Les risques liés au BYOD
Le défi majeur apporté par le BYOD tient au fait que ces périphériques ne sont pas conçus pour l’entreprise mais pour le grand public. Selon toute logique, le frein le plus important à l’adoption du BYOD est la sécurité. Tout responsable sécurité jugera inacceptable d’ouvrir l’accès à son réseau interne à des terminaux inconnus, en-dehors de tout contrôle de l’IT par le simple biais d’une authentification de l’utilisateur. L’exposition au risque pourrait sembler limitée s’il s’agit d’autoriser uniquement l’accès à la messagerie d’entreprise ; cependant le risque est loin d’être négligeable dès lors que l’utilisateur entre ses informations d’identification (identifiant et mot de passe) de l’entreprise sur un terminal pour lequel le niveau de confiance est limité et pouvant être compromis par un keylogger. De plus, l’accès à la messagerie d’entreprise est une porte ouverte vers la fuite d’information : si la tablette ou le smartphone sont utilisés par un VIP, les informations sensibles qu’il transfère sur son équipement seront à disposition de personnes malintentionnées en cas de perte.
L’ENISA dans son document “Consumerization of IT: Top Risks and Opportunities” classe les risques liés au BYOD et la Consumérisation de l’IT en trois catégories : les risques relatifs au coût, les risques relatifs aux aspects légaux et réglementaires, et enfin ceux affectant les données – confidentialité, intégrité, disponibilité ou respect de la vie privée –.
Dans les risques liés au coût, la fuite d’information par des comportements négligents de la part des utilisateurs et ses impacts en termes d’image sont cités en premier lieu. La complexité et la diversité des périphériques, le vol des équipements peuvent être à l’origine de coûts supplémentaires. Enfin, des coûts sont à envisager pour que l’entreprise prenne en compte les modifications dans l’architecture de sécurité pour passer d’un modèle de protection périmétrique à une sécurité de bout-en-bout, l’adaptation des politiques de sécurité , la sensibilisation et la formation des utilisateurs.
Dans la catégorie des risques légaux, le manque de contrôle sur les terminaux détenus par les employés complexifie la traçabilité des actions vis-à-vis des actifs de l’entreprise, la gestion des incidents de sécurité et le respect de la conformité réglementaire. Par le mélange entre vie privée et vie professionnelle qu’implique le BYOD, il devient plus difficile pour l’entreprise de s’assurer du respect des contraintes réglementaires liées aux ressources humaines par exemple télétravail caché, dépassement des heures de travail. Le manque de distinction entre les données personnelles et professionnelles peut ajouter de la difficulté dans la recherche de preuve au format électronique (e-discovery) et augmenter la probabilité de litiges entre les entreprises et leurs employés dans le domaine du respect de la vie privée.
La dernière catégorie de risques concerne les données proprement dites ce qui est, de notre avis, le point focal. L’augmentation du risque de fuite d’information est le risque le plus prégnant en cas de contrôle plus lâche de l’application des politiques de sécurité sur les périphériques ; la diversité des équipements ajoute à la difficulté de leur contrôle ; leur inadaptation aux contraintes de l’entreprise par manque de maturité technologique favorise la diffusion incontrôlée de données sensibles. Par leur niveau de sécurité plus faible les rendant plus sensibles aux malwares et une forte exposition, ces terminaux peuvent devenir des cibles privilégiées pour obtenir l’accès à des données critiques de l’entreprise.
La citation de Tony Scott CVP & Microsoft CIO parlant de la consumérisation “This is a data, not a device discussion” – reflète bien que l’importance du défi est concentré sur la protection des données.
Les autres études comme celle produite par la Cloud Security Alliance «Top threats to Mobile Computing » relèvent les mêmes types de risques concentrés autour de la fuite de données que ce soit par perte, vol ou décomissionnement de terminaux, vol de données par malware ou négligence dans la protection ou le comportement des utilisateurs.
L’une des recommandations de Symantec dans son rapport sur l'utilisation des technologies mobiles en entreprise en 2012 met également en évidence cette approche :
[ Adoptez une ] Sécurité exhaustive : dépassez le cadre des règles de mot de passe, d'effacement et de blocage d'applications. Concentrez-vous sur l'information et les endroits où elle est visualisée, transmise et stockée. Une intégration avec les règles existantes de prévention des pertes de données, de chiffrement et d'authentification garantit la conformité systématique avec les politiques internes et les réglementations.
Pour résumer, les défis posés par le BYOD sont relatifs au manque de contrôle des terminaux lié à leur diversité et au fait qu’ils ne soient pas la propriété de l’entreprise, au mélange entre les données privées et professionnelles, et enfin, à l'inadaptation du modèle de protection périmétrique. Ceci expose aux risques de fuite d’information et de non-respect de conformité réglementaire.
Face à ces risques, la maturité de l’entreprise en termes de sécurité est structurante : quel est le fossé pour passer d’une infrastructure de sécurité où l’ensemble des terminaux étaient – dans le meilleur des cas – contrôlés et où tous les efforts étaient concentrés sur la protection périmétrique au détriment d’un contrôle d’accès concentré sur les données ? Si un système de classification des données est déjà en place et que le contrôle d’accès aux données est basé sur une gestion des identités sérieuse et des principes d’authentification forte, le chemin à parcourir pour prendre en compte le BYOD sera nettement moins ardu. A contrario, si la gestion de la sécurité de l’entreprise et la protection de l’accès à ses données est plus aléatoire, les risques auxquels elle s’expose par l’ouverture aux scénarios de BYOD n’en seront que plus forts.
Le prochain billet traitera de la manière d'aborder les défis du BYOD, des principes et de l'évolution du modèle de sécurité.