bien des cas, le BYOD a démarré au sommet de l’entreprise. Les cadres supérieurs qui souhaitaient pouvoir travailler à la maison et durant leurs déplacements ont été parmi les premiers à demander à leur direction informatique de pouvoir accéder aux ressources de l'entreprise à partir de leurs périphériques personnels. Comme ces demandes représentaient peu de monde, les directions informatiques pouvaient facilement gérer les risques associés.

Mais peu à peu ces demandes se sont généralisées et les directions informatiques se sont retrouvées démunies, sans aucune stratégie en place. Les périphériques grand public étant tellement diversifiés en termes de capacités, de facteur de forme et de fonctionnalités, ces directions éprouvent le plus grand mal à mettre en place un plan à la fois gérable et évolutif permettant de déterminer les périphériques qui doivent être acceptés et ceux qui doivent être refusés.

Incontestablement, elles doivent repenser leur contrôle afin de limiter et de contrer les nouveaux risques. Elles doivent donc, avant d’envisager d'adopter le BYOD, examiner précisément la nature des nouveaux risques encourus.

Le premier d’entre eux, c’est le risque de perte de données. La perte de données peut prendre des formes variables et ses conséquences peuvent être extrêmement graves. Ainsi, par exemple, une étude récente a estimé qu’une violation de données pouvait coûter à l’entreprise en moyenne 200 dollars par donnée compromise, montant qui dépend d’une grande variété de facteurs : coût du manque à gagner dû à l’incident, amendes légales, coûts liés aux échanges d’information avec le client et à la

communication indispensable qui découle de l’incident, aide demandée à des consultants spécialisés, dépenses liées à la résolution du problème (nouvelle technologie de sécurité, formation

correspondante, etc.).4

Enfin, les obligations imposées par les lois et règlementations en vigueur peuvent impacter encore plus les résultats financiers de l’entreprise en cas de perte de données. Par exemple, une société commerciale subissant une violation de données peut se retrouver obligée de payer des services de suivi des comptes pour les clients concernés, des amendes légales et des audits de contrôle pour une période pouvant aller jusqu’à cinq ans.

(5)

Le second risque important à prendre en compte est celui associé à l'infection par des virus pénétrant dans le réseau de l’entreprise via les périphériques grand public des employés. Bon nombre de périphériques mobiles grand public disposent d'une protection antivirus et antimalware notoirement insuffisante. Ainsi, les périphériques Android se retrouvent souvent à la Une des médias pour des incidents liés à des infections diverses (logiciels espions, chevaux de Troie, malwares, etc.).

Très similaires aux risques d’infection par virus, les risques d’intrusion sont également accrus par l’utilisation des périphériques personnels. Les attaques de type intrusion ciblée via périphérique mobile n’en sont encore qu’à un stade embryonnaire mais tout le monde s’accorde à dire que les pirates seront bientôt capables de contourner les protections des navigateurs de ces périphériques et pourront ainsi accéder à leurs autres fonctions. Il n’en faudra pas plus pour voir se multiplier les pillages

d’annuaire et l’apparition de nouveaux types de réseaux de zombies issus du BYOD.

D’ailleurs, toujours du fait de la nature du navigateur Web intégré à ces périphériques grand public, WatchGuard anticipe une véritable explosion des attaques de type « Man-in-the-Browser » (MitB). Les malwares traditionnels infectent le plus souvent le système d’exploitation, généralement sous la forme d’un programme exécutable modifiant divers paramètres de démarrage, ce qui leur permet de s’exécuter à chaque fois que le périphérique infecté est utilisé. De leur côté, les attaques MitB se présentent généralement sous la forme d'extensions du navigateur, de plugins, d'objets d'aide ou de morceaux de code JavaScript. Ils n’infectent pas l’ensemble du système. Ils se contentent de prendre le contrôle total du navigateur et s’exécutent partout où l’utilisateur navigue.

Outre les problèmes posés par les attaques, les directions informatiques ont également à gérer ceux posés par l’application des stratégies. Devant une telle multitude de périphériques grand public, elles ne disposent pas de l’équipement adéquat pour définir des stratégies pour chaque périphérique. Du fait du large éventail de matériels disponibles, il est essentiel que les directions informatiques soient

capables d’identifier chaque périphérique se connectant au réseau de l’entreprise et soient capables d’identifier non seulement le périphérique utilisé, mais également la personne qui l’utilise.

Enfin, les directions informatiques ne disposent pas d’une visibilité suffisante sur ce qui se passe sur leur réseau. Sans la capacité à assurer le suivi de l’activité sur le réseau, elles ont du mal à protéger efficacement les données et les actifs de l'entreprise. Ce manque de visibilité (pas assez de journaux, de comptes rendus) et l’insuffisante protection qui en découle ne font que confirmer l’affirmation citée précédemment : « On ne peut protéger que ce que l’on connaît. »

Mais les directions informatiques sont également confrontées avec le BYOD à des défis liés à la

productivité. Sachant que désormais le travail est ce que fait l’employé et non plus nécessairement un lieu où il se rend, elles doivent se munir de solutions d’accès sécurisées (de type VPN, par exemple) afin de permettre à leurs employés de travailler de n’importe où.

(6)

Les entreprises doivent également se préparer à l’explosion progressive du nombre d’employés souhaitant collaborer via le web, utiliser des solutions d’accès distant et disposer de la liberté d’utiliser leurs périphériques mobiles personnels au travail.

En conclusion, l’adoption du BYOD pose à l'entreprise une multitude de défis. Des défis liés aux risques, à la gestion, aux responsabilités, à l’utilisation. Quoi qu’il en soit, les directions informatiques ne peuvent faire autrement qu’adopter le BYOD et l’intégrer à la liste des services qu’elles offrent à l’entreprise.

(7)

Dix stratégies pour adopter le BYOD

Nous avons identifié dix points stratégiques que toute direction informatique se doit selon nous de prendre en compte dans le cadre d'un processus d’adoption du BYOD.

1. Obtenir de la visibilité : WatchGuard a identifié les erreurs les plus fréquemment commises lors de la création d’une stratégie BYOD. La première d’entre elles consiste à ignorer ce que font les employés sur le réseau. En se dotant d’une véritable « photographie » de l’activité grâce à des rapports et logs, les directions informatiques s’assurent une précieuse visibilité leur permettant de savoir précisément quels sont les périphériques connectés au réseau et, tout aussi important, quelles sont les applications qui sont utilisées.

2. Adopter et encadrer les réseaux sociaux : Ne partez pas immédiatement du principe que l’utilisation de Facebook ou d’autres applications de type réseaux sociaux signifie une perte de temps pour vos employés. Privilégiez un examen minutieux de la nature des applications qui transitent sur votre réseau avant de prendre des décisions brutales qui pourraient pénaliser lourdement la productivité.

3. Gérer les mots de passe : Une autre erreur fréquente à éviter concerne directement la gestion des mots de passe. Bien trop souvent, les entreprises ont recours à des mots de passe créés par les utilisateurs dans le cadre de leur politique de contrôle d’accès. Le résultat ? Des mots de passe trop simples qui peuvent compromettre la sécurité des systèmes informatiques. Les stratégies de mots de passe adoptées pour les périphériques BYOD doivent s’appuyer sur les mêmes exigences que celles adoptées pour les actifs informatiques traditionnels de

l’entreprise (PC ou ordinateurs portables) : des mots de passe complexes.

4. Mettre en place des stratégies : Les directions informatiques doivent réfléchir à des

stratégies afin que le BYOD reste simple. Elles peuvent par exemple définir une liste étendue des périphériques considérés comme acceptables et autorisés à accéder le réseau de

l'entreprise. Elles peuvent également définir quels périphériques et quels systèmes d’exploitation elles prendront en charge. Ainsi, les utilisateurs friands de technologie peuvent travailler sur leurs périphériques de prédilection tout en sachant qu'ils sont responsables de leur gestion et de leur maintenance si leur direction informatique ne les prend pas en charge.

5. Bien distinguer le travail du loisir : Dans leur stratégie, les directions informatiques doivent également imposer dans la mesure du possible la séparation des données professionnelles et des données personnelles. Vous pouvez par exemple imposer une procédure exigeant que dès lors qu'un employé accède au réseau de l'entreprise à partir d’un périphérique personnel, il soit obligé d'exprimer son adhésion à une politique d’utilisation acceptable, au suivi de son activité et à l'utilisation d'outils de gestion des risques.

(8)

6. Utilisation acceptable : Conformément aux pratiques habituelles en matière de sécurité, les directions informatiques doivent imposer un niveau minimal de contrôle d’accès. En d’autres termes, même avec le BYOD, une robuste stratégie de sécurité doit tout interdire à l’exception des périphériques, des applications et des utilisateurs autorisés. Mais chaque entreprise est unique. C’est pourquoi il est essentiel de prévoir à l’avance votre stratégie de sécurité en matière de contrôle d’accès.

7. Limiter l’accès via des technologies VPN : Pour les entreprises exigeant un haut degré de protection, les administrateurs informatiques peuvent souhaiter limiter l’accès aux seuls périphériques capables d’intégrer un certain degré de connectivité VPN. De cette façon, quel que soit l’endroit où un périphérique grand public sera utilisé, une connexion sécurisée sera nécessaire pour accéder aux données de l’entreprise.

8. Regarder au-delà du périphérique : Les stratégies de contrôle des applications jouent un rôle important en rendant les stratégies BYOD à la fois sûres et efficaces. Assurez-vous donc que votre stratégie BYOD précise bien quelles applications sont acceptables et lesquelles ne le sont pas. Lorsqu’un solide contrôle des applications est mis en place, le réseau devient totalement indifférent au périphérique utilisé et les stratégies se focalisent sur les applications acceptables.

9. Segmenter votre réseau : Les données sensibles doivent toujours résider sur un réseau distinct de celui ouvert aux visiteurs, partenaires, sous-traitants et autres personnes extérieures à l’entreprise. Avec un réseau segmenté, les directions informatiques peuvent appliquer un ensemble de règles aux employés et un autre ensemble de règles aux invités.

10. Bien comprendre l’enjeu de la conformité réglementaire : Identifiez tout ce qui vous fait courir un risque. Votre entreprise est-elle soumise à des règlementations particulières ? Avez-vous mis en place des mécanismes vous permettant de supprimer à distance les données en cas de perte ou de vol du Smartphone d’un de vos employés ?

Enfin, la communication est essentielle en matière de responsabilités légales. Assurez-vous que tous les termes de votre politique BYOD soient bien communiqués régulièrement à l’ensemble de vos employés.

Disposez d’une Charte informatique qui précise les droits auxquels les employés renoncent pour pouvoir accéder aux ressources de l’entreprise à partir d’un périphérique personnel.

En fin de compte, la meilleure stratégie BYOD est celle qui s’appuie sur une solide base des meilleures pratiques reconnues en matière de sécurité et sur l’application stricte d’une politique à l’attention des utilisateurs.

(9)

Créer un écosystème sécurisé grâce aux technologies WatchGuard

Le BYOD étant définitivement installé dans l’entreprise, WatchGuard propose aux administrateurs informatiques des services de sécurité simples d’emploi et indispensables à la bonne gestion de ce nouveau phénomène.

Simplification des politiques : En premier lieu, WatchGuard conçoit tous ses pare-feu de nouvelle génération, ses UTM (gamme XTM), ses passerelles de messagerie sécurisées (gamme XCS) et ses produits VPN SSL en y intégrant des outils puissants mais toujours simples à utiliser. Ainsi, les

administrateurs peuvent facilement définir les politiques qui correspondent le mieux à leurs besoins, aussi bien dans un petit commerce que dans une entreprise multinationale.

Segmentation du réseau : Les solutions WatchGuard permettent aux administrateurs de segmenter très facilement et rapidement leur réseau. De plus, grâce aux lignes de produits virtuelles de

WatchGuard (gammes XTMv et XCSv), même les actifs virtuels de l’entreprise peuvent être protégés et segmentés afin de maintenir en permanence la conformité réglementaire et un haut degré de sécurité.

Contrôle des applications : Aucun autre éditeur ne propose des fonctionnalités de contrôle des applications aussi riches et simples d’emploi. Grâce à WatchGuard Application Control, les administrateurs peuvent assurer le suivi de plus de 1800 applications transitant sur leur réseau. Ils peuvent définir un large éventail de politiques, depuis le simple suivi de contrôle jusqu’au blocage des applications. Même les applications intégrées aux applications web peuvent être contrôlées. Par exemple, une entreprise peut souhaiter permettre l’accès de son département Marketing à Facebook, sans qu’il ne lui soit possible de jouer à Farmville. Grâce à ce degré de contrôle des applications, les directions informatiques sont assurées que quel que soit le périphérique utilisé par l’employé, elles conserveront le contrôle sur les applications transitant sur leur réseau.

Antivirus de passerelle : Grâce à WatchGuard, la périphérie du réseau devient la première ligne de défense contre les malwares mobiles. WatchGuard s’appuie sur une approche performante qui garantit à tous les périphériques connectés au réseau les services d’un antivirus agissant comme un « parapluie » protecteur. L’ajout du service cloud Reputation Enabled Defense (autorité de réputation web) fournit à tous les périphériques mis en réseau une couche de protection supplémentaire contre les URL et adresses IP malveillantes.

WebBlocker : Le service WebBlocker (filtrage d’URL) de WatchGuard permet aux directions informatiques de définir et d'administrer avec simplicité leurs politiques relatives aux activités de navigation web acceptables et interdites. Ce service résidant sur la passerelle, il est indifférent au type de périphérique utilisé et la sécurité des activités de navigation est en permanence garantie.

VPN : Grâce aux fonctionnalités VPN de WatchGuard, les administrateurs peuvent appliquer leurs politiques d’utilisation acceptable aux utilisateurs mobiles et distants devant accéder aux données de l’entreprise en tout lieu et à tout moment. Ces mécanismes de contrôle protègent les utilisateurs même dans les environnements les plus hostiles, tels que les hôtels ou les points d’accès Wifi publics.

(10)

Rapports et logs : c’est sans doute l’une des ressources les plus précieuses des directions informatiques en matière de BYOD. Grâce à WatchGuard, les administrateurs disposent d’une visibilité étendue sur les périphériques qui se connectent au réseau et sur les applications qui sont utilisées. Ce niveau de visibilité contribue non seulement à protéger les ressources, mais met également en lumière les faiblesses et problèmes potentiels et contribue à les résoudre de façon proactive. Les rapports et logs sont intégrés en standard dans l’offre WatchGuard (pas de coût supplémentaire).

Résumé

Le BYOD est un phénomène inéluctable, définitivement installé dans le paysage de l’entreprise et qui est appelé à connaître un essor régulier. Son apparition génère de nouveaux défis et de nouvelles opportunités aussi bien pour les entreprises que pour leurs directions informatiques. De ce fait, la définition d'une stratégie BYOD est désormais indispensable au succès de l'entreprise et à la sécurité de ses données. Dans le cadre d’une telle stratégie, il est essentiel de disposer de politiques bien pensées et de l’adhésion écrite des utilisateurs. WatchGuard propose aux directions informatiques les outils et les solutions qui permettent de faire d’un environnement BYOD un écosystème sûr et

productif.

Pour en savoir plus

Pour en savoir plus, visitez le site Web de WatchGuard, contactez un revendeur WatchGuard, ou appelez le 01 47 90 30 35

ADRESSE :

La Grande Arche, Paroi Nord 92044 Paris La Defense

A PROPOS DE WATCHGUARD

Depuis 1996, WatchGuard Technologies fournit des appliances de sécurité fiables et simples à gérer à des centaines de milliers d’entreprises dans le monde. Les solutions de sécurité réseau WatchGuard XTM, plusieurs fois récompensées, associent des services VPN, de pare-feu et de sécurité. Les appliances XCS garantissent la sécurité des contenus sur les messageries et le Web, ainsi que la prévention des pertes de données. Ces deux lignes de produits vous aident à atteindre vos objectifs de conformité réglementaire. Plus de 15 000 partenaires représentent WatchGuard dans 120 pays. Le siège de WatchGuard est basé à Seattle, dans l’état de

Washington, et l’entreprise compte de nombreux bureaux en Amérique du Nord, en Amérique Latine, en Europe et dans la zone Asie- Pacifique. Pour en savoir plus, visitez www.watchguard.com.

Ce document ne contient aucune garantie expresse ou tacite. Toutes les caractéristiques mentionnées peuvent être modifiées et tout futur produit ou toute future fonctionnalité sera fourni(e) dans la mesure où il ou elle sera disponible. ©2013 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques commerciales ou des marques déposées de WatchGuard Technologies, Inc., aux Etats-Unis et dans d'autres pays. Toutes les autres marques commerciales et

Références

Documents relatifs

Gros monstre à pustules ou petit monstre à dents pointues… il vient forcément un jour (ou une nuit) où le monstre vient s’immiscer dans les rêveries des enfants.. Dans

Même si tous vos utilisateurs connectent leurs terminaux BYOD au réseau et s’asseyent dans un auditorium, HiveOS équilibrera facilement et efficacement les clients sur les

La surface d’un quadrilatère est maximum quand celui-ci est inscriptible dans un cercle.. Cette propriété résulte de la formule de Bretscheider qui donne l’aire A

Une autre stratégie peut consister à créer une « bulle » de confiance sur un équipement non maîtrisé. Cette stratégie a pour avantage de cloisonner les données et les

c’est la rencontre historique des modernisations industrielles [dans les futurs émergents 4 ] et de l’industrie globale qui fonde l’émergence, mais (…) le potentiel

Nous sommes ici pour construire un pont entre la réalité dans laquelle nous vivons maintenant et la réalité que nous percevons en nous connectant avec les Andromédiens..

Si la famille demeure un socle essentiel dans l’existence des adolescent-e-s, une tension persiste entre ces deux groupes d’appartenance majeurs que sont la famille et

Les cavaliers forment l’élite gauloise.Dans certaines tribus, le pouvoir des rois s’affaiblit, alors le pouvoir religieux et la justice passent aux mains des