Embed Size (px)
Citation preview
en toute sécurité pour votre entreprise
Exploitezles opportunités du BYOD
Cahier Pratique
Rarement transformation IT aussi liée aux infrastructures et aux politiques de sécurité aura connu un tel retentissement. La question du Bring Your Own Device (BYOD) résonne aujourd’hui aux oreilles de chacun de nous, et porte bien au-delà des frontières de la DSI. Le BYOD est en effet le phénomène le plus emblématique du nouvel équilibre dans l’appréhension des outils technologiques de l’entreprise, marqué par l’influence grandissante des usages dans la relation au système d’information. Jamais aupara-vant la DSI n’aura à ce point été contrainte de réagir à une tendance de fond qu’elle ne peut ni initier, ni endiguer, mais dont elle devra assumer la gouvernance sous peine de voir sa légitimité gravement mise en cause.« La plupart des RSSI que nous rencon-trons sont bien conscients qu’ils devront mettre en place une politique adaptée au BYOD, mais ils la considèrent comme
une hérésie, relève Dominique Assing, Consultant Sécurité Expert chez BT. Leur réflexe est donc souvent de repousser au maximum l’échéance, jusqu’au moment où leur direction générale leur en fera la demande. Il est alors trop tard pour réagir de manière efficace et la prise en compte des nouveaux terminaux et des failles associées se fera sur un mode d’exception, par nature inefficace. C’est une erreur grave : la prise en compte du BYOD peut être l’occasion, si elle est réalisée en amont, de fixer un cadre glo-bal qui profitera par la suite à l’ensemble des collaborateurs de l’entreprise. »
La première réponse au phénomène est donc organisationnelle. Elle repose sur une démarche anticipée et concertée avec les métiers eux-mêmes, car c’est de ces derniers que viendra la demande massive. C’est également de leur fait que les failles les plus nombreuses se feront jour. Si le BYOD porte des probléma-tiques de sécurité spécifiques, c’est du fait de l’hétérogénéité des terminaux, d’une part, mais également du fait du risque accru de perte de ces derniers, et du risque de confusion entre usage per-sonnel et professionnel. Autant de sujets qui sont déjà, pour une grande part, abor-dés par les solutions de sécurité en place dans l’entreprise. « Il est faux d’envisager le BYOD comme une révolution, note
Philippe Rondel, Directeur Technique chez Check Point Software. Les probléma-tiques qu’il pose sont dérivées de celles que rencontrent déjà les RSSI au quoti-dien, et pour lesquelles des solutions sont en place : Endpoint, contrôle d’accès, chiffrement et effacement à distance, DRM… Cela exige naturellement une adaptation des politiques de sécurité, mais dans le cadre d’une analyse des risques et des opportunités. »L’intrusion du terminal personnel doit donc plutôt être envisagée comme l’occasion d’étendre le poste de travail au-delà du périmètre de l’entreprise. Suffisamment anticipé, le BYOD serait-il l’occasion de faire converger confort des utilisateurs et performances de l’organisation ?
« Pour y parvenir, pointe Gérard Levicki, Directeur mobilité chez BT, il est indis-pensable de recueillir l’adhésion des utilisateurs. Et pour ce faire, les DSI doivent mettre en place un cadre clair, non coercitif, auquel les usagers devront souscrire. Ces derniers constituent en effet à la fois le point de faille numéro 1 et la première couche d’étanchéité du SI. Si la mécanique de limitation n’est pas accompagnée d’une forte sensi-bilisation, le projet échouera, ou pire, dressera les utilisateurs contre lui. La réponse est donc à trouver dans un mix adapté entre politiques d’organisation et solutions logicielles. »
« Le portfolio de solutions existe, et est souvent déjà en place dans l’entreprise. L’enjeu est d’adapter en amont l’infrastructure de sécurité pour faire face à ces nouveaux enjeux. »
« Il est essentiel de sortir du mode de réaction pour anticiper le phénomène. Le BYOD est tout sauf une
révolution, mais exige une adaptation pertinente des politiques de sécurité et des outils associés. »
Quand BYOD rime avec méthodologie
Analyse des risques et des opportunités
Philippe Rondel, Directeur Technique, Check Point Software
Dominique Assing Consultant Sécurité Expert,
BT
[Point de vue]
Recentrer la sécurité sur la donnéeGérard Levicki, Directeur Mobilité, BT
En matière d’accès distant au système d’information, on a longtemps rappelé la maxime : mobilité égal uniformité. Les DSI ont accepté d’ouvrir les accès aux ressources, à condition de maîtriser ces postes mobiles aussi fermement que leurs PC locaux. On a donc centré la sécurité sur les terminaux eux-mêmes, que l’on sait localiser, chiffrer, effacer… La multi-plication des devices - et l’apparition du BYOD – a changé la donne : l’informa-tion devient accessible via des terminaux qu’il est matériellement impossible de contrôler.
Le phénomène est en fait le catalyseur d’une problématique de fond : qui a accès à quoi, où et comment ? Il est donc urgent de changer de prisme pour dépla-cer les mécanismes de sécurité du physique (le terminal) vers l’immatériel (la donnée). On entre alors dans un projet autrement plus complexe et tout aussi passionnant, qui devra associer une implication majeure des utilisateurs et des mécanismes com-portementaux de sécurisation, basés non plus sur les modes d’accès à l’information, mais bien sur l’information elle-même.
BYOD : 4 erreurs à ne pas commettreFace à l’explosion du phénomène, les réactions varient considérablement en fonction de la maturité ou du métier de l’entreprise. Voici les quatre erreurs les plus souvent commises en la matière, telles que constatées par les consultants BT :
Gérard Levicki Directeur Mobilité, BT
Sous-estimer les coûtsLes coûts de communication d’un iPhone à l’étranger sont sans commune mesure avec ceux d’un BlackBerry, par exemple. Sans une solution de gestion des dépenses télécom, la facture peut être salée.
Refuser le BYODLa tentation est grande de créer des « safe zones », dans lesquelles les terminaux resteraient sous le contrôle total de l’entreprise. À de rares exceptions près, la sanction viendra des utilisateurs eux-mêmes, qui contourneront immanquablement le blocage ou s’inscriront dans une logique d’opposition systématique.
Supporter l’ensemble des terminauxIl n’existe pas de juste milieu entre maîtrise de la flotte et autonomie des utilisateurs. Laisser les usagers choisir leurs terminaux et vouloir en assurer le support conduira à la création d‘un véritable nœud de complexité et de dépenses.
Négliger la dimension « sécurité »Sous la pression des utilisateurs, un projet de BYOD est fréquemment lancé en urgence, en prenant insuffisamment en compte les problématiques de sécurité. Une analyse des risques ad hoc permettra, même a posteriori, de mettre en place les mécanismes correctifs adaptés.
1
3
2
4
Des avantages considérablesL’enjeu est pourtant majeur. On estime ainsi que les avantages annuels du BYOD pourraient varier de 300 à 1 300 dollars par collaborateur, selon son poste(3).Côté DSI, ils sont plus de 80% à estimer que la mise en œuvre d’une telle politique offre un avantage concurrentiel(4). 64% d’entre eux considèrent qu’une politique favorable au BYOD permet aux employés d’être plus productifs, 48% pensent que l’adoption du BYOD offrira plus de flexibilité aux employés et 47% indiquent que cela aidera les employés à mieux servir les clients.
Des risques sous-estimésSeuls 10% des DSI estiment que les utilisateurs sont conscients des risques liés à l’usage de terminaux personnels, et moins d’un sur cinq pense que ces mêmes utilisateurs comprennent les autorisa-tions d’accès relatives à leurs appareils mobiles.
Enfin, 39% des entreprises ont déjà connu des failles de sécurité en raison de l’utilisation d’appareils personnels non autorisés. Plus de quatre décideurs informatiques sur cinq (83%) pensent que la fourniture d’un accès aux systèmes informatiques de l’entreprise 24h/24, 7j/7, à des collaborateurs de plus en plus nomades est dorénavant la plus importante menace à la sécurité informatique de l’entreprise.
Face à cette lame de fond, force est de constater que les réponses tardent à venir. Aux Etats-Unis comme en Europe, seules 8% des entreprises ont déjà mis en place un programme BYOD et ce n’est que l’année prochaine que les choses devraient réellement se mettre en place : selon une
étude Forrester d’avril 2012, plus de la moitié (60%) des entreprises interrogées
ont prévu de lancer au cours des douze prochains mois une politique dédiée aux
smartphones et autres terminaux mobiles tels que les tablettes (47%). Un peu moins de la moitié d’entre elles (46%) ont consi-gné leur politique de manière formelle.
© Check Point Software Technologies ltd et BT France SA 2012 tous droits réservés.(1) Forrester, « Info Workers Using Mobile And Personal Devices For Work Will Transform Personal Tech Markets », février 2012. (2) Netgear, décembre 2011. (3) Cisco IBSG, avril 2012. (4) BT, juin 2012.
www.checkpoint.comBT, Opérateur mondial de services télécoms et IT
www.bt.com/fr
Face à un tel phénomène, et comme c’est généralement le cas en matière d’enjeux de sécurité, l’anticipa-tion est essentielle. Une politique cohérente, basée sur des solutions performantes et calquée sur les besoins métier constitue bel et bien la clé pour négocier le virage du BYOD en toute sérénité.
BYOD : le phénomène en chiffres
En cette rentrée 2012, pas moins d’une dizaine d’études viennent, de façon presque concomitante, tenter de décryp-ter le phénomène BYOD. Si plus personne ne se risque à contester la portée de la transformation à l’œuvre, des données chiffrées permettant d’en mesurer la portée manquaient encore. C’est désormais chose faite, et les chiffres en question laissent peu de place à l’expectative.
Un quart des appareils utilisés dans le cadre professionnel sont désormais des smart-phones ou des tablettes, et non des PC(1). Ces appareils sont d’ailleurs choisis par les utilisateurs eux-mêmes dans 73% des cas. 52% des cadres utilisent au moins 3 appa-reils différents dans le cadre de leur travail et 60% de ces appareils sont destinés à un usage mixte : professionnel / personnel.Fait nouveau, ce phénomène ne se limite plus, loin s’en faut, aux VIP et aux cadres
supérieurs des grandes entreprises. 49% des commerciaux et 26% des cadres moyens utilisent désormais leur smart-phone au quotidien et 87% des salariés de PME auraient adopté la tendance...(2)
60%des appareils sont destinés à un usage mixte : professionnel / personnel
8%
80%
39%
des entreprises ont déjà mis en place un programme BYOD
des DSI [...] estiment que la mise en oeuvre d’une telle politique offre un avantage concurrentiel
des entreprises ont déjà connudes failles de sécurité
Retard à l’allumage
