BYOD : gérer les risques sans maîtrise du terminal
Le Clusif a publié le résultat de ses réflexions sur les risques liés à la consumérisation de l'IT et au « Bring Your Own Device ».
L'usage en entreprise d'outils issus du grand public (consumérisation de l'IT) et plus particulièrement si ces outils appartiennent aux collaborateurs eux-mêmes (« Bring Your Own Device » ou BYOD) génère des risques. Le Clusif (Club de la Sécurité des Systèmes d'Information Français) s'est récemment penché sur le sujet lors d'un colloque début mai et vient de publier ses recommandations. Beaucoup de celles-ci relèvent d'un apparent bon sens pourtant pas tant partagé.
Le BYOD concerne bien sûr les smartphones mais aussi les micro-ordinateurs, portables ou non. Historiquement, c'est même l'usage de Mac'Intosh personnels dans des entreprises vouées au seul PC Windows qui fut le début des problèmes. Il ne faut pas non plus oublier les outils « passifs » tels que des disques durs externes.
Selon le Clusif, trois types de risques sont à prendre en compte : les risques pour les données professionnelles ou personnelles, ceux pour le système d'information de l'entreprise et ceux relevant de l'organisation et des obligations juridiques. Ces risques peuvent se matérialiser sur trois localisations : les terminaux eux-mêmes, les liens réseaux entre les terminaux et le système d'information et enfin sur le système d'information lui-même. Le Clusif préconise donc une approche avec une matrice de trois lignes sur trois colonnes, soit un total de neuf configurations de risques.
Des risques anciens revenant sur le devant de la scène
Il insiste également sur le fait que le risque purement technique qui peut se loger dans chacune de ces neuf cases n'est pas nouveau mais que le fait que l'entreprise ne possède pas la maîtrise du contenu de chaque case change la donne. En effet, un risque logé sur un terminal, par exemple, pourrait être traité si ce terminal était sous le contrôle de l'entreprise. Mais le fait que le terminal appartienne à un tiers (en l'occurrence un salarié) ayant ses propres préoccupations implique une non-maîtrise directe de ce risque.
Le Clusif signale ainsi que des précautions de base, comme la mise en place d'un banal mot de passe, implique une dégradation d'ergonomie et peuvent se voir ainsi rejetées par les utilisateurs. De même, des mesures d'administration des terminaux (avec gestion des patches de sécurité par exemple) peuvent être refusées par ces utilisateurs craignant pour les usages privés de leurs propres outils. Or ce sont les utilisateurs, ici, qui ont le pouvoir. Ne parlons même pas de cryptographie.
Un bon sens nécessaire mais insuffisant
Un bon sens nécessaire mais insuffisant
D'une manière générale, le Clusif recommande donc de ne jamais stocker de données sur un terminal non-maîtrisé. L'accès au système d'information doit donc se faire via des applications dédiées sécurisées en elles-mêmes ou via des déports d'écran (webisation, poste virtuel, etc.). Le terminal est dès lors considéré comme non-sûr par défaut. La connexion doit, de préférence, passer par un tunnel sécurisé de type VPN (réseau privé virtuel).
Les risques juridiques et organisationnels sont, du fait de la solution « aisée » aux problèmes techniques, considérés par le Clusif comme les risques principaux. Des questions sensibles peuvent ainsi surgir : réactivité aux sollicitations par e-mails en dehors des heures normales de travail, traçabilité des outils et respect de la vie privée, limitations du rôle de l'administrateur de parc, contribution de l'entreprise à l'acquisition d'un terminal voire responsabilité en cas de vol ou de perte...
Ce dernier point est notamment sensible si l'on évolue d'un « bring your own device » (apportez votre propre terminal), issu de l'envie des collaborateurs de disposer d'outils à leurs goûts, à un « buy your own device » (achetez votre propre terminal) plus ou moins imposé par les entreprises qui y verraient une source d'économies.
Notons que, à ce jour, aucune jurisprudence n'est disponible sur un conflit du travail lié au BYOD en France.