Blog GlobalSign

31 août 2017

Politique BYOD : risques pour la sécurité et solutions

L’émergence des communications cloud a accéléré l’adoption des politiques de BYOD (« bring-your-own-device ») dans les entreprises. Avec les technologies sans fil et l’émergence des outils cloud, nous sommes connectés en permanence, dans un contexte propice au développement du BYOD.

La possibilité pour les utilisateurs de travailler pratiquement n’importe où à partir de leurs terminaux personnels, sans avoir à jongler entre plusieurs appareils, ne se refuse pas. Côté employeurs, le fait de maintenir les employés connectés au système de communication principal sans avoir à leur fournir de terminaux mobiles représente une réelle économie de coûts. Pour les employeurs comme les employés, un tel choix est gagnant-gagnant.

Or, comme pour tout, les politiques de BYOD ne vont pas sans certains problèmes. Outre la frontière floue entre les données personnelles et les données qui appartiennent à l’entreprise, le nombre d’appareils connectés à l’entreprise et gérés par des collaborateurs non informaticiens génère aussi de nouveaux problèmes de sécurité.

Récapitulatif des principaux risques de sécurité inhérents à la mise en place d’une politique de BYOD :

Perte ou vol

D’après une étude Ernst et Young de 2013 sur le BYOD, près de 22 % de tous les appareils mobiles fabriqués seront perdus ou volés au cours de leur « vie ». Et près de la moitié des appareils perdus ou volés ne seront jamais retrouvés. Si la plupart du temps les terminaux sont volés pour leur valeur matérielle, les données stockées sur ces appareils dérobés ou égarés sont de moins en moins à l’abri d’une intrusion. Or, le stockage sur un même appareil des données personnelles et des informations confidentielles de l’entreprise accroît de manière inquiétante le risque de divulgation de ces informations en cas de vol.

Absence de mot de passe de protection

Nombreux sont les utilisateurs qui n’utilisent pas de mots de passe et laissent ainsi sans protection leurs terminaux personnels ou les applications installées sur leurs appareils. Et même s’ils le font, ils ont tendance à choisir des mots de passe simples par commodité. En cas de vol ou d’attaque, ces appareils sont donc faciles à pirater.

Applis mobiles malveillantes

Dans la multitude d’applications malveillantes qui existent, certaines sont conçues pour corrompre les logiciels, mais aussi pour pirater et accéder aux données privées stockées sur les différents terminaux. Vos données personnelles et les informations de l’entreprise étant logées à la même enseigne, toutes risquent de tomber aux mains de groupes ou de personnes sans scrupules. Hormis ces applications malveillantes, d’autres applications déployées par l’entreprise elle-même peuvent poser problème. En effet, faute de protection intégrée, une application fournie par l’entreprise reste vulnérable aux attaques.

Données et connexions non chiffrées

Imaginez que vos données, y compris les données « Voix », transitent sur l’Internet public sans protections. Elles peuvent être interceptées pendant leur transit ou au repos.

Que faut-il faire ? Faut-il abandonner le BYOD pour autant ? Il existe plusieurs façons d’améliorer la sécurité afin d’assurer une mise en œuvre sans risques du BYOD dans votre entreprise. Nos conseils :

  1. Sécurisez les terminaux mobiles : le simple fait de sécuriser les appareils mobiles permet de résoudre une grande partie des problèmes évoqués plus haut. Une solution de gestion des appareils mobiles (MDM, Mobile Device Management) facilite l’application des règles de sécurité et veille à ce que seuls les appareils autorisés puissent accéder à vos réseaux et ressources. Ne lésinez pas sur le chiffrement pour protéger votre infrastructure réseau et vos données pendant leur transit sur l’Internet public.
  2. Sécurisez les applications sur les appareils : plus facile à dire qu’à faire, bien entendu. Mais après tout, il s’agit essentiellement de réguler les applications installées sur les terminaux personnels des utilisateurs. Vous pouvez par exemple encourager l’utilisation d’applications sûres proposées par un « magasin d’applications » propre à l’entreprise.
  3. Choisissez des fournisseurs de services cloud avec un excellent niveau de sécurité et de protection : les fournisseurs de système de téléphonie cloud comme RingCentral offrent une grande redondance des connexions et un chiffrement particulièrement fort pour protéger le trafic de données.
  4. Utilisez des programmes d’antivirus pour mobiles : ces antivirus protègent le système d’exploitation et les logiciels des terminaux mobiles et sont, pour la plupart, capables de détecter les applications et les pages malveillantes nocives pour les appareils.
  5. Évaluez régulièrement les risques : identifiez et surveillez les vulnérabilités potentielles sur votre réseau et vos appareils — et répétez régulièrement l’opération. Les dangers auxquels vos données sont exposées évoluent aussi vite que les technologies se perfectionnent. Nous vous recommandons la mise en place d’audits permanents.

Enfin, invitez vos employés à participer à la discussion. Après tout, ce sont leurs terminaux mobiles que vous essayez de protéger et de réguler. Ils ont donc leur mot à dire si vous voulez qu’ils adhèrent à votre politique de BYOD.

À propos de l’auteur

Mark Dacanay est un professionnel du Marketing Digital en poste depuis plus de 5 ans dans une entreprise B2B de services cloud. C’est un véritable passionné des technologies cloud qui n’a pas la tête dans les nuages. Vous pouvez le joindre sur Twitter et LinkedIn.

Partager ce blog